こんにちは、Windows プラットフォーム サポートの串田です。
今回は、Windows OS で出力されるセキュリティ イベント ログの一覧がまとめられたファイルの取得方法、およびファイルの見方についてご紹介いたします。
近年セキュリティの重要性が一層高まっており、
Windows のセキュリティ ログに出力されるイベントを監視しているお客様も多くいらっしゃると存じます。
しかし、セキュリティ ログに出力されるイベントは多種多様であり、お客様側でイベントを全て把握することは困難です。
お客様からも “監視するイベントを検討したいが、そもそもどんなイベントが出力されるのか、OS によって差異はあるのか” などお問い合わせをいただくことがあります。
このため、弊社でもセキュリティ ログに出力されるイベントをまとめた情報は公開しているのですが、bing や Google で検索しても見つかり難い状況でした。
そこで、AD サポート チームより、現在サポートされている OS のセキュリティ イベントの一覧がまとめられた Excel ファイルが取得可能なサイトを案内させていただきます。
どの監査ポリシーを設定することで出力されるのか、どの OS から記録されるイベントなのかなど英語版ではありますが、情報がまとまっています。
以下にそれぞれ URL と Excel ファイルの見方を記載いたしますので、運用環境に合わせてご取得いただければと思います。
<セキュリティ ログの一覧がまとめられた Excel を公開しているサイト>
現在サポートされている OS 全てのセキュリティ イベント ログがまとめられた Excel が取得可能なサイト
Windows security audit events
<https://www.microsoft.com/en-us/download/details.aspx?id=50034>
Windows 8、および Windows Server 2012 のセキュリティ イベント ログがまとめられた Excel が取得可能なサイト
Windows 8 and Windows Server 2012 Security Event Details
<https://www.microsoft.com/en-us/download/details.aspx?id=35753>
Windows 7、および Windows Server 2008 R2 のセキュリティ イベント ログがまとめられた Excel が取得可能なサイト
Security Audit Events for Windows 7 and Windows Server 2008 R2
<https://www.microsoft.com/en-us/download/details.aspx?id=21561>
<Excel ファイルの見方>
ダウンロードが完了した Excel ファイルを展開すると、以下の様に各イベント ID やメッセージがまとめられた表が表示されます。
表内の上部にはヘッダーが付与されており、以下に拡大させていただきましたが、それぞれ以下の様な意味となります。
————————————————
・ Category : グループ ポリシーにおける [監査ポリシー] 上のカテゴリ
・ Subcategory : グループ ポリシーにおける [監査ポリシーの詳細な構成] 上のカテゴリ
・ Event ID : セキュリティ イベントの ID
・ Message Summary : 出力されるメッセージの概要
・ Minimum Operating System Requirement : どの OS バージョンから利用されているセキュリティ イベントか提示
————————————————
また、まとめられた Excel には ”Complete Event Messages” タブもあります。
”Complete Event Messages” 内では、セキュリティ ログに “実際に表示されるメッセージ” が各イベント ID 毎にまとめられています。
”Security Audit Events” タブ内では概要のメッセージしか記載されていませんので、詳細を確認されたい場合には便利です。
なお、Excel ではなく Web 上にまとめられた情報をご確認されたいという方のために、参考情報として以下のサイトもご案内させていただきます。
対象は Windows Server 2008 R2 並びに Windows 7までの情報をとりまとめております。
<参考情報>
Description of security events in Windows 7 and in Windows Server 2008 R2
Description of security events in Windows Vista and in Windows Server 2008