Windows Server Log คืออะไร?
สำหรับคนที่อยู่ในแผนกไอทีแล้ว ส่วนใหญ่ก็จะพอเข้าใจว่า Log Windows คืออะไร สำคัญอย่างไรและมีวิธีขั้นตอนการเก็บ Log อย่างไรบ้าง เพื่อให้เราสามารถตรวจสอบเหตุการณ์ต่าง ๆ ที่เกิดขึ้นกับเครื่อง Server ของเราได้
Windows Server เป็นเครื่อง Server ที่เราใช้ในการจัดการในระดับองค์กรร่วมถึงการจัดการเก็บข้อมูลแอปพลิเคชันและการติดต่อสื่อสาร สำหรับ Windows Server เองก็มีการบันทึกเหตุการณ์สำคัญที่เกิดขึ้นในระบบหรือโปรแกรมต่าง ๆ บน Server โดยที่ในเครื่อง Server จะมีการบันทึกเหตุการณ์ต่าง ๆ ของ System, Application และ Security ไว้ เพื่อให้ Admin สามารถเข้ามาตรวจสอบวิเคราะห์และแก้ไขปัญหาต่าง ๆ ที่เกิดขึ้นได้กับ Server ของเราในรูปแบบ Event Log
การบันทึก Log บน Windows Server มีอยู่ 5 ประเภท
- Application คือ Log File ที่เกิดขึ้นกับโปรแกรมที่ทำงานบน Windows และการเตือนหาข้อผิดพลาดอื่น ๆ เช่น MS SQL
- Security คือ Log File สำหรับการตั้งค่าเกี่ยวกับความปลอดภัย และการตั้งค่าบัญชีผู้ใช้คนอื่น ๆ ที่ถูกบันทึกไว้
- System เป็น Log File ที่บอกรายละเอียดของปัญหาระบบทั่ว ๆ ไป รวมถึงปัญหาที่เกิดขึ้นกับอุปกรณ์และการติดตั้ง Driver ต่าง ๆ
- Setup คือ Log File ที่เกี่ยวกับการติดตั้งโปรแกรมก่อนหน้าที่จะเกิดปัญหาขึ้นมา
- Forwarded events เป็น Log ที่บอกถึงปัญหาที่เกิดจากเหตุการณ์ Remote ด้วยเครื่องคอมพิวเตอร์ระยะไกล เพื่อให้สามารถเข้ามาตั้งค่าเกี่ยวกับ Log File และจะบันทึกเหตุการณ์ครั้งล่าสุดเก็บไว้
แต่สำหรับครั้งนี้เราจะเก็บ Log Windows Server ในประเภทของ Security เพื่อที่จะใช้ในการตรวจสอบการใช้งานต่าง ๆ ของ User กับ Server ของเราโดยประเภทของ Windows Server ที่เราจะเก็บกันในบทความนี้คือ Windows Active Directory และ Windows Fileshare ในแต่ละ ประเภทการใช้งานของ Server ก็มีจะ Event ID ที่แตกต่างกันออกไป ก่อนเราจะทำการเก็บ Log กันต้องทำความรู้จักกับแต่ละ Event ID ที่สำคัญใน 2 Windows Server นี้กันก่อน
Windows Event ID มีอะไรบ้าง
ใน Windows Active Directory จะมี Event ID ที่สำคัญที่เราควรรู้จักกัน ดังนี้
- Event ID 4624 จะเป็นเกี่ยวกับการล็อกอินสำเร็จของ User
- Event ID 4625 จะเป็นการ Login failed ของ User
- Event ID 4723 จะเกี่ยวกับผู้ใช้ที่พยายามเปลี่ยนแปลง account และ password
- Event ID 4724 จะเกี่ยวกับ User ที่พยายาม Reset account และ password ของตัวเอง
- Event ID 4726 จะเกี่ยวกับบัญชีของ User ที่ถูกลบ
- Event ID 4738 จะเกี่ยวกับ User ได้มีการเปลี่ยนแปลง Account
- Event ID 4740 เกี่ยวกับ User ที่ถูกล็อค account
- Event ID 4768 เกี่ยวกับการร้องขอตรวจสิทธิ์ของ User
- Event ID 4771 เป็นการอนุมัติล่วงหน้าที่ล้มเหลวของ User
และใน Windows File Share จะมี Event ที่สำคัญที่เราควรรู้จักกัน ดังนี้
- Event ID 4656 จะเกี่ยวกับการขอเปิดไฟล์อ่าน เขียน หรือ ลบไฟล์
- Event ID 4658 จะเป็นเกี่ยวกับ event การขอปิดไฟล์
- Event ID 4659 เป็นการขอจัดการกับไฟล์โดยมีเจตนาที่จะลบ
- Event ID 4663 จะเกี่ยวกับการพยายามเข้าถึงไฟล์
- Event ID 5145 จะเป็นการตรวจสอบว่าไฟล์ที่แชร์ของ User สามารถเข้าถึงได้หรือไม่
จาก Event ID เบื้องต้นเป็นเพียงประเภทของ Windows Active Directory และ Windows Fileshare ซึ่งแต่ละ Event ID ก็จะแยกตามหมวกหมู่ ของการใช้งานตาม Windows Server นั้น ๆ ไป สารมารถศึกษา Event ID เพิ่มเติมได้ที่ https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/ หรือเรียกว่า Audit Log ซึ่งในบทความนี้ จะเป็นการเปิด Audit Log เพื่อตรวจสอบเหตุการณ์ต่าง ๆ ที่เกี่ยวข้องกับ Windows Active Directory และ Windows File share
วิธีการเก็บ Log Windows ทำยังไง
วิธีการตรวจสอบการเปิด Audit Log ของ Windows File Share
เข้าไปที่ Administration Tools > Group Policy Management > Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy
สำหรับ Audit Object Access แล้วจะใช้เพื่อการตรวจสอบการเข้าถึงไฟล์จะแสดงอีเวนท์ของ Log บนระบบในกรณีที่มีการเข้าถึงไฟล์ ยกตัวอย่างเช่นถ้ามีใครลบข้อมูลไฟล์ออกไปก็จะมีการบันทึก Log เก็บไว้เป็นหลักฐานเพื่อให้ Admin ตรวจสอบได้
วิธีการตรวจสอบการเปิด Audit Log ของ Windows Active Directory
เข้าไปที่ Administration Tools > Group Policy Management > Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy
Audit Log ที่ต้องเปิด คือ Audit logon events และ Audit Account Logon Events
Audit logon events และ Audit Account Logon Events คือ การตรวจสอบดู Event ที่เกี่ยวกับการ Login และ Log off รวมไปถึง การแก้ไข account และ Password ของ User
หลังจากเปิด Audit ของ Windows Server แล้วเราสามารถตรวจสอบได้ผ่าน Event Viewer ว่า Audit ที่เปิดมี Event Id ดังกล่าวหรือไม่ ขั้นตอนถัดมาคือการตั้งค่าเพื่อที่จะส่งหรอกออกจาก Windows Server เนื่องจากตัว Windows Server ไม่สามารถส่ง Log ออกมาด้วยตัวเองได้ เราจะต้องทำการติดตั้ง Agent ในตัวอย่างนี้จะใช้ Agent Nxlog โดยสามารถทำการดาวน์โหลด ได้จาก Link ด้านล่าง
หลังจากทำการดาวน์โหลดแล้วให้ดำเนินการตั้งค่าส่ง Log ตัวอย่างวิธีการตั้งค่าส่ง Log ของ Windows Server
จากตัวอย่างในส่วนของ Output จะต้องแก้ไข host เป็นเครื่องปลายทางที่เราต้องการส่งออกไปและ แก้ไข Port หลังจากตั้งค่า Nxlog เรียบร้อยแล้วให้ดำเนินการรีสตาร์เซอร์วิส nxlog หลังจากทำการรีสตาร์เซอร์วิส Nxlog และทำการตรวจสอบ Status ของ Nxlog ว่าพบ Error หรือไม่หากไม่พบ Error แล้วให้ทำการตรวจสอบที่เครื่องปลายทาง ว่ามี Log จาก Windows Server หรือไม่ ในบทความนี้จะเป็นการส่ง Log จาก windows server ไปที่ Linux ครับ
จากตัวอย่างของ Log Windows Server ที่ถูกส่งมาจะเป็นในรูปแบบของ Json โดย Log ที่ถูกส่งมาเราก็สามารถนำ Log มาทำการ Save เป็นไฟล์ หรือจะนำ Log ไปทำการ Analyst เพื่อให้ทาง Admin ตรวจสอบดูได้ง่ายขึ้นเมื่อเกิด Case ขึ้น
แต่สำหรับการเก็บ Log ให้ Comply กับกฎหมายที่บังคับใช้ต้องทำอย่างไรจึงจะถูกต้องและครบถ้วนกับองค์กรที่ต้องปฏิบัติตามทั้ง พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล และ พ.ร.บ. คอมพิวเตอร์ สามารถศึกษาเพิ่มเติมได้ที่ https://ilog.ai/2021/11/15/what-is-log-file-how-to-comply-tcca/
ทั้งนี้ ถ้าคุณยังมีสงสัยว่าวิธีการเก็บ Log ยังมีแบบอื่น ๆ หรือไม่ และต้องการผู้ช่วยในการจัดเก็บและดูแล Log สามารถติดต่อเราได้โดยตรงที่ http://ilog.ai/contact/ และศึกษาข้อมูลที่เกี่ยวข้องกับ Log เพิ่มเติมที่
จากบทความนี้ยังมี Windows Server อีกมากที่มีการใช้งานและสามารถเก็บ Log ได้ เช่น Email Exchange หรือแม้กระทั่ง Linux Server ที่ใช้งาน อย่าง Web Server เองก็ตามเราก็สามารถทำการเก็บ Log ได้ด้วยเหมือนกันโดยทำการตั้งค่าตัว Agent ให้เข้าไปอ่าน Log จาก Path ที่เราต้องการได้
Facebook : https://www.facebook.com/ILog-Log-Management-on-Cloud-100374965807670
Youtube : https://www.youtube.com/user/mindterra
