Windows イベント ログのログソース構成
最終更新日: 08 年 2024 月 XNUMX 日免責事項: LogSource LM LogicModule は現在オープン ベータ版です。
LogSource は、LM ログを有効にし、ログ データの収集と転送を構成するのに役立つテンプレートを提供する LogicModule です。 LogSource には、どのログを取得するか、どこで取得するか、およびどのフィールドを解析対象として考慮する必要があるかに関する詳細が含まれています。 LogSource は、ログ データの一般的なソースに使用できます。
要件
Windows イベント ログの LogSource タイプでは、 LMコレクター。 LogSource で LM Collector を使用する場合、インフラストラクチャにインストールされている LM Collector は次のとおりである必要があります。 バージョン EA 31.200 以降. コレクタをアップグレードする方法については、次を参照してください。 コレクターの管理.
設定オプション
以下に、 Windowsイベントログ ログソースのタイプ。 LogSource を追加する方法の一般的な情報については、を参照してください。 LogSource の構成.
除外フィルター
フィルタを追加して、特定のタイプのリソースを除外できます。
利用可能なパラメータ
| Attributes | 比較演算子 | 値の例 | 説明 |
| レベル | Equal、MoreUrgentThan。 | 「エラー」、「警告」、「情報」、「セキュリティ監査成功」、「セキュリティ監査失敗」 | |
| ログ名 | イコール、イン。 | 「システム|アプリケーション|キー管理サービス|Internet Explorer|Windows PowerShell」 | 「In」と「NotIn」には、カンマまたはパイプで区切られた複数の値を含めることができます。 |
| ビデオメッセージ | Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。 | 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。 | |
| ソース名 | Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。 | 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。 | |
| イベント ID | Equal、In、NotIn、RegexNotMatch。 | 「In」と「NotIn」には、カンマまたはパイプで区切られた複数の値を含めることができます。 |
注: 重大度レベル「Critical」はサポートされていません。 LogSource は、 Microsoft によってリストされたイベントの種類.
フィルタを含める
フィルタを追加して、アプリケーションなどの特定のタイプのリソースを含めることができます。 フィルター条件に一致する出力は、ログ取り込みプロセスに転送されます。
利用可能なパラメータ
| Attributes | 比較演算子 | 値の例 | 説明 |
| レベル | Equal、MoreUrgentThan。 | 「エラー」、「警告」、「情報」、「セキュリティ監査成功」、「セキュリティ監査失敗」 | |
| ログ名 | イコール、イン。 | 「システム|アプリケーション|キー管理サービス|Internet Explorer|Windows PowerShell」 | 「In」には、カンマまたはパイプで区切られた複数の値を含めることができます。 |
| ビデオメッセージ | Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。 | 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。 | |
| ソース名 | Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。 | 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。 | |
| イベント ID | Equal、In、NotIn、RegexNotMatch。 | 「In」と「NotIn」には、カンマまたはパイプで区切られた複数の値を含めることができます。 |
注: 重大度レベル「Critical」はサポートされていません。 LogSource は、 Microsoft によってリストされたイベントの種類.
ログフィールド
ログフィールド (タグ) を構成して、ログとともに追加のメタデータを送信できます。
利用可能なパラメータ
| 方法 | 主な例 | 値の例 | 説明 |
| 静的 | "お客様" | 「顧客_XYZ」 | |
| ダイナミック(REGEX) | "ホスト" | 「ホスト=*」 | クエリはメッセージ フィールドで実行されます。 |
| LM プロパティ(トークン) | "端末" | 「##system.deviceId##」 | LogicMonitor の既存のデバイス プロパティから抽出された DeviceID。 |
| Windows イベント属性 | イベント ID、レベル、ログ名、ソース名。 |
リソースマッピング
監視対象リソースと一致するように LM ログ プロパティを構成します。
利用可能なパラメータ
| 方法 | 主な例 | 値の例 | 説明 |
| 静的 | "顧客ID" | "1234" | テキスト フィールド、任意の値。 |
| 動的 (正規表現) | 「システム.サービス名」 | 「サービス=*」 | クエリはメッセージ フィールドで実行されます。 |
| LM プロパティ(トークン) | 「##system.deviceId##」 | LogicMonitor の既存のデバイス プロパティから抽出された DeviceID。 |
注: 「Key」と「Value」は必須項目です。
例
LogSource の Windows イベント ログ タイプの構成例。
基本情報
- お名前: Windows_イベント
- 説明: 監視対象の Windows リソースからの Windows イベント ログのデータ収集。
- に適用されます (カスタム クエリ): /* isWindows() */
- : LM ログ: Windows イベント ログ
- グループ: Windows イベント ログ
フィルタを含める
| 属性 | 比較演算子 | 値 |
| ログ名 | In | システム|アプリケーション |
ログフィールド
| 方法 | キー | 値 |
| 属性 | レベル | レベル |
| 属性 | ソース | ソース名 |
| 属性 | イベントID | イベント ID |
| 属性 | チャネル | ログ名 |
リソースマッピング
| 方法 | キー | 値 |
| Next | system.deviceId | ##システム.デバイスID## |