NT Syslog とは?
NT Syslog は、Windows のイベントログを SYSLOG に変換して、SYSLOG サーバーに転送するソフトウェア。SourceForge.net NTSyslog Project にて開発されており、GPL2 ライセンス配下で利用できる。SourceForge.net のオリジナルのものでは、Windows 日本語版のイベントログを転送することができない(イベントログが日本語のため)。
でんかさんが日本語に対応したバージョンをリリースしてくれている。SYSLOG 送信時に SYSLOG サーバーの文字コードに変換しなおしてくれる、EUC-JP / SJIS / UTF-8 の各バージョンがある。これを用いることで、今まで適当だったイベントログも logsurfer / swatch などを用いてログ監視できるってわけ。
ログを出す側の設定(Windows)
監査を有効にする
デフォルトでは、監査の機能(ログを記録する)は有効になっていないので、監査設定を行う必要がある。”スタート” → “プログラム” → “管理ツール” → “ローカル セキュリティ ポリシー” で 「ローカルセキュリティ設定」 を開く。
“ローカル ポリシー” → “監査ポリシー”を開くと、すべての監査ポリシーが “監査しない” になっている(デフォルト)。各項目を “成功” “失敗” で設定を行う(経験とお好み)。
NTsyslog のインストール
Denka’s Home Page の Denka’s Library から以下をダウンロード。
ダウンロードするパッケージは、SYSLOG サーバー側の文字コードに合わせる。SYSLOG サーバーが Windows(SJIS) な人は、UTF-8版でなく、SJIS版を落とす。
ntsyslog-1.13-jp3p2-binary-UTF8.lzh を解凍し、ntsyslog.exe を C:\WINDOWS\system32 にコピーする。ntsyslog-1.13-jp3p2-binary.lzh を解凍し、NTSyslogCtrl.exe を C:\WINDOWS\system32 にコピーする。(ntsyslog-1.13-jp3p2-binary.lzh の NTSyslog.exe は要らない)
“スタート” → “ファイル名を指定して実行” で以下を実行する。
ntsyslog -install
“スタート” → “ファイル名を指定して実行” で以下を実行する。
ntsyslogctrl
「NTSyslog サービスコントロールマネージャ」が起動する。
SYSLOG の “Facility” と “Severity” を設定する(経験とお好みで)。注意すべき点は、”転送するイベントログの選択” で、「Application」 / 「Security」 / 「System」 それぞれに設定が必要であること。ここでは、全てを local0.debug に設定している。
“転送先の Syslog サーバの設定” で Syslog サーバを設定する。セカンダリがない場合は、プライマリだけでも可。
“サービス開始” ボタンを押すとログを吐き出し始める。
ログを受ける側の設定(Linux)
ログを受けられるように設定する
/etc/sysconfig/syslog で SYSLOGD_OPTIONS に “-r” オプションを追加する。
@@ -3,7 +3,7 @@ # -r enables logging from remote machines # -x disables DNS lookups on messages recieved with -r # See syslogd(8) for more details -SYSLOGD_OPTIONS="-m 0" +SYSLOGD_OPTIONS="-m 0 -r" # Options to klogd # -2 prints all kernel oops messages twice; once for klogd to decode, and # once for processing with 'ksymoops'
ログを保存する
NTsyslog のログを /var/log/windows に保存するようにする。/etc/syslog.conf に以下の行を追加する。
# NTsysloglocal0.debug /var/log/windows
Windows ファイアウォールの設定
Windows XP SP2 に潜む罠
Windows XP SP2 で Windows ファイアウォールの設定を特にせず、NTSyslog を動かしたところ、以下のようなログが大量に記録されて、NTSyslog が死んだ。どうも、NTSyslog の通信が不正と判断され、かつ、そのログを SYSLOG に出し続けるので、無限ループに陥ったっぽい。
Jul 23 15:54:29 atropos ntsyslog[info] 0 Service started. Jul 23 15:54:31 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4428 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:54:31 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4429 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:54:52 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4430 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:54:52 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4431 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:54:53 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4432 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:54:53 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4433 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:55:16 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4434 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:55:16 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4435 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:55:38 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4436 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:55:38 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4437 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:55:39 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4438 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:55:39 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4439 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:56:01 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4440 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:56:01 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4441 許可: いいえ 通知されたユーザー: いいえ
Windows ファイアウォールを設定する
“スタート” → “設定” → “コントロールパネル” → “Windows ファイアウォール” で「Windows ファイアウォール」の設定画面を開く。”例外” タブ で “プログラムの追加” を押し、”C:\WINDOWS\system32\ntsyslog.exe” を追加する。
止まった…。
Jul 23 15:56:02 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4442 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:56:02 atropos security[failure] 861 NT AUTHORITY\SYSTEM 着信トラフィックをリッスンしているアプリケーションが Windows ファイアウォールで検出されました。 名前: - パス: C:\WINDOWS\system32\ntsyslog.exe プロセス ID: 2264 ユーザー アカウント: SYSTEM ユーザー ドメイン: NT AUTHORITY サービス: はい RPC サーバー: いいえ IP バージョン: IPv4 IP プロトコル: UDP ポート番号: 4443 許可: いいえ 通知されたユーザー: いいえ Jul 23 15:56:18 atropos security[success] 851 NT AUTHORITY\SYSTEM Windows ファイアウォールのアプリケーションの例外の一覧が変更されました。 ポリシー元: ローカル ポリシー 変更されたプロファイル: 標準 変更の種類: 追加 新しい設定: 名前: ntsyslog.exe パス: C:\WINDOWS\system32\ntsyslog.exe 状態: 有効 スコープ: すべてのサブネット 元の設定: 名前: - パス: - 状態: - スコープ: -
