1. 概要

1.1. 本ドキュメントについて

このドキュメントは、Graylog Content Packs「windows_authentication」のマニュアルです。

本マニュアルは、株式会社デージーネットにより作成されました。

1.2. 本ドキュメントの対象となるソフトウェア

本ドキュメントは、次のバージョンのソフトウェアの動作をもとに執筆されています。

Graylog 7.0.5

動作対象OSは次の通りです。

Red Hat Enterprise Linux 9
AlmaLinux 9

動作確認をしたWindowsは次の通りです。

Windows 11
Windows Server 2025

1.3. Graylog Content Packs について

Graylogとは、GUIからログサーバの管理やログの参照、検査、可視化などを行うことができる統合ログ管理ソフトウェアです。そのGraylogの機能の1つに、Content Packsがあります。

Content Packsは、Graylog上の設定をまとめて再利用・配布するための仕組みです。ダッシュボード、ログの受信設定（Inputs）、ログの検知ルール（Event Definitions）などの構成をJSONファイルとしてまとめ、別のGraylog環境へアップロードしてインストールできます。つまり、ログの受信設定や可視化、検知ルールのひな形をパッケージ化して配るような使い方が可能になります。

1.4. windows_authentication.json について

windows_authentication.jsonは、GraylogのContent Packs用のJSONファイルです。インストールすることで、Windowsの特定のイベントログを対象として、次のことができるようになります。

以下のイベントIDのログに絞った監視
- 4625：Windowsへのログオンに失敗
- 4771：Kerberos事前認証に失敗（Active Directory環境）
- 4776：NTLM認証の資格情報チェックの結果
ダッシュボードにて、受信したログを以下の内容で可視化
- 直近のイベントログ（新しい順に10件）
- イベントを発生させたユーザと件数（多い順に10件）
- イベントを発生させた接続元IPアドレスと件数（多い順に10件）
- イベントが発生したホストと件数（多い順に10件）
- 時間帯ごとのイベント発生件数（1分毎の推移）
- 発生したイベントIDの割合
以下の状態を検知した際、特定のメールアドレス宛にアラート通知メールを送信
- 指定時間内に複数回イベントが発生（5分間に10件発生）
- 指定時間内に同一の接続元IPアドレスにて複数回イベントが発生（10分間に5件発生）
- 管理者ユーザでイベントが発生（5分間に1件発生）

実際にログを取り込んだ際、ダッシュボードは以下のようになります。(表示内容についての説明はダッシュボード・アラート通知メールの補足説明をご覧ください )

windows_authentication.jsonをインストールすることで、Graylog上に設定される内容は次の通りです。

Inputs：ログの受信設定
Streams：ログの振り分け設定
Dashboards：受信したログの可視化
Alerts の Event Definitions：アラート検知設定
Alerts の Notifications：アラート通知設定

Graylog Content Packs「windows_authentication」マニュアル一覧へ 2. Graylog Content Packs「windows_authentication」セットアップ

OSS情報

Graylog 〜ログ管理の課題を解決するOSS〜: ここでは、OSSの統合ログ管理・監視ソフトGraylogの特徴と、Graylogに対するデージーネットの取り組みについてご紹介します。

ログ管理サーバとしてのGraylog: ここでは、Graylogのログ管理に焦点を当て、その特徴を紹介します。

ログ管理のGUI: Graylogでは、ログサーバのシステム管理をGUIから行うことができます。ここでは、Graylogの特徴の一つであるGUIインタフェースについて解説します。

ログ解析とログ収集: Graylogは、様々な方法でログを収集することができます。ここでは、Graylogのログ収集と解析の機能について解説します。

Graylogのシステム構成と拡張性: Graylogは、ビックデータの解析に利用するOpenSearchを使い高速なログ管理システムです。ここでは、それを実現するためのGraylogのシステム構成とGraylogの拡張性について解説します。

WindowsイベントログをGraylogで監視・可視化する方法: ここでは、Graylogにインストールするだけで、すぐにWindowsのイベントログの監視・可視化を設定できる「windows_authentication」について解説します。

Graylog2.4日本語マニュアル: Graylogの画面は英語表記です。そのため、時には利用方法が分かりにくく迷うことがあります。こうした問題に対処するために、デージーネットで、独自に作成した日本語マニュアルです。

Graylog3.3日本語マニュアル: Graylogバージョン3.3をデージーネットで、独自に作成した日本語マニュアルです。

Graylog5.1日本語マニュアル: Graylogのバージョン5.1をデージーネットで、独自に作成した日本語マニュアルです。

Graylog6.3日本語マニュアル: Graylogの新しいバージョン6.3をデージーネットで、独自に作成した日本語マニュアルです。