IBM Tivoli Monitoring, バージョン 6.3

Windows 2008 イベント・ログ

このセクションでは、Tivoli Log File Agent が Windows イベント・ログからのイベントをモニターする方法について説明します。

Tivoli Log File Agent は従来どおり、WINEVENTLOGS 構成 (.conf) ファイル・オプションを使用して、Windows イベント・ログからのイベントをモニターします。エージェントは、以下の例に示すように、イベント・ログのコンマ区切りリストをモニターします。

WINEVENTLOGS=System,Security,Application

また、Tivoli Log File Agent は従来どおり、WINEVENTLOGS=All 設定を使用します。 All 設定は、2008 より前の Windows バージョンで提供される標準イベント・ログ (セキュリティー、アプリケーション、システム、ディレクトリー、ドメイン・ネーム・システム (DNS)、およびファイル複製サービス (FRS)) を意味します。しかし、システム上のすべてのイベント・ログが検査されるわけではありません。

UseNewEventLogAPI という名前の構成ファイル・タグがあります。このタグを指定すると、イベント・ログ (Windows イベント・ログ 2008 以降) は、Microsoft によって追加されたすべての新規ログ、および他のアプリケーションまたはユーザーによって作成されたすべての Windows イベント・ログにアクセスできます。新規ログは、WINEVENTLOGS キーワードによってリストされます。

以下の例では、UseNewEventLogAPI タグは y に設定されます。

UseNewEventLogAPI=y
WINEVENTLOGS=Microsoft-Windows-Hyper-V-Worker-Admin

この例では、Hyper-V 役割を持つ Windows システム上で Microsoft-Windows-Hyper-V/Admin がモニターされます。

Windows イベント・ログ内では、各イベントに以下のフィールドがあり、この順序で配列されています。

日付 (フォーマット: 月、日、時刻、および年)
イベント・カテゴリーは整数です。
イベント・レベル
Windows セキュリティー ID。構成 (.conf) ファイル内で SpaceReplacement=TRUE である場合、Windows セキュリティー ID 内のすべてのスペースは下線に置き換えられます。
注: SpaceReplacement=TRUE は、(.conf) ファイル内で UseNewEventLogAPI を y に設定した (2008 イベント・ログを使用していることを指定した) 場合のデフォルトです。
Windows ソース。構成 (.conf) ファイル内で SpaceReplacement=TRUE である場合、Windows ソース内のすべてのスペースは下線に置き換えられます。
Windows イベント・ログ・キーワード。構成 (.conf) ファイル内で SpaceReplacement=TRUE である場合、Windows イベント・ログ・キーワード内のすべてのスペースは下線に置き換えられます。
注: ここで説明するキーワード・フィールドは、Windows 2008 バージョンのイベント・ログでは新規です。このキーワード・フィールドは前のイベント・ログには存在しなかったため、これが含まれている場合、古いイベント・ログ・フォーマット指定ステートメントをそのまま再使用することはできません。この追加のフィールドに対応するようにステートメントを変更する必要があります。
Windows イベント ID
メッセージ・テキスト

例えば、管理ユーザーが Windows 2008 システムにログオンすると、新規ユーザー・セッションに割り当てられた特権を示すイベントがセキュリティー・ログ内で生成されます。

Mar 22 13:58:35 2011 1 Information N/A Microsoft-Windows-
Security-Auditing Audit_Success 4672 Special privileges assigned to new logon. 
S-1-5-21-586564200-1406810015-1408784414-500    Account Name: 
Administrator   Account Domain:     MOLDOVA     Logon ID: 
0xc39cb8e    Privileges:        SeSecurityPrivilege  
SeBackupPrivilege          SeRestorePrivilege  
SeTakeOwnershipPrivilege            SeDebugPrivilege 
SeSystemEnvironmentPrivilege            SeLoadDriverPrivilege      
SeImpersonatePrivilege

Microsoft-Windows-Security-Auditing イベント・ソースによって作成されたすべてのイベントを取り込むには、以下に示すように、フォーマット指定ステートメントを記述します。

REGEX BaseAuditEvent
^([A-Z][a-z]{2} [0-9]{1,2} [0-9]{1,2}:[0-9]{2}:[0-9]{2} [0-9]
{4}) [0-9] (¥S+) (¥S+) Microsoft-Windows-Security-Auditing (¥S+)
([0-9]+) (.*)
timestamp $1
severity $2
login $3
eventsource "Microsoft-Windows-Security-Auditing"
eventkeywords $4
eventid $5
msg $6
END

以下の例は、上記のイベント例のスロットに割り当てられる値を示します。

timestamp=Mar 22 13:58:35 2011
severity=Information
login=N/A
eventsource=Microsoft-Windows-Security-Auditing
eventid=4672
msg="Special privileges assigned to new logon.
S-1-5-21-586564200-1406810015-1408784414-500    Account Name: 
Administrator   Account Domain:     MOLDOVA     Logon ID: 
0xc39cb8e    Privileges:        SeSecurityPrivilege  
SeBackupPrivilege          SeRestorePrivilege  
SeTakeOwnershipPrivilege            SeDebugPrivilege 
SeSystemEnvironmentPrivilege            SeLoadDriverPrivilege      
SeImpersonatePrivilege

これらのイベントがどのように表示されるかを正確に予測するのは難しいため、正規表現を記述するときには、実際のイベントをファイル内に取り込む手法を使用することをお勧めします。その後、このファイルを確認し、エージェントに取り込ませるイベントを選択し、これらのイベントと一致する正規表現を記述することができます。Windows イベント・ログからすべてのイベントを取り込むには、以下のステップを実行します。

以下の例に示すように、どのイベントとも一致しない 1 つのパターンのみを含むフォーマット・ファイルを作成します。
```
REGEX NoMatch
This doesn't match anything
END
```
以下の設定を構成 (.conf) ファイルに追加します。
```
UnmatchLog=C:/temp/evlog.unmatch
```
エージェントを実行し、いくつかのサンプル・イベントを取り込みます。

フィードバック