windows serverのイベントログ暗号化

いま、手元にWindows ServerがないのでWindows 10で確認しました。(2016と2019はWindows 10の特定バージョンと基本は同じです。)

各イベントログの実態はレジストリ「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog」配下の各キーの「File」の値で確認できます。アプリケーションログなら"%SystemRoot%\system32\winevt\Logs\Application.evtx"になります。このevtxファイルは別のPCに持って行って、イベントビュワーで閲覧できます(ただ、アプリケーション名とかはそのPCのレジストリに保存された値を参照するため、同じソフトが入っていないとクラスIDになる場合があります)。また、バイナリエディタで開けば、ログの説明文に書かれた文字も確認できます(エンコードはUTF16と思われます)。

よって、イベントログの実体のファイルとしては暗号化はされていません。ただ、物理的なディスク上ではどうなるかになると、そうとは限りません。BitLocker等でドライブ全体を暗号化していたり、PCサーバーの機能でディスク自体を暗号化していたりする場合は、Windows上でのファイルとしては暗号化されていなくても、物理的な情報としては暗号化されていることになります。

結論: OS上から見たファイルとしては暗号化されていないが、全体を暗号化する仕組みなどを導入している場合は、物理的には暗号化されている。