はじめに
Windowsイベントログを分析するにあたって、そもそも何を取ればいいのかとか、どういう構成にすればいいのかというところの解説記事というのがあまりない・・・気がした。
動機と、やること
Windows 10(Pro)のデフォルトではログオン・ログオフ・画面ロック・画面アンロックイベントを取得する構成になっていない。
と言うわけで、ローカル環境のマシンでイベントログ取るぞーと思っていくらログイン・ログオフ・画面ロック・画面アンロックをやってもログに残るわけがない。
この記事では、ログイン・ログオフ・画面ロック・画面アンロックの操作を残すようなローカルポリシの構成をすることと、イベントログの読み方を書いていく。
イベントログの構成方法
グループポリシエディタ(gpedit.msc)を起動して、以下のような形に設定すればOK
余談
ローカルセキュリティポリシーからやってもOK。これらは同期されるのでどっちからやってもよい。お好みでどうぞ。
これでいい感じにイベントが取れるようになったので、とりあえずイベントを残していってみる。
使うツール
とか
このあたりにつ落ちてる、EvtxECmdとかを使ってみると良さそう
どっちも使いやすいので用途に合わせながら使うとよしかも
やることの整理
2通りのシナリオをとりあえず試して、ログ上にはどう残るのかを試してみる。
シナリオ1
- 画面ロックをする
- htbという別アカウントが有るのでそいつにログイン試行をする(2回失敗してみる)
- 元のアカウントの画面アンロックを試行する(1回だけ失敗してみる)
- 元のアカウントの画面をロック解除する
シナリオ2
- 画面ロックをする
- htbアカウントにログインする
- htbアカウントをロックする
- htbアカウントにログイン試行をする(1回失敗してみる)
- 元のアカウントの画面アンロックを試行する(1回だけ失敗してみる)
- 元のアカウントの画面をロック解除する
結果
ツールはEventLogExpertを使い以下のフィルターを適用しておく。
id==7001||id==7002||id==4778||id==4800||id==4801||id==4624||id==4625
シナリオ1
シナリオ1のイベントは赤い線の部分になる
10:58:00と10:58:09のイベントではhtbアカウントのログインが失敗していることが分かる(内容が同じなので省略している)
何故かハイフンだけどまぁいいや(なんでや)
ログインが成功したというイベントが有る
アンロックされたというイベントも同時に発行されている。
シナリオ2
segfoアカウントをロックする
ロックされているhtbアカウントでログインする
画面ロック解除のイベントログが記録される
htbアカウントをロックする
htbアカウントにログイン試行をする(1回失敗してみる)
元のアカウントの画面アンロックを試行する(1回だけ失敗してみる)
元のアカウントの画面をロック解除する
まとめ
- なぜかAccountNameが記載されないけど、ログインに成功したタイミングで誰に入っているのかは分かるからなにかインシデントが起きたりしたときはそこから読める気がした
- というかそういう記録のされ方もするんだねっていう知見を得た(多分PIN使ってるからかなぁ。複数のアカウントを作って再挑戦してみよう)
- こういう挙動を日頃から見ておけば、多分こういう表示だしこのアカウントから入られてる可能性があるというのは分かる気がする