Plura すべてのサーバーのデータを分析し、価値のある情報を提供するページです。 サービスが始められた時点からのデータを分析して、特異な値が発生すると、詳細情報を表示します。 ◆ 離脱値 – 少なくとも20日間のデータを必要とし、主要なログの中で異常が発生した場合、離脱値で表示されます。 ◆ 統計検出の離脱値 – 離脱値が発生すると、リストに追加されます。 – 離脱値とは、データの平均値を4等分し、最大値よりも高かったり、最小値よりも低い値を指します。 ◆ 統計検出項目 – 最新順、古い順で表示することができます。 – 曜日別/週末/平日などの基準を選択して見られます。 – 検査が必要な離脱値のみ表示されます。 ◆ ボックスプロット分析 – サーバーを選択すると、左側には特異な値が発生した日を、右側にはその日付に対応するボックスプロットを示します。 – ボックスプロットとは、最大値、最小値、中央値、四分偏差を使用して、データの測定値がどのような形で分布しており、 特異な値はどうなっているのかを見せます。 ◆ ボックスプロットの名称 F: 離脱値 D: 上位境界内最大値 B: 75％に位置(3四分位) A: 50%に位置(2四分位, 中央値) C: 25%に位置(1四分位) E: 最小値   ◆ 検出されたログ詳細 – 検出されたログのリストを選択すると、それぞれのログに含まれた詳細を見ることができます。 – ログをクリックし、離脱ログを確認、離脱の値へのコメントを共有することができます。 – 接続したユーザーのリストを確認することができます。 – 右上のレポートボタンをクリックすると、レポートのページに進みます。 –

PLURAサービスは、情報セキュリティを目的とし、セキュリティに関して直接、ディテールなアプローチを試みています。   ◈ 監査ポリシーとは 監査ポリシーは、コンピュータのセキュリティに影響を与えるセキュリティ設定を組み合わせたものです。ローカルセキュリティポリシーを使用して、ローカルコンピュータのポリシーを編集することができます。 ローカルセキュリティポリシーを使用して、以下をコントロールできます。 ( ▼ WindowsKey+R > secpol.msc > ローカルポリシー > 監査ポリシー )   Windowsをインストールすると、ローカルセキュリティポリシーの「デフォルト設定」が既に決まっています。 ポリシー ポリシーサーバのバージョンのデフォルト デスクトップバージョンのデフォルト オブジェクトへのアクセス アカウント管理 ユーザーアカウントの管理：成功 コンピュータアカウントの管理：成功 セキュリティグループの管理：成功 ユーザーアカウントの管理：成功 セキュリティグループの管理：成功 アカウントログオンイベント계정 로그온 이벤트 資格情報の検証：成功 Kerberosサービスチケットの操作：成功 Kerberos認証サービス：成功Kerberos 特権使用の監査 ディレクトリサービスアクセス ディレクトリサービスアクセス：成功 ログオンイベントログオン：成功、失敗 ログオフ：成功 アカウントのロック：成功 特殊ログオン：成功 ネットワークポリシーサーバー：成功、失敗 ログオン：成功 ログオフ：成功 アカウントのロック：成功 特殊ログオン：成功 ネットワークポリシーサーバー：成功、失敗 システムイベント セキュリティ状態の変更：成功 システムの整合性：成功、失敗 その他のシステムイベント：成功、失敗 セキュリティ状態の変更：成功 システムの整合性：成功、失敗 その他のシステムイベント：成功、失敗 ポリシーの変更

PLURAサービスは、情報セキュリティを目的とし、セキュリティに関して直接、的確なアプローチを試みています。 ◈ SYSLOGポリシーとは Linuxは基本的にSyslogを介して機能別ログを記録します。 /etc/rsyslog.confの内容です。 #### RULES ##### Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all

PLURAサービスは、オペレーティングシステムの重大度の全てを記録しています。 ◈ Windowsの重大度(LEVEL) イベントログの重大度分類 システムおよびアプリケーションログで、ご覧のようなイベントの重大度レベルが表示されることがあります。 情報 : ジョブが完了しているか、リソースが作成されているか、サービスが開始されるなど、アプリケーションまたはコンポーネントに変更が発生したことを示します。. (Level 4) 警告:サービスに影響を与えることや措置がなかった場合、より深刻な問題を引き起こす可能性がある問題が発生したことを示します。. (Level 3) エラー:イベントをトリガーしたアプリケーションやコンポーネントの外部にある機能に影響を与えることができる問題が発生したことを示しています。.(Level 2) 危険:イベントをトリガーしたアプリケーションやコンポーネントが自動的に回復できないエラーが発生したことを示します。 . (Level 1) セキュリティログで、ご覧のイベントの重大度レベルが表示されることがあります。 成功監査 : ユーザー権限を正常に実行したことを示しています。 (Level 0) 失敗監査 : ユーザー権限の実行に失敗したことを示します。 (Level 0) イベントビューアの一般リスト表示でのイベントの重大度は、記号として表現されます。   ◈ Linuxの重大度(SEVERITY) 数字 英語 略語 説明 0 emergency emerg 緊急 システム使用不可 1 alert アラート 即時の措置が必要 2 critical crit 深刻 深刻な状態 3 error err

  ログオンの種類(Event ID 4624) 種類 タイトル 説明 2 対話型 ユーザーがこのコンピュータにログオンしました。(キーボードログオン) 3 ネットワーク ユーザーまたはコンピュータがネットワーク上のコンピュータにログオンしました。 (他のネットワークを介したアクセス、 ファイル共有、 IIS接続など) 4 配置 (自動実行) ユーザーが直接介入することなく、配置サーバーによるプロセスの実行でログオンしました。オンしました。 5 サービス サービスコントロールマネージャによってサービスが開始されました。 7 ロック解除 スクリーンセーバーのロック解除する時に発生 8 ネットワークプレーンテキスト ユーザーがネットワーク上のコンピュータにログオンしました。 ユーザーのパスワードがハッシュされてない形式で認証パッケージに渡されました。 組み込み認証パッケージは、ネットワークを介して資格情報を転送する前に、すべてをハッシュします。 資格情報は、プレーンテキスト形式ではネットワークを通過しません。(アカウント情報をプレーンテキストで送信した時に発生) 9 新しい資格 情報 発信者が現在のトークンを複製し、アウトバウンド接続に新しい資格情報を指定しました。 新しいログオンセッションは、同じ論理 IDがありますが、他のネットワーク接続の時はまた別の資格情報を使用します。 (cmd実行(RunAs)でプログラムを実行する時 netonly オプションをマッチさせると発生 netonly : 指定された資格情報がリモートアクセスのための場合に使用します。) 10 リモート対話型 ユーザーがターミナルサービスまたはリモートデスクトップを使用してこのコンピュータにログオンしました。 (ターミナルサービス, リモートデスクトップ, リモートデスクトップでログイン) 11 キャッシュされた対話型 ユーザーがコンピュータのローカルに保存されたネットワーク資格情報を使用し、このコンピュータにログオンしました。 ドメインコントローラが資格情報を確認するために接続されていませんでした。 (PCの

  ログオンの失敗コード(Event ID 4625) 状態コード 失敗理由 0xC0000064 ユーザー名が存在しません。 0xC000006A ユーザー名は正しいが、パスワードが間違っています。 0xC000006C パスワードポリシーを満たしてません。 0xC000006D 入力したログオンは、ユーザー名が間違っています。 0xC000006E ユーザーアカウントの制限でログオンできません。 0xC000006F ユーザーアカウントは時間制限があり、今ではログオンできません。 0xC0000070 ユーザーが制限されており、元のワークステーションからログオンできません。 0xC0000071 ユーザーアカウントのパスワードの期限が切れました。 0xC0000072 ユーザーアカウントを使用することができません。 0xC000009A システムリソースが不足しています。 0xc000015b このコンピュータにユーザーが要求したログオンの種類()が付与されていません。 0xC0000133 ドメインコントローラと他のコンピュータとの間の時間があまりにも違います。 0xC0000193 ユーザーのアカウントの期限が切れました。 0xC0000224 ユーザーは最初にログオンする前にパスワードを変更しなければなりません。 0xC0000234 ユーザーアカウントがロックされています。 ソース :  https://technet.microsoft.com/en-us/library/cc776964(WS.10).aspx https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4625

ff02::1:3 or fe80:: ...? (Event ID 5156, 5157...)   ◈ イベントログ見てると、Xmlドキュメントで以下のわからない文字と遭遇します。   IPv6 のアドレス 詳細は「IPv6アドレス」を参照 IPv6 のアドレス構造 IPv4とIPv6の最も大きな違いは、そのネットワークアドレスの長さにある。従来までのIPv4が32ビットであったのに対し、IPv6は128ビットである。 IPv6のアドレスは、前半部（プレフィックス,ネットワークID）と後半部（インタフェースID）に分けられて管理される。インタフェースIDは一意性を得るためにMACアドレス等から生成されるEUI-64フォーマットが使用されることが多いが、必ずこの形式を使わなければならないということではない（特に、サーバでは手動で静的に設定されることが多い）。 アドレスの一意性は最終的にはDuplicate Address Detection (DAD) という仕組みで保証される。 IPv6 のアドレス表記 従来のIPv4では、アドレスの値を8ビット単位でドット（.）で区切り、十進法で表記する。 [例] 192.0.2.1 IPv6では、128ビットを表記する際、IPv4と同様の表記では冗長になりすぎるため、アドレスの値を16ビット単位でコロン（:）で区切り、十六進法で表記する。 [例] 2001:0db8:bd05:01d2:288a:1fc0:0001:10ee この方法でも、まだ冗長であるため、以下のルールが適用される場合がある。 あるセクションが "0" で始まる場合、当該先行する "0" を省略することができる。 [例] 2001:0db8:0020:0003:1000:0100:0020:0003 = 2001:db8:20:3:1000:100:20:3 16ビット単位の記述で "0" が連続するところは "::" で省略することができる。ただし、"::" は可変長なので、1箇所だけ使用できる。 [例1] 2001:0db8:0000:0000:1234:0000:0000:9abc = 2001:db8::1234:0:0:9abc [例2] 2001:0db8:0000:0000:0000:0000:0000:9abc