概要
以下の本で解説しているイベントログの中身を見るソフトウェア(EVTX Security Viewer)として開発されています。
- Windows イベントログ 大全集 前編
EVTX Security Viewer は、Windows セキュリティイベントログ(.evtx)を ブラウザ上で解析・可視化するツールです。 ファイルはサーバーに送信されず、すべてローカルで処理されます。
目次
- ファイルを開く
- 解析中の画面
- イベント一覧を確認する
- カテゴリでフィルタリング
- イベントIDで絞り込む
- イベント詳細を確認する
- システムユーザーを非表示にする
- ログオン失敗グラフ
- 言語切替
- 別のファイルを開く
1. ファイルを開く
EVTX Security Viewer のトップページ。中央にファイルのドロップ&クリックエリアが表示されています。
ブラウザで
.evtxファイルをドラッグ&ドロップするか、エリアをクリックしてファイルを選択してください。- 対象ファイルは Windows の
C:\Windows\System32\winevt\Logs\Security.evtxなどです。 - ファイルはブラウザ内のみで処理されます。外部に送信されません。
2. 解析中の画面
ファイルを選択するとすぐに解析が始まります。プログレスバーで進捗が確認できます。
ファイルを選択すると即座に解析が開始され、プログレスバーが表示されます。
- 大きなファイル(数十 MB 以上)でも、イベントはストリーミングで順次表示されます。
- 解析中でも、すでに読み込まれたイベントを確認・フィルタリングできます。
3. イベント一覧を確認する
解析完了後、読み込んだイベント件数がバナーに表示されます。左側のナビゲーションでカテゴリを切り替えられます。
解析が完了すると、上部にバナーで「読み込み完了」と件数が表示されます。
テーブルの各列:
| 列 | 内容 |
|---|---|
| 日時 | イベント発生日時(ローカル表示) |
| イベント ID | Windows セキュリティイベントの識別番号 |
| レベル | 情報 / 警告 / エラー |
| コンピュータ | ログを記録したホスト名 |
| ユーザー | 対象ユーザーアカウント |
仮想スクロールに対応しているため、数万件のイベントでも快適に操作できます。
4. カテゴリでフィルタリング
イベントテーブルには日時・イベントID・レベル・コンピュータ名・ユーザーが一覧で表示されます。行をクリックすると詳細が開きます。
左側のナビゲーションパネルでカテゴリを選択すると、関連するイベントIDに絞り込まれます。
主なカテゴリ:
- ログオン/ログオフ — 4624, 4625, 4634, 4647 など
- プロセス追跡 — 4688(プロセス作成), 4689(プロセス終了)など
- アカウント管理 — 4720(アカウント作成), 4726(アカウント削除)など
- ポリシー変更 — 4719(システム監査ポリシー変更)など
- 特権使用 — 4672(特権ログオン)など
5. イベントIDで絞り込む
カテゴリ「ログオン/ログオフ」を選択すると、関連するイベントだけに絞り込まれます。
カテゴリを選択した後、さらにサブカテゴリ・イベントIDボタンをクリックすると 特定のイベントIDのみを表示できます。
4624(ログオン成功) を選択した例:
- ログオンタイプ(インタラクティブ/ネットワーク/リモートデスクトップ等)が列に追加されます。
- 接続元 IP アドレスも表示されます。
6. イベント詳細を確認する
イベントID 4624(ログオン成功)に絞り込んだ状態。ユーザー名・ログオンタイプ・接続元IPが表示されます。
テーブルの任意の行をクリックすると、モーダルでイベント詳細が開きます。
モーダルの構成:
- システム情報 — 日時・イベントID・レベル・コンピュータ・ユーザー・説明
- イベントデータ — LogonType, SubStatus など各フィールドを人間が読める形式で表示
– %%8272 のような Windows メッセージ ID も自動的に文字列に変換されます
- RAW JSON — 元データをそのまま確認できます(コピー&ペースト可能)
Esc キーまたはモーダル外クリックで閉じます。
7. システムユーザーを非表示にする
イベント行をクリックするとモーダルで詳細情報が表示されます。システム情報・イベントデータ・RAW JSONの3セクション構成です。
テーブル上部の「システムユーザーを非表示」チェックボックスをオンにすると、
SYSTEM・LOCAL SERVICE・NETWORK SERVICE などのビルトインアカウントを除外できます。
実際のユーザー操作に関連するイベントだけを確認したい場合に便利です。
8. ログオン失敗グラフ
「システムユーザーを非表示」チェックを入れると、SYSTEM や LOCAL SERVICE 等のビルトインアカウントを除外できます。
イベントID 4625(ログオン失敗)を選択すると、失敗理由の内訳を示す円グラフが表示されます。
- 不正なパスワード・アカウントロックアウト・存在しないアカウントなど、失敗の傾向を把握できます。
- ブルートフォース攻撃の調査に役立ちます。
- 「▲ グラフを隠す」ボタンでグラフを折りたたむことができます。
9. 言語切替
イベントID 4625(ログオン失敗)を選択すると、失敗理由の内訳グラフが表示されます。ブルートフォース攻撃の検出に役立ちます。
右上の EN / 日本語 ボタンで表示言語を切り替えられます。
- カテゴリ名・イベントの説明・各種ラベルが英語に切り替わります。
- イベント詳細モーダルの見出しも切り替わります。
10. 別のファイルを開く
右上の言語切替ボタンで日本語/英語を切り替えられます。
右上の「別のファイルを開く」ボタンをクリックすると、 すべての状態がリセットされてファイル選択画面に戻ります。
現在のセッション中はブラウザタブを閉じてもデータは保持されませんが、 ページをリロードすれば再度ファイルを選択できます。
まとめ
EVTX Security Viewer を使うことで、専用ツールのインストール不要で、 Windows セキュリティイベントログをブラウザ上で素早く解析できます。
- ファイルはローカル処理のため、機密情報を含むログも安心して利用可能
- カテゴリ・イベントID・ユーザーフィルタを組み合わせて効率的に絞り込み
- 詳細モーダルで個々のイベントを深掘り
セキュリティ調査・インシデントレスポンス・監査業務などにご活用ください。
コメント