วิธีเปิด Audit Log บน IIS Windows Server 2022 เพื่อตรวจสอบเหตุการณ์ด้านความปลอดภัย
เมื่อเกิดเหตุการณ์ผิดปกติ เช่น เว็บไซต์ถูกแฮ็ก, มีการพยายาม Login จำนวนมาก, ไฟล์ถูกแก้ไขโดยไม่ทราบสาเหตุ หรือมีผู้ใช้งานเข้าถึงข้อมูลสำคัญโดยไม่ได้รับอนุญาต สิ่งแรกที่ผู้ดูแลระบบต้องใช้ในการวิเคราะห์คือ Log
ปัญหาคือหลายองค์กรมี IIS Log แต่ไม่มี Audit Log ทำให้ไม่สามารถตอบคำถามสำคัญได้ เช่น
ใครเป็นคนแก้ไขไฟล์
ใครลบโฟลเดอร์
ใครเปลี่ยน Permission
ใคร Login เข้า Server
ใครพยายามเข้าถึงข้อมูลสำคัญ
Windows Server 2022 มีระบบ Audit Logging ที่ช่วยบันทึกเหตุการณ์เหล่านี้อย่างละเอียด และเป็นหนึ่งในข้อกำหนดสำคัญของมาตรฐานด้าน Security และ Compliance
บทความนี้จะอธิบายวิธีเปิด Audit Log สำหรับ IIS และ Windows Server 2022 อย่างครบถ้วน
🔐 Audit Log คืออะไร
Audit Log คือ
ระบบบันทึกเหตุการณ์ด้านความปลอดภัย
ตัวอย่าง
Login
Logout
File Access
Permission Change
Account Change
Policy Change
🎯 ทำไม Audit Log จึงสำคัญ
🔍 วิเคราะห์เหตุการณ์ย้อนหลัง
🔍 ตรวจสอบการโจมตี
🔍 ผ่าน Compliance Audit
🔍 ตรวจสอบผู้ดูแลระบบ
🔍 ตรวจจับ Insider Threat
📋 ประเภท Audit ที่ควรเปิด
Account Logon
Logon/Logoff
Object Access
Policy Change
Privilege Use
System Events
🚀 วิธีเปิด Audit Policy
เปิด
Local Security Policy
หรือ
secpol.msc
ไปที่
Security Settings
เลือก
Local Policies
เลือก
Audit Policy
🔒 เปิด Audit Logon Events
ดับเบิลคลิก
Audit Logon Events
เลือก
Success
และ
Failure
🔒 เปิด Audit Account Logon
เลือก
Audit Account Logon Events
เปิด
Success
Failure
🔒 เปิด Audit Object Access
เลือก
Audit Object Access
เปิด
Success
Failure
ใช้สำหรับติดตาม
การเข้าถึงไฟล์
🔒 เปิด Audit Policy Change
เลือก
Audit Policy Change
เปิด
Success
Failure
ตรวจสอบการเปลี่ยนนโยบาย
🔒 เปิด Audit Privilege Use
เลือก
Audit Privilege Use
เปิด
Success
Failure
ติดตามการใช้สิทธิ์พิเศษ
🚀 เปิด File Auditing
คลิกขวา
โฟลเดอร์เว็บไซต์
เลือก
Properties
เลือก
Security
เลือก
Advanced
เลือก
Auditing
เพิ่มผู้ใช้
Everyone
เลือก
Read
Write
Delete
Modify
ตามที่ต้องการตรวจสอบ
🔍 ดู Audit Log
เปิด
eventvwr.msc
ไปที่
Windows Logs
เลือก
Security
จะพบ Event จำนวนมาก
📊 Event ID ที่ควรรู้
4624
Successful Logon
4625
Failed Logon
4634
Logoff
4672
Admin Privilege Assigned
4663
File Access
⚡ ดู Log ผ่าน PowerShell
Logon สำเร็จ
Get-WinEvent `
-LogName Security
ค้นหา Event ID
4624
📁 Audit สำหรับ IIS
ตำแหน่ง Log
C:\inetpub\logs\LogFiles
ควรเก็บข้อมูล
Client IP
URL
Method
Status Code
User Agent
🔍 ตรวจสอบการแก้ไขไฟล์เว็บไซต์
หากเปิด
Object Access
ไว้
Event Viewer
จะบันทึก
Create
Delete
Modify
ของไฟล์
⚠️ ข้อควรระวัง
Log โตเร็วมาก
ใช้พื้นที่ Disk เพิ่มขึ้น
ต้องมี Log Retention Policy
ต้องมี Backup Log
❌ ความเข้าใจผิดที่พบบ่อย
มี IIS Log ก็พอแล้ว
❌ ไม่จริง
Audit Log ใช้เฉพาะองค์กรใหญ่
❌ ไม่จริง
Antivirus แทน Audit Log ได้
❌ ไม่ได้
📋 Audit Logging Checklist
✅ Logon Events
✅ Account Logon
✅ Object Access
✅ Policy Change
✅ Privilege Use
✅ IIS Logs
✅ Log Backup
✅ Log Review
🛡️ Best Practices
① เปิด Audit เฉพาะที่จำเป็น
② สำรอง Log สม่ำเสมอ
③ จำกัดสิทธิ์เข้าถึง Log
④ ตรวจสอบ Event สำคัญทุกวัน
⑤ ใช้ SIEM หากมีหลาย Server
⑥ กำหนด Log Retention Policy
⑦ ทดสอบ Incident Response เป็นประจำ
ทีมงาน comsiam มักเปิด Audit Log ทั้งระดับ Windows Server และ IIS ในระบบ Production ทุกเครื่อง เพื่อให้สามารถตรวจสอบเหตุการณ์ย้อนหลัง วิเคราะห์สาเหตุของปัญหา และใช้เป็นหลักฐานด้านความปลอดภัยเมื่อเกิดเหตุการณ์ผิดปกติ
🎯 สรุป
Audit Log เป็นหนึ่งในเครื่องมือสำคัญที่สุดสำหรับการรักษาความปลอดภัยบน IIS Windows Server 2022 เพราะช่วยบันทึกการ Login, การเข้าถึงไฟล์, การเปลี่ยนแปลงระบบ และเหตุการณ์ด้าน Security ต่าง ๆ อย่างละเอียด
การเปิดใช้งาน Audit Log ร่วมกับ IIS Logging, Monitoring และการสำรองข้อมูล Log อย่างเหมาะสม จะช่วยให้ผู้ดูแลระบบสามารถตรวจจับ วิเคราะห์ และตอบสนองต่อเหตุการณ์ด้านความปลอดภัยได้อย่างมีประสิทธิภาพ พร้อมรองรับข้อกำหนดด้าน Compliance และการตรวจสอบในระดับองค์กร