「ログを読む力」が安全な運用につながる――Windowsイベントログ事始め:IT/セキュリティ担当者のためのWindows監査ポリシー再入門(1)
Windowsの「イベントログ」は初代Windows Serverの「Windows NT Server 3.1」から30年以上利用されてきたログ参照機能です。近年はクラウドの台頭とともにイベントログについて学習する機会が少なくなってきたと感じます。そこで本連載では、新しくIT/セキュリティの職務に就く方々を対象にあらためてイベントログについて一緒に学習していきます。
「イベントログ」の役割って何?
Windowsでは、OSに標準で付属するログ記録機能として「イベントログ」が存在します。「ハードウェアにトラブルがあった」「特定のサービスが機能しなくなった」「Windowsのサインインに失敗した」など、イベントの内容を問わず、Windowsで起きることの多くがイベントログに書き込まれます。
イベントログをはじめとしたさまざまなログを閲覧・管理するWindows標準のツールが「イベントビューアー」です。イベントビューアーは、以下の方法で起動できます(画面1)。
- 「クイックアクセスメニュー」からの起動:「スタート」ボタンを右クリックして、「イベントビューアー」を選択する
- 「ファイル名を指定して実行」からの起動:[Windows]+[R]キーで「ファイル名を指定して実行」ダイアログボックスを表示し、「名前」欄に「eventvwr.msc」と入力して「OK」ボタンを押す
- 「検索」ボックスからの起動:タスクバーの「検索」ボックスに「イベントビューアー」と入力し、「最も一致する検索結果」に表示された「イベントビューアー」をクリックする
イベントログにはWindowsが標準で利用する「Windowsログ」と、Windows上で動作するアプリケーションで利用する「アプリケーションとサービスログ」があります。
アプリケーションとサービスログは、Windowsにインストールして利用するアプリケーションごとに用意されているログの種類が異なります。対して、Windowsログは「アプリケーションログ」「システムログ」「セキュリティログ」の3種類のみ用意されています。
アプリケーションログはソフトウェアの動作状況を記録し、システムログはOS自体やドライバの動作を記録します。セキュリティログはログオンの試行やファイルへのアクセスなど、Windowsのセキュリティ上、重要なイベントを記録します(画面2)。
イベントログに記録される内容は、メールで管理者に通知したりするような仕組みが標準で用意されているわけではありません。自身でイベントビューアーを開き、その内容を確認する必要があります。つまり、イベントログは日頃から参照できるような仕組みは用意されておらず、実際に何かトラブルやイベントが発生した際や、トラブルが起きていないかどうか、現状を確認したい場合に参照するものです。
例えば、普段利用しているWindows Serverがある日、勝手に再起動していたというトラブルがあったとします。このとき、イベントログを参照すれば「誰かが意図的に再起動したのか」、それとも「システム障害で自動的に再起動したのか」、さらに「再起動の原因やその時刻、関連するエラーが記録されているのかどうか」を確認できます。
このようにイベントログは、トラブルが発生した際に問題の原因を知り、次のアクションにつなげるための必要な情報を提供してくれます。
どうやって見ればよい? イベントログの歩き方
イベントビューアー内のログは、Windowsログやアプリケーションとサービスログのようにジャンル別に格納されています。イベントビューアー画面でジャンルを選択すると、個々のログが一覧表示されます。個々のログはXML(Extensible Markup Language)形式で内容を記録しており、ログをダブルクリックすることで詳細を確認できます(画面3)。
例えば、システムのトラブルシューティングを目的としてログを参照する場合、イベントビューアーの左ペインで「Windowsログ」→「システム」の順にクリックして詳細を確認します。ログは大量に出力されているので、その中から「エラー」に分類されたログを参照すると効率よくトラブルシューティングできるでしょう。
画面3ではエラーログを開いて内容を参照しています。この画面ではエラーがなぜ発生したのかという説明とともに、「ソース」と「イベントID」が確認できます。
ソースはそのログがどのジャンルから発生したのかを示します。画面3では「Service Control Manager」と記録されているので、Windowsのサービス起動に関わる、何かのトラブルが発生したと推測できます。
イベントIDはログの種類ごとに割り当てられたIDで、同じ内容のログであれば、必ず同じイベントIDになります。画面3のイベントIDは「7031」となっており、これはサービスが予期せず終了したことを示すエラーログになります。そのため、イベントID「7031」でイベントログ内を検索すれば、過去にどのようなサービスが予期せず終了したかを確認できます。画面3では、ログの「詳細」欄に「Microsoft Defender ウイルス対策サービス」と書かれているので、Microsoft Defender ウイルス対策サービスが予期せず終了したことが分かります。
このように個々のログにイベントIDが割り当てられることは、インターネットを検索しながらトラブルシューティングする際にとても役立ちます。
例えば、ログに書かれた文言「Microsoft Defender ウイルス対策サービス サービスは予期せぬ原因により終了しました」でインターネットを検索しても、自分が思っていたようなトラブルシューティング方法を見つけられないかもしれません。
そのような場合にイベントIDで検索すれば、Microsoft Defender ウイルス対策サービスに限らず、サービスが予期せず終了したことを示す全てのエラーログから検索することになるので、何が原因でサービスが予期せず終了したのか、といったことまで知ることができます(図1)。
図1 イベントログに記録される内容は「ログの種類」項目内の「ソース」項目のように左から右に向かって範囲が狭まる。そのため、説明項目に書かれた内容で問題解決ができない場合は、「イベントID」項目を利用して検索するといった範囲を広げてトラブルシューティングするとよい
これは生成AI(人工知能)を利用して検索する場合にも同じことが言えます。「Microsoft Defender ウイルス対策サービス サービスは予期せぬ原因により終了しました」で検索すると、生成AIはMicrosoft Defender ウイルス対策サービス固有の問題からトラブル解決の方法を探そうとしてしまいます。
「イベントID 7031」で検索すれば、依存関係のあるサービスが終了したために強制終了したケースがあることや、Windowsをシャットダウンする際、サービスを終了するよりも先にWindowsがシャットダウンしてしまったためにサービスが強制終了扱いになるケースがあることなど、より広い視点から原因を突き止められます。
こうしたことが分かっていれば、次のアクションにもつなげられやすくなります。依存関係のあるサービスが終了したため、そのサービスが強制終了したのであれば、他にもイベントID 7031のエラーログが出ているはずでしょう。また、Windowsのシャットダウン処理が原因であれば、シャットダウンそのもののイベントログが出力されているはずです。このようにして、問題の原因を丁寧に探っていくことができます。
「ログを読む力」を養い、安全な運用につなげる
昔からあるオンプレミスのシステムは何となく動いているので、「何となくトラブルも起きていない」と考えるかもしれません。しかし、オンプレミスからクラウドへシステムを移行するとなった際にトラブルが顕在化したり、ログを見ていなかったために、ある日突然セキュリティ侵害に遭ったりするといったことが考えられます。
こうした大きなトラブルに見舞われる前に「ログを読む力」を養い、今後の安定したシステムの運用につなげていくことは運用管理者にとって必須のスキルといえます。
次回以降は、イベントログに記録される内容を絞り込んでいく方法や、出力結果をフィルタリングして必要なログに簡単にアクセスする方法など、効率の良いログ管理方法について掘り下げていきます。
筆者紹介
国井 傑(くにい すぐる)
株式会社エストディアン代表取締役。1997年からマイクロソフト認定トレーナーとして、Microsoft IntuneやMicrosoft Defender XDRなど、クラウドセキュリティを中心としたトレーニングを提供している。2006年からMicrosoft MVP for Securityを連続して受賞。なお、テストで作成するユーザーアカウントには必ずサッカー選手の名前が登場するほどのサッカー好き。
Copyright © ITmedia, Inc. All Rights Reserved.