はじめに

今回はWindowsイベント監視で特定のイベントをイベントソースやイベントIDでフィルタリングする方法を
ご紹介します。

この記事では実際にイベントレベルとイベントIDでフィルタリングを行ってみたいと思います。

Windowsイベント監視のパターンマッチの仕組み

Windowsイベント監視では、取得したWindowsイベントを元に生成される、以下の文字列を対象としてパターンマッチを行います。

<【イベントログ】;【イベントソース】;【イベントレベルの頭文字】【イベントID】;>【メッセージ】

例えば、上記の画像の様に

・イベントログ： "Application"
・イベントソース："SceCli"
・イベントレベル："情報（INFOMATION）"
・イベントID："1704"
・メッセージ："グループ ポリシー オブジェクト セキュリティ ポリシーは正しく適用されました。"

となるWindowsイベントの場合、パターンマッチの対象の文字列は以下になります。

<Application;SceCli;I1704;>グループ ポリシー オブジェクト セキュリティ ポリシーは正しく適用されました。

したがって、この場合にイベントレベルとイベントIDでフィルタリングを行うには、Windowsイベント監視のパターンマッチ表現にて、
以下の設定を行います。

これにより、特定のイベントレベルとイベントIDのみを検知しないような設定にすることができます。

・パターンマッチ： .*I1704.*
・処理しない：チェック

実際の設定手順

では、実際にフィルタリングを設定してみましょう。
まず、「Windowsイベント[作成・変更]ダイアログ」を開き、以下のような設定のWindowsイベント監視を作成します。
今回は結果の比較用に監視設定を二つ用意しました。
・TEST_NISSI02
・TEST_NISSI03

TEST_NISSI02には設定しませんが、TEST_NISSI03にはパターンマッチ表現にイベントIDを設定します。

TEST_NISSI03では、イベントレベル"INFOMATION"、イベントID"7036"が検知されないようにするために、
監視に以下のフィルタリングを設定します。

・パターンマッチ： .*I7036.*
・処理しない：チェック

そして監視を実際に行った結果がこちらです。
TEST＿NISSI＿03はフィルタリングにより除外され、TEST_NISSI_02のみが通知されています。

このように、監視するイベントを絞りたいときには、パターンマッチ表現に除外したいイベントIDなどを正規表現で設定してください。

おわりに

この記事では、Windowsイベント監視にて特定のイベントをフィルタリングする方法をご紹介しました。

Hinemosの運用でご参考になれば幸いです。