Windowsイベントログは監査ログになり得るか?
様々なガイドラインで“サーバの操作記録の保持”が謳われるようになり、サーバサイドのアクセス監査が必要不可欠になっています。
そんな中、「サーバOSに標準装備されているログを利用することはできないか?」とお問合せを受けることも多々あります。
WindowsOSの監査というと、「イベントログ」での監査が代表的であると思われる事が多いです。
しかし、「イベントログ」は監査ログとして適したログなのでしょうか。
ここでは、WindowsOSの「イベントログ」について、“監査証跡として適しているか?”という観点で検証してみます。
「イベントログ」は監査証跡となり得るか?
1.ログの保持容量の上限による問題
イベントログの最大容量は 4GB 程度とされていますが、実際には 300MB 程で循環(上書き)されます。 よって、上書きさせない「循環しない設定」では、想定外の大量ログなどにより最大容量を超えてしまうと、その後のログは取得されません。 逆に、ログを肥大化させない「循環設定」では、一度循環されたログは復元できません。
2.ログ取得対象パス設定による問題
イベントログには出力設定が必要であり、設定されたフォルダパス以外のログは出力されません。
よって、新たにフォルダが作成され、その配下でファイル操作を行っても、イベントログに出力されません。
したがって、フォルダが作成される度に、イベントログ取得設定を施す必要があり、これは現実的ではありません。
また、ルートディレクトリ(Cドライブ以下)を指定して、ドライブ以下すべての操作ログを取得する方法もありますが、これはログ量が膨大になり過ぎ、1の問題によってログ取得漏れを起こす可能性が高いと同時に、OS等の動作に影響を与えてしまいます。
上記1,2の問題を表にまとめると以下の通りです。
| ログ循環設定 | 循環設定 | n日経過後 循環設定 | 循環なし設定 |
|---|---|---|---|
| ログ出力設定 | フォルダ毎の出力設定が必要 | ||
| ログ出力可能サイズ | 最大4,194,240KByte(4GByte) ※実際には300MByte程度が上限 |
||
| ログ記録可能期間 | 無制限 | n日間 | 無制限 |
| ログ消去方法 | ログ記録量が最大値に達する と古いログから自動削除 | n日経過後、古いログ から自動削除 | 削除されない |
| ログ取得漏れの可能性 | 大量ログが生成され、300MByte以上のログがログ退避前に生成されると取得漏れが発生する。 | n日以内にログが300MByteに達するとそれ以降のログが取得漏れとなる。 | ログが指定上限サイズ(もしくは300MByte)以上に達すると、それ以上のログは取得漏れとなる。 |
この結果から、イベントログでログ取得漏れを防ぐことは難しいのが現状であり、それ以前に悪意ある第3者による隠ぺいをされる可能性が高いことは言うまでもありません。
3.取得不可能な操作の問題
1秒間に8回以上のファイル操作はイベントログに出力されません。また、Windows2000では印刷したファイル名が出力されず、ファイルの作成 /コピー /名前の変更、ファイルの変更(上書き /更新)の取得が困難であったり、 イベントログの[プロセス ID]と[ハンドル ID]は再利用される仕様であるため、大量に生成された場合に上書きされる可能性が高くなることや、イベントログによっては誰がどのファイルを操作したか(ID560)が判定できる[クライアント ユーザー名 ]、[クライアント ドメイン名]が記録されない場合があります。
詳しくは、下記サイトをご参照下さい。
http://technet.microsoft.com/ja-jp/solutionaccelerators/dd285678.aspx
4.その他の問題
イベントビューアではExcelのように柔軟に編集することができないため、目的通りの監査を行う為に多大な手間が発生します。 つまり、監査には一定以上の知識が必要となります。 イベントログには、監査する必要性がないシステム上のエラーが多く出力され、知識が無い担当者が全て監査するとなると無駄なコストが発生します。 不正な操作以外の原因によるエラーログが出力されないようにするには、多くの設定が必要であり、またレジストリの内容変更などの危険な操作を必要とする事もあります。
WindowsOSをイベントログで監査するのは難しい
上記の結果から、「イベントログ」を使用したWindowsOSのログ監査は難しいと考えられます。
WEEDS WinServer-Traceでは、上記の課題を解決するため、GUI操作、CUI(コマンドプロンプト)、外部アクセス(ファイルサーバ用途など)を独自エージェントでログを生成しています。
Windowsサーバのアクセス監査には、WEEDS WinServer-Traceをご検討ください。
> Windowsサーバ監査ツール「WEEDS WinServer-Trace」
> Windowsクライアント監査ツール「WEEDS Windows-SecureControl」
> Windowsクライアントスタンドアロン端末監査ツール「WEEDS Windows-SecureControl SA」
.jpg)
.jpg)