junichi anno, profile picture
Uploaded byjunichi anno
PDF, PPTX5,941 views

Windows スクリプトセミナー WMI編 VBScript&WMI

サンプルスクリプトはこちら。 http://blogs.technet.com/junichia/pages/3221367.aspx WMIを使用してイベントログの監視を行うスクリプトを作成しています。

Embed presentation

Download as PDF, PPTX
第2部 応用編① WMI による Windows Server の 監視 マ゗クロソフト株式会社 エバンジェリスト 安納 順一 http://blogs.technet.com/junichia/ 1
本日の目的 WMIを使用して Windows Server を監視する方法を学びます ※今回は VBScript を使用します WMIとは何か? WMIを使用したスクリプト作成の基礎 WMIを使用した゗ベントの待ち合わせ WMIを使用した永続的監視の実装 スクリプトの奥深さに感動していただけるはずです 2
WMI とは Windows Management Instrumentation WBEM/CIMに準拠 各種管理情報への共通゗ンターフェース Windows Management Serviceとして実装 Windows 2000以上のOSに標準搭載 WMIプロバ゗ダはベンダーが拡張可能 別途エージェントは一切必要なし もちろんタダ! 3
4
WMI にゕクセスするには バッチフゔ゗ルから WMICコマンド(Windows XP以降) Windows Script Host から PowerShell から Visual Studio から GUIツールから WMI Admin Tools など 5
WMIのゕーキテクチャ 管理ゕプリケーション COM/DCOM CIM Repository CIM Object Manager Object Provider COM/DCOM Object ・・・・・・・ 6
WMIの構造 %WinDir%¥System32¥wbem 配下の mof (Managed Object Format) フゔ゗ルに定義されている Namespace によって使える Namespace Class が異なることに注意 規定のNamespaceは Class Root¥CIMV2 (例) ROOT¥COMV2 Win32_OperatingSystem Win32_NTLogEventLog ・ ・ ROOT¥Default STDREGPROV ROOT¥microsoft¥SqlServer¥ComputerManagement10 SqlService ・ 7 ・
WMIの主役 Win32_クラス 一部抜粋 Win32_ActiveRoute Win32_ModuleTrace Win32_ComputerShutdownEvent Win32_NamedJobObject Win32_ComputerSystemEvent Win32_NTDomain Win32_ConnectionShare Win32_PingStatus Win32_CurrentTime Win32_ProcessStartTrace Win32_DeviceChangeEvent Win32_ProcessStopTrace Win32_DiskQuota Win32_Proxy Win32_GroupInDomain Win32_QuotaSetting Win32_IP4PersistedRouteTable Win32_ServerConnection Win32_IP4RouteTable Win32_SessionConnection Win32_IP4RouteTableEvent Win32_TokenGroups Win32_JobObjectStatus Win32_TokenPrivileges Win32_LoggedOnUser Win32_VolumeChangeEvent Win32_LogonSession Win32_WindowsProductActivation Win32_LogonSessionMappedDisk Win32_ControllerHasHub Win32_NetworkAdapter ・ Win32_ComputerSystem ・ ・ ・ ・ 8
WMI Tools ~ CIM Studio ブラウザを使用して、WMIの構造、実際の゗ンスタンスを確認 クエリを発行して戻り値を確認 リモートコンピュータに接続も可能 9
WMIにVBScriptから接続 10
WMI Scriptingの基本形 'SWbemLocator オブジェクトの作成 Set Locator = CreateObject("WbemScripting.SWbemLocator") ‘ローカルコンピュータへの接続 Set Service = Locator.ConnectServer("", "root¥cimv2", "", "") ‘クエリーの定義(WQL:WMI Query Language) strQuery = "Select * from Win32_NetworkAdapterConfiguration " & _ "where IPEnabled = True" ‘クエリーの実行(インスタンスを取得する) Set objNet = Service.ExecQuery(strQuery) '結果の参照 For each n in objNet WScript.Echo n.caption WScript.Echo n.MACAddress Next 11
WMIスクリプトの実行権限 リモートコンピュータに対するゕクセス権の取得 Set Service = Locator.ConnectServer(RemoteHost,Namespace,User,Password) 特殊権限の取得 Set Locator = CreateObject("WbemScripting.SWbemLocator") Set Service = Locator.ConnectServer("DC01", "root¥cimv2", "Dom¥administrator", "pass") Service.Security_.Privileges.AddAsString "SeBackupPrivilege", True Service.Security_.Privileges.AddAsString "SeSecurityPrivilege", True strQuery = "Select * from Win32_NTEventlogFile" & _ " Where LogfileName = 'Security' " Set obj = Service.ExecQuery(strQuery) For each n in obj r = n.BackupEventLog("C:¥tmp¥Security.evt") Next 12
(注意)リモートコンピュータにゕクセスする前に① リモートからの接続が許可されていることを確認 規定ではシステム管理者にはゕクセスが許可されている 13
(注意)リモートコンピュータにゕクセスする前に② 14
サーバーを監視する 15
゗ベントの監視 システムで発生した゗ベントをトリガーとして処理を実行 一時監視と永続的監視 以下の゗ベント監視用クラスが用意されている __InstanceCreationEvent あたらしい゗ンスタンスが作成された __InstanceModificationEvent ゗ンスタンスの属性が変更された __InstanceDeletionEvent 既存の゗ンスタンスが削除された 16
監視の゗メージ ゗ベントログに゗ベ WORDが起動 ントが書かれた USBデバ゗スが挿された タ゗ムゾーンが変更 ユーザーがログオン IPゕドレス変更 シャットダウン メモ帳が終了 17
一時的な監視例① __InstanceCreationEventによる新たに作成されたインスタンスの監視 Set objLocator = CreateObject("WbemScripting.SWbemLocator") Set objService = objLocator.ConnectServer(TargetComputer, _ "", AdminUser, AdminPass) strQueryCreate = "Select * " & _ "FROM __InstanceCreationEvent WITHIN 5 " & _ 監視したい "WHERE TargetInstance ISA 'Win32_Process' " クラス Set objEventsCreation = objService.ExecNotificationQuery(strQueryCreate) Do Set CreationEvent = objEventsCreation.Nextevent ProcessName = CreationEvent.TargetInstance.Name Win32_Procass Wscript.Echo ProcessName のプロパテゖ Loop 18
一時的な監視例② __InstanceModificationEventによるユーザーログオンの監視 Set objLocator = CreateObject("WbemScripting.SWbemLocator") Set objService = objLocator.ConnectServer(TargetComputer, _ ‚ROOT¥CIMV2", AdminUser, AdminPass) strQuery= "Select * " & _ "FROM __InstanceModificationEvent WITHIN 5 " & _ "WHERE TargetInstance ISA 'Win32_ComputerSystem' " Set objEventsModification = objService.ExecNotificationQuery(strQuery) Do Set ModificationEvent = objEventsModification.Nextevent UserName = ModificationEvent.TargetInstance.UserName Wscript.Echo UserName Loop 19
そこでこんな方法… 現在のログオンセッション一覧をキャッシュ ログオンしたらセッション作成 ログオフしたらセッション削除 ログオン時に割り振られた番号 ログオンのタ゗プ(対話、ネットワーク…) 現在ログオンしているユーザーのユーザーIDとログ オンIDをキャッシュ ログオンしたユーザーID ログオン時に割り振られた番号 20
一時的な監視例③ __InstanceCreationEventによるユーザーログオンの監視 Set objLocator = CreateObject("WbemScripting.SWbemLocator") Set objService = objLocator.ConnectServer("demo2008", "ROOT¥CIMV2", "", "") Wscript.Echo "接続が完了しました" strQueryCreate = "Select * FROM __InstanceCreationEvent WITHIN 5 " & _ "WHERE TargetInstance ISA 'Win32_LogonSession' ‚ Set objEventsCreation = objService.ExecNotificationQuery(strQueryCreate) Do Set CreationEvent = objEventsCreation.Nextevent LogonId= CreationEvent.TargetInstance.LogonID LogonType = CreationEvent.TargetInstance.LogonType strQueryLU = "Select * " & _ ‚FROM Win32_LoggedOnUser‛ ' Where Dependent like ‘%" & LogonId & "%’‚ Set objLoggedOnUser = objService.ExecQuery(strQueryLU) For Each u in objLoggedOnUser If instr(u.Dependent, LogonId) Then Wscript.Echo u.Antecedent ユーザーID Wscript.Echo u.Dependent ログオンID End If Next Loop 21
一時的な監視例③‘ (③をブラッシュアップ) Set objLocator = CreateObject("WbemScripting.SWbemLocator") Set objService = objLocator.ConnectServer("demo2008", "ROOT¥CIMV2", "", "") Wscript.Echo "接続が完了しました" strQueryCreate = "Select * FROM __InstanceCreationEvent WITHIN 5 " & _ "WHERE TargetInstance ISA 'Win32_LogonSession' ‚ Set objEventsCreation = objService.ExecNotificationQuery(strQueryCreate) Do Set CreationEvent = objEventsCreation.Nextevent LogonId= CreationEvent.TargetInstance.LogonID LogonType = CreationEvent.TargetInstance.LogonType Select Case LogonType Case 0 strLogonType = "System" Case 2 strLogonType = "Interactive" Case 3 strLogonType = "Network" Case 4 strLogonType = "Batch" Case 5 strLogonType = "Service" Case 6 strLogonType = "Proxy" Case 7 strLogonType = "Unlock" Case 8 strLogonType = "NetworkClearText" Case 9 strLogonType = "NewCredentials" Case 10 strLogonType = "RemoteInteractive(TS)" Case 11 strLogonType = "CachedInteractive" Case 12 strLogonType = "CachedRemoteInteractive" Case 13 strLogonType = "CachedUnlock" End Select 22
strQueryLoggedOnUser = "Select * " & _ "FROM Win32_LoggedOnUser" Set objLoggedOnUser = objService.ExecQuery(strQueryLoggedOnUser) For Each u in objLoggedOnUser If instr(u.Dependent, LogonId) Then arrAntecedent = Split(u.Antecedent,".") Wscript.Echo Date & "," & Time & "," & _ LogonId & "," & arrAntecedent(2) & "," & strLogonType Exit For End If Next Loop 23
一時的な監視例④ __InstanceDeletionEventによるユーザーログオフの監視 Set objLocator = CreateObject("WbemScripting.SWbemLocator") Set objService = objLocator.ConnectServer("demo2008", "ROOT¥CIMV2", "", "") Wscript.Echo "接続が完了しました" strQueryCreate = "Select * " & _ "FROM __InstanceDeletionEvent WITHIN 5 " & _ "WHERE TargetInstance ISA 'Win32_LogonSession' " Set objEventsDeletion = objService.ExecNotificationQuery(strQueryCreate) Do Set DeletionEvent = objEventsDeletion.Nextevent LogonId= DeletionEvent.TargetInstance.LogonID LogonType = DeletionEvent.TargetInstance.LogonType Wscript.Echo Date & "," & Time & "," & LogonId & "," & strLogonType Loop セッションの削除はログオフしてから1分程度を要する 24
③’と④を組み合わせると ログオンID をキーにしてログデータベースに書き込むことでサーバー を使用したユーザーの履歴を管理できる ログDB ServerName LogonID LogonType LogonDateTime LogoffDateTime Domain UserID demo2008 5443965 Interactive 2009/03/01 2009/03/01 dom anno 10:00:00 12:15:30 demo2008 6220879 TS 2009/03/01 2009/03/01 dom administrator 12:00:00 13:10:01 25
スクリプトをサービス化 26
゗ベントコンシューマ イベントコンシューマとは…. システムで発生したイベントをトリガーに特定のアクションを 実行する機構 • ActiveScriptEventConsumer – イベントが発生したらスクリプトを実行 • LogFileEventConsumer – ゗ベントが発生したらテキストフゔ゗ルに書き込み • NTEventLogEventConsumer – ゗ベントが発生したら゗ベント • SMTPEventConsumer – ゗ベントが発生したらメール送信 • CommandLineEventConsumer – ゗ベントが発生したらコマンドを実行 システムに登録されるのでログオンする必要が無い ただし、監視できるのはローカルコンピュータ 27
MOFフゔ゗ルによる永続的監視 ActiveScriptEventConsumerによるmofフゔ゗ルの例 #pragma namespace("¥¥¥¥.¥¥root¥¥subscription") instance of ActiveScriptEventConsumer as $Cons { Name = "LogonUserLogging"; ScriptingEngine = "VBScript"; ScriptFileName = "c:¥¥tmp¥¥demoscript¥¥wmisample08.vbs"; }; instance of __EventFilter as $Filt { Name = "LogonUser"; Query = "SELECT * FROM __InstanceCreationEvent WITHIN 5 " "WHERE TargetInstance ISA ¥"Win32_LogonSession¥" "; QueryLanguage = "WQL"; EventNamespace = "root¥¥cimv2"; }; instance of __FilterToConsumerBinding { Filter = $Filt; Consumer = $Cons; 28 };
拡張子 mof で保存 コマンドプロンプトからコンパ゗ル C:¥>mofcomp.exe <mofフゔ゗ル名> 29
呼び出されるスクリプト(③‘’) Set objLocator = CreateObject("WbemScripting.SWbemLocator") Set objService = objLocator.ConnectServer("demo2008", "ROOT¥CIMV2", "", "") Set objFS = CreateObject("Scripting.FileSystemObject") Wscript.Echo "接続が完了しました" strQueryCreate = "Select * FROM __InstanceCreationEvent WITHIN 5 " & _ "WHERE TargetInstance ISA 'Win32_LogonSession' ‚ Set objEventsCreation = objService.ExecNotificationQuery(strQueryCreate) Do Set CreationEvent = objEventsCreation.Nextevent LogonId= CreationEventTargetEvvent.TargetInstance.LogonID LogonType = CreationEventTargetEvent.TargetInstance.LogonType Select Case LogonType Case 0 strLogonType = "System" Case 2 strLogonType = "Interactive" Case 3 strLogonType = "Network" Case 4 strLogonType = "Batch" Case 5 strLogonType = "Service" Case 6 strLogonType = "Proxy" Case 7 strLogonType = "Unlock" Case 8 strLogonType = "NetworkClearText" Case 9 strLogonType = "NewCredentials" Case 10 strLogonType = "RemoteInteractive(TS)" Case 11 strLogonType = "CachedInteractive" Case 12 strLogonType = "CachedRemoteInteractive" Case 13 strLogonType = "CachedUnlock" End Select 30
strQueryLoggedOnUser = "Select * FROM Win32_LoggedOnUser" Set objLoggedOnUser = objService.ExecQuery(strQueryLoggedOnUser) For Each u in objLoggedOnUser If instr(u.Dependent, LogonId) Then arrAntecedent = Split(u.Antecedent,".") Set objLogFile = objFS.OpenTextFile("C:¥tmp¥demoscript¥userlog.txt",8,True) objLogFile.WriteLine Date & "," & Time & "," & LogonId & "," & _ arrAntecedent(2) & "," & strLogonType objLogFile.Close Wscript.Echo Date & "," & Time & "," & _ LogonId & "," & arrAntecedent(2) & "," & strLogonType Exit For End If Next Loop 31
まとめ WMIはパターンを覚えれば簡単です あたらしい使い方で作業が劇的に変化します! Yes, we can ! 32
リソース MSDN - Windows Management Instrumentation http://msdn.microsoft.com/en-us/library/aa394582(VS.85).aspx Script Guy! http://www.microsoft.com/japan/technet/scriptcenter/resources/qand a/default.mspx 33
34

More Related Content

PDF
Windows PowerShell によるWindows Server 管理の自動化 v4.0 2014.03.13 更新版
byjunichi anno
 
PPTX
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
byBGA Cyber Security
 
PDF
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
byBGA Cyber Security
 
PDF
CMDBuildを中心とした運用管理自動化基盤OpenPIEの事例紹介
byOSSラボ株式会社
 
PDF
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
byTAKUYA OHTA
 
PDF
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...
by日本マイクロソフト株式会社
 
PDF
コンテナで始める柔軟な AWS Lambda 生活
byDrecom Co., Ltd.
 
PDF
Understanding the Event Log
bychuckbt
 
Windows PowerShell によるWindows Server 管理の自動化 v4.0 2014.03.13 更新版
byjunichi anno
 
Beyaz Şapkalı Hacker CEH Eğitimi - Bölüm 16, 17, 18
byBGA Cyber Security
 
DNS Protokolüne Yönelik Güncel Saldırı Teknikleri & Çözüm Önerileri
byBGA Cyber Security
 
CMDBuildを中心とした運用管理自動化基盤OpenPIEの事例紹介
byOSSラボ株式会社
 
IT エンジニアのための 流し読み Windows 10 - 入門!System Center Configration Manager
byTAKUYA OHTA
 
S10_Microsoft 365 E5 Compliance で実現する機密情報の検出・分類・保護 - Microsoft Information P...
by日本マイクロソフト株式会社
 
コンテナで始める柔軟な AWS Lambda 生活
byDrecom Co., Ltd.
 
Understanding the Event Log
bychuckbt
 

What's hot

PDF
Sandbox Atlatma Teknikleri ve Öneriler
byBGA Cyber Security
 
PDF
Saldırı Tipleri ve Log Yönetimi
byOğuzcan Pamuk
 
PDF
AWS Black Belt Tech シリーズ 2015 - AWS OpsWorks
byAmazon Web Services Japan
 
PDF
Docker Compose入門~今日から始めるComposeの初歩からswarm mode対応まで
byMasahito Zembutsu
 
PDF
Web Uygulama Güvenliği 101
byMehmet Ince
 
PDF
Krugle Short 202309v30.pdf
byJunKawakita1
 
PDF
AWS Black Belt Techシリーズ Amazon Workspaces
byAmazon Web Services Japan
 
PDF
Azure App Service Overview
byTakeshi Fukuhara
 
PDF
Azure Network Security Group(NSG) はじめてのDeep Dive
byYoshimasa Katakura
 
PDF
AWS Black Belt Online Seminar 2018 AWS上の位置情報
byAmazon Web Services Japan
 
PDF
Amazon RDSを参考にしたとりまチューニング
byShunsuke Mihara
 
PPTX
失敗から学ぶAWSの監視
by株式会社オプト 仙台ラボラトリ
 
PDF
失敗事例で学ぶ負荷試験
by樽八 仲川
 
PPTX
SCUGJ第29回勉強会:Introducing Azure Arc enabled VMware vSphere
bywind06106
 
PPTX
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
byAkito Katsumata
 
PDF
ネットワーク運用自動化の実際〜現場で使われているツールを調査してみた〜
byTaiji Tsuchiya
 
PDF
ログイン前セッションフィクセイション攻撃の脅威と対策
byHiroshi Tokumaru
 
PDF
Mcafee data loss_prevention_11.6.x_product_guide_9-28-2021
byChaitanya chandra sekhar
 
PPTX
那些年學校沒教的 IT 事《系列一》從pc player到 IT Pro 之路
byRay Tracy
 
PPTX
Owasp
bypenetration Tester
 
Sandbox Atlatma Teknikleri ve Öneriler
byBGA Cyber Security
 
Saldırı Tipleri ve Log Yönetimi
byOğuzcan Pamuk
 
AWS Black Belt Tech シリーズ 2015 - AWS OpsWorks
byAmazon Web Services Japan
 
Docker Compose入門~今日から始めるComposeの初歩からswarm mode対応まで
byMasahito Zembutsu
 
Web Uygulama Güvenliği 101
byMehmet Ince
 
Krugle Short 202309v30.pdf
byJunKawakita1
 
AWS Black Belt Techシリーズ Amazon Workspaces
byAmazon Web Services Japan
 
Azure App Service Overview
byTakeshi Fukuhara
 
Azure Network Security Group(NSG) はじめてのDeep Dive
byYoshimasa Katakura
 
AWS Black Belt Online Seminar 2018 AWS上の位置情報
byAmazon Web Services Japan
 
Amazon RDSを参考にしたとりまチューニング
byShunsuke Mihara
 
失敗から学ぶAWSの監視
by株式会社オプト 仙台ラボラトリ
 
失敗事例で学ぶ負荷試験
by樽八 仲川
 
SCUGJ第29回勉強会:Introducing Azure Arc enabled VMware vSphere
bywind06106
 
ぶっちゃけAIPスキャナってどうよ?~AIPスキャナ検証録~
byAkito Katsumata
 
ネットワーク運用自動化の実際〜現場で使われているツールを調査してみた〜
byTaiji Tsuchiya
 
ログイン前セッションフィクセイション攻撃の脅威と対策
byHiroshi Tokumaru
 
Mcafee data loss_prevention_11.6.x_product_guide_9-28-2021
byChaitanya chandra sekhar
 
那些年學校沒教的 IT 事《系列一》從pc player到 IT Pro 之路
byRay Tracy
 
Owasp
bypenetration Tester
 

Viewers also liked

PDF
PowerShellが苦手だった男がPowerShellを愛するようになるまで
byKazuhiro Matsushima
 
PDF
AWS Simple Monthly Calculator 操作説明書
byAmazon Web Services Japan
 
PDF
WebサービスStartUP向け AWSスケーラブルな構成例
byAmazon Web Services Japan
 
PPTX
Power shell の基本操作と処理の自動化 v2_20120514
byjunichi anno
 
PPT
WMI - A FRONT DOOR FOR MALWARES
bySanthosh Kumar
 
PPTX
SOC2016 - The Investigation Labyrinth
bychrissanders88
 
PDF
Luncheon 2016-07-16 - Topic 2 - Advanced Threat Hunting by Justin Falck
byNorth Texas Chapter of the ISSA
 
PDF
SANS @Night There's Gold in Them Thar Package Management Databases
byPhil Hagen
 
PDF
Logs, Logs, Every Where, Nor Any Byte to Grok
byPhil Hagen
 
PDF
Guided Reading: Making the Most of It
byJennifer Jones
 
PPTX
Windows スクリプトセミナー 基本編
byjunichi anno
 
PPTX
Abstract Tools for Effective Threat Hunting
bychrissanders88
 
PPTX
Computer forensics ppt
byNikhil Mashruwala
 
PowerShellが苦手だった男がPowerShellを愛するようになるまで
byKazuhiro Matsushima
 
AWS Simple Monthly Calculator 操作説明書
byAmazon Web Services Japan
 
WebサービスStartUP向け AWSスケーラブルな構成例
byAmazon Web Services Japan
 
Power shell の基本操作と処理の自動化 v2_20120514
byjunichi anno
 
WMI - A FRONT DOOR FOR MALWARES
bySanthosh Kumar
 
SOC2016 - The Investigation Labyrinth
bychrissanders88
 
Luncheon 2016-07-16 - Topic 2 - Advanced Threat Hunting by Justin Falck
byNorth Texas Chapter of the ISSA
 
SANS @Night There's Gold in Them Thar Package Management Databases
byPhil Hagen
 
Logs, Logs, Every Where, Nor Any Byte to Grok
byPhil Hagen
 
Guided Reading: Making the Most of It
byJennifer Jones
 
Windows スクリプトセミナー 基本編
byjunichi anno
 
Abstract Tools for Effective Threat Hunting
bychrissanders88
 
Computer forensics ppt
byNikhil Mashruwala
 

Similar to Windows スクリプトセミナー WMI編 VBScript&WMI

PDF
PowerShellを使用したWindows Serverの管理
byjunichi anno
 
PPTX
攻撃者の行動を追跡せよ -行動パターンに基づく横断的侵害の把握と調査- by 朝長 秀誠, 六田 佳祐
byCODE BLUE
 
PDF
構築手順 Ssis イベントログ取込み 第2版
byjunichi anno
 
PDF
[cb22] Hayabusa Threat Hunting and Fast Forensics in Windows environments fo...
byCODE BLUE
 
PDF
Windows PowerShell 2.0 の基礎知識
byshigeya
 
PPTX
WF4 + WMI + PS + αで運用管理
byTomoyuki Obi
 
PPTX
SQL Server 2008 で統合ログ管理システムを構築しよう
byjunichi anno
 
PDF
Windows PowerShell 2.0 の基礎知識
byshigeya
 
PPTX
社内システムの移行に役立った“時間節約”方法~PowerShellとExcelを上手に使おう
bySatoru Nasu
 
PDF
INF-009_PowerShell を 使いこなして、自動化対応 エンジニア になろう!!
bydecode2016
 
PPTX
PowerShell の基本操作とリモーティング&v3のご紹介 junichia
byjunichi anno
 
PDF
PowerShell 5.0 & Security
byKazuki Takai
 
PPTX
開発者のための最新グループポリシー活用講座
byjunichi anno
 
PDF
振る舞いに基づくSSHブルートフォースアタック対策
byToshiharu Harada, Ph.D
 
PDF
perfを使ったpostgre sqlの解析(後編)
byDaichi Egawa
 
PPTX
Lt 110205
byTomoyuki Obi
 
PPTX
Lt 111217
byTomoyuki Obi
 
PDF
SBS2008の管理のポイント
byMasaya Sawada
 
PDF
SBS2008の管理のポイント
byguest13980d
 
PPTX
Ia 2016-12-15
byRuo Ando
 
PowerShellを使用したWindows Serverの管理
byjunichi anno
 
攻撃者の行動を追跡せよ -行動パターンに基づく横断的侵害の把握と調査- by 朝長 秀誠, 六田 佳祐
byCODE BLUE
 
構築手順 Ssis イベントログ取込み 第2版
byjunichi anno
 
[cb22] Hayabusa Threat Hunting and Fast Forensics in Windows environments fo...
byCODE BLUE
 
Windows PowerShell 2.0 の基礎知識
byshigeya
 
WF4 + WMI + PS + αで運用管理
byTomoyuki Obi
 
SQL Server 2008 で統合ログ管理システムを構築しよう
byjunichi anno
 
Windows PowerShell 2.0 の基礎知識
byshigeya
 
社内システムの移行に役立った“時間節約”方法~PowerShellとExcelを上手に使おう
bySatoru Nasu
 
INF-009_PowerShell を 使いこなして、自動化対応 エンジニア になろう!!
bydecode2016
 
PowerShell の基本操作とリモーティング&v3のご紹介 junichia
byjunichi anno
 
PowerShell 5.0 & Security
byKazuki Takai
 
開発者のための最新グループポリシー活用講座
byjunichi anno
 
振る舞いに基づくSSHブルートフォースアタック対策
byToshiharu Harada, Ph.D
 
perfを使ったpostgre sqlの解析(後編)
byDaichi Egawa
 
Lt 110205
byTomoyuki Obi
 
Lt 111217
byTomoyuki Obi
 
SBS2008の管理のポイント
byMasaya Sawada
 
SBS2008の管理のポイント
byguest13980d
 
Ia 2016-12-15
byRuo Ando
 

More from junichi anno

PPTX
Azure AD による Web API の 保護
byjunichi anno
 
PPTX
Azure Key Vault
byjunichi anno
 
PDF
Hyper-V を Windows PowerShell から管理する
byjunichi anno
 
PPTX
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
byjunichi anno
 
PDF
SaaS としての IDM の役割
byjunichi anno
 
PPTX
Microsoft Azure のセキュリティ
byjunichi anno
 
PDF
Windows File Service 総復習-Windows Server 2012 R2編 第1版
byjunichi anno
 
PPTX
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
byjunichi anno
 
PDF
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
byjunichi anno
 
PDF
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
byjunichi anno
 
PPTX
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
byjunichi anno
 
PDF
Vdi を より使いやすいインフラにするためのセキュリティ設計
byjunichi anno
 
PDF
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
byjunichi anno
 
PPTX
個人情報を守るための アプリケーション設計(概要)
byjunichi anno
 
PPTX
リソーステンプレート入門
byjunichi anno
 
PDF
IoT のセキュリティアーキテクチャと実装モデル on Azure
byjunichi anno
 
PPTX
Azure Active Directory 1枚資料 20151125版
byjunichi anno
 
PDF
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
byjunichi anno
 
PPTX
Azureの管理権限について
byjunichi anno
 
PDF
File Server on Azure IaaS
byjunichi anno
 
Azure AD による Web API の 保護
byjunichi anno
 
Azure Key Vault
byjunichi anno
 
Hyper-V を Windows PowerShell から管理する
byjunichi anno
 
V1.1 CD03 Azure Active Directory B2C/B2B コラボレーションによる Customer Identity and Ac...
byjunichi anno
 
SaaS としての IDM の役割
byjunichi anno
 
Microsoft Azure のセキュリティ
byjunichi anno
 
Windows File Service 総復習-Windows Server 2012 R2編 第1版
byjunichi anno
 
Azure ad の導入を検討している方へ ~ active directory の構成パターンと正しい認証方式の選択~
byjunichi anno
 
Active Directory のクラウド武装化計画 V2~"AD on Azure IaaS" or "Windows Azure Active Di...
byjunichi anno
 
勉強会キット Windows Server 2012 R2 評価版 BYOD 編 v2 20131020 版
byjunichi anno
 
Azure AD によるリソースの保護 how to protect and govern resources under the Azure AD
byjunichi anno
 
Vdi を より使いやすいインフラにするためのセキュリティ設計
byjunichi anno
 
DevSecOps: セキュリティ問題に迅速に対応するためのパイプライン設計
byjunichi anno
 
個人情報を守るための アプリケーション設計(概要)
byjunichi anno
 
リソーステンプレート入門
byjunichi anno
 
IoT のセキュリティアーキテクチャと実装モデル on Azure
byjunichi anno
 
Azure Active Directory 1枚資料 20151125版
byjunichi anno
 
最新Active DirectoryによるIDMaaSとハイブリッド認証基盤の実現
byjunichi anno
 
Azureの管理権限について
byjunichi anno
 
File Server on Azure IaaS
byjunichi anno
 

Recently uploaded

PDF
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
PDF
第25回FA設備技術勉強会_自宅で勉強するROS・フィジカルAIアイテム.pdf
byTomohiroKusu
 
PDF
visionOS TC「新しいマイホームで過ごすApple Vision Proとの新生活」
bySugiyama Yugo
 
PDF
PCCC25(設立25年記念PCクラスタシンポジウム):東京大学情報基盤センター テーマ1/2/3「Society5.0の実現を目指す『計算・データ・学習...
byPC Cluster Consortium
 
PDF
安価な ロジック・アナライザを アナライズ(?),Analyze report of some cheap logic analyzers
byたけおか しょうぞう
 
PPTX
DrupalCon Nara 2025の記録 .
byiPride Co., Ltd.
 
基礎から学ぶ PostgreSQL の性能監視 (PostgreSQL Conference Japan 2025 発表資料)
byNTT DATA Technology & Innovation
 
第25回FA設備技術勉強会_自宅で勉強するROS・フィジカルAIアイテム.pdf
byTomohiroKusu
 
visionOS TC「新しいマイホームで過ごすApple Vision Proとの新生活」
bySugiyama Yugo
 
PCCC25(設立25年記念PCクラスタシンポジウム):東京大学情報基盤センター テーマ1/2/3「Society5.0の実現を目指す『計算・データ・学習...
byPC Cluster Consortium
 
安価な ロジック・アナライザを アナライズ(?),Analyze report of some cheap logic analyzers
byたけおか しょうぞう
 
DrupalCon Nara 2025の記録 .
byiPride Co., Ltd.
 

Windows スクリプトセミナー WMI編 VBScript&WMI

  • 1.
    第2部 応用編① WMI によるWindows Server の 監視 マ゗クロソフト株式会社 エバンジェリスト 安納 順一 http://blogs.technet.com/junichia/ 1
  • 2.
    本日の目的 WMIを使用して Windows Server を監視する方法を学びます ※今回は VBScript を使用します WMIとは何か? WMIを使用したスクリプト作成の基礎 WMIを使用した゗ベントの待ち合わせ WMIを使用した永続的監視の実装 スクリプトの奥深さに感動していただけるはずです 2
  • 3.
    WMI とは WindowsManagement Instrumentation WBEM/CIMに準拠 各種管理情報への共通゗ンターフェース Windows Management Serviceとして実装 Windows 2000以上のOSに標準搭載 WMIプロバ゗ダはベンダーが拡張可能 別途エージェントは一切必要なし もちろんタダ! 3
  • 4.
  • 5.
    WMI にゕクセスするには バッチフゔ゗ルから WMICコマンド(Windows XP以降) Windows Script Host から PowerShell から Visual Studio から GUIツールから WMI Admin Tools など 5
  • 6.
    WMIのゕーキテクチャ 管理ゕプリケーション COM/DCOM CIM Repository CIM Object Manager Object Provider COM/DCOM Object ・・・・・・・ 6
  • 7.
    WMIの構造 %WinDir%¥System32¥wbem 配下のmof (Managed Object Format) フゔ゗ルに定義されている Namespace によって使える Namespace Class が異なることに注意 規定のNamespaceは Class Root¥CIMV2 (例) ROOT¥COMV2 Win32_OperatingSystem Win32_NTLogEventLog ・ ・ ROOT¥Default STDREGPROV ROOT¥microsoft¥SqlServer¥ComputerManagement10 SqlService ・ 7 ・
  • 8.
    WMIの主役 Win32_クラス 一部抜粋 Win32_ActiveRoute Win32_ModuleTrace Win32_ComputerShutdownEvent Win32_NamedJobObject Win32_ComputerSystemEvent Win32_NTDomain Win32_ConnectionShare Win32_PingStatus Win32_CurrentTime Win32_ProcessStartTrace Win32_DeviceChangeEvent Win32_ProcessStopTrace Win32_DiskQuota Win32_Proxy Win32_GroupInDomain Win32_QuotaSetting Win32_IP4PersistedRouteTable Win32_ServerConnection Win32_IP4RouteTable Win32_SessionConnection Win32_IP4RouteTableEvent Win32_TokenGroups Win32_JobObjectStatus Win32_TokenPrivileges Win32_LoggedOnUser Win32_VolumeChangeEvent Win32_LogonSession Win32_WindowsProductActivation Win32_LogonSessionMappedDisk Win32_ControllerHasHub Win32_NetworkAdapter ・ Win32_ComputerSystem ・ ・ ・ ・ 8
  • 9.
    WMI Tools ~CIM Studio ブラウザを使用して、WMIの構造、実際の゗ンスタンスを確認 クエリを発行して戻り値を確認 リモートコンピュータに接続も可能 9
  • 10.
  • 11.
    WMI Scriptingの基本形 'SWbemLocatorオブジェクトの作成 Set Locator = CreateObject("WbemScripting.SWbemLocator") ‘ローカルコンピュータへの接続 Set Service = Locator.ConnectServer("", "root¥cimv2", "", "") ‘クエリーの定義(WQL:WMI Query Language) strQuery = "Select * from Win32_NetworkAdapterConfiguration " & _ "where IPEnabled = True" ‘クエリーの実行(インスタンスを取得する) Set objNet = Service.ExecQuery(strQuery) '結果の参照 For each n in objNet WScript.Echo n.caption WScript.Echo n.MACAddress Next 11
  • 12.
    WMIスクリプトの実行権限 リモートコンピュータに対するゕクセス権の取得 SetService = Locator.ConnectServer(RemoteHost,Namespace,User,Password) 特殊権限の取得 Set Locator = CreateObject("WbemScripting.SWbemLocator") Set Service = Locator.ConnectServer("DC01", "root¥cimv2", "Dom¥administrator", "pass") Service.Security_.Privileges.AddAsString "SeBackupPrivilege", True Service.Security_.Privileges.AddAsString "SeSecurityPrivilege", True strQuery = "Select * from Win32_NTEventlogFile" & _ " Where LogfileName = 'Security' " Set obj = Service.ExecQuery(strQuery) For each n in obj r = n.BackupEventLog("C:¥tmp¥Security.evt") Next 12
  • 13.
  • 14.
  • 15.
  • 16.
    ゗ベントの監視 システムで発生した゗ベントをトリガーとして処理を実行 一時監視と永続的監視 以下の゗ベント監視用クラスが用意されている __InstanceCreationEvent あたらしい゗ンスタンスが作成された __InstanceModificationEvent ゗ンスタンスの属性が変更された __InstanceDeletionEvent 既存の゗ンスタンスが削除された 16
  • 17.
    監視の゗メージ ゗ベントログに゗ベ WORDが起動 ントが書かれた USBデバ゗スが挿された タ゗ムゾーンが変更 ユーザーがログオン IPゕドレス変更 シャットダウン メモ帳が終了 17
  • 18.
    一時的な監視例① __InstanceCreationEventによる新たに作成されたインスタンスの監視 Set objLocator =CreateObject("WbemScripting.SWbemLocator") Set objService = objLocator.ConnectServer(TargetComputer, _ "", AdminUser, AdminPass) strQueryCreate = "Select * " & _ "FROM __InstanceCreationEvent WITHIN 5 " & _ 監視したい "WHERE TargetInstance ISA 'Win32_Process' " クラス Set objEventsCreation = objService.ExecNotificationQuery(strQueryCreate) Do Set CreationEvent = objEventsCreation.Nextevent ProcessName = CreationEvent.TargetInstance.Name Win32_Procass Wscript.Echo ProcessName のプロパテゖ Loop 18
  • 19.
    一時的な監視例② __InstanceModificationEventによるユーザーログオンの監視 Set objLocator =CreateObject("WbemScripting.SWbemLocator") Set objService = objLocator.ConnectServer(TargetComputer, _ ‚ROOT¥CIMV2", AdminUser, AdminPass) strQuery= "Select * " & _ "FROM __InstanceModificationEvent WITHIN 5 " & _ "WHERE TargetInstance ISA 'Win32_ComputerSystem' " Set objEventsModification = objService.ExecNotificationQuery(strQuery) Do Set ModificationEvent = objEventsModification.Nextevent UserName = ModificationEvent.TargetInstance.UserName Wscript.Echo UserName Loop 19
  • 20.
    そこでこんな方法… 現在のログオンセッション一覧をキャッシュ ログオンしたらセッション作成 ログオフしたらセッション削除 ログオン時に割り振られた番号 ログオンのタ゗プ(対話、ネットワーク…) 現在ログオンしているユーザーのユーザーIDとログ オンIDをキャッシュ ログオンしたユーザーID ログオン時に割り振られた番号 20
  • 21.
    一時的な監視例③ __InstanceCreationEventによるユーザーログオンの監視 Set objLocator =CreateObject("WbemScripting.SWbemLocator") Set objService = objLocator.ConnectServer("demo2008", "ROOT¥CIMV2", "", "") Wscript.Echo "接続が完了しました" strQueryCreate = "Select * FROM __InstanceCreationEvent WITHIN 5 " & _ "WHERE TargetInstance ISA 'Win32_LogonSession' ‚ Set objEventsCreation = objService.ExecNotificationQuery(strQueryCreate) Do Set CreationEvent = objEventsCreation.Nextevent LogonId= CreationEvent.TargetInstance.LogonID LogonType = CreationEvent.TargetInstance.LogonType strQueryLU = "Select * " & _ ‚FROM Win32_LoggedOnUser‛ ' Where Dependent like ‘%" & LogonId & "%’‚ Set objLoggedOnUser = objService.ExecQuery(strQueryLU) For Each u in objLoggedOnUser If instr(u.Dependent, LogonId) Then Wscript.Echo u.Antecedent ユーザーID Wscript.Echo u.Dependent ログオンID End If Next Loop 21
  • 22.
    一時的な監視例③‘ (③をブラッシュアップ) SetobjLocator = CreateObject("WbemScripting.SWbemLocator") Set objService = objLocator.ConnectServer("demo2008", "ROOT¥CIMV2", "", "") Wscript.Echo "接続が完了しました" strQueryCreate = "Select * FROM __InstanceCreationEvent WITHIN 5 " & _ "WHERE TargetInstance ISA 'Win32_LogonSession' ‚ Set objEventsCreation = objService.ExecNotificationQuery(strQueryCreate) Do Set CreationEvent = objEventsCreation.Nextevent LogonId= CreationEvent.TargetInstance.LogonID LogonType = CreationEvent.TargetInstance.LogonType Select Case LogonType Case 0 strLogonType = "System" Case 2 strLogonType = "Interactive" Case 3 strLogonType = "Network" Case 4 strLogonType = "Batch" Case 5 strLogonType = "Service" Case 6 strLogonType = "Proxy" Case 7 strLogonType = "Unlock" Case 8 strLogonType = "NetworkClearText" Case 9 strLogonType = "NewCredentials" Case 10 strLogonType = "RemoteInteractive(TS)" Case 11 strLogonType = "CachedInteractive" Case 12 strLogonType = "CachedRemoteInteractive" Case 13 strLogonType = "CachedUnlock" End Select 22
  • 23.
    strQueryLoggedOnUser = "Select* " & _ "FROM Win32_LoggedOnUser" Set objLoggedOnUser = objService.ExecQuery(strQueryLoggedOnUser) For Each u in objLoggedOnUser If instr(u.Dependent, LogonId) Then arrAntecedent = Split(u.Antecedent,".") Wscript.Echo Date & "," & Time & "," & _ LogonId & "," & arrAntecedent(2) & "," & strLogonType Exit For End If Next Loop 23
  • 24.
    一時的な監視例④ __InstanceDeletionEventによるユーザーログオフの監視 SetobjLocator = CreateObject("WbemScripting.SWbemLocator") Set objService = objLocator.ConnectServer("demo2008", "ROOT¥CIMV2", "", "") Wscript.Echo "接続が完了しました" strQueryCreate = "Select * " & _ "FROM __InstanceDeletionEvent WITHIN 5 " & _ "WHERE TargetInstance ISA 'Win32_LogonSession' " Set objEventsDeletion = objService.ExecNotificationQuery(strQueryCreate) Do Set DeletionEvent = objEventsDeletion.Nextevent LogonId= DeletionEvent.TargetInstance.LogonID LogonType = DeletionEvent.TargetInstance.LogonType Wscript.Echo Date & "," & Time & "," & LogonId & "," & strLogonType Loop セッションの削除はログオフしてから1分程度を要する 24
  • 25.
    ③’と④を組み合わせると ログオンIDをキーにしてログデータベースに書き込むことでサーバー を使用したユーザーの履歴を管理できる ログDB ServerName LogonID LogonType LogonDateTime LogoffDateTime Domain UserID demo2008 5443965 Interactive 2009/03/01 2009/03/01 dom anno 10:00:00 12:15:30 demo2008 6220879 TS 2009/03/01 2009/03/01 dom administrator 12:00:00 13:10:01 25
  • 26.
  • 27.
    ゗ベントコンシューマ イベントコンシューマとは…. システムで発生したイベントをトリガーに特定のアクションを 実行する機構 • ActiveScriptEventConsumer – イベントが発生したらスクリプトを実行 • LogFileEventConsumer – ゗ベントが発生したらテキストフゔ゗ルに書き込み • NTEventLogEventConsumer – ゗ベントが発生したら゗ベント • SMTPEventConsumer – ゗ベントが発生したらメール送信 • CommandLineEventConsumer – ゗ベントが発生したらコマンドを実行 システムに登録されるのでログオンする必要が無い ただし、監視できるのはローカルコンピュータ 27
  • 28.
    MOFフゔ゗ルによる永続的監視 ActiveScriptEventConsumerによるmofフゔ゗ルの例 #pragma namespace("¥¥¥¥.¥¥root¥¥subscription") instance of ActiveScriptEventConsumer as $Cons { Name = "LogonUserLogging"; ScriptingEngine = "VBScript"; ScriptFileName = "c:¥¥tmp¥¥demoscript¥¥wmisample08.vbs"; }; instance of __EventFilter as $Filt { Name = "LogonUser"; Query = "SELECT * FROM __InstanceCreationEvent WITHIN 5 " "WHERE TargetInstance ISA ¥"Win32_LogonSession¥" "; QueryLanguage = "WQL"; EventNamespace = "root¥¥cimv2"; }; instance of __FilterToConsumerBinding { Filter = $Filt; Consumer = $Cons; 28 };
  • 29.
  • 30.
    呼び出されるスクリプト(③‘’) Set objLocator= CreateObject("WbemScripting.SWbemLocator") Set objService = objLocator.ConnectServer("demo2008", "ROOT¥CIMV2", "", "") Set objFS = CreateObject("Scripting.FileSystemObject") Wscript.Echo "接続が完了しました" strQueryCreate = "Select * FROM __InstanceCreationEvent WITHIN 5 " & _ "WHERE TargetInstance ISA 'Win32_LogonSession' ‚ Set objEventsCreation = objService.ExecNotificationQuery(strQueryCreate) Do Set CreationEvent = objEventsCreation.Nextevent LogonId= CreationEventTargetEvvent.TargetInstance.LogonID LogonType = CreationEventTargetEvent.TargetInstance.LogonType Select Case LogonType Case 0 strLogonType = "System" Case 2 strLogonType = "Interactive" Case 3 strLogonType = "Network" Case 4 strLogonType = "Batch" Case 5 strLogonType = "Service" Case 6 strLogonType = "Proxy" Case 7 strLogonType = "Unlock" Case 8 strLogonType = "NetworkClearText" Case 9 strLogonType = "NewCredentials" Case 10 strLogonType = "RemoteInteractive(TS)" Case 11 strLogonType = "CachedInteractive" Case 12 strLogonType = "CachedRemoteInteractive" Case 13 strLogonType = "CachedUnlock" End Select 30
  • 31.
    strQueryLoggedOnUser = "Select* FROM Win32_LoggedOnUser" Set objLoggedOnUser = objService.ExecQuery(strQueryLoggedOnUser) For Each u in objLoggedOnUser If instr(u.Dependent, LogonId) Then arrAntecedent = Split(u.Antecedent,".") Set objLogFile = objFS.OpenTextFile("C:¥tmp¥demoscript¥userlog.txt",8,True) objLogFile.WriteLine Date & "," & Time & "," & LogonId & "," & _ arrAntecedent(2) & "," & strLogonType objLogFile.Close Wscript.Echo Date & "," & Time & "," & _ LogonId & "," & arrAntecedent(2) & "," & strLogonType Exit For End If Next Loop 31
  • 32.
  • 33.
    リソース MSDN -Windows Management Instrumentation http://msdn.microsoft.com/en-us/library/aa394582(VS.85).aspx Script Guy! http://www.microsoft.com/japan/technet/scriptcenter/resources/qand a/default.mspx 33
  • 34.