Windows イベントログを SYSLOG で管理する — NTsyslog ♡

NT Syslog とは?

NT Syslog は、Windows のイベントログを SYSLOG に変換して、SYSLOG サーバーに転送するソフトウェア。SourceForge.net NTSyslog Project にて開発されており、GPL2 ライセンス配下で利用できる。SourceForge.net のオリジナルのものでは、Windows 日本語版のイベントログを転送することができない(イベントログが日本語のため)。
でんかさんが日本語に対応したバージョンをリリースしてくれている。SYSLOG 送信時に SYSLOG サーバーの文字コードに変換しなおしてくれる、EUC-JP / SJIS / UTF-8 の各バージョンがある。これを用いることで、今まで適当だったイベントログも logsurfer / swatch などを用いてログ監視できるってわけ。

ログを出す側の設定(Windows)

監査を有効にする

デフォルトでは、監査の機能(ログを記録する)は有効になっていないので、監査設定を行う必要がある。”スタート” → “プログラム” → “管理ツール” → “ローカル セキュリティ ポリシー” で 「ローカルセキュリティ設定」 を開く。

“ローカル ポリシー” → “監査ポリシー”を開くと、すべての監査ポリシーが “監査しない” になっている(デフォルト)。各項目を “成功” “失敗” で設定を行う(経験とお好み)。

NTsyslog のインストール

Denka’s Home PageDenka’s Library から以下をダウンロード。

ダウンロードするパッケージは、SYSLOG サーバー側の文字コードに合わせる。SYSLOG サーバーが Windows(SJIS) な人は、UTF-8版でなく、SJIS版を落とす。

ntsyslog-1.13-jp3p2-binary-UTF8.lzh を解凍し、ntsyslog.exe を C:\WINDOWS\system32 にコピーする。ntsyslog-1.13-jp3p2-binary.lzh を解凍し、NTSyslogCtrl.exe を C:\WINDOWS\system32 にコピーする。(ntsyslog-1.13-jp3p2-binary.lzh の NTSyslog.exe は要らない)
“スタート” → “ファイル名を指定して実行” で以下を実行する。

ntsyslog -install


“スタート” → “ファイル名を指定して実行” で以下を実行する。

ntsyslogctrl


「NTSyslog サービスコントロールマネージャ」が起動する。

SYSLOG の “Facility” と “Severity” を設定する(経験とお好みで)。注意すべき点は、”転送するイベントログの選択” で、「Application」 / 「Security」 / 「System」 それぞれに設定が必要であること。ここでは、全てを local0.debug に設定している。

“転送先の Syslog サーバの設定” で Syslog サーバを設定する。セカンダリがない場合は、プライマリだけでも可。

“サービス開始” ボタンを押すとログを吐き出し始める。

ログを受ける側の設定(Linux)

ログを受けられるように設定する

/etc/sysconfig/syslog で SYSLOGD_OPTIONS に “-r” オプションを追加する。

@@ -3,7 +3,7 @@
 # -r enables logging from remote machines
 # -x disables DNS lookups on messages recieved with -r
 # See syslogd(8) for more details
-SYSLOGD_OPTIONS="-m 0"
+SYSLOGD_OPTIONS="-m 0 -r"
 # Options to klogd
 # -2 prints all kernel oops messages twice; once for klogd to decode, and
 #    once for processing with 'ksymoops'

ログを保存する

NTsyslog のログを /var/log/windows に保存するようにする。/etc/syslog.conf に以下の行を追加する。

# NTsysloglocal0.debug                                            /var/log/windows

Windows ファイアウォールの設定

Windows XP SP2 に潜む罠

Windows XP SP2 で Windows ファイアウォールの設定を特にせず、NTSyslog を動かしたところ、以下のようなログが大量に記録されて、NTSyslog が死んだ。どうも、NTSyslog の通信が不正と判断され、かつ、そのログを SYSLOG に出し続けるので、無限ループに陥ったっぽい。

Jul 23 15:54:29 atropos ntsyslog[info] 0  Service started.
Jul 23 15:54:31 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4428   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:54:31 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4429   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:54:52 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4430   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:54:52 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4431   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:54:53 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4432   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:54:53 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4433   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:55:16 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4434   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:55:16 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4435   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:55:38 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4436   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:55:38 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4437   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:55:39 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4438   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:55:39 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4439   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:56:01 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4440   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:56:01 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4441   許可: いいえ   通知されたユーザー: いいえ

Windows ファイアウォールを設定する

“スタート” → “設定” → “コントロールパネル” → “Windows ファイアウォール” で「Windows ファイアウォール」の設定画面を開く。”例外” タブ で “プログラムの追加” を押し、”C:\WINDOWS\system32\ntsyslog.exe” を追加する。

止まった…。

Jul 23 15:56:02 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4442   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:56:02 atropos security[failure] 861 NT AUTHORITY\SYSTEM  着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。      名前: -   パス: C:\WINDOWS\system32\ntsyslog.exe   プロセス ID: 2264   ユーザー アカウント: SYSTEM   ユーザー ドメイン: NT AUTHORITY   サービス: はい   RPC サーバー: いいえ   IP バージョン: IPv4   IP プロトコル: UDP   ポート番号: 4443   許可: いいえ   通知されたユーザー: いいえ
Jul 23 15:56:18 atropos security[success] 851 NT AUTHORITY\SYSTEM  Windows ファイアウォールのアプリケーションの例外の一覧が変更されました。      ポリシー元: ローカル ポリシー   変更されたプロファイル: 標準   変更の種類: 追加   新しい設定:        名前: ntsyslog.exe        パス: C:\WINDOWS\system32\ntsyslog.exe        状態: 有効        スコープ: すべてのサブネット   元の設定:        名前: -        パス: -        状態: -        スコープ: -
タイトルとURLをコピーしました