Windows イベント ログの送信

最終更新日: 13 年 2023 月 XNUMX 日

Windows イベント ログは、Fluentd などのエージェントまたは Windows イベント転送を使用して収集できますが、プロセスが煩雑になる場合があります。 Windows イベント ログの取り込みを簡素化するために、DataSource を使用できます。 これにより、Windows Management Instrumentation (WMI) を使用してログが取得され、LM ログにプッシュされます。

Windows_Events_LM_Logs_v2 データソースはで利用可能です LMエクスチェンジ. 申請方法は次のとおりです Windows_Events_LM_Logs_v2、その仕組み、および利用可能なフィルタリング オプションについて説明します。

Requirements

  • LogicMonitorAPIトークン ログ取り込みAPIへのすべてのリクエストを認証します。
  • ログを取り込むための API キーの最小権限は「管理」です。 見る 役割.
  • LogicMonitorに送信するログファイルのログ名。 特定のイベントログはLogicMonitorで利用できない場合があり、Windowsレジストリで作成する必要があります。

Windows イベント データソースの有効化

LM ポータルで、次の場所に移動します。 モジュール をクリックして 応募者と 右上隅にあります。 の LMエクスチェンジ、検索 Windows_Events_LM_Logs_v2 下のデータソース コミュニティ フィルターをかけます データソース. で概説されている手順に従って、DataSource をリポジトリにインポートします。 新しいLogicModuleのインポート.

注意: コミュニティ モジュールのサポート制限の詳細については、次を参照してください。 LMエクスチェンジ.

データソースを有効にするには、次のプロパティを構成します。

プロパティ商品説明
lmaccess.id(必須)LogicMonitorは、取り込みAPIアクセスIDをログに記録します。
lmaccess.key(必須)LogicMonitorは、取り込みAPIアクセスキーをログに記録します。
lmlogs.winevent.channels(必須)LMログに送信するログファイルのリスト。

注意: チャネルの名前は、ログ ファイルの Windows イベント ビューアーの [プロパティ] > [フル ネーム] で確認できます。 ログ ファイルがサブディレクトリにある場合は、フル ネームにサブディレクトリへのパスを含める必要があります。 たとえば、ログ ファイルが OpenSSH/Operational にある場合は、チャネル名にスラッシュを含めます。

Windows イベントのフィルタリング

次のプロパティを使用して、LMログに送信するWindowsイベントをフィルタリングします。

プロパティ商品説明
lmlogs.winevent.eventTypes(オプション)指定されたイベントタイプ(レベル)のコンマ区切りリストに一致するログのみを送信します。 レベル値には、エラー、警告、情報、セキュリティ監査の成功、およびセキュリティ監査の失敗があります。

このプロパティを含めない場合、すべてのログレベルが許可されます。
lmlogs.winevent.eventids.exclude(オプション)送信したくない特定のイベントIDのコンマ区切りリストを定義します。
lmlogs.winevent.message_strings.exclude(オプション)メッセージに文字列が含まれているWindowsイベントを除外するには、文字列のコンマ区切りリストを指定します。

ログとアラートの表示

プロパティが DataSource に適用されると、指定された各チャネルの Windows イベントが LM ログにプッシュされます。 案内する リソース チャネルが検出されたインスタンスとしてリストされていることを確認します。 Windows_Events_LM_Logs_v2.

インスタンスのグラフを表示すると、LM ログ API 応答コードは、デバイス プロパティにリストされている最初のチャネルに対応するインスタンスのデータのみを返します。

これにより、応答コードがデータソース インスタンスごとに XNUMX つではなく、XNUMX つのアラートをトリガーすることが保証されます。 これは、DataSource が個別にではなく、すべてのインスタンスに対してまとめて XNUMX つの API 要求を行うためです。

データソースは、応答コードが207より大きい場合に警告アラートをトリガーするように構成されます。

イベントの制限とバッチ処理

データソースは60秒ごとにイベントをプルします。 WMI要求が5000を超えるイベントを返す場合、データソースはイベントを5000イベントのバッチでLMログに送信します。

注意: イベントをバッチ処理しても、イベントを受信したときにイベントのタイムスタンプが変更されることはありません。 LMログに表示されるタイムスタンプは、Windowsイベントのタイムスタンプになります。

WMI を介したアプリケーション イベントの取得

すべての Windows イベントが WMI 経由で取得できるわけではありません。 Windows イベントの LM ログ モジュールは Win32_NTLogEvent 呼び出しに依存してイベントをプルするため、このクラスを介して取得できないログは LM ログに表示されません。

監視するWindowsデバイスでPowershellを介して次のクエリを実行することにより、Win32_NTLogEventを介してログファイルにアクセスできるかどうかを確認できます。

Get-WmiObject -Query "Select TimeGenerated,Message,Logfile from Win32_NTLogEvent WHERE ( LogFile = '<LogFileName>' )" | select -First 1

イベントが返されない場合は、このログ ファイルのイベントを利用できないことを意味します。 これらのイベントを Windows レジストリの WMI クラスに追加する必要があります。

記事上で