Windowsイベントログの取り込み

最終更新日: 13 年 2022 月 XNUMX 日

Windowsイベントログは、FluentdなどのエージェントまたはWindowsイベント転送を使用して収集できますが、プロセスが煩雑になる場合があります。 Windowsイベントログの取り込みを簡素化するために、Windows Management Instrumentation(WMI)を使用してログを取得し、それらをLMログにプッシュするデータソースを提供します。

世界 WindowsイベントLMログ データソースはで利用可能です LMエクスチェンジ。 このトピックでは、WindowsイベントLMログデータソースを適用する方法、その仕組み、および使用可能なフィルタリングオプションについて説明します。

収集してWindowsイベントログをLogicMonitorに転送するようにLMコレクターを構成することもできます。 見る Windowsイベントログの収集と転送.

必須条件

  • LogicMonitorAPIトークン ログ取り込みAPIへのすべてのリクエストを認証します。
  • ログを取り込むための API キーの最小権限は「管理」です。 見る 役割.
  • LogicMonitorに送信するログファイルのログ名。 特定のイベントログはLogicMonitorで利用できない場合があり、Windowsレジストリで作成する必要があります。

Windowsイベントデータソースを有効にする

In LMエクスチェンジ、検索 WindowsイベントLMログ 情報元。 「コミュニティ」セクションの下に配置する必要があります。 LM Exchangeの記事で概説されている手順に従って、データソースをリポジトリにインポートします。 新しいLogicModuleのインポート

データソースを有効にするには、次のプロパティを構成します。

プロパティ 製品説明
lmaccess.id (必須)LogicMonitorは、取り込みAPIアクセスIDをログに記録します。
lmaccess.key (必須)LogicMonitorは、取り込みAPIアクセスキーをログに記録します。
lmlogs.winevent.channels (必須)LMログに送信するログファイルのリスト。

注意: の名前 チャネル ログファイルのWindowsイベントビューアのその下にあります プロパティ>フルネーム. ログ ファイルがサブディレクトリにある場合は、フル ネームにサブディレクトリへのパスを含める必要があります。 たとえば、ログ ファイルが OpenSSH/Operational にある場合は、 チャネル 名前。

Windowsイベントのフィルタリング

次のプロパティを使用して、LMログに送信するWindowsイベントをフィルタリングします。

プロパティ 製品説明
lmlogs.winevent.eventTypes (オプション)指定されたイベントタイプ(レベル)のコンマ区切りリストに一致するログのみを送信します。 レベル値には、エラー、警告、情報、セキュリティ監査の成功、およびセキュリティ監査の失敗があります。

このプロパティを含めない場合、すべてのログレベルが許可されます。
lmlogs.winevent.eventids.exclude (オプション)送信したくない特定のイベントIDのコンマ区切りリストを定義します。
lmlogs.winevent.message_strings.exclude (オプション)メッセージに文字列が含まれているWindowsイベントを除外するには、文字列のコンマ区切りリストを指定します。

ログとアラートの確認

プロパティがデータソースに適用されると、指定された各チャネルのWindowsイベントがLMログにプッシュされます。 に移動できます リソース 下の検出されたインスタンスとしてリストされているチャネルを参照してください WindowsイベントLMログ.

インスタンスのグラフを確認すると、LM Logs API応答コードは、デバイスプロパティにリストされている最初のチャネルに対応するインスタンスのデータのみを返します。

  • これにより、応答コードがデータソースインスタンスごとにXNUMXつではなく、単一のアラートをトリガーするようになります。
  • これは、データソースがすべてのインスタンスに対して個別にではなく、一緒にXNUMXつのAPIリクエストを行うために発生します。

データソースは、応答コードが207より大きい場合に警告アラートをトリガーするように構成されます。

イベントの制限とバッチ処理

データソースは60秒ごとにイベントをプルします。 WMI要求が5000を超えるイベントを返す場合、データソースはイベントを5000イベントのバッチでLMログに送信します。

注意: イベントをバッチ処理しても、イベントを受信したときにイベントのタイムスタンプが変更されることはありません。 LMログに表示されるタイムスタンプは、Windowsイベントのタイムスタンプになります。

WMIを介してアプリケーションイベントを取得する

すべてのWindowsイベントをWMI経由で取得できるわけではありません。 WindowsイベントのLMログモジュールはWin32_NTLogEvent呼び出しに依存してイベントをプルするため、このクラスを介して取得できないログはLMログに表示されません。

監視するWindowsデバイスでPowershellを介して次のクエリを実行することにより、Win32_NTLogEventを介してログファイルにアクセスできるかどうかを確認できます。

Get-WmiObject -Query "Select TimeGenerated,Message,Logfile from Win32_NTLogEvent WHERE ( LogFile = '<LogFileName>' )" | select -First 1

イベントが返されない場合は、このログファイルのイベントが利用できないことを意味し、WindowsレジストリのWMIクラスにイベントを追加する必要があります。

記事上で