4612 監査メッセージの欠落
監査メッセージを溜めるキューが埋まり、一部のイベントが破棄されたときに記録される。監査証跡に欠落が生じたことを示すサイン。
概要
サブカテゴリは Audit System Integrity。セキュリティイベントがディスクへ書き込まれる速度より速く生成され、キューがあふれて破棄が起きたときに発生する。破棄された件数がイベント内に含まれる。なお、イベントログサービスが停止しているときや、ログ満杯かつ上書き無効のときには発生しない(それらは別イベントで表れる)。
発生契機・方法
- 大量のセキュリティイベントが短時間に発生し、書き込みが追いつかないとき。
- ハードウェアの問題やメモリ(RAM)不足など、システム資源の逼迫。
セキュリティ上の確認事項
- イベントが落ちている=この間の証跡が不完全になるため、監視して原因を調べることが推奨される。
- 攻撃者が大量のイベントをわざと発生させ、重要な記録を欠落させて埋もれさせる使い方もありうる。直前に何が大量発生していたかを確認する。
ログレビュー時の注意観点
- 破棄が起きた時間帯は、その他のログが部分的に欠けている前提で読む。SIEM へ転送済みのデータと突き合わせて穴を補完する。
- 慢性的に出る場合は、監査ポリシーが過剰(記録対象が多すぎる)か、資源不足を疑い、チューニングする。
主なフィールド
| フィールド | 意味 |
|---|---|
| 破棄された監査メッセージ数 | あふれて捨てられたイベントの件数 |