none
Windows 10上でのイベントログのテキスト変換処理について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは

    WindowsのSecurityログより、不正なアクティビティが無いか監査を行うため、

    Windowsのイベントログの情報を一度テキスト化し、Excel等で分析できるような状態を検討しています。

    ただ、Powershellを利用して、バイナリデータ(EVTX)よりCSV変換を実施したところ、

    変換処理に長時間(10時間以上)かかってしまい、Powershellでは時間がかかり過ぎてしまい、現実的では無いとわかっています。

    そこで、Log Parserというツールを見つけ、変換処理を行ったところ、数分で処理が終わる満足が行く結果になりました。

    ■参考情報■

    Powershell : 10時間以上

    Log Parser :  5分程度

    ※共に300万レコードがあるイベントログに対して変換実施した結果

    Log Parserを利用した変換処理を実装検討するに当たって、質問ですが、

    1.Windows 10やWindows 7、8と言った現行OSで稼動させる事は可能でしょうか?

    (サポートOSがXPまでとなっていたため)

    2.上記質問がNGの場合、EVTX to CSV変換が短時間で終わる代替ツール/コマンドはありますでしょうか?

    以上、よろしくお願いいたします。

    2016年5月9日 5:08
    |

回答

  • Question
    サインインして投票
    0
    サインインして投票

    Logperserで検索すると、画面キャプチャや投稿日から比較的新しいOSで動作させているように見えるので問題なさそうですが、確かにサポートは明記していませんね。

    もしダメなようであれば、「wevtutil」コマンドでCSVにしてはいかがでしょうか。速度はわかりかねますが…。

    wevtutil
    https://technet.microsoft.com/ja-jp/library/cc732848%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    • 回答の候補に設定 佐伯玲 2016年5月10日 2:35
    • 回答としてマーク 佐伯玲 2016年5月16日 0:27
    2016年5月9日 14:45
    |
  • Question
    サインインして投票
    0
    サインインして投票

    310_t さま よろしく。

    サポート OS と言う言葉が使われていますが、 SysInternals と同様に、
    「本ソフトウェアは何ら保証のない現状有姿のまま瑕疵を問わない条件で提供されるため、サポート サービスは提供いたしません。」
    なのではないでしょうか。
    参考 URL : https://technet.microsoft.com/ja-jp/sysinternals/bb469936
    明文化された情報は見付けられませんでした。

    尚、同 CUI を GUI 化した(フロントエンド?)もの(Log Parser Studio)も存在し、
    こちらは、もう少し、新しい OS 下での例が見受けられますが、
      https://blogs.technet.microsoft.com/exchange_jp/2012/04/24/log-parser-studio/
      UserInterface から見て Windows 7 系の Server (Windows Server 2008 R2 ?)ですね。
    最新 OS 下での利用例を検索では見付けられませんでした。
    しかし、問題なさそうな気もしています。

    ユーザーのご判断とご責任において利用して下さい と言う事なのでしょう。

    • 回答の候補に設定 佐伯玲 2016年5月11日 0:50
    • 回答としてマーク 佐伯玲 2016年5月16日 0:27
    2016年5月10日 8:38
    |

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    Logperserで検索すると、画面キャプチャや投稿日から比較的新しいOSで動作させているように見えるので問題なさそうですが、確かにサポートは明記していませんね。

    もしダメなようであれば、「wevtutil」コマンドでCSVにしてはいかがでしょうか。速度はわかりかねますが…。

    wevtutil
    https://technet.microsoft.com/ja-jp/library/cc732848%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396

    • 回答の候補に設定 佐伯玲 2016年5月10日 2:35
    • 回答としてマーク 佐伯玲 2016年5月16日 0:27
    2016年5月9日 14:45
    |
  • Question
    サインインして投票
    0
    サインインして投票

    310_t さま よろしく。

    サポート OS と言う言葉が使われていますが、 SysInternals と同様に、
    「本ソフトウェアは何ら保証のない現状有姿のまま瑕疵を問わない条件で提供されるため、サポート サービスは提供いたしません。」
    なのではないでしょうか。
    参考 URL : https://technet.microsoft.com/ja-jp/sysinternals/bb469936
    明文化された情報は見付けられませんでした。

    尚、同 CUI を GUI 化した(フロントエンド?)もの(Log Parser Studio)も存在し、
    こちらは、もう少し、新しい OS 下での例が見受けられますが、
      https://blogs.technet.microsoft.com/exchange_jp/2012/04/24/log-parser-studio/
      UserInterface から見て Windows 7 系の Server (Windows Server 2008 R2 ?)ですね。
    最新 OS 下での利用例を検索では見付けられませんでした。
    しかし、問題なさそうな気もしています。

    ユーザーのご判断とご責任において利用して下さい と言う事なのでしょう。

    • 回答の候補に設定 佐伯玲 2016年5月11日 0:50
    • 回答としてマーク 佐伯玲 2016年5月16日 0:27
    2016年5月10日 8:38
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは

    ご回答ありがとうございます。

    確かに頂いた情報をこちらでも確認しており、Microsoft上のブログ等でも

    現行のExchange ServerのログをLog Parserを活用した事例等があるため利用できると考えております。

    ただ、利用自体がライセンス違反になってしまうと流石に問題があるため、確認している状況でした。

    自己責任で利用する分には、リスクとして許容すれば良いのですが、

    使って良いのかという文章が見当たらなかったため、ご協力を仰いだところでした。

    また、こちらでも調査してします。

    ありがとうございました。

    2016年5月13日 7:16
    |
  • Question
    サインインして投票
    0
    サインインして投票

    こんにちは

    wevtutilについても、検討対象に上がりました。

    ただ、インターネット上の情報を見るとほぼlog parserを利用した事例だったので、そちらばかり見ていました。

    確かに、wevtutilを使ってテキスト化ができれば、やりたい事はクリアーされるので、少し検証しています。

    ご回答ありがとうございました。

    2016年5月13日 7:24
    |