Windows OSには、OSやアプリケーションソフトの動作を記録表示する「イベントログ」という機能がある。デフォルトでは、ログサイズが初期設定の制限値より大きくなると、新たなログが記録されなくなる。現実的には、ログファイルのサイズを大きくしておき、上書きモードで利用するのがよいだろう。
対象OS:Windows NT Workstation/Windows 2000 Professional/Windows XP Professional/Windows XP Home、Windows NT Server/Windows 2000 Server/Windows 2000 Advanced Server/Windows 2000 Datacenter Server
Windows NT/2000/XPでは、OSの動作に関する記録を「イベントログ」と呼ばれる独自形式のログに記録するようになっている。UNIX系OSのログ(syslog)はテキスト形式だが、Windowsのイベントログはバイナリ形式で、「イベントビューア」と呼ばれる専用の管理ツールを使用しなければ、内容を見ることができない。「イベントビューア」は、コントロールパネルの管理ツール内に独立したツールとして含まれているほか、Windows 2000以降では、「コンピュータの管理」ツールの中にも同等のイベント参照機能が追加された。
イベントビューアでは、カテゴリ別にイベントログが記録される。カテゴリとしては、アプリケーションソフトウェアの動作に関するログを記録する「アプリケーション」、監査ログを記録する「セキュリティ」、OS自身の動作に関するログを記録する「システム」がデフォルトで存在する。さらに、Active Directoryのドメインコントローラでは「Directory Service」と「ファイル複製サービス」が、DNSサーバが動作しているコンピュータでは「DNS Server」が追加される。
「システム」や「アプリケーション」は、OSやアプリケーションソフトの動作に関するイベントが記録される場所なので、システムが正常に機能している限りにおいては、それほど神経質になる必要はない。何か動作に問題があったときにイベントログを確認し、原因追及の参考にすればよいだろう。
これらに対し、「セキュリティ」ログでは、外部からの不正侵入やアタックの有無などを検出するために使えるので、正しく設定して、日ごろからログの内容に注目すべきだ。デフォルトでは、「セキュリティ」ログには何も記録されないので、明示的に設定を行う。具体的には、システム管理権限を持つユーザーアカウントのログオンイベントの監査について「失敗」のイベントを監査する(管理者アカウントへのブルートフォース攻撃などを検出可能)、 「オブジェクトアクセスの監査」を有効にして、重要な個人情報への監査を行う、といったものが一般的である(「オブジェクトアクセスの監査」では、ファイルやフォルダ、Active Directoryドメインオブジェクトへのアクセスを監査できる)。
システム管理では重要なイベントログ情報だが、初期設定では、ログが大量に記録されてログファイルのサイズ上限である512KBに達した後は、7日間が経過するか、記録済みのイベントを消去するまで、新しいイベントの記録が行われないようになっている。その間に何か重要なイベントが発生しても、イベントログに記録されないので、これはシステム管理の面から見て好ましいとはいえない。古いイベントと新しいイベントのどちらが大事かといえば、より直近の方が重要度が高いであろうから、デフォルト設定を変更しておきたい。
なお、記録されたイベントログを消去するには、ツリー部分でカテゴリーをごとに、右クリックして、表示されるショートカットメニューの[すべてのイベントを消去]を実行する。このとき、すでに記録されているイベントを保存するかどうかが問い合わせられる(保存を指示すると、拡張子evtというバイナリファイルが出力される)。また、消去を行わない場合でも、右クリックメニューの[ログファイルの名前を付けて保存]を選択すれば、同様にイベントログの保存が可能だ。
イベントログの記録条件に関する設定を変更するには、[コントロールパネル]−[管理ツール]にあるイベントビューアを起動し、ツリー画面で、設定を変更したいログのカテゴリを右クリックし、表示されるショートカットメニューの[プロパティ]を実行する。すると次のダイアログが表示される。
イベントログのサイズが最大値に達した場合の処理には、以下の3種類の選択肢がある。
設定項目名 | 挙動 |
---|---|
必要に応じてイベントを上書きする | イベントログがいっぱいになった場合、自動的に最も古いイベントから順に消去され、新しいイベントと置き換えられる。古いイベントログは無条件で上書きされて消えてしまう。重要なもの(「エラー」)だけ残すなどの選択肢はない。 |
イベントを上書きする(<日数>日経過後) | デフォルトではこれが選択され、既定値で日数は7日となっている。ここで指定した日数の間は、イベントの上書きを行わない。もし、設定した日数が経過する前にイベントログがいっぱいになった場合は、それ以後に発生したイベントは、設定した日数が経過するまで記録されない。設定した日数が経過すると、古いものから順に上書きされる。この選択肢は、一定期間ごとにログをファイルに保存する場合に有用だが、突発的に大量のイベントが発生すると、ログを保存する前にファイルのサイズが上限に達して、記録が中断される可能性もある。 |
イベントを上書きしない | 日数に関係なく、イベントログがサイズ上限に達した時点で記録を中断する。その後は、記録されているイベントを手動で消去しなければ、新しいイベントは記録されない。これを選択した場合、いったん記録されたイベントが失われることはないが、ログがいっぱいになった場合に、その後で発生した重要なイベントを取りこぼす可能性がある。 |
イベントログのサイズが最大値に達したときの操作の選択肢 |
なお、日数、あるいはサイズの制限からイベントの記録ができなくなった場合でも、その時点で記録されているイベントログを消去すると、再びイベントログの記録が可能になる。また、現在の値よりもサイズを小さく変更することも可能だが、その場合、設定変更の時点で記録されているイベントログをすべて消去しなければ、記録は再開されない。
イベントログのサイズの上限を拡大すれば、記録可能なイベントの数が増えるので、新しいイベントが古いイベントを勝手に上書きしたり、ログがいっぱいになって記録が停止したりする可能性は低下する。しかし、予想外に速いペースでイベントが発生した場合(特に不正アクセスを検出するために実施するログオンイベントの監査では、その可能性が高い)、増加させたサイズ上限も簡単にいっぱいになってしまう可能性があるので、ログのサイズだけでなく、上書きの設定にも注意を払う必要がある。
イベントログにはシステムの履歴が記録されているので、可能ならばなるべく長く保存しておきたいが、重要性の高い直近のイベントが(ログがフルになって)記録に残らないというのは避けたいところである。
そこで、イベントログファイルのサイズを実用上困らない程度に拡大しておき、常に上書きモードで運用する、という方法が(現状では)望ましいだろう。具体的なサイズとしては、クライアント用途なら、最低でも8MB程度、サーバ用途なら16MB以上にはしておきたいところだ。参考までに述べると、手元のWindows 2000 Serverシステムの場合では、16MBのログサイズでは7〜8万件ほどのイベントが記録可能なようである。それぞれのニーズに合わせてサイズを決めていただきたい(特にセキュリティログでは、どこまで監査を行うかによって記録される件数が大きく変わる)。
■この記事と関連性の高い別の記事
Copyright© Digital Advantage Corp. All Rights Reserved.