1.25.1 RealSecure Network Engine 1 ログ 検出なし
1.25.2 RealSecure Network Engine 2 ログ 検出なし
1.25.3 FireWall-1 ログ
1.25.4 RealSecure System Agent ログ
“No” “Date” “Time” “Inter.” “Origin” “Type” Action” “Service” “Source” “Destination” “Proto.” “Rule” “S_Port” “User” “SrcKeyID” “DstKeyID” “XlateSrc”
XlateDst” “XLateSPort” “XlateDPort” “Info.”
"29735" "14Mar2000" "16:28:29" "nei0" "fw" "log" "accept" "99" "ipa3" "dmz-www" "tcp" "5" "1775" "" "" "" "" "" "" "" " len 60"
ID,EventDate,EventName,ProtocolID,SourcePort,DestinationPort,SourcePortName,DestinationPortName,SourceAddress,DestinationAddress,SourceAddress Name,DestinationAddressName,TCPFlags,ICMPType,ICMPCode,EventPriority,KillActionSpecified,SourceEthernetAddr,SourceEthernetVendor,Destination EthernetAddr,DestinationEthernetVendor,RawDataLen,RawData,DecodePairCount,EngineIP,Pulled,EngineType
21041,2000-04-10 17:29:30,Changes_to_important_files,254,65535,65535,65535,65535,16777343,51685568,127.0.0.1,192.168.20.3,,,,1,FALSE,00:00:00:00:00:
00,,00:00:00:00:00:00,,0,,9,192.168.20.3,FALSE,1
1.25.5 イベントログ(セキュリティ)
00/04/10,午後 5:29:30,Security,成功の監査,オブジェクト アクセス ,562,NT AUTHORITY¥SYSTEM,WWW,ハンドルのクローズ:
オブジェクト サーバー: Security
ハンドル ID: 56
プロセス ID: 4239610912
00/04/10,午後 5:29:30,Security,成功の監査,オブジェクト アクセス ,564,NT AUTHORITY¥SYSTEM,WWW,削除されたオブジェクト:
オブジェクト サーバー: Security ハンドル ID: 56
プロセス ID: 4239610912
00/04/10,午後 5:29:30,Security,成功の監査,オブジェクト アクセス ,560,NT AUTHORITY¥SYSTEM,WWW,オブジェクトのオープン:
オブジェクト サーバー: Security オブジェクトの種類: File
オブジェクト名: C:¥WINNT¥system32¥regedt32.exe 新しいハンドル ID: 56
操作 ID: {0,53678}
プロセス ID: 4239610912 プライマリ ユーザー名: SYSTEM プライマリ ドメイン: NT AUTHORITY プライマリ ログオン ID: (0x0,0x3E7) クライアント ユーザー名: クライアント ドメイン:
-クライアント ログオン ID:
-アクセス DELETE
特権
-00/04/10,午後 5:29:17,Security,成功の監査,オブジェクト アクセス ,562,NT AUTHORITY¥SYSTEM,WWW,ハンドルのクローズ:
オブジェクト サーバー: Security
ハンドル ID: 40
プロセス ID: 4239610912
00/04/10,午後 5:29:17,Security,成功の監査,オブジェクト アクセス ,562,NT AUTHORITY¥SYSTEM,WWW,ハンドルのクローズ:
オブジェクト サーバー: Security
ハンドル ID: 108
プロセス ID: 4239610912
00/04/10,午後 5:29:17,Security,成功の監査,オブジェクト アクセス ,560,NT AUTHORITY¥SYSTEM,WWW,オブジェクトのオープン:
オブジェクト サーバー: Security オブジェクトの種類: File
オブジェクト名: C:¥WINNT¥system32¥regedt32.exe 新しいハンドル ID: 108
操作 ID: {0,53667}
プロセス ID: 4239610912 プライマリ ユーザー名: SYSTEM プライマリ ドメイン: NT AUTHORITY プライマリ ログオン ID: (0x0,0x3E7) クライアント ユーザー名: クライアント ドメイン:
-クライアント ログオン ID:
-アクセス READ_CONTROL
SYNCHRONIZE
ReadData (または ListDirectory) ReadEA
ReadAttributes
特権
-00/04/10,午後 5:29:17,Security,成功の監査,オブジェクト アクセス ,560,NT AUTHORITY¥SYSTEM,WWW,オブジェクトのオープン:
オブジェクト サーバー: Security オブジェクトの種類: File
オブジェクト名: C:¥WINNT¥system32¥regedt32.exe 新しいハンドル ID: 40
操作 ID: {0,53663}
プロセス ID: 4239610912 プライマリ ユーザー名: SYSTEM プライマリ ドメイン: NT AUTHORITY プライマリ ログオン ID: (0x0,0x3E7) クライアント ユーザー名: クライアント ドメイン:
-クライアント ログオン ID:
-アクセス READ_CONTROL
SYNCHRONIZE
ReadData (または ListDirectory) ReadEA
ReadAttributes
特権
-00/04/10,午後 5:29:01,Security,成功の監査,オブジェクト アクセス ,562,NT AUTHORITY¥SYSTEM,WWW,ハンドルのクローズ:
オブジェクト サーバー: Security
ハンドル ID: 108
プロセス ID: 4239610912
00/04/10,午後 5:29:01,Security,成功の監査,オブジェクト アクセス ,562,NT AUTHORITY¥SYSTEM,WWW,ハンドルのクローズ:
オブジェクト サーバー: Security
ハンドル ID: 16
プロセス ID: 4239610912
00/04/10,午後 5:29:01,Security,成功の監査,オブジェクト アクセス ,560,NT AUTHORITY¥SYSTEM,WWW,オブジェクトのオープン:
オブジェクト サーバー: Security オブジェクトの種類: File
オブジェクト名: C:¥WINNT¥system32¥regedt32.exe 新しいハンドル ID: 16
操作 ID: {0,53654}
プロセス ID: 4239610912 プライマリ ユーザー名: SYSTEM プライマリ ドメイン: NT AUTHORITY プライマリ ログオン ID: (0x0,0x3E7) クライアント ユーザー名: クライアント ドメイン:
-クライアント ログオン ID:
-アクセス READ_CONTROL
SYNCHRONIZE
ReadData (または ListDirectory) ReadEA
ReadAttributes
特権
-1.25.6 IIS アクセスログ 検出なし
00/04/10,午後 5:29:01,Security,成功の監査,オブジェクト アクセス ,560,NT AUTHORITY¥SYSTEM,WWW,オブジェクトのオープン:
オブジェクト サーバー: Security オブジェクトの種類: File
オブジェクト名: C:¥WINNT¥system32¥regedt32.exe 新しいハンドル ID: 108
操作 ID: {0,53651}
プロセス ID: 4239610912 プライマリ ユーザー名: SYSTEM プライマリ ドメイン: NT AUTHORITY プライマリ ログオン ID: (0x0,0x3E7) クライアント ユーザー名: クライアント ドメイン:
-クライアント ログオン ID:
-アクセス READ_CONTROL
SYNCHRONIZE
ReadData (または ListDirectory) ReadEA
ReadAttributes
特権
-00/04/10,午後 5:28:18,Security,成功の監査,特権の使用 ,576,IUSR_WWW,WWW,新しいログオンへの特権の割り当て:
ユーザー名: IUSR_WWW
ドメイン: WWW
ログオン ID: (0x0,0xCFE3)
割り当て: SeChangeNotifyPrivilege
00/04/10,午後 5:28:18,Security,成功の監査,ログオン/ログオフ ,528,IUSR_WWW,WWW,ログオンの成功:
ユーザー名: IUSR_WWW
ドメイン: WWW
2 ログオン ID: (0x0,0xCFE3)
ログオンの種類: 3
ログオン プロセス: IIS
認証パッケージ: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0 ワークステーション名: WWW
00/04/10,午後 5:28:18,Security,成功の監査,システム イベント ,515,NT AUTHORITY¥SYSTEM,WWW,信頼されているログオン プロセスがローカル セキュリティ オーソリティに 登録されま
した。 このログオン プロセスは信頼されているため、ログオン要求を発行することができます。
ログオン プロセス名: ¥inetinfo.exe
00/04/10,午後 5:28:18,Security,成功の監査,特権の使用 ,577,NT AUTHORITY¥SYSTEM,WWW,特権サービスの呼び出し:
サーバー: NT Local Security Authority / Authentication Service サービス: LsaRegisterLogonProcess()
プライマリ ユーザー名: SYSTEM プライマリ ドメイン: NT AUTHORITY プライマリ ログオン ID: (0x0,0x3E7) クライアント ユーザー名: SYSTEM クライアント ドメイン: NT AUTHORITY クライアント ログオン ID: (0x0,0x3E7)
特権: SeTcbPrivilege