コラム

Windowsの操作ログ取得手法の違い

モバイルデバイスの急増、オフショアによる海外勤務者の増加などにより、情報セキュリティーにおいて企業が直接監視することができる範囲が狭まる一方、より広範囲にわたっての管理が必要となっています。
特に、操作ログの解析および問題解決については専門的な知識のもと徹底管理される体制が求められています。この流行を受けて様々なログ取得製品が開発されていますが、その選定を行う際には、各製品がもつログ取得精度や範囲に注意し、「ログが取れているようで取れていなかった」という事態を避けなくてはなりません。
そのためには、各々の製品について、どのような手法でログが取得されるかを確認し管理目的に合致した製品を選定していくことが大切です。

イベントログで取得できる操作ログ

Windowsのシステム内で発生する様々な事象は、Windowsに標準装備されるイベントビューアをつかって確認することができます。イベントビューアでは、コンピューターが正常に動作しているかどうか、または問題が発生しているのであれば原因が何なのかを知るためのヒントを与えてくれるイベントログを閲覧することができます。
イベントログは、システムログ・アプリケーションログ・セキュリティログなどにわけらており、それぞれ「警告」「エラー」「情報」の3つに大別されて記録されています。たとえば、システム起動のログでエラーや警告のイベントログが発生している場合は、何らかの問題があることを示します。 イベントビューアを表示することで、一見、必要な全ての操作ログを取得できているようにも見えますが、標準の状態で閲覧できるイベントログだけでは、正確なログを取得しているとはいえません。
ファイルのコピーや削除、ローカルディスク以外のフォルダ監視、ウィンドウの作成および終了の操作など、より詳細なログを取得するためにはイベントログのみでは不十分であり、他の取得手法を導入する必要があります。

操作ログを漏れなく取得する手法とは

Windowsイベントビューアで標準出力されるイベントログ以外にも、Windows APIを利用することによりフォルダ内部の変更(ファイル作成、サイズ・時刻変更)の監視やウィンドウの作成・終了およびフォーカス移動時に表示されるウィンドウタイトルの取得が可能になります。
ところが、これらの手法を組み合わせて採用したとしても、フォルダ監視ではローカルディスク以外の操作は対象外であることや、ファイルのコピー、参照の操作がイベントログでは「READ」「WRITE」の組合わせで判断するしかないなどの問題点が存在しているので、全ての操作ログ取得には至りません。また、ウィンドウタイトルの取得では、一見「ファイルを開く」などの操作ログが取得できているように見えますが、画面タイトルを表示しているのにすぎず、そのファイルの場所やファイル名を取得していることにはなりません。
そこで、APIフックもしくはその盲点を埋め、更に深層に迫るNative APIフックの実行が必要になります。全ての操作ログを漏れなく取得するためには、Native APIフックまでを実現しなければなりませんので、WEEDSでは「Native API」をフックしてログを取得することに成功し、イベントログ+Native APIを組み合わせることで全操作をカバーできるようになっています。

Windowsの操作ログ取得製品をお探しであれば、「WinServer-Trace / Windows-Trace」をご覧ください。

ページトップへ戻る