Windows イベント ログのログソース構成
最終更新日: 18 年 2024 月 XNUMX 日LogSource は、LM ログを有効にし、ログ データの収集と転送を構成するのに役立つテンプレートを提供する LogicModule です。 LogSource には、どのログを取得するか、どこで取得するか、およびどのフィールドを解析対象として考慮する必要があるかに関する詳細が含まれています。 LogSource は、ログ データの一般的なソースに使用できます。
要件
Windows イベント ログの LogSource タイプでは、 LMコレクター。 LogSource で LM Collector を使用する場合、インフラストラクチャにインストールされている LM Collector は次のとおりである必要があります。 バージョン EA 31.200 以降. コレクタをアップグレードする方法については、次を参照してください。 コレクターの管理.
設定オプション
以下に、 Windowsイベントログ ログソースのタイプ。 LogSource を追加する方法の一般的な情報については、を参照してください。 LogSource の構成.
除外フィルター
フィルタを追加して、特定のタイプのリソースを除外できます。
利用可能なパラメータ
Attributes | 比較演算子 | 値の例 | Description |
レベル | Equal、MoreUrgentThan。 | 「エラー」、「警告」、「情報」、「セキュリティ監査成功」、「セキュリティ監査失敗」 | |
ログ名 | イコール、イン。 | 「システム|アプリケーション|キー管理サービス|Internet Explorer|Windows PowerShell」 | 「In」と「NotIn」には、カンマまたはパイプで区切られた複数の値を含めることができます。 |
メッセージ | Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。 | この 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。 | |
ソース名 | Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。 | この 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。 | |
イベント ID | Equal、In、NotIn、RegexNotMatch。 | 「In」と「NotIn」には、カンマまたはパイプで区切られた複数の値を含めることができます。 |
ご注意: 重大度レベル「Critical」はサポートされていません。 LogSource は、 Microsoft によってリストされたイベントの種類.
フィルタを含める
フィルタを追加して、アプリケーションなどの特定のタイプのリソースを含めることができます。 フィルター条件に一致する出力は、ログ取り込みプロセスに転送されます。
利用可能なパラメータ
Attributes | 比較演算子 | 値の例 | Description |
レベル | Equal、MoreUrgentThan。 | 「エラー」、「警告」、「情報」、「セキュリティ監査成功」、「セキュリティ監査失敗」 | |
ログ名 | イコール、イン。 | 「システム|アプリケーション|キー管理サービス|Internet Explorer|Windows PowerShell」 | 「In」には、カンマまたはパイプで区切られた複数の値を含めることができます。 |
メッセージ | Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。 | この 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。 | |
ソース名 | Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。 | この 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。 | |
イベント ID | Equal、In、NotIn、RegexNotMatch。 | 「In」と「NotIn」には、カンマまたはパイプで区切られた複数の値を含めることができます。 |
ご注意: 重大度レベル「Critical」はサポートされていません。 LogSource は、 Microsoft によってリストされたイベントの種類.
ログフィールド
ログフィールド (タグ) を構成して、ログとともに追加のメタデータを送信できます。
利用可能なパラメータ
方法 | 主な例 | 値の例 | Description |
静的 | "お客様" | 「顧客_XYZ」 | |
ダイナミック(REGEX) | "ホスト" | 「ホスト=*」 | クエリはメッセージ フィールドで実行されます。 |
LM プロパティ(トークン) | "端末" | 「##system.deviceId##」 | LogicMonitor の既存のデバイス プロパティから抽出された DeviceID。 |
Windows イベント属性 | イベント ID、レベル、ログ名、ソース名。 | ||
動的グループ正規表現 | 「スキーム、ログイン」 | 「(https*):\/\/([]az]+)」 | クエリはメッセージ フィールドで実行され、正規表現から最初のグループ値を取得します。動的グループ正規表現のキーはコンマ区切りのリストとして追加でき、値は同じ数のグループから読み取られます。 この表に示されているキーと値の例では、正規表現はキーと値のメタデータ、つまり Scheme と Login を生成します。たとえば、 URL: https://admin:[メール保護]/lm/apps/agent/mfsagent:e1?ステータス=アップ スキーム: https ログイン: admin (メッセージから抽出したユーザー名)注意: ログ フィールドの動的グループ正規表現メソッドは、EA Collector 36.100 以降のバージョンで使用できます。 |
リソースマッピング
監視対象リソースと一致するように LM ログ プロパティを構成します。
利用可能なパラメータ
方法 | 主な例 | 値の例 | Description |
静的 | "顧客ID" | "1234" | テキスト フィールド、任意の値。 |
動的 (正規表現) | 「システム.サービス名」 | 「サービス=*」 | クエリはメッセージ フィールドで実行されます。 |
LM プロパティ(トークン) | 「##system.deviceId##」 | LogicMonitor の既存のデバイス プロパティから抽出された DeviceID。 |
ご注意: 「Key」と「Value」は必須項目です。
例
LogSource の Windows イベント ログ タイプの構成例。
基本情報
- 名前: Windows_イベント
- Description: 監視対象の Windows リソースからの Windows イベント ログのデータ収集。
- に適用されます (カスタム クエリ): /* isWindows() */
- 種類: LM ログ: Windows イベント ログ
- グループ: Windows イベント ログ
フィルタを含める
属性 | 比較演算子 | 値 |
ログ名 | In | システム|アプリケーション |
ログフィールド
方法 | キー | 値 |
属性 | レベル | レベル |
属性 | ソース | ソース名 |
属性 | イベントID | イベント ID |
属性 | チャネル | ログ名 |
リソースマッピング
方法 | キー | 値 |
Next | system.deviceId | ##システム.デバイスID## |