モバイルデバイスの急増、オフショアによる海外勤務者の増加などにより、情報セキュリティーにおいて企業が直接監視することができる範囲が狭まる一方、より広範囲にわたっての管理が必要となっています。
特に、操作ログの解析および問題解決については専門的な知識のもと徹底管理される体制が求められています。
この流行を受けて様々なログ取得製品が開発されていますが、その選定を行う際には、各製品がもつログ取得精度や範囲に注意し、「ログが取れているようで取れていなかった」という事態を避けなくてはなりません。
そのためには、各々の製品について、どのような手法でログが取得されるかを確認し管理目的に合致した製品を選定していくことが大切です。

1. イベントログで取得できる操作ログ
2. 操作ログを漏れなく取得する手法とは

---

1. イベントログで取得できる操作ログ

Windowsのシステム内で発生する様々な事象は、Windowsに標準装備されるイベントビューアをつかって確認することができます。イベントビューアでは、コンピューターが正常に動作しているかどうか、または問題が発生しているのであれば原因が何なのかを知るためのヒントを与えてくれるイベントログを閲覧することができます。

ファイルのコピーや削除、ローカルディスク以外のフォルダ監視、ウィンドウの作成および終了の操作など、より詳細なログを取得するためにはイベントログのみでは不十分であり、他の取得手法を導入する必要があります。

2. 操作ログを漏れなく取得する手法とは

Windowsイベントビューアで標準出力されるイベントログ以外にも、Windows APIを利用することによりフォルダ内部の変更（ファイル作成、サイズ・時刻変更）の監視やウィンドウの作成・終了およびフォーカス移動時に表示されるウィンドウタイトルの取得が可能になります。
ところが、これらの手法を組み合わせて採用したとしても、フォルダ監視ではローカルディスク以外の操作は対象外であることや、ファイルのコピー、参照の操作がイベントログでは「READ」「WRITE」の組合わせで判断するしかないなどの問題点が存在しているので、全ての操作ログ取得には至りません。
また、ウィンドウタイトルの取得では、一見「ファイルを開く」などの操作ログが取得できているように見えますが、画面タイトルを表示しているのにすぎず、そのファイルの場所やファイル名を取得していることにはなりません。

そこで、APIフックもしくはその盲点を埋め、更に深層に迫るNative APIフックの実行が必要になります。全ての操作ログを漏れなく取得するためには、Native APIフックまでを実現しなければなりませんので、WEEDSでは「Native API」をフックしてログを取得することに成功し、イベントログ＋Native APIを組み合わせることで全操作をカバーできるようになっています。

Windowsの操作ログ取得製品をお探しであれば、「WinServer-Trace / Windows-Trace」をご覧ください。

WEEDS Traceでは「Windowsサーバ/クライアント」だけでなく、UNIX/Linuxサーバやデータベースに対応した製品もご用意しております。サーバやデータベース周りで課題やお悩みがございましたら、お気軽にご相談ください。