【Hinemos】Windowsイベント監視で特定のイベントIDのみをフィルタリングする方法｜研究日誌

■はじめに

こんにちは。今回はWindowsイベント監視で特定のイベントをイベントソースやイベントIDでフィルタリングする方法を
ご紹介します。

この記事では実際にイベントレベルとイベントIDでフィルタリングを行ってみたいと思います。

Windowsイベント監視では、取得したWindowsイベントを元に生成される、以下の文字列を対象としてパターンマッチを行います。

<【イベントログ】;【イベントソース】;【イベントレベルの頭文字】【イベントID】;>【メッセージ】

Windowsイベントの例

例えば、上記の画像の様に

イベントログが “Application”、
イベントソースが “SceCli”、
イベントレベルが “情報（INFOMATION）”、
イベントIDが “1704”、
メッセージが “グループポリシーオブジェクトセキュリティポリシーは正しく適用されました。”

となるWindowsイベントの場合、パターンマッチの対象の文字列は以下になります。

<Application;SceCli;I1704;>グループポリシーオブジェクトセキュリティポリシーは正しく適用されました。

したがって、この場合にイベントレベルとイベントIDでフィルタリングを行うには、Windowsイベント監視のパターンマッチ表現にて以下の設定を行います。
これにより、特定のイベントレベルとイベントIDのみを検知しないような設定にすることができます。

パターンマッチ： .*I1704.*
処理しないにチェック

では、実際にフィルタリングを設定してみましょう。
まず、「Windowsイベント[作成・変更]ダイアログ」を開き、以下のような設定のWindowsイベント監視を作成します。
今回は結果の比較用に監視設定を二つ用意しました。
（TEST_NISSI02、TEST_NISSI03）

TEST_NISSI02には設定しませんが、TEST_NISSI03にはパターンマッチ表現にイベントIDを設定します。

TEST_NISSI03では、イベントレベル”INFOMATION”、イベントID”7036″が検知されないようにするために、監視に以下のフィルタリングを設定します。

パターンマッチ： .*I7036.*
処理しないにチェック

そして監視を実際に行った結果がこちらです。
TEST＿NISSI＿03はフィルタリングにより除外され、TEST_NISSI_02のみが通知されています。

監視結果

このように、監視するイベントを絞りたいときには、パターンマッチ表現に除外したいイベントIDなどを正規表現で設定してください。

この記事では、Windowsイベント監視にて特定のイベントをフィルタリングする方法をご紹介しました。

Hinemosの運用でご参考になれば幸いです。