- - PR -
イベントログの詳細の扱い方
| 投稿者 | 投稿内容 | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
投稿日時: 2007-12-14 16:42
お世話になります。
Windows2003Serverを使用していて、監査機能を利用してセキュリティ強化を図っているところです。監査設定を行ったのでイベントログには必要な情報が書き込まれて行くのですが、イベントビューアで一覧を照会するとイベントIDやユーザーといった情報は表示されているのですが、肝心の説明欄(詳細内容)が表示されていません。 その為、1つ1つのイベントをダブルクリックし内容を確認するという手間があります。イベントログの数が多いとこのような作業では切りがありません。 説明欄を一覧表示するようなツールやフリーソフト、VBプログラム等はないのでしょうか?具体的には、「イベントIDが○○で、ハンドルIDが△△で、その時のオブジェクト名がこれ」といった情報を得たいと考えています。 どなたか良いアドバイスがあれば教えてください、 よろしくお願いします。 | ||||||||
|
投稿日時: 2007-12-14 16:59
イベントビューアで対象イベント(アプリケーション・セキュリティ・システム)を
右クリックし、ポップアップメニューから『ログ ファイルの名前を付けて保存』で ファイルの種類を(『EVT』・『TXT』・『CSV』)から好きなものを選べば良いかと 思います。 これで一応はイベントをダブルクリックした際の情報は全て取れます。 | ||||||||
|
投稿日時: 2007-12-18 13:58
上総さん、いつもアドバイスありがとうございます。
ほんとに助かります。 『ログ ファイルの名前を付けて保存』ですが、 保存されたデータのうち「説明」項目(ここの情報が欲しい)はデータとしてダウンロードは出来るのですが、イベントIDやユーザーといった複数の項目が改行され1つの列になった状態でダウンロードされてしまいます。この「説明」項目が内容別に複数の列に分かれていないと思うようにフィルターをかけれません。 イメージでいうと以下のようにダウンロードされます。 ----------------------------------------------- 1 567 administrator ハンドルID:1999 オブジェクト名:XYZ アカウント名:XXXX ----------------------------------------------- 2 567 1000001A ハンドルID:2435 オブジェクト名:QQQQ アカウント名:qwer ----------------------------------------------- 理想は以下のようになって欲しいです。 ----------------------------------------------- 1 567 administrator ハンドルID:1999 オブジェクト名:XYZ アカウント名:XXXX ----------------------------------------------- 2 567 1000001A ハンドルID:2435 オブジェクト名:QQQQ アカウント名:qwer ----------------------------------------------- イベントビューアみたいなアプリケーションですべての項目が一覧表示されるようなのは無いのでしょうか?もしくはVBなどで自作するのも手でしょうか? | ||||||||
|
投稿日時: 2007-12-18 14:40
eventqueryを使用すれば、お望みのことができると思われます。
例)2007/12/17 PM12:00〜2007/12/18 PM12:00のセキュリティログのイベントID 567を抽出
[ メッセージ編集済み 編集者: ゆうじゅん 編集日時 2007-12-18 14:41 ] | ||||||||
|
投稿日時: 2007-12-18 14:43
現状では難しいですね、どこを区切り文字としたものやら・・・・ 強化されたコマンドライン・ツール http://www.atmarkit.co.jp/fwin2k/xp_feature/013commandtool/commandtool.html を参照してみましたが、eventquery.vbs(CDのi386に格納されてます)を使用しても 難しいですね。 指定された通りの情報(ハンドルID・オブジェクト名・アカウント名)でログが 出力されるのであれば、InStr関数等を使用すれば抽出出来ると思いますが。 | ||||||||
|
投稿日時: 2007-12-18 16:01
ゆうじゅんさん、上総さん、ありがとうございます。
>ゆうじゅんさん eventqueryについて少し試してみました。 『CSCRIPT EVENTQUERY.vbs <引数>』という事なのでゆうじゅんさんの真似をして 『CScript //nologo c:\windows\system32\eventquery.vbs /V /L Security/FI "ID eq 612"> c:\log1.csv』 としてみました。しかし作成されたファイルには「エラー: 無効な引数またはオプションです - 'ID eq 612'」と表示されていました。コマンドの「イベントID:612」の部分が指定間違いと思われるのですが、どうして良いか分かりません。 >上総さん eventqueryでもやはり「説明」は改行で出力されるのでしょうか?そうなるとInstr関数しか手はなさそうですね。。。いまいち使い勝手の悪いビューアですね。 せめてハンドルIDやプロセスIDといった説明欄の項目でもフィルタ機能が使えればまだましなんですけどね〜! お二人ともご丁寧な対応ありがとうございます。 | ||||||||
|
投稿日時: 2007-12-18 16:13
/L Security/FI → /L Security /FI で動作しませんか? また出力結果に対して、findコマンドを使用すれば絞り込みもできると思います 例)出力結果を「アカウント名:XXXX」で絞りこみ
[ メッセージ編集済み 編集者: ゆうじゅん 編集日時 2007-12-18 16:24 ] | ||||||||
|
投稿日時: 2007-12-18 17:16
ゆうじゅんさん、ありがとうございます!
出来ました!! でも、「find "アカウント名:XXXX"」の部分は出来ませんでした。アカウント名というのはそのまま日本語でよろしいのでしょうか?色々ホームページを確認したのですが、指定する項目名の一覧やFind等の機能一覧といったものが見つかりませんでした。 ゆうじゅんさんはどういったものを参考にEventqueryをご使用されているのでしょうか?良ければ参考ホームページがあれば教えてください。 甘え過ぎですみません! | ||||||||
スキルアップ/キャリアアップ(JOB@IT)
Copyright © ITmedia, Inc. All Rights Reserved.
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。
著作権はアイティメディア株式会社またはその記事の筆者に属します。
当サイトに掲載されている記事や画像などの無断転載を禁止します。