Windows イベント データソースを使用した Windows イベント ログの取り込み
最終更新日 - 25年2025月XNUMX日
推奨事項: Windowsイベントログの取り込みを初めて設定する場合は、LogSourceテンプレートを使用してください。LogSourceには、取得するログの種類、取得場所、解析時に考慮するフィールドに関する詳細情報が含まれています。詳細については、以下を参照してください。 ログソースの構成.
私達の Windows_Events_LMLogs DataSourceはWindows Management Instrumentation(WMI)を使用してログを取得し、BatchScript収集方式を使用してLM Logsにプッシュします。ログデータはメトリックペイロードに追加され、60秒ごとにポーリングされます。バッチ制限は5000です。5000を超える場合、DataSourceは5000イベントごとにログをバッチ送信します。そのため、Windowsイベントログの設定にコレクターの設定は必要ありません。
推奨事項: LM コレクターのセットアップは必要ないため、Windows サーバーを監視する LM コレクターの正常性を確認する必要があります。
注意: イベントをバッチ処理しても、イベント受信時のタイムスタンプは変更されません。LMログに表示されるタイムスタンプは、Windowsイベントタイムスタンプです。
DataSource を最初に設定すると、次のメタデータ フィールドが事前に解析されます。
- イベントID
- イベントタイプ
注: 重大度レベル「重大」はサポートされていません。LogSourceは、エラー、警告、情報、成功監査、失敗監査のイベントタイプのみをサポートしています。詳細については、以下を参照してください。 イベントの種類 マイクロソフトから。 - チャンネル名
推奨事項: 複数のデータソース設定を設定した場合、ログが重複して送信されます。その場合は、もう一方のデータソースを削除してください。
データソース構成をアクティブ化するために必要なプロパティ
| プロパティ | 詳細説明 |
lmaccess.id | LogicMonitor ログ取り込み API アクセス ID |
lmaccess.key | LogicMonitor ログ取り込み API アクセスキー |
lmlogs.winevent.channels | このプロパティでは、Windows イベント チャネルを指定する必要があります。LM Logs に送信するログファイルのリストを、スペースなしのカンマ区切りで指定します。 たとえば、次のように使用できます。
|
注意: lmaccess.id と lmaccess.key は、LM ログにログを送信する権限が必要な LogicMonitor API トークンです。
Windows イベント ログの取り込み要件
Windows イベント ログを取り込むには、次のものが必要です。
- LogicMonitor LMV1 APIトークンは、LogicMonitorプラットフォームへのAPI呼び出しを認証するためのキーベースの認証です。アクセスIDとアクセスキーで構成されるキーペアを使用します。LogicMonitor APIトークンをまだ作成していない場合は、こちらをご覧ください。 API トークンの追加 より詳細をご確認いただけます。
- 管理対象リソースとしてのWindowsサーバー。Windowsサーバーは、LMに管理対象リソースとして登録され、リソースツリー内に存在している必要があります。LogicMonitorはWindowsイベントログを取得するために必要なWMI認証情報を既に取得しているため、簡単にログを取り込むことができます。
- 私達の Windows_Events_LMLogs データソースがインストールされました。このロジックモジュールはLogicMonitorポータルで利用できます。 モジュール そして、 Windows_Events_LMLogs データソース。モジュールのインストールの詳細については、 モジュールのインストール.
- LogicMonitor に送信されるログの指定されたログ ファイル名。
- 識別された API プロパティは次のとおりです。
- lmaccess.id
- lmaccess.key
- lmlogs.winevent.channels。
詳細については、以下を参照してください データソース構成をアクティブ化するために必要なプロパティ.
注意: 一部のイベントログはLogicMonitorによって自動的に認識されない場合があります。その場合は、Windowsレジストリにイベントログを作成する必要があります。詳細については、以下を参照してください。 イベントログキー Windows から。
Windows イベント ログを取り込むための Windows イベント データソースの構成
推奨事項: データソースを設定する際は、セキュリティ監査成功ログレベルを除外してください。このログレベルでは大量のログが生成されるため、トラブルシューティングの目的において大きな価値は得られません。
- 既存の Windows_Events_LMLogs DataSource、または Windows イベント DataSource を作成します。
- LogicMonitorで、 リソース ツリー。 ログを取り込む Windows リソースに移動します。
- 選択する プロパティを管理する
そして、プロパティを追加します データソース構成をアクティブ化するために必要なプロパティ.
データソースにプロパティが適用されると、指定された各チャネルのWindowsイベントがLMログにプッシュされます。 リソース 検出されたインスタンスとしてリストされているチャネルを確認するには Windows_Events_LMLogs.
インスタンスのグラフを表示する際、LM Logs API レスポンスコードは、デバイスプロパティにリストされている最初のチャネルに対応するインスタンスのデータのみを返します。これにより、レスポンスコードは、DataSource インスタンスごとにアラートをトリガーするのではなく、単一のアラートをトリガーするようになります。これは、DataSource がすべてのインスタンスに対して個別にではなく、まとめて 1 つの API リクエストを送信するためです。
データ ソースは、応答コードが 207 より大きい場合に警告アラートをトリガーするように構成されています。
