Windows イベント ログの取り込みの概要

Windows イベント ログは、Windows 環境全体のシステム操作、ユーザー アクティビティ、セキュリティ イベントを把握するために不可欠です。システムの問題の診断、アクセスの監査、潜在的な脅威の検出において重要な役割を果たします。LogicMonitor は、LogSource と DataSource という 2 つの主要なメカニズムを通じて、これらのログを収集および分析するための柔軟な方法を提供します。

• ログソース — 標準化、最小限のリソース使用、UIベースの構成の容易さから、Windowsイベントログを取り込むための推奨方法として使用します。詳細については、 Windows イベント ログのログソース構成.

• データソース — より複雑な環境に使用します。DataSource では、カスタム データ収集のニーズ、複数の依存関係、または非常に特殊な監視シナリオがある環境ではカスタム設定が必要です。 

Windows イベント ログ チャネル

LogSource または DataSource を使用して Windows イベント ログを取り込む前に、Windows イベント ログ チャネルを定義する必要があります。Windows イベント ログ チャネルは、Windows イベント ビューアー内でさまざまな種類の Windows イベント ログを整理して保存するために使用される論理コンテナーです。これらのチャネルは、目的、発生元、または内容に基づいてログを分類するのに役立ちます。Windows イベント ログを取り込む前に、Windows イベント ログ チャネルを定義して、関連データのみが収集され、パフォーマンスが最適化され、LogicMonitor によって効率的に解析されるようにする必要があります。LogSource と DataSource は、Windows Management Instrumentation (WMI) を利用して、定義したログ チャネルからログを取得します。

Windows イベント ログ チャネルは、ログを取り込むために LogSource または DataSource を使用しているかどうかに基づいて定義されます。

• ログサワーce — LogSource の定義済み Windows イベント ログを使用して、Windows イベント ログ チャネルを定義します。これらのチャネルは、固定の Windows イベント チャネル (アプリケーション、セキュリティ、システム) をターゲットにして定義できます。この方法は簡単で、DataSource よりもリソースの使用量は少なくなりますが、カスタマイズ性は低くなります。
• データソース — ログ データ クエリを使用して間接的に Windows イベント ログをターゲットにしてチャネルを定義する必要があります。この方法はより複雑で、カスタム ログ取得を定義するには WQL クエリまたは Groovy スクリプトが必要です。DataSource にはより多くのリソースが必要ですが、より柔軟で高度にカスタマイズ可能です。

詳細については、を参照してください。 LM ログで使用する Windows イベント ログ チャネルの定義.

Windows イベント ログを LogicMonitor に取り込むための一般的な要件

Windows イベント ログを取り込むには、次の手順を実行します。

• LogicMonitor への安全なデータ転送のために、TCP ポート 443 と 80 が開いている必要があります。
• ログデータを収集して送信するには、サポートされているシステムにコレクターをインストールして構成します。詳細については、 コレクターの追加.
• コレクターサービスを実行するアカウントに、Windowsイベントログにアクセスするための十分な権限があることを確認してください。詳細については、 ログの役割と権限.