LogstorageでWindowsのイベントログを収集してみた

スポンサーリンク

はじめに

LogstorageでWindowsのイベントログを収集するには2つの方法があります。

  • Agent
  • ELC(EventLogCollector)

それぞれの違いは下表のとおりです。今回、両方のやり方で動作確認していきます。

内容AgentELC
ログ収集間隔リアルタイム定期
※規定値で5分間隔
ログ暗号化送信対応非対応
ログ解析機能なしあり
ログソース管理GUIなしあり
ログソースへのインストール必要
※常駐型プログラムをインストール
不要
※エージェントレス対応
専用サーバの構築不要推奨
※Logstorageサーバとの同居は可能だが専用サーバの構築を推奨
利用可能エディション全エディションスタンダード版以上

目標

LogstorageサーバでWindowsServer2019のセキュリティログを収集します。
監査などに使用される「ログオンの成功」と「ログオンの失敗」のログを管理コンソールから検索できることを確認します。

Agentを使用したイベントログの収集

事前確認

疎通確認

ログを収集するサーバとLogstorageサーバ間が通信できることを確認します。ポートは「5142」を開けておきます。PowerShellで「Test-NetConnection」コマンドを使いTcpTestSucceeded が「True」になっていることを確認します。

C:\> Test-NetConnection LogstorageサーバのIPアドレス -port 5142

ComputerName     : LogstorageサーバのIPアドレス
RemoteAddress    : LogstorageサーバのIPアドレス
RemotePort       : 5142
InterfaceAlias   : Ethernet0
SourceAddress    : ログを収集するサーバのIPアドレス
TcpTestSucceeded : True

ポリシーの確認

  1. [Windows]+[R]キーから「ファイル名を指定して実行」画面を表示します。
  2. 「secpol.msc」 を入力して OK ボタンをクリックします。
  3. [セキュリティ設定]ー[ローカルポリシー]ー[監査ポリシー]の「ログオンイベントの監査」をダブルクリックします。
  4. 「成功」と「失敗」にチェックが入っていることを確認します。もしチェックがなければチェックを入れて「OK」ボタンをクリックします。

ドメインの場合はドメインコントローラのサーバ上で
[サーバーマネージャー]-[ツール (T) ]-[グループポリシーの管理]-[(フォレスト名)]-[ドメイン]-[(ドメイン名)]-[グループポリシー オブジェクト]-[(ポリシー名)]
を右クリック[編集( E)…]で[グループ ポリシー管理エディター]を開いた後
[コンピューターの構成]-[ポリシー]-[Windows の設定]-[セキュリティの設定]-[ローカルポリシー]-[監査ポリシー]を選択して表示することができます。

ログソースの登録

  1. Logstorageの管理コンソールにログインします。
  2. 左サイドバーから[システムの設定]-[ログソース]をクリックします。
  3. ファイルボタンから「ファイル作成」をクリックします。
  4. IPアドレスにイベントログ収集対象サーバのIPアドレスを入力します。
  5. ファイルボタンから「名前を付けて保存」をクリックします。
  6. ログソース名は、「WindowsServer2019」と入力し「OK」ボタンをクリックします。

ログフォーマット定義のインポート

  1. 管理コンソールにアクセスします。
  2. 左サイドバーから[システムの設定]ー[インポート・エクスポート]をクリックします。
  3. インポートタブから以下のファイルを選択します。
    template_MicrosoftWindowsEventLogSecurity1.3.0_export.xml
    ※Logstorageインストーラ内の「logformat」フォルダにあります。
  4. 「アップロード」ボタンをクリックします。
  5. インポート情報の選択画面が表示されるので「インポート項目確認へ」ボタンをクリックします。
  6. 一番下までスクロールし「インポート」ボタンをクリックします。
  7. 「インポートが完了しました」のメッセージを確認します。
  8. 左サイドバーから「ログフォーマットの管理」をクリックします。
  9. 「ログフォーマット定義」をクリックします。
  10. アプリケーションリストに「MicrosoftWindowsEventLog_Security」が登録されていることを確認します。

Agent設定ファイルの作成

  1. 管理コンソールにアクセスします。
  2. 左サイドバーから[システムの設定]ー[Agent設定]をクリックします。
  3. 共通設定タブに以下の通り設定します。
    プライマリLogGate:LogstorageサーバのIPアドレスを入力
    管理ディレクトリ:C:\LogstAgent\lltp
    ※Agentのインストールフォルダを「C:\LogstAgent」とすることを前提としています。
  4. 監視対象のタブをクリックし、監視対象を「イベントログ」にします。
  5. チャネルを「Security」にします。
  6. メニューから[ファイル]ー[保存]をクリックします。
    Agent設定ファイル(agent_conf.xml)が作成されます。

Java版Agentのインストール

  1. Logstorageインストーラ内の「agent」フォルダにある「agent_x.x.x_java_jre11_windows_x64.zip」をイベントログ収集対象サーバのローカルにコピーします。
  2. 解凍した後、フォルダ名を「LogstAgent」に変更し、「C:\」に移動します。
    ※この例では、Agentインストールフォルダを「C:\LogstAgent」にすることを前提としています。
  3. コマンドプロンプトを右クリックし、「管理者として実行」を選択します。
  4. 以下コマンドを実行します。
C:\Users\Administrator>cd C:\LogstAgent\service

C:\LogstAgent\service>install.bat

サービス一覧に「Logstorage Agent」が登録されていることを確認します。

Agent設定ファイルの置き換えとサービス起動

  1. 「Agent設定ファイルの作成」で作成した「agent_conf.xml」をイベントログ収集対象サーバの「C:\LogstAgent」フォルダ直下に保存します。
  2. サービス一覧で「Logstorag Agent」を選択し開始します。

ログの検索と表示

  1. 左サイドバーから[検索]-[検索条件]をクリックします。
  2. ファイルボタンから「ファイル作成」をクリックします。
  3. 検索条件は以下の通りです。
    期間指定:「今日」ボタンをクリック
    インデックス検索:アプリケーションを選択
    アプリケーション:「MicrosoftWindowsEventLog_Security」
    アクション:ログオンの成功
    メッセージパラメータ:全て
    降順検索:チェックを入れる
  4. 「検索」ボタンをクリックします。

収集されたセキュリティログが表示されます。「アクション」が「ログオンの成功」のみ表示されていることを確認できます。「ログを折り返す」のチェックを外すとカラムが横に広がります。

ELCを使用したイベントログの収集

事前確認

疎通確認

ログを収集するサーバとLogstorageサーバ間が通信できることを確認します。
使用するポートは以下の通りです。

<ログ収集対象Windowsサーバ→ELCサーバ>
通信元:ログ収集対象Windowsサーバ
・TCP/135、445、49152~65535の動的ポート
受信側:ELCサーバ
・全てのTCPポート
<Logstorageサーバ→ELCサーバ>
通信元:Logstorageサーバ
・全てのTCPポート
受信側:ELCサーバ
・TCP/445

PowerShellで「Test-NetConnection」コマンドを使いTcpTestSucceeded が「True」になっていることを確認します。

C:\> Test-NetConnection LogstorageサーバのIPアドレス -port 135
ComputerName     : LogstorageサーバのIPアドレス
RemoteAddress    : LogstorageサーバのIPアドレス
RemotePort       : 135
InterfaceAlias   : Ethernet0
SourceAddress    : ログを収集するサーバのIPアドレス
TcpTestSucceeded : True

C:\> Test-NetConnection LogstorageサーバのIPアドレス -port 445
ComputerName     : LogstorageサーバのIPアドレス
RemoteAddress    : LogstorageサーバのIPアドレス
RemotePort       : 445
InterfaceAlias   : Ethernet0
SourceAddress    : ログを収集するサーバのIPアドレス
TcpTestSucceeded : True

ポリシーの確認

  1. [Windows]+[R]キーから「ファイル名を指定して実行」画面を表示します。
  2. 「secpol.msc」 を入力して OK ボタンをクリックします。
  3. [セキュリティ設定]ー[ローカルポリシー]ー[監査ポリシー]の「ログオンイベントの監査」をダブルクリックします。
  4. 「成功」と「失敗」にチェックが入っていることを確認します。もしチェックがなければチェックを入れて「OK」ボタンをクリックします。

ドメインの場合はドメインコントローラのサーバ上で
[サーバーマネージャー]-[ツール (T) ]-[グループポリシーの管理]-[(フォレスト名)]-[ドメイン]-[(ドメイン名)]-[グループポリシー オブジェクト]-[(ポリシー名)]
を右クリック[編集( E)…]で[グループ ポリシー管理エディター]を開いた後
[コンピューターの構成]-[ポリシー]-[Windows の設定]-[セキュリティの設定]-[ローカルポリシー]-[監査ポリシー]を選択して表示することができます。

ログソースの登録

  1. Logstorageの管理コンソールにログインします。
  2. 左サイドバーから[システムの設定]-[ログソース]をクリックします。
  3. ファイルボタンから「ファイル作成」をクリックします。
  4. IPアドレスにイベントログ収集対象サーバのIPアドレスを入力します。
  5. ファイルボタンから「名前を付けて保存」をクリックします。
  6. ログソース名は、「WindowsServer2019」と入力し「OK」ボタンをクリックします。

ログフォーマット定義のインポート

イベントログの生ログに対するログフォーマット定義ファイル

  1. 管理コンソールにアクセスします。
  2. 左サイドバーから[システムの設定]ー[インポート・エクスポート]をクリックします。
  3. インポートタブから以下のファイルを選択します。
    template_MicrosoftWindowsEventLogSecurity1.3.0_export.xml
    ※Logstorageインストーラ内の「logformat」フォルダにあります。
  4. 「アップロード」ボタンをクリックします。
  5. インポート情報の選択画面が表示されるので「インポート項目確認へ」ボタンをクリックします。
  6. 一番下までスクロールし「インポート」ボタンをクリックします。
  7. 「インポートが完了しました」のメッセージを確認します。

イベントログの解析ログに対するログフォーマット定義ファイル

  1. 同様の手順で以下のファイルを選択します。
    EventLogAnalyzerx.x.x_export.xml
    ※ELCインストーラ内の「eventcollector」フォルダにあります。
  2. 「アップロード」ボタンをクリックします。
  3. インポート情報の選択画面において、「データの整合性に問題が見つかりました。」が表示されます。 インポートする「タグ定義」において、先に取り込んだ情報と重複するタグが存在するためです。タグ定義欄で「マージ」ボタンをクリックし「マージ(変更なし)」になったことを確認します。
  4. 「インポート項目確認へ」ボタンをクリックします。
  5. 一番下までスクロールし「インポート」ボタンをクリックします。
  6. 「インポートが完了しました」のメッセージを確認します。
  7. 左サイドバーから「ログフォーマットの管理」をクリックします。
  8. 「ログフォーマット定義」をクリックします。
  9. アプリケーションリストに「MicrosoftWindowsEventLog_Security」と「EventLogAnalyzer 2.2.0」が登録されていることを確認します。

ELCのインストール・サービス起動

  1. 以下をELCインストール先のOS内の任意のディレクトリに配置します。
    ・ELCインストーラ内の「EventLogCollector_x.x.x_x64」フォルダ
    ・ライセンスキーファイル
  2. 「EventLogCollector_x.x.x_x64」フォルダ内にある「install.bat」を右クリックし「管理者として実行」を選択します。
  3. ウィザードに沿って進めます。途中でライセンスキーファイルの指定と管理者パスワードを入力します。
  4. 「インストール完了」画面で「インストールが完了しました。」が表示されたら「完了」をクリックします。
  5. サービス一覧より「EventLogCollector」を選択し開始します。状態が「実行中」になることを確認します。

ELCログ収集設定

  1. 「C:\EventLogCollector\bin」フォルダにある「GUI.bat」を右クリックし「管理者として実行」を選択します。
  2. 「Windowsイベント(Win32Api)」を選択し、「間隔」を「1」分に設定します。
    ※検証ですぐにログを確認できるようにするため収集間隔を最短に設定します。
    通常運用では既定値の5分で問題ありません。
  3. ツールバーから「ログソース追加」アイコンをクリックします。
  4. 「一般設定」タブで以下の通り設定します。
    コンピュータ名またはIPアドレス:イベントログ収集対象サーバのIPアドレスを入力
    ログソースアカウント:ログソースにアクセスするためのアカウントとパスワードを入力
    収集されるイベントログファイル:
     解析後イベントログ:チェックを入れる
     セキュリティ:チェックを入れる
  5. 「ログソースのテスト」ボタンをクリックし「成功」と表示されることを確認します。
  6. ツールバーから「保存」アイコンをクリックし設定を保存します。
  7. ツールバーから「開始」アイコンをクリックします。
    ログ収集中は下記のようにアイコンが変化します。

収集ログ保存フォルダの共有化

「C:\EventLogCollector\output」にアクセスするとイベントログから収集したログが「.log」ファイルとして作成されていることが確認できます。

「C:\EventLogCollector\output」フォルダを右クリックして「プロパティ」を選択します。「共有」タブにてフォルダを共有し、LogGate起動ユーザがアクセスできるようアクセス権限を付与します。

「セキュリティ」タブにて、LogGate起動ユーザが読み取り、書き込みできるよう権限を付与します。

ファイルレシーバの設定

  1. 管理コンソールにアクセスします。
  2. 左サイドバーから[システムの設定]ー[LogGateグループ]ー[lggroup1]をクリックします。
  3. LogGateタブから「詳細設定」ボタンをクリックします。
  4. 左サイドバーから[ファイルシステム監視]をクリックします。
  5. 「監視ディレクトリ」のパス欄にカンマ( , )で区切り、ELCサーバの共有フォルダパスを追加入力します。
  6. 「設定を確認し保存」をクリックします。
  7. 左サイドバーから[ファイル取り込み]ー[LogstorageFormatHandler]をクリックします。
    「LogstorageFormatHandler」が追加されたことを確認します。
  8. 「設定を確認し保存」をクリックします。
  9. 「設定をLogGateに送信」ボタンをクリックします。

設定が正常に完了した場合、ELCサーバの「C:\EventLogCollector\output」フォルダ内の「.log」ファイルは順次削除されることが確認できます。

ログの検索と表示

  1. 左サイドバーから[検索]-[検索条件]をクリックします。
  2. ファイルボタンから「ファイル作成」をクリックします。
  3. 検索条件は以下の通りです。
    期間指定:「今日」ボタンをクリック
    インデックス検索:アプリケーションを選択
    アプリケーション:「MicrosoftWindowsEventLog_Security」
    アクション:ログオンの成功
    メッセージパラメータ:全て
    降順検索:チェックを入れる
  4. 「検索」ボタンをクリックします。

収集されたセキュリティログが表示されます。「アクション」が「ログオンの成功」のみ表示されていることを確認できます。「ログを折り返す」のチェックを外すとカラムが横に広がります。

コメント