Windows イベント ログの送信

最終更新日: 13 年 2023 月 XNUMX 日

Windows イベント ログは、Fluentd などのエージェントまたは Windows イベント転送を使用して収集できますが、プロセスが煩雑になる場合があります。 Windows イベント ログを取り込み用に構成する最も便利な方法は、LogSource を使用することです。 あるいは、DataSource を使用してログを有効にすることもできます。 

推奨事項: ログソース LM ログを有効にするための推奨される方法であり、Windows イベント ログ用の LogSource があります。 ただし、現時点では、Windows イベントの LM ログを有効にするための推奨される方法は、以下で説明する方法です。

要件

  • LogicMonitorAPIトークン ログ取り込みAPIへのすべてのリクエストを認証します。
  • ログを取り込むための API キーの最小権限は「管理」です。 詳細については、次を参照してください。 役割.
  • Windows_Events_LMLogs データソース。 これは、LogicMonitor ポータルで LogicModule として利用できます。 案内する モジュール そして、 Windows_Events_LMLogs データソース. DataSource をリポジトリに追加するには、次を参照してください。 モジュールのインストール.
  • LogicMonitorに送信するログファイルのログ名。 特定のイベントログはLogicMonitorで利用できない場合があり、Windowsレジストリで作成する必要があります。

Windows イベント データソースの有効化

Windows_Events_LMLogs DataSource は、Windows Management Instrumentation (WMI) を使用してログを取得し、LM ログにプッシュします。

Windows_Events_LMLogs DataSource を有効にするには、次に説明するプロパティを構成します。

プロパティ説明
lmaccess.id(必須)LogicMonitorは、取り込みAPIアクセスIDをログに記録します。
lmaccess.key(必須)LogicMonitorは、取り込みAPIアクセスキーをログに記録します。
lmlogs.winevent.channels(必須)LMログに送信するログファイルのリスト。

注: チャネルの名前は、ログ ファイルの Windows イベント ビューアで確認できます。 プロパティ>フルネーム。 ログファイルがサブディレクトリにある場合、フルネームにはサブディレクトリへのパスを含める必要があります。 たとえば、ログファイルがOpenSSH / Operationalにある場合は、チャネル名にスラッシュを含めます。

Windows イベントのフィルタリング

次のプロパティを使用して、LMログに送信するWindowsイベントをフィルタリングします。

プロパティ説明
lmlogs.winevent.eventTypes(オプション)指定されたイベントタイプ(レベル)のコンマ区切りリストに一致するログのみを送信します。 レベル値には、エラー、警告、情報、セキュリティ監査の成功、およびセキュリティ監査の失敗があります。

このプロパティを含めない場合、すべてのログレベルが許可されます。
lmlogs.winevent.eventids.exclude(オプション)送信したくない特定のイベントIDのコンマ区切りリストを定義します。
lmlogs.winevent.message_strings.exclude(オプション)メッセージに文字列が含まれているWindowsイベントを除外するには、文字列のコンマ区切りリストを指定します。

ログとアラートの表示

プロパティが DataSource に適用されると、指定された各チャネルの Windows イベントが LM ログにプッシュされます。 案内する 関連情報 チャネルが検出されたインスタンスとしてリストされていることを確認します。 Windows_Events_LMLogs.

インスタンスのグラフを表示すると、LM ログ API 応答コードは、デバイス プロパティにリストされている最初のチャネルに対応するインスタンスのデータのみを返します。

これにより、応答コードがデータソース インスタンスごとに XNUMX つではなく、XNUMX つのアラートをトリガーすることが保証されます。 これは、DataSource が個別にではなく、すべてのインスタンスに対してまとめて XNUMX つの API 要求を行うためです。

データソースは、応答コードが207より大きい場合に警告アラートをトリガーするように構成されます。

イベントの制限とバッチ処理

データソースは60秒ごとにイベントをプルします。 WMI要求が5000を超えるイベントを返す場合、データソースはイベントを5000イベントのバッチでLMログに送信します。

注: イベントをバッチ処理しても、イベントを受信したときにイベントのタイムスタンプが変更されることはありません。 LMログに表示されるタイムスタンプは、Windowsイベントのタイムスタンプになります。

WMI を介したアプリケーション イベントの取得

すべての Windows イベントが WMI 経由で取得できるわけではありません。 Windows イベントの LM ログ モジュールは Win32_NTLogEvent 呼び出しに依存してイベントをプルするため、このクラスを介して取得できないログは LM ログに表示されません。 詳細については、これを参照してください Microsoftのドキュメント.

監視するWindowsデバイスでPowershellを介して次のクエリを実行することにより、Win32_NTLogEventを介してログファイルにアクセスできるかどうかを確認できます。

Get-WmiObject -Query "Select TimeGenerated,Message,Logfile from Win32_NTLogEvent WHERE ( LogFile = '<LogFileName>' )" | select -First 1

イベントが返されない場合は、このログ ファイルのイベントを利用できないことを意味します。 これらのイベントを Windows レジストリの WMI クラスに追加する必要があります。

記事上で