はじめに

くどうです。

今回は、PowerShellで実行されたコマンドのロギングの方法を解説します。

昨今のマルウェアは、Windowsを対象にしたものがほとんどです。
更にはPowerShellを利用するマルウェアも増えてきています。

PowerShell マルウェアが急増。シマンテックの解析で、95.4% が悪質なスクリプトと判明。
http://d.hatena.ne.jp/ripjyr/20161210/1481338727

また、企業内でもWindowsサーバーを利用するケースが増えています。
これまではLinuxでsyslogを利用し実行されたコマンドをログ取得し、集中管理するなどロギングは当たり前のように行われてきました。
しかし現在、主流となっているPowerShell 4.0ではロギングできません。
そのため、マルウェアはログの残らないPowershellを標的にしているのかもしれません。

主なロギング出来ない旧バージョンPowerShellのOS

  • Windows Server 2012 R2
  • Windows Server 2012
  • Windows 2008 R2 SP1
  • Windows 8.1
  • Windows 7 SP1
  • Windows 10 Version 1511以前

詳しい各バージョンのマトリクスは下記を参照してください。
https://msdn.microsoft.com/ja-jp/powershell/wmf/readme

2016/2/24にリリースされたPowerShell 5.0よりロギングの機能が実装されています。
そこで、最新版 PowerShell 5.1を参考にロギングの方法を解説していきます。
古いバージョンの場合はアップデートが必要です。

追記:PowerShell4.0でも下記のパッチをあてることでログ機能を拡張できます(by @stknohg)
8.1/2012 R2 → KB3000850
2012 → KB3119938
7/2008 R2 SP1 → KB3109118

ログの種類

PowerShell 5.1では取得できるログのは3種類あります。

  • モジュールログ
  • PowerShellスクリプトブロックのログ記録
  • PowerShellトランスクリプション

各ログの取得方法とログの内容を解説していきます。

モジュールログ

モジュールログの取得を設定する場合、グループポリシーの設定をする必要があります。
グループポリシー [ユーザーの構成>管理用テンプレート>Windows PowerShell]を開きます。

「モジュールログを有効にする」を開き「有効」に変更します。

ポリシーの解説にはLogPipelineExecutionDetailsが変更されることが記載されています。

このポリシー設定を有効にした場合、指定したモジュールのメンバーのパイプライン実行イベントがイベント ビューアーの
Windows PowerShell ログに記録されます。モジュールに対してこのポリシー設定を有効にする操作は、
そのモジュールの LogPipelineExecutionDetails プロパティを True に設定する操作と同じ意味があります。

左ペインのモジュール名[表示]をクリックし下記を入力します。

Microsoft.PowerShell.*
Microsoft.WSMan.Management


以上で設定は完了です。
コマンドプロンプトなどでgpupdateを実行しポリシーを反映させます。

確認としてGet-Commandを引数に-Module Azure実行しAzureのコマンドを表示します。

 
PS C:\Users\kudo> Get-Command -Module Azure
 
CommandType     Name                                               Version    Source
-----------     ----                        
Alias           Add-WAPackEnvironment                              2.0.1      Azure
Alias           Confirm-SSLegacyVolumeContainerStatus              2.0.1      Azure
Alias           Disable-WAPackWebsiteApplicationDiagnostic         2.0.1      Azure
Alias           Enable-WAPackWebsiteApplicationDiagnositc          2.0.1      Azure
Alias           Get-SSAccessControlRecord                          2.0.1      Azure
Alias           Get-SSDevice                                       2.0.1      Azure
Alias           Get-SSDeviceBackup                                 2.0.1      Azure
Alias           Get-SSDeviceBackupPolicy                           2.0.1      Azure
Alias           Get-SSDeviceConnectedInitiator                     2.0.1      Azure
Alias           Get-SSDeviceVolume                                 2.0.1      Azure
Alias           Get-SSDeviceVolumeContainer                        2.0.1      Azure
Alias           Get-SSFailoverVolumeContainers                     2.0.1      Azure
Alias           Get-SSJob                                          2.0.1      Azure
Alias           Get-SSLegacyVolumeContainerConfirmStatus           2.0.1      Azure
Alias           Get-SSLegacyVolumeContainerMigrationPlan           2.0.1      Azure
Alias           Get-SSLegacyVolumeContainerStatus                  2.0.1      Azure
Alias           Get-SSResource                                     2.0.1      Azure
Alias           Get-SSResourceContext                              2.0.1      Azure

記録されたログを確認します。
イベントログを開きます。
ログは[アプリケーションとサービスログ > Microsoft > Windows > PowerShell >Operational]に記録されます。

ログの詳細には Get-Commandが実行され パラメーター Moduleに値 Azureが入力され実行されていることが記載されています。

CommandInvocation(Get-Command): "Get-Command"
パラメーター バインド(Get-Command): 名前="Module"; 値="Azure"


コンテキスト:
        重要度 = Informational
        ホスト名 = ConsoleHost
        ホストのバージョン = 5.1.14393.693
        ホスト ID = 8ee01dcc-0816-41d5-9a4e-a11740c598de
        ホスト アプリケーション = C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
        エンジンのバージョン = 5.1.14393.693
        実行空間 ID = ba2f25ff-3cc4-4e20-9eda-e5493d041643
        パイプライン ID = 25
        コマンド名 = Get-Command
        コマンドの種類 = Cmdlet
        スクリプト名 = 
        コマンド パス = 
        シーケンス番号 = 64
        ユーザー = xxxxx
        接続されたユーザー = 
        シェル ID = Microsoft.PowerShell


ユーザー データ:

また、[Get-ChildItem]を実行した場合などは、Out-Defaultの値としてログに記載されます。

CommandInvocation(Out-Default): "Out-Default"
パラメーター バインド(Out-Default): 名前="InputObject"; 値=".azurefunctions"
パラメーター バインド(Out-Default): 名前="InputObject"; 値=".DataGrip2016.2"
パラメーター バインド(Out-Default): 名前="InputObject"; 値=".dnx"
パラメーター バインド(Out-Default): 名前="InputObject"; 値=".LSC"
パラメーター バインド(Out-Default): 名前="InputObject"; 値=".nuget"
パラメーター バインド(Out-Default): 名前="InputObject"; 値=".QtWebEngineProcess"
パラメーター バインド(Out-Default): 名前="InputObject"; 値=".vscode"
パラメーター バインド(Out-Default): 名前="InputObject"; 値="Contacts"
パラメーター バインド(Out-Default): 名前="InputObject"; 値="Desktop"
パラメーター バインド(Out-Default): 名前="InputObject"; 値="Documents"
~~~~~~

以上のように実行されたコマンドと一部の出力などイベントログ形式で取得が可能となります。
最低限、このポリシーを有効にすることをオススメします。

PowerShellスクリプトブロックのログ記録

モジュールのロギングと同様にグループポリシー [ユーザーの構成>管理用テンプレート>Windows PowerShell]を開きます。
「PowerShell スクリプト ブロックのログ記録を有効にする」を開き「有効」変更します。

このポリシー設定を使用して、すべての PowerShell スクリプト入力を Microsoft-Windows-PowerShell/操作イベント ログに記録することができます。
このポリシー設定を有効にした場合、Windows PowerShell のコマンド処理、スクリプト ブロック、関数、スクリプトが記録されます。
対話的に呼び出された場合も、自動的に呼び出された場合もすべて記録されます。

[Get-Command -Module Azure]を実行すると、実行したコマンドと、コマンドが実行されたときに利用されたスクリプトなどがすべて記載されます。
イベントログを確認します。

コマンド記録

Scriptblock テキストを作成しています (1 個中 1 個目):
Get-Command -Module Azure

ScriptBlock ID: c96cd900-dc7a-4433-ada7-18992d64c57e
パス: 

更に、コマンドのモジュールが記載されます(一部)。

Scriptblock テキストを作成しています (1 個中 1 個目):
#
# Module manifest for module 'Azure'
#
# Generated by: Microsoft Corporation
#
# Generated on: 5/23/2012
#

@{

# Version number of this module.
ModuleVersion = '2.0.1'

# ID used to uniquely identify this module
GUID = 'D48CF693-4125-4D2D-8790-1514F44CE325'

# Author of this module
Author = 'Microsoft Corporation'

# Company or vendor of this module
CompanyName = 'Microsoft Corporation'

# Copyright statement for this module
Copyright = 'Microsoft Corporation. All rights reserved.'  

# Description of the functionality provided by this module
Description = 'Microsoft Azure PowerShell - Service Management'

# Minimum version of the Windows PowerShell engine required by this module
PowerShellVersion = '3.0'

# Name of the Windows PowerShell host required by this module
PowerShellHostName = ''

# Minimum version of the Windows PowerShell host required by this module
PowerShellHostVersion = ''

# Minimum version of the .NET Framework required by this module
DotNetFrameworkVersion = '4.0'

# Minimum version of the common language runtime (CLR) required by this module
CLRVersion='4.0'

# Processor architecture (None, X86, Amd64, IA64) required by this module
ProcessorArchitecture = 'None'

# Modules that must be imported into the global environment prior to importing this module
RequiredModules = @( @{ ModuleName = 'Azure.Storage'; ModuleVersion = '2.0.1'})

# Assemblies that must be loaded prior to importing this module
RequiredAssemblies = @()

# Script files (.ps1) that are run in the caller's environment prior to importing this module
ScriptsToProcess = @()

# Type files (.ps1xml) to be loaded when importing this module
TypesToProcess = @(
    '.\Services\Microsoft.WindowsAzure.Commands.Websites.Types.ps1xml',
    '.\Sql\Microsoft.WindowsAzure.Commands.SqlDatabase.Types.ps1xml',
    '.\StorSimple\Microsoft.WindowsAzure.Commands.StorSimple.Types.ps1xml'
)


# Format files (.ps1xml) to be loaded when importing this module
FormatsToProcess = @(
    '.\Services\Microsoft.WindowsAzure.Commands.Websites.format.ps1xml',
    '.\Services\Microsoft.WindowsAzure.Commands.CloudService.format.ps1xml',
    '.\Services\Microsoft.WindowsAzure.Commands.ServiceBus.format.ps1xml',
    '.\Services\Microsoft.WindowsAzure.Commands.Store.format.ps1xml',
    '.\Services\Microsoft.WindowsAzure.Commands.Scheduler.format.ps1xml',
    '.\Compute\Microsoft.WindowsAzure.Commands.ServiceManagement.format.ps1xml',
    '.\Services\Microsoft.WindowsAzure.Commands.Profile.format.ps1xml',
    '.\Networking\Microsoft.WindowsAzure.Commands.ServiceManagement.Network.format.ps1xml',
    '.\StorSimple\Microsoft.WindowsAzure.Commands.StorSimple.format.ps1xml'
)

# Modules to import as nested modules of the module specified in ModuleToProcess
NestedModules = '.\Automation\Microsoft.Azure.Commands.Automation.dll',
                '.\Compute\Microsoft.WindowsAzure.Commands.ServiceManagement.dll',
                '.\HDInsight\Microsoft.WindowsAzure.Commands.HDInsight.dll',
                '.\ManagedCache\Microsoft.Azure.Commands.ManagedCache.dll',
                '.\Networking\Microsoft.WindowsAzure.Commands.ServiceManagement.Network.dll',
                '.\RecoveryServices\Microsoft.Azure.Commands.RecoveryServicesRdfe.dll',
                '.\RemoteApp\Microsoft.WindowsAzure.Commands.RemoteApp.dll',
                '.\Services\Microsoft.WindowsAzure.Commands.dll',
                '.\Services\Microsoft.WindowsAzure.Commands.Profile.dll',
                '.\Sql\Microsoft.WindowsAzure.Commands.SqlDatabase.dll',
                '.\StorSimple\Microsoft.WindowsAzure.Commands.StorSimple.dll',
                '.\TrafficManager\Microsoft.WindowsAzure.Commands.TrafficManager.dll'

# Functions to export from this module
FunctionsToExport = '*'

# Cmdlets to export from this module
CmdletsToExport = '*'

# Variables to export from this module
VariablesToExport = '*'

# Aliases to export from this module
AliasesToExport = @(
'Add-WAPackEnvironment',
'Disable-WAPackWebsiteApplicationDiagnostic'
'Enable-WAPackWebsiteApplicationDiagnositc'
'Get-WAPackEnvironment',
'Get-WAPackPublishSettingsFile',
'Get-WAPackSBLocation',
'Get-WAPackSBNamespace',
'Get-WAPackSubscription',
'Get-WAPackWebsite',
'Get-WAPackWebsiteDeployment',
'Get-WAPackWebsiteLocation',
'Get-WAPackWebsiteLog',
'Import-WAPackPublishSettingsFile',
'New-WAPackSBNamespace',
'New-WAPackWebsite',
'Remove-WAPackEnvironment',
'Remove-WAPackSBNamespace',
'Remove-WAPackSubscription',
'Remove-WAPackWebsite',
'Restart-WAPackWebsite',
'Restore-WAPackWebsiteDeployment',
'Save-WAPackWebsiteLog',
~~~~~~~

以上のようにログの取得ができます。
ただし、実行結果(標準出力など)を記録することができません。

PowerShellトランスクリプション

これまで、PowerShell4.0 ではTranscript の機能は利用できました。

Start-Transcript

上記のコマンドで実行ログの出力ができます。
ですが、ご丁寧にコマンドを実行するマルウェアは存在しません(きっと)。

そこで、PowerShell5.0以降ではグループポリシーで設定するころで解決します。
グループポリシー [ユーザーの構成>管理用テンプレート>Windows PowerShell]を開きます。
「PowerShell トランスクリプションを有効にする」を開き「有効」変更します。
また、出力先を入力します。

解説にも記載されているがイベントログではなく、テキストへの出力となります。

このポリシー設定を使用して、Windows PowerShell コマンドの入出力をテキスト ベースのトランスクリプトとしてキャプチャできます。
このポリシー設定を有効にした場合、Windows PowerShell、Windows PowerShell ISE、さらに Windows PowerShell エンジンを利用するすべての
アプリケーションに対して、トランスクリプトの作成が有効になります。既定では、各ユーザーのマイ ドキュメント ディレクトリにトランスクリプト出力が
記録されます。記録されるファイルの名前は、’PowerShell_transcript’ にコンピューター名と開始日時が付加された形式になります。このポリシーを
有効にすることは、各 Windows PowerShell セッションで Start-Transcript コマンドレットを呼び出すことと同じです。

出力されるログは「PowerShell_transcript.マシン名.ランダム英数字.20170124132441」の形式で保存されます。

ログには実行された内容がそのまま記載されます。

**********************
Windows PowerShell トランスクリプト開始
開始時刻: 20170124160909
ユーザー名: xxxxxxx
RunAs ユーザー: xxxxxxxxx
コンピューター: xxxxxxxxxx (Microsoft Windows NT 10.0.14393.0)
ホスト アプリケーション: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
プロセス ID: 2596
PSVersion: 5.1.14393.693
PSEdition: Desktop
PSCompatibleVersions: 1.0, 2.0, 3.0, 4.0, 5.0, 5.1.14393.693
BuildVersion: 10.0.14393.693
CLRVersion: 4.0.30319.42000
WSManStackVersion: 3.0
PSRemotingProtocolVersion: 2.3
SerializationVersion: 1.1.0.1
**********************
PS C:\Users\kudo> Get-Command -Module Azure

CommandType     Name                                               Version    Source
-----------     ----                                               -------    ------
Alias           Add-WAPackEnvironment                              2.0.1      Azure
Alias           Confirm-SSLegacyVolumeContainerStatus              2.0.1      Azure
Alias           Disable-WAPackWebsiteApplicationDiagnostic         2.0.1      Azure
Alias           Enable-WAPackWebsiteApplicationDiagnositc          2.0.1      Azure
Alias           Get-SSAccessControlRecord                          2.0.1      Azure
Alias           Get-SSDevice                                       2.0.1      Azure
Alias           Get-SSDeviceBackup                                 2.0.1      Azure
Alias           Get-SSDeviceBackupPolicy                           2.0.1      Azure
Alias           Get-SSDeviceConnectedInitiator                     2.0.1      Azure
~~~~~~

以上のようにテキストで出力されます。
ただし、プロセス(?)ごとにファイルが分かれてしまいます。
テキストなので加工、一括管理し易いかと思います。

まとめ

PowerShellのロギングについて3つ解説しました。3つとも有効にしてログを取得するのがベストだと思います。
最低限でも「モジュールログの取得」を行うことで、監査ログを取得し、いざというときに備えましょう。皆さんLinuxではやってるので、Windowsでも行いましょう。

また、Operations Management Suiteなどでイベントログを一括収集することでログ運用が楽になるかと思います。 Linuxに対応できるのでOS関係なく一括管理できるので利用してみてはいかがでしょうか。

ではでは

元記事はこちら

PowerShellの実行ログを取得する方法について。最低限やっておいた方が良いこと。