スキップしてコンテンツを表示
AWS re:Postを使用することにより、以下に同意したことになります AWS re:Post 利用規約
AWS re:Postre:Post
re:Postに関して

EC2上で動作するWindows イベントログの分析方法について

0

Windows のイベントログを、イベントビューアで表示される「ユーザー」をキーにして分析しようとしています。 イベントログは、EC2上で動作するWindows に CloudWatch エージェントをインストールして、CloudWatch Logs に集約したものです。

CloudWatch Logs に集約されたイベントログは XML 形式であり、下記例のような構造です。 ★の部分のSID(SecurityID)が「ユーザー」に相当する部分です。

(例)
<Event xmlns='http://schemas.microsoft.com/win/2004/08/events/event'>
  <System>
     略
    <TimeCreated SystemTime='2025-06-09T01:28:32.688583200Z'/>
    <EventRecordID>572201</EventRecordID>
    <Correlation/>
    <Execution ProcessID='1508' ThreadID='1592'/>
    <Channel>Application</Channel>
    <Security UserID='S-1-5-18'/>         ←  ★
  </System>
  <EventData>
  </EventData>
  <RenderingInfo Culture='ja-JP'>
    <Message>
      ユーザー プロファイル サービスが正常に開始されました。
    </Message>
      略
  </RenderingInfo>
</Event>

イベントログを出力したPCであれば、SIDを(ドメイン\ユーザーの形式)形式に 変換できる手段はありますが、既にログは CloudWatch Logs にあり、 ログの出力元のPCとは関係が絶たれた状態です。

SID を「ユーザー」に変換した上で、分析を行う手段はないでしょうか。 皆様どうされているでしょうか。

トピック
管理とガバナンス計算する
タグ
Amazon CloudWatch LogsWindows
言語
日本語
質問済み 4ヶ月前75ビュー
1回答
0

Windows イベントログの SID (Security ID) をユーザー名に変換して分析する方法についてご質問いただきました。CloudWatch Logs に集約された XML 形式のイベントログから SID をユーザー名に変換するには、いくつかのアプローチがあります。

  1. CloudWatch Logs Insights を使用した分析: CloudWatch Logs に送信されたイベントログは、CloudWatch Logs Insights を使用してクエリと分析が可能です。XML 形式のログから特定のフィールド(この場合は SID)を抽出して分析できます。ただし、CloudWatch Logs Insights 自体には SID をユーザー名に直接変換する機能はありません。

  2. 一般的な SID の把握: 一部の一般的な SID は既知のものです。例えば、S-1-5-18 は LOCAL SYSTEM アカウントを表します。頻繁に出現する SID については、あらかじめマッピングテーブルを作成しておくことで、分析時に参照することができます。

  3. ログ処理パイプラインの構築: CloudWatch Logs から別のサービス(Amazon Kinesis Data Firehose など)にログを転送し、処理パイプラインを構築する方法があります。このパイプラインで、Active Directory に問い合わせて SID をユーザー名に変換するロジックを実装できます。

  4. ログ収集時の設定変更: 将来のログ収集のために、CloudWatch エージェントの設定を変更して、Windows イベントログを収集する際のフォーマットをカスタマイズすることも検討できます。CloudWatch エージェントでは、Windows イベントログの収集時に event_format パラメータを設定できます。xml または text フォーマットを選択できますが、どちらの場合も SID からユーザー名への自動変換は行われません。

  5. 集中ログ管理システムの活用: 多くの組織では、Windows イベントログを集中ログ管理システムに送信して保存・分析しています。Microsoft System Center Operations Manager (SCOM) などのツールを使用すると、より高度なログ分析と SID の解決が可能になる場合があります。

現状では、CloudWatch Logs に既に集約されたログから SID をユーザー名に自動変換する直接的な方法はありませんが、上記のようなアプローチを組み合わせることで対応することが可能です。特に重要なイベントについては、SID の参照テーブルを作成して手動で変換するか、将来のログ収集のためにログ処理パイプラインを改善することをお勧めします。
Sources
Manually create or edit the CloudWatch agent configuration file - Amazon CloudWatch
Security best practices for Windows instances - Amazon Elastic Compute Cloud

回答済み 4ヶ月前

ログインしていません。 ログイン 回答を投稿する。

優れた回答とは、質問に明確に答え、建設的なフィードバックを提供し、質問者の専門分野におけるスキルの向上を促すものです。

関連するコンテンツ