Windowsのイベントログは、システムやアプリケーションの動作に関する情報を記録したWindowsシステムのログです。これらのログは、.evtxという拡張子のファイルで保存され、セキュリティの監視や問題のトラブルシューティングに役立ちます。Pythonを使って、このようなイベントログを解析し、特定のイベントIDを含むイベントのみを抽出する方法を紹介します。
Windowsイベントログの解析とフィルタリングの手順
1. pyevtxライブラリのインストール
まずは、Windowsのイベントログを解析するために必要なPythonのライブラリであるpyevtx
ライブラリをインストールします。次のコマンドを使用してインストールします。インストール済みの方はスキップして下さい。
pip install pyevtx
2. イベントログファイルの読み込み
Pythonでイベントログファイル(.evtxファイル)を読み込みます。evtx_file
にはイベントログファイルのパスを定数で指定します。ご自身の環境に合わせて変更して下さい。下記の実装ではwith文を使って、指定したイベントログファイルを開いています。
import pyevtx # イベントログファイルのパス evtx_file = "C:\\Windows\\System32\\winevt\\Logs\\Security.evtx" # イベントログファイルを開く with pyevtx.open(evtx_file) as log: for record in log.records: # 各レコードの処理 print(record)
3. 特定のイベントIDをフィルタリングする
先ほどの実装に特定のイベントIDを抽出する処理を追加します。desired_event_id
で抽出したイベントログのIDを指定します。実装例ではログオン成功のイベントID「4624」を指定していますが、解析の目的に合わせて変更して下さい。抽出したレコードに対して何か処理を行いたい場合は「# 特定のイベントIDを持つイベントの処理」とコメントしてある部分に処理を追加して下さい。
import pyevtx evtx_file = "C:\\Windows\\System32\\winevt\\Logs\\Security.evtx" desired_event_id = 4624 # 例としてログオン成功のイベントIDを指定 with pyevtx.open(evtx_file) as log: for record in log.records: if record.get_event_identifier() == desired_event_id: # 特定のイベントIDを持つイベントの処理 print(record)
まとめ
Pythonを使ってWindowsのイベントログを解析し、特定のイベントIDを含むイベントをフィルタリングする方法を解説しました。pyevtx
ライブラリを使用することで、GUIツールでは難しい柔軟かつ効率的なログ解析が可能です。この手法を活用して、セキュリティモニタリングやトラブルシューティングなどの用途に応用することが可能です。例えば、認証に関わるIDを分析することで攻撃や異常なアクティビティを検知することなどができます。