はじめに
Windowsのイベントログを集計してsyslogに送信するプログラムの紹介です。syslogを監視できるネットワーク監視ソフトでWindowsサーバーを監視できるようになります。
GitHUBリポジトリー
ソースコードは
にあります。
集計できるイベントログの項目
- イベント数の集計
- イベントID別の集計
- ログオンに関する情報(4624, 4625, 4648, 4634, 4647)
- アカウントの変更に関する情報
(4720,4722,4723,4724,4725,4726,4738,4740,4767,4781) - 特権アクセスに関する情報(4672,4673)
- Kerberos認証に関する情報(4768,4769)
- スケジュールタスクに関する情報(4698)
- プロセスの起動、停止に関する情報(4688, 4689)
- ログオン失敗の通知(4625)
- Kerberosチケット要求失敗の通知(4768,4769)
- イベントログ消去の通知(1102)
(カッコ内の数値は、EventIDです。)
インストール
から最新のリリースをダウンロードしてください。
adm64とarm64版があります。
ZIPファイルを解凍するとtwwinlog.exeがあります。これを、どこかのディレクトリーに
保存してください。
TWSNMP FCのWindows版
のインストーラーにも含まれています。
起動プログラムから、起動したり、タスクスケジューラーに登録したりできます。
登録画面
起動パラメータ
コマンドの起動パラメータは
Usage of twwinlog.exe:
-auth string
remote authentication:Default|Negotiate|Kerberos|NTLM
-interval int
syslog send interval(sec) (default 300)
-password string
remote user's password
-remote string
remote windows pc
-syslog string
syslog destnation list
-user string
remote user name
です。
| パラメータ | 内容 |
|---|---|
| syslog | syslogの送信先 |
| interval | チェック間隔 |
| auth | リモートPCの認証方法 |
| user/password | リモートPCの認証時のユーザー名パスワード |
| remoe | リポートPC |
syslogの送信先はカンマ区切りで複数指定できます。
:に続けてポート番号を指定することもできます。
-syslog 192.168.1.1,192.168.1.2:5514
# 起動方法
起動するためにはsyslogの送信先(-syslog)が必要です。
以下のコマンドで起動できます。
>twwinlog.exe -syslog 192.168.1.1
別のPCのイベントログをモニタするためには、
>twwinlog.exe -syslog 192.168.1.1 -remote <PCのアドレス> -user <User> -password <Password>
セキュリティーのログをモニターするためには管理者権限での起動が必要です。
送信されるsyslogのサンプル
送信されるsyslogのメッセージのファシリティーはlocal5です。tagはtwwinlogです。
イベントID別の集計のログの例です。
type=EventID,computer=YMIRYZ,channel=System,provider=Microsoft-Windows-Dhcp-Client,eventID=50103,total=1,count=1,ft=2025-01-23T17:19:19+09:00,lt=2025-01-23T17:19:19+09:00
TWSNMP FCのレポート
TWSNMP FCで受信するとレポートを表示できます。
EventID別の集計
ログオンの集計
プロセスの集計
