whitefox HOME | イベントログ概要 | ログ監視 | ログ保存 | ログ管理 | ログ分析 | ファイル監査


Windows セキュリティ診断 システム イベント

イベントログ概要 : 2009.09.11 Friday


概要
Windowsサーバーのセキュリティ診断・システム イベントについて説明します。

診断項目は、以下の通りです。
・シャットダウン・再起動
・セキュリティ ログの変更・消去

シャットダウン・再起動

イベントID 513は、Windows がシャットダウンされたことを示します。攻撃者がシステム起動中にアクセス権を取得するためにサーバーを強制的に再起動する可能性があります。管理者によるシャットダウンであるかを確認して下さい。
イベントID 意味
513 Windows がシャットダウンします。

セキュリティ ログの変更・消去

イベントID 517はセキュリティ ログの消去を示します。攻撃者は、セキュリティ ログを変更しようとしたり、攻撃中の監査を無効にしようとしたり、攻撃が気付かれることがないようにセキュリティ ログを消去しようとする可能性があります。
イベントID 意味
517 セキュリティ ログが消去されました


Windows Vista,Windows 7,Windows Server 2008 システム イベントの診断
Windows Vista,Windows 7,Windows Server 2008などの新しいOSでは、イベントIDが異なります。

イベントID 意味
1100イベントログサービスのシャットダウン
1102イベントログ消去


セキュリティ診断の省力化には・・・
セキュリティ診断は 上記の通りなのですが、実際の運用で手作業でイベントログをチェックするのはとても困難です。

そんな システム管理者、セキュリティ管理者のために!?
弊社では「イベントログ分析ツール WhiteFox EventLog Analyzer」というツールを販売しています。
イベントログ分析ツールは、イベントログ(CSV,EVT,直接)を定期的に読み込み、分析するツールです。





お役立ちリンク
あなたのサーバー動いていますか? |  ログを採るだけで満足? |  イベントログ ツールズ |  Windows Vista/7/2008イベントログ |  SQL Server Express管理 | 
SharePoint 2010 Tips |  Windows Server サポート終了日

ライセンス購入・保守契約
製品購入 |  保守契約 |  FAQ |  お問合せ |  サイトマップ