Windowsのイベントログ(Security)を見る④ ~Microsoft Message Analyzerの簡単な操作方法~
先日記載したMicrosoft Message Analyzerの記事が、想像以上に好評のようで、いまだに多くのアクセスをいただいています。
そこで、私がMicrosoft Message Analyzerを使用する場合の操作方法を一部公開したいと思います。
Microsoft Message Analyzerの操作方法
今回は、Microsoft Message Analyzerの活用方法をご紹介する前に、私が使っていく中で必要な部分のみのMicrosoft Message Analyzerの操作方法をご紹介します。
ファイルオープン
FileメニューからOpenを選択します。
次に、ファイルを選択する画面が表示されますので、事前に別ファイルとして保管しておいたevtxファイルなどを選択します。
ワンポイントテクニック①
なお、ファイルを選択する画面で、複数のevtxファイルを同時に選択することで、すべてが1つのファイルであったかのように、まとめて取り込むことができます。
ファイルの容量上、途切れてしまったログを読み込ませるのに便利な機能です。
例)2018年7月15日10:00~2018年7月16日0:00のファイルと、2018年7月16日0:00~2018年7月16日15:00のファイルを同時に取り込むと、2018年7月15日10:00~2018年7月16日15:00という1つのファイルを取り込んだ時と同様の動作となります。
ワンポイントテクニック②
ファイルオープンの操作を複数回行うと、ログがタブで分割されて表示されます。
正常時と異常時のログの比較を行う際に便利となる機能です。
ログ画面の整理
表示されたログ画面は、いろいろな情報が表示されており、非常に見づらくなっています。
整理するには、各項目のタイトル部分を右クリックします。
このようなサブメニューが表示されますので、これらを活用してログ画面の整理を行います。
項目の削除
基本的には、不要な項目を「Remove」で削除します。一度削除した項目も、別の部分で再表示させることができますので、「今、必要ない」と思った項目をすべて削除してしまっても問題ありません。
ざっと整理すると、このくらいまで削除できるのではないでしょうか。
もちろん、使用用途やこだわりなどによって、何を消すかは変わってきますね。
グルーピング
次に、グルーピングしたい項目のタイトル部分を右クリックし、「Group」を選択します。
すると、その項目が同じものだけをグルーピング化し、その項目が何件あるかを確認することができます。
この画面では、EventIDでグルーピングしています。
この状態でEventIDの横の△をクリックすると、そこにグルーピング化されている各データを見ることができます。
グルーピングは、各項目の件数を素早く確認できる方法ですが、時系列でイベントを確認するには向かない方法ですね。
この辺をうまく使い分けていく必要があります。
項目の追加方法
項目を追加するには、イベントのいずれかのデータをクリックします。
すると、画面下部のDetails欄に、その詳細が表示されます。
そのDetails欄で追加したい項目で右クリックします。
すると、上図のようなサブメニューが表示されますので、「Add 項目名 as Column」を選択すると、ログ画面に項目が追加されます。
ログ画面の保存
ログの画面は、自動記憶されません。そのため、せっかくきれいに組み上げたレイアウトも、保存しておかなければ初期レイアウトに戻されてしまいます。
そこで、各項目のタイトルを右クリックするか、「Layout」ボタンから「Save Currrent Layout As ...」を選択します。
Name欄に保存するレイアウトの名前、Description欄にその説明を入れ(必要に応じてCategoryを変更し)saveをクリックします。
ここで保存したレイアウトは、「Layout」メニューから呼び出すことができます。