{"id":13845073,"url":"https://github.com/Yamato-Security/WELA","last_synced_at":"2025-07-12T01:31:41.186Z","repository":{"id":281444479,"uuid":"945007299","full_name":"Yamato-Security/WELA","owner":"Yamato-Security","description":"Windows Event Log Auditor","archived":false,"fork":false,"pushed_at":"2025-07-02T20:14:26.000Z","size":6312,"stargazers_count":28,"open_issues_count":7,"forks_count":2,"subscribers_count":0,"default_branch":"main","last_synced_at":"2025-07-03T23:33:54.949Z","etag":null,"topics":[],"latest_commit_sha":null,"homepage":"","language":"PowerShell","has_issues":true,"has_wiki":null,"has_pages":null,"mirror_url":null,"source_name":null,"license":"mit","status":null,"scm":"git","pull_requests_enabled":true,"icon_url":"https://github.com/Yamato-Security.png","metadata":{"files":{"readme":"README-Japanese.md","changelog":"CHANGELOG-Japanese.md","contributing":null,"funding":null,"license":"LICENSE","code_of_conduct":null,"threat_model":null,"audit":null,"citation":null,"codeowners":null,"security":null,"support":null,"governance":null,"roadmap":null,"authors":null,"dei":null,"publiccode":null,"codemeta":null,"zenodo":null}},"created_at":"2025-03-08T12:47:54.000Z","updated_at":"2025-07-03T15:14:45.000Z","dependencies_parsed_at":null,"dependency_job_id":"eb7e02ff-8231-4dc5-aeb5-0befa4e0ecfa","html_url":"https://github.com/Yamato-Security/WELA","commit_stats":null,"previous_names":["yamato-security/wela"],"tags_count":1,"template":false,"template_full_name":null,"purl":"pkg:github/Yamato-Security/WELA","repository_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/Yamato-Security%2FWELA","tags_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/Yamato-Security%2FWELA/tags","releases_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/Yamato-Security%2FWELA/releases","manifests_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/Yamato-Security%2FWELA/manifests","owner_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/owners/Yamato-Security","download_url":"https://codeload.github.com/Yamato-Security/WELA/tar.gz/refs/heads/main","sbom_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/Yamato-Security%2FWELA/sbom","host":{"name":"GitHub","url":"https://github.com","kind":"github","repositories_count":264923080,"owners_count":23683716,"icon_url":"https://github.com/github.png","version":null,"created_at":"2022-05-30T11:31:42.601Z","updated_at":"2022-07-04T15:15:14.044Z","host_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub","repositories_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories","repository_names_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repository_names","owners_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/owners"}},"keywords":["analysis","dfir","event","forensics","hunting","incident","log","logs","response","sigma","threat","timeline","windows"],"created_at":"2024-08-04T17:03:09.788Z","updated_at":"2025-07-12T01:31:41.159Z","avatar_url":"https://github.com/Yamato-Security.png","language":"PowerShell","funding_links":[],"categories":["IR Tools Collection","PowerShell","Other Lists"],"sub_categories":["Log Analysis Tools","🛡️ DFIR:"],"readme":"\u003cdiv align=\"center\"\u003e\n \u003cp\u003e\n    \u003cimg alt=\"WELA Logo\" src=\"screenshots/WELA-Logo.png\" width=\"20%\"\u003e\n  \u003ch1\u003e\n   WELA (Windows Event Log Auditor) ゑ羅\n  \u003c/h1\u003e\n\u003cdiv align=\"center\"\u003e\n [ \u003ca href=\"README\"\u003eEnglish\u003c/a\u003e ] | [\u003cb\u003e日本語\u003c/b\u003e]\n\u003c/div\u003e\n \u003c/p\u003e\n\u003c/div\u003e\n\n---\n\n\u003cp align=\"center\"\u003e\n    \u003ca href=\"https://conference.auscert.org.au/speaker/fukusuke-takahashi/\"\u003e\u003cimg src=\"https://img.shields.io/badge/AUSCERT-2025-blue\"\u003e\u003c/a\u003e\n    \u003ca href=\"https://www.infosec-city.com/sin-25\"\u003e\u003cimg src=\"https://img.shields.io/badge/SINCON-2025-blue\"\u003e\u003c/a\u003e\n    \u003ca href=\"https://github.com/Yamato-Security/wela/commits/main/\"\u003e\u003cimg src=\"https://img.shields.io/github/commit-activity/t/Yamato-Security/wela/main\" /\u003e\u003c/a\u003e\n    \u003ca href=\"https://twitter.com/SecurityYamato\"\u003e\u003cimg src=\"https://img.shields.io/twitter/follow/SecurityYamato?style=social\"/\u003e\u003c/a\u003e\n\u003c/p\u003e\n\n\n# WELAについて\n**WELA（Windows Event Log Analyzer、ゑ羅）** は、Windowsイベントログの設定とログサイズを監査するツールです。\nWindowsイベントログは、DFIR（デジタルフォレンジックおよびインシデント対応）に不可欠な情報源であり、システムの動作やセキュリティイベントを可視化します。\n**しかし、デフォルト設定では、不十分なログサイズ、監査設定によって、脅威の検知漏れを引き起こす**可能性があります。\nWELAはこうした課題を洗い出し、Windowsイベントログ設定改善のための実用的な提案を行います。\nまた、**実際のSigmaルールの検知範囲に基づいてWindowsイベントログ設定を評価**し、現状の設定で何が検知できるかを把握できます。\n\n\n# 関連プロジェクト\n\n* [EnableWindowsLogSettings](https://github.com/Yamato-Security/EnableWindowsLogSettings) Yamato SecurityのWindowsイベントログ設定ガイド\n* [EventLog-Baseline-Guide](https://github.com/Yamato-Security/EventLog-Baseline-Guide) Sigmaルールと主要なガイドにおける検知ギャップを可視化するツール\n* [WELA-RulesGenerator](https://github.com/Yamato-Security/WELA-RulesGenerator) WELAのSigmaルール関連設定ファイルを生成するためのツール\n\n# 目次\n\n- [WELAについて](#welaについて)\n- [関連プロジェクト](#関連プロジェクト)\n- [目次](#目次)\n- [スクリーンショット](#スクリーンショット)\n  - [スタートアップ](#スタートアップ)\n  - [audit-settings (stdout)](#audit-settings-stdout)\n  - [audit-settings (gui)](#audit-settings-gui)\n  - [audit-settings (table)](#audit-settings-table)\n  - [audit-filesize](#audit-filesize)\n- [機能](#機能)\n- [前提要件](#前提要件)\n- [ダウンロード](#ダウンロード)\n- [WELAの実行](#welaの実行)\n- [コマンド一覧](#コマンド一覧)\n- [コマンド使用例](#コマンド使用例)\n  - [audit-settings](#audit-settings)\n      - [`audit-settings` command examples](#audit-settings-command-examples)\n  - [audit-filesize](#audit-filesize-1)\n      - [`audit-filesize` command examples](#audit-filesize-command-examples)\n  - [update-rules](#update-rules)\n      - [`update-rules` command examples](#update-rules-command-examples)\n- [Windowsイベントログの監査設定に関するその他の参考資料](#windowsイベントログの監査設定に関するその他の参考資料)\n- [貢献](#貢献)\n- [不具合の報告](#不具合の報告)\n- [ライセンス](#ライセンス)\n- [貢献者](#貢献者)\n- [謝辞](#謝辞)\n- [X](#x)\n\n# スクリーンショット\n\n## スタートアップ\n![WELA Startup](screenshots/startup.png)\n\n## audit-settings (stdout)\n![WELA Stdout](screenshots/stdout.png)\n## audit-settings (gui)\n![WELA GUI](screenshots/gui.png)\n\n## audit-settings (table)\n![WELA Table](screenshots/table.png)\n\n## audit-filesize\n![WELA FileSize](screenshots/filesize.png)\n\n# 機能\n- Windows Event Log Audit policyに対する評価\n- 主要なWindowsイベントログ監査設定ガイドに基づくチェック\n- Windows Event Logの監査設定を、実際のSigmaルールの検知範囲に基づいて評価\n- Windows Event Logのファイルサイズを監査し、推奨サイズを提案\n\n# 前提要件\n* PowerShell 5.1+\n* PowerShellをAdministrator権限で実行する\n\n# ダウンロード\n\n[リリースページ](https://github.com/Yamato-Security/wela/releases)から最新の安定版WELAをダウンロードしてください。\n\n# WELAの実行\n1.  [release zip file](https://github.com/Yamato-Security/wela/releases)を展開する。\n2. **Administrator権限**でPowerShellを開く。\n3. `./WELA.ps1 help`を実行する\n\n# コマンド一覧\n- `audit-settings`: Windowsイベントログ監査ポリシー設定を評価する\n- `audit-filesize`: Windowsイベントログファイルサイズを評価する\n- `update-rules`: WELAのSigmaルール設定ファイルを更新する\n\n# コマンド使用例\n## audit-settings\n`audit-settings`コマンドは、Windowsイベントログ監査ポリシー設定を評価し、[Yamato Security](https://github.com/Yamato-Security/EnableWindowsLogSettings)、[Microsoft(Sever/Client)](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations)、[Australian Signals Directorate (ASD)](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-monitoring/windows-event-logging-and-forwarding)の推奨設定と比較します。\nRuleCountは、そのカテゴリ内のイベントを検出できる[Sigmaルール](https://github.com/SigmaHQ/sigma)の数を示します。\n\n#### `audit-settings` command examples\nYamatoSecurityの推奨設定でチェックし、CSV形式で保存する:\n```\n./WELA.ps1 audit-settings\n```\n\nAustralian Signals Directorateの推奨設定でチェックし、CSV形式で保存する:\n```\n./WELA.ps1 audit-settings -BaseLine ASD\n```\n\nMicrosoftの推奨設定(Server)でチェックし、GUI形式で表示する:\n```\n./WELA.ps1 audit-settings -BaseLine Microsoft_Server -OutType gui\n```\n\nMicrosoftの推奨設定(Client)でチェックし、Table形式で表示する:\n```\n./WELA.ps1 audit-settings -BaseLine Microsoft_Client -OutType table\n```\n\n## audit-filesize\n`audit-filesize`コマンドは、Windowsイベントログファイルサイズを評価し、**Yamato Security**の推奨設定と比較します。\n\n#### `audit-filesize` command examples\nWindowsイベントログファイルサイズをYamatoSecurityの推奨設定でチェックし、CSV形式で保存する:\n```\n./WELA.ps1 audit-filesize\n```\n\n## update-rules\n#### `update-rules` command examples\nWELAのSigmaルール設定ファイルを更新する:\n```\n./WELA.ps1 update-rules\n```\n\n# Windowsイベントログの監査設定に関するその他の参考資料\n\n* [A Data-Driven Approach to Windows Advanced Audit Policy – What to Enable and Why](https://www.splunk.com/en_us/blog/security/windows-audit-policy-guide.html)\n* [Audit Policy Recommendations](https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/audit-policy-recommendations)\n* [Configure audit policies for Windows event logs](https://learn.microsoft.com/en-us/defender-for-identity/deploy/configure-windows-event-collection)\n* [EnableWindowsLogSettings](https://github.com/Yamato-Security/EnableWindowsLogSettings)\n* [Windows event logging and forwarding](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-monitoring/windows-event-logging-and-forwarding)\n* [mdecrevoisier/Windows-auditing-baseline](https://github.com/mdecrevoisier/Windows-auditing-baseline)\n* [palantir/windows-event-forwarding](https://github.com/palantir/windows-event-forwarding/tree/master/group-policy-objects)\n\n# 貢献\n\nわたしたちは、どんな形でも貢献を歓迎します。\nプルリクエスト、ルール作成、サンプルログの提供が最も歓迎されますが、バグの報告や機能リクエストなども大歓迎です。\n\n少なくとも、**私たちのツールやリソースが気に入ったら、GitHubでスターをつけて応援してください！**\n\n# 不具合の報告\n\n* 不具合の報告は、[こちら](https://github.com/Yamato-Security/wela/issues/new?assignees=\u0026labels=bug\u0026template=bug_report.md\u0026title=%5Bbug%5D)からお願いします。\n* このプロジェクトは現在も積極的にメンテナンスされており、バグの報告や機能のリクエストは大歓迎です。\n\n# ライセンス\n\n* WELAは、[MITライセンス](https://opensource.org/licenses/MIT)のもとでリリースされています。\n\n# 貢献者\n\n* Fukusuke Takahashi (コア開発者)\n* Zach Mathis (プロジェクトリーダー, ツールデザイン, テスト,　など...) (@yamatosecurity)\n\n# 謝辞\n\n* [Australian Cyber Security Centre: Windows event logging and forwarding](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-monitoring/windows-event-logging-and-forwarding)\n* [Microsoft: Advanced security auditing FAQ](https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/auditing/advanced-security-auditing-faq)\n* [SigmaHQ](https://github.com/SigmaHQ/sigma)\n\n# X\n\nWELAの最新情報、ルールの更新、Yamato Securityの他のツールなどについては、X[@SecurityYamato](https://twitter.com/SecurityYamato)で発信しています。","project_url":"https://awesome.ecosyste.ms/api/v1/projects/github.com%2FYamato-Security%2FWELA","html_url":"https://awesome.ecosyste.ms/projects/github.com%2FYamato-Security%2FWELA","lists_url":"https://awesome.ecosyste.ms/api/v1/projects/github.com%2FYamato-Security%2FWELA/lists"}