วิธีตรวจสอบ Security Log บน Windows Server 2022 เพื่อค้นหาความผิดปกติของระบบ

 Security Log เป็นหนึ่งในแหล่งข้อมูลที่สำคัญที่สุดสำหรับผู้ดูแลระบบ Windows Server 2022 เพราะใช้บันทึกเหตุการณ์ด้านความปลอดภัยทั้งหมดที่เกิดขึ้นในระบบ ไม่ว่าจะเป็นการ Login, การเปลี่ยนสิทธิ์ผู้ใช้, การสร้างบัญชีใหม่ หรือความพยายามในการโจมตีจากภายนอก

หลายองค์กรติดตั้งระบบป้องกันจำนวนมาก แต่กลับไม่ตรวจสอบ Security Log ทำให้ไม่ทราบว่ากำลังถูกโจมตีอยู่ หรือมีผู้ใช้งานที่กระทำผิดนโยบายภายในองค์กร

บทความนี้จะสอนวิธีตรวจสอบ Security Log บน Windows Server 2022 อย่างละเอียด พร้อม Event ID สำคัญที่ผู้ดูแลระบบควรรู้

🔍 Security Log คืออะไร

Security Log คือบันทึกเหตุการณ์ด้านความปลอดภัยของ Windows

ข้อมูลที่บันทึก เช่น

  • Login Success

  • Login Failed

  • Password Change

  • User Creation

  • Account Lockout

  • Privilege Escalation

ข้อมูลเหล่านี้มีความสำคัญต่อการตรวจสอบความปลอดภัยขององค์กร

🛡️ ทำไมต้องตรวจสอบ Security Log

ช่วยให้สามารถ

✅ ตรวจจับการโจมตี

✅ ตรวจสอบการ Login

✅ วิเคราะห์เหตุการณ์ย้อนหลัง

✅ ตรวจสอบการเปลี่ยนสิทธิ์

✅ ตรวจสอบกิจกรรมผู้ใช้งาน

เป็นพื้นฐานของ Security Monitoring

🚀 วิธีเปิด Security Log

กด

Windows + R

พิมพ์

eventvwr.msc

กด Enter

📂 ไปยัง Security Log

เลือก

Windows Logs

จากนั้น

Security

จะเห็นรายการ Event ทั้งหมด

🔎 วิธีกรอง Event

คลิก

Filter Current Log

สามารถกรองตาม

  • Event ID

  • Date

  • User

  • Computer

ช่วยให้ค้นหาข้อมูลได้รวดเร็วขึ้น

👤 Event ID 4624 — Login Success

หมายถึง

Successful Logon

มีผู้ใช้งานเข้าสู่ระบบสำเร็จ

ควรตรวจสอบ

  • เวลา

  • Username

  • Source IP

เพื่อยืนยันว่าเป็นผู้ใช้งานจริง

🚨 Event ID 4625 — Login Failed

หมายถึง

Failed Logon

มีการ Login ไม่สำเร็จ

หากเกิดจำนวนมาก

อาจเป็น

  • Brute Force Attack

  • Password Spray

  • User ใส่รหัสผิด

🔒 Event ID 4740 — Account Locked

หมายถึง

Account Locked Out

บัญชีถูกล็อกจากการใส่รหัสผิดหลายครั้ง

หากเกิดบ่อย

ควรตรวจสอบต้นทางทันที

🔑 Event ID 4723 — Password Change

หมายถึง

Password Changed

มีการเปลี่ยนรหัสผ่านบัญชีผู้ใช้

ควรตรวจสอบว่าผู้ใช้งานเป็นผู้ดำเนินการเองหรือไม่

👥 Event ID 4720 — User Created

หมายถึง

User Account Created

มีการสร้างบัญชีใหม่ในระบบ

หากไม่ได้รับอนุญาต

อาจเป็นสัญญาณของการถูกยึดระบบ

❌ Event ID 4726 — User Deleted

หมายถึง

User Account Deleted

มีการลบบัญชีผู้ใช้ออกจากระบบ

ควรตรวจสอบทุกครั้ง

🔥 Event ID 4732 — Added to Security Group

หมายถึง

User Added to Group

โดยเฉพาะหากถูกเพิ่มเข้า

Administrators

หรือ

Domain Admins

ควรตรวจสอบทันที

⚙️ Event ID 4719 — Audit Policy Changed

หมายถึง

Audit Policy Changed

มีการแก้ไขนโยบายการบันทึก Log

อาจเป็นความพยายามปกปิดร่องรอย

🔐 Event ID 4672 — Special Privileges Assigned

หมายถึง

Administrator Privileges Used

มีการใช้สิทธิ์ระดับสูง

ควรตรวจสอบกิจกรรมที่ตามมา

🌐 ตรวจสอบ Source IP

Event หลายรายการจะแสดง

Source Network Address

ช่วยระบุว่า

  • ใครเชื่อมต่อ

  • มาจากที่ใด

มีประโยชน์มากในการวิเคราะห์เหตุการณ์

📊 วิธี Export Security Log

คลิก

Save All Events As

สามารถบันทึกเป็น

.evtx

เพื่อนำไปวิเคราะห์ภายหลัง

💾 ตั้งค่า Log Size

คลิก

Properties

กำหนด

Maximum Log Size

ให้เหมาะสม

เช่น

1 GB
2 GB
4 GB

สำหรับองค์กร

🔄 เปิด Log Retention

เลือก

Archive the Log When Full

เพื่อป้องกันข้อมูลสำคัญถูกเขียนทับ

🏢 Security Log บน Domain Controller

Domain Controller ควรตรวจสอบ

  • Login Event

  • User Creation

  • Group Membership Change

  • Password Reset

เป็นประจำ

📁 Security Log บน File Server

ควรติดตาม

  • File Access

  • Delete File

  • Modify File

  • Shared Folder Activity

โดยเฉพาะข้อมูลสำคัญ

☁️ Security Log กับ SIEM

องค์กรขนาดใหญ่ควรส่ง Log ไปยัง

  • Microsoft Sentinel

  • Splunk

  • QRadar

  • Elastic SIEM

เพื่อวิเคราะห์เหตุการณ์แบบรวมศูนย์

🚨 สัญญาณอันตรายใน Security Log

หากพบ

  • Login Failed หลายร้อยครั้ง

  • User ใหม่ถูกสร้างเอง

  • เพิ่ม Domain Admin โดยไม่ทราบสาเหตุ

  • Password Reset จำนวนมาก

ควรตรวจสอบทันที

📋 Security Checklist

ตรวจสอบให้ครบ

✅ Security Log Enabled

✅ Audit Policy Enabled

✅ Log Retention Enabled

✅ Event ID Reviewed

✅ Log Size Configured

✅ Backup Log Available

🏢 แนวทางสำหรับองค์กร

Microsoft แนะนำ

  • ตรวจสอบ Security Log ทุกวัน

  • เปิด Advanced Audit Policy

  • เก็บ Log ระยะยาว

  • ใช้ SIEM

เพื่อเพิ่มประสิทธิภาพการตรวจจับภัยคุกคาม

ทีมดูแลระบบของ comsiam มักตรวจสอบ Security Log บน Windows Server 2022 ทุกวัน โดยเน้น Event ID ที่เกี่ยวข้องกับ Login, Administrator Privilege และ Account Management เพื่อค้นหาความผิดปกติก่อนที่จะกลายเป็นปัญหาด้านความปลอดภัย

🚀 Security Best Practices

  1. เปิด Audit Policy

  2. ตรวจสอบ Security Log ทุกวัน

  3. กรอง Event สำคัญ

  4. ส่ง Log ไป SIEM

  5. เก็บ Log อย่างน้อย 90 วัน

  6. วิเคราะห์ Login ผิดปกติสม่ำเสมอ

สรุป

Security Log เป็นเครื่องมือสำคัญสำหรับการติดตามและวิเคราะห์เหตุการณ์ด้านความปลอดภัยบน Windows Server 2022 โดยช่วยให้ผู้ดูแลระบบสามารถตรวจพบการโจมตี การเปลี่ยนแปลงสิทธิ์ และกิจกรรมที่ผิดปกติได้อย่างรวดเร็ว

สำหรับองค์กรและผู้ดูแลระบบของ comsiam การตรวจสอบ Security Log อย่างสม่ำเสมอถือเป็นส่วนสำคัญของ Security Hardening และช่วยลดความเสี่ยงจากภัยคุกคามทางไซเบอร์ได้อย่างมีประสิทธิภาพ

Popular posts from this blog

Windows Server 2022 ยังน่าใช้ในปีนี้หรือไม่? คำตอบสำหรับคนกำลังวางระบบใหม่

 เมื่อมี Windows Server รุ่นใหม่ออกมา หลายคนเริ่มสงสัยว่า "Windows Server 2022 ยังน่าใช้หรือไม่?" "ควรติดตั้ง Windows Server 2022 หรือข้ามไปใช้รุ่นใหม่เลย?" คำถามนี้เกิดขึ้นบ่อยในองค์กรที่กำลังวางระบบใหม่ ซื้อ Server ใหม่ หรือมีแผนอัปเกรดจาก Windows Server รุ่นเก่า ความจริงคือ Windows Server 2022 ยังคงเป็นหนึ่งในระบบปฏิบัติการ Server ที่ได้รับความนิยมสูงมากทั่วโลก และยังถูกใช้งานในองค์กรทุกขนาดอย่างแพร่หลาย บทความนี้จะวิเคราะห์แบบตรงไปตรงมาว่า Windows Server 2022 ยังน่าใช้หรือไม่ในปัจจุบัน ① Windows Server 2022 ถือว่าเก่าหรือยัง? หากมองในโลก IT Windows Server 2022 ไม่ถือว่าเป็นระบบที่ล้าสมัย เหตุผลคือ ยังได้รับการอัปเดตความปลอดภัย ยังได้รับการสนับสนุนจาก Microsoft รองรับ Hardware รุ่นใหม่จำนวนมาก รองรับ Cloud และ Hybrid Cloud หลายองค์กรทั่วโลกยังคงติดตั้ง Windows Server 2022 เป็นระบบใหม่ในปัจจุบัน ดังนั้นคำว่า "เก่า" ยังไม่ใช่คำที่เหมาะกับ Server รุ่นนี้ ② ทำไมหลายองค์กรยังเลือก Windows Server 2022? สาเหตุหลักคือ ความเสถียร ผ่านการใช้งานจริงมาหลายปี Bug จำ...
Read more

สเปกเครื่องสำหรับติดตั้ง Windows Server 2022 เลือกอย่างไรให้คุ้มและใช้งานได้ยาว

 การเลือกสเปก Server เป็นหนึ่งในขั้นตอนที่สำคัญที่สุดก่อนติดตั้ง Windows Server 2022 หลายองค์กรซื้อเครื่องแรงเกินความจำเป็นจนเสียเงินจำนวนมาก ขณะที่บางองค์กรเลือกสเปกต่ำเกินไปจนระบบช้า ต้องอัปเกรดใหม่ภายในเวลาไม่นาน คำถามสำคัญคือ "Windows Server 2022 ต้องใช้สเปกเครื่องแบบไหน?" คำตอบขึ้นอยู่กับลักษณะงาน จำนวนผู้ใช้ และแผนการเติบโตขององค์กร บทความนี้จะช่วยให้คุณเลือกสเปกได้เหมาะสมที่สุด ① สเปกขั้นต่ำของ Windows Server 2022 ตามข้อกำหนดขั้นต่ำของระบบ CPU 64-bit 1.4 GHz ขึ้นไป RAM 512 MB (Server Core) 2 GB (Desktop Experience) Storage 32 GB Network Gigabit Ethernet Adapter อย่างไรก็ตาม สเปกนี้มีไว้สำหรับการติดตั้งระบบเท่านั้น ไม่เหมาะกับการใช้งานจริง ② สเปกแนะนำสำหรับสำนักงานขนาดเล็ก เหมาะสำหรับ 5–20 ผู้ใช้ File Server Domain Controller DNS DHCP แนะนำ CPU Intel Xeon หรือ Intel Core รุ่นใหม่ 4–6 Core RAM 16 GB Storage SSD 500 GB Network Gigabit LAN เพียงพอสำหรับงานพื้นฐานขององค์กรขนาดเล็ก ③ สเปกแนะนำสำหรับ SME เหมาะสำหรับ 20–100 ผู้ใช้ รองรับ Active Directory File Server VPN Monito...
Read more

Windows Server 2022 คืออะไร? คู่มือสำหรับมือใหม่

Windows Server 2022 เป็นระบบปฏิบัติการสำหรับเซิร์ฟเวอร์ที่พัฒนาโดย Microsoft ออกแบบมาเพื่อใช้ในองค์กร ธุรกิจ โรงงาน ศูนย์ข้อมูล (Data Center) และหน่วยงานต่าง ๆ ที่ต้องการจัดการผู้ใช้งาน ไฟล์ข้อมูล ระบบเครือข่าย และแอปพลิเคชันจากส่วนกลางอย่างมีประสิทธิภาพ หากคุณเพิ่งเริ่มต้นศึกษาเรื่อง Server หรือกำลังมองหาระบบสำหรับบริษัท บทความนี้จะช่วยให้เข้าใจว่า Windows Server 2022 คืออะไร ใช้ทำอะไรได้บ้าง และเหมาะกับธุรกิจประเภทใด ① Windows Server 2022 คืออะไร? Windows Server 2022 คือระบบปฏิบัติการสำหรับเซิร์ฟเวอร์ (Server Operating System) ที่ต่อยอดจาก Windows Server 2019 โดยเพิ่มความปลอดภัย ประสิทธิภาพ และการรองรับระบบ Cloud และ Hybrid Cloud ให้ดียิ่งขึ้น หน้าที่หลักของ Windows Server คือการเป็นศูนย์กลางในการจัดการ ผู้ใช้งานภายในองค์กร ไฟล์และโฟลเดอร์ส่วนกลาง ระบบเครือข่าย เครื่องพิมพ์ ฐานข้อมูล เว็บไซต์ เครื่องเสมือน (Virtual Machine) ระบบสำรองข้อมูล กล่าวง่าย ๆ คือเป็น "หัวใจหลัก" ของระบบ IT ภายในองค์กร ② Windows Server 2022 ใช้ทำอะไรได้บ้าง? Windows Server 2022 สามารถทำงานได้หลากหลา...
Read more