วิธีตรวจสอบ Security Logs บน Windows Server 2025 เพื่อค้นหาการโจมตีและความผิดปกติก่อนเกิดความเสียหาย

Security Logs เป็นแหล่งข้อมูลที่สำคัญที่สุดแหล่งหนึ่งของ Windows Server 2025 เพราะเป็นที่เก็บเหตุการณ์ด้านความปลอดภัยทั้งหมด ไม่ว่าจะเป็นการ Login, การเปลี่ยนสิทธิ์, การเข้าถึงไฟล์, การใช้งาน Administrator หรือความพยายามโจมตีระบบ

ในหลายเหตุการณ์ด้าน Cybersecurity ผู้โจมตีได้ทิ้งร่องรอยไว้ใน Security Logs ก่อนเกิดความเสียหายจริงหลายวันหรือหลายสัปดาห์ แต่หลายองค์กรไม่เคยตรวจสอบ Log เหล่านี้เลย

หากต้องการสร้างระบบ Security Monitoring ที่มีประสิทธิภาพ การตรวจสอบ Security Logs อย่างสม่ำเสมอถือเป็นพื้นฐานที่ขาดไม่ได้

① Security Logs คืออะไร

Security Logs คือบันทึกเหตุการณ์ด้านความปลอดภัยของ Windows

ข้อมูลที่ถูกบันทึก เช่น

• Login สำเร็จ
• Login ล้มเหลว
• การใช้สิทธิ์ Administrator
• การเปลี่ยน Policy
• การเข้าถึงไฟล์
• การสร้าง User
• การลบ User
• การเปลี่ยน Group Membership

ข้อมูลทั้งหมดถูกจัดเก็บภายใน Event Viewer

② ทำไม Security Logs จึงสำคัญ

ประโยชน์หลัก

• ตรวจจับการโจมตี
• สืบสวนเหตุการณ์ย้อนหลัง
• ตรวจสอบการใช้งาน Administrator
• ตรวจสอบ Insider Threat
• รองรับ Compliance

Security Logs มักเป็นจุดเริ่มต้นของทุกการสืบสวนด้าน Cybersecurity

③ วิธีเปิด Security Logs

เปิด

eventvwr.msc

ไปที่

Windows Logs
 └ Security

นี่คือพื้นที่หลักสำหรับการตรวจสอบเหตุการณ์ด้านความปลอดภัย

④ Event ID สำคัญที่ควรรู้

Login สำเร็จ

4624

Login ล้มเหลว

4625

Logout

4634

สิทธิ์ระดับสูง

4672

เข้าถึงไฟล์

4663

ลบไฟล์

4660

สร้าง User

4720

ลบ User

4726

⑤ วิธีกรอง Security Logs

ใน Event Viewer

เลือก

Filter Current Log

ตัวอย่าง

4624,4625,4672

ช่วยให้วิเคราะห์ข้อมูลได้ง่ายขึ้น

⑥ วิธีค้นหา Login ที่ล้มเหลว

ค้นหา

4625

ข้อมูลสำคัญ

• Username
• Source IP
• เวลา
• สาเหตุที่ล้มเหลว

เหมาะสำหรับตรวจจับ Brute Force Attack

⑦ วิธีค้นหา Administrator Activity

ค้นหา

4672

เหตุการณ์นี้แสดงว่า

มีการ Login ด้วยสิทธิ์ระดับสูง

เช่น

• Domain Admin
• Enterprise Admin
• Local Administrator

ควรตรวจสอบทุกวัน

⑧ วิธีค้นหาการเข้าถึงไฟล์

ค้นหา

4663

ใช้ตรวจสอบ

• เปิดไฟล์
• แก้ไขไฟล์
• ลบไฟล์

มีประโยชน์มากสำหรับ File Server

⑨ วิธีตรวจสอบการสร้าง User ใหม่

ค้นหา

4720

ข้อมูลนี้สำคัญมาก

เพราะผู้โจมตีมักสร้างบัญชีใหม่เพื่อรักษาการเข้าถึงระบบ

⑩ วิธีตรวจสอบการเปลี่ยนสิทธิ์

Event สำคัญ

4732
4733
4728
4729

ใช้ตรวจสอบ

• เพิ่มสมาชิกกลุ่ม
• ลบสมาชิกกลุ่ม
• เพิ่มสิทธิ์ Administrator

⑪ วิธีตรวจสอบ Source IP

ภายใน Event

ตรวจสอบ

Source Network Address

ตัวอย่าง

192.168.10.50

ช่วยระบุที่มาของการเชื่อมต่อ

⑫ วิธี Export Security Logs

ผ่าน PowerShell

wevtutil epl Security C:\Logs\Security.evtx

เหมาะสำหรับ

• เก็บหลักฐาน
• วิเคราะห์ภายนอก
• ส่งให้ทีม Security

⑬ วิธีใช้ PowerShell อ่าน Security Logs

ดู Event ล่าสุด

Get-EventLog -LogName Security -Newest 20

ดู Event เฉพาะ

Get-WinEvent -LogName Security

เหมาะสำหรับ Automation และ Monitoring

⑭ สัญญาณอันตรายที่ควรรีบตรวจสอบ

ตัวอย่าง

• Login ล้มเหลวจำนวนมาก
• Administrator Login นอกเวลางาน
• User ใหม่ถูกสร้างขึ้น
• ลบไฟล์จำนวนมาก
• เปลี่ยนสิทธิ์กลุ่มสำคัญ

หากพบเหตุการณ์เหล่านี้ ควรวิเคราะห์ทันที

⑮ ข้อผิดพลาดที่พบบ่อย

Log เต็มแล้วไม่รู้ตัว

ข้อมูลเก่าอาจถูกลบ

เปิด Audit ไม่ครบ

ทำให้ข้อมูลหาย

ไม่เก็บ Log ส่วนกลาง

เสี่ยงต่อการสูญหาย

ไม่ตั้ง Alert

ทำให้ตอบสนองช้า

⑯ Security Logs กับ SIEM

องค์กรขนาดใหญ่ควรส่ง Security Logs ไปยัง

• Microsoft Sentinel
• Splunk
• QRadar
• ELK Stack

เพื่อทำ

• Correlation
• Alert
• Threat Detection

แบบอัตโนมัติ

⑰ Best Practice สำหรับองค์กร

• ตรวจสอบ Security Logs ทุกวัน
• เปิด Audit Policies ให้ครบ
• เก็บ Log อย่างน้อย 90 วัน
• ส่ง Log ไป SIEM
• สร้าง Alert สำหรับ Event สำคัญ
• ตรวจสอบ Event 4625 และ 4672 เป็นประจำ

ทีมงาน comsiam มักเริ่มการวิเคราะห์เหตุการณ์ด้าน Security จาก Security Logs ก่อนเสมอ เพราะเป็นแหล่งข้อมูลที่ละเอียดและเชื่อถือได้ที่สุดบน Windows Server

หลายองค์กรที่ comsiam ดูแลสามารถตรวจพบการโจมตีตั้งแต่ระยะเริ่มต้นเพียงเพราะมีการตรวจสอบ Security Logs อย่างสม่ำเสมอ

⑱ FAQ

Security Logs เก็บข้อมูลอะไรบ้าง

ข้อมูลด้านความปลอดภัยทั้งหมดของระบบ

ควรตรวจสอบบ่อยแค่ไหน

ทุกวัน

Event ID สำคัญที่สุดคืออะไร

4624, 4625, 4672 และ 4663

จำเป็นต้องใช้ SIEM หรือไม่

สำหรับองค์กรขนาดใหญ่ แนะนำอย่างยิ่ง

⑲ สรุป

Security Logs เป็นหัวใจของการตรวจสอบความปลอดภัยบน Windows Server 2025 ช่วยให้ผู้ดูแลระบบสามารถติดตามกิจกรรมของผู้ใช้งาน ตรวจจับการโจมตี และวิเคราะห์เหตุการณ์ย้อนหลังได้อย่างมีประสิทธิภาพ การตรวจสอบ Security Logs อย่างสม่ำเสมอช่วยให้องค์กรสามารถตอบสนองต่อภัยคุกคามได้รวดเร็วก่อนเกิดความเสียหายร้ายแรง

⑳ คำถามชวนคิด

หากมีผู้โจมตีเข้ามาในระบบของคุณตั้งแต่สัปดาห์ที่แล้ว วันนี้คุณมีข้อมูลเพียงพอใน Security Logs หรือไม่ที่จะบอกได้ว่าเขาเข้ามาเมื่อไร ทำอะไรบ้าง และออกจากระบบไปหรือยัง?