Windows イベント ログのログソース構成

LogSource は、合理化されたログ データの収集、転送、解析を提供する LogicModule です。LM ログを有効にしてログの取り込みを構成するプロセスを簡素化する定義済みのテンプレートが含まれています。LogSource を使用すると、収集するログ、そのソース、解析のキー フィールドを指定でき、一般的なログ ソースが幅広く含まれています。

LogSource は、システム リソースの必要量が少ないため、ログを収集するための推奨される方法です。 

以下では、WindowsイベントログタイプのLogSourceに固有の設定の詳細について説明します。LogSourceの追加方法に関する一般的な情報については、 ログソースの構成.

除外フィルター

LogSource を構成するときに、次の除外フィルター パラメータを使用してログ収集をフィルターできます。これらのパラメータを使用すると、不要なデータを削除し、環境のパフォーマンスを向上させることができます。 

Attributes	比較演算子	値の例	説明
レベル	Equal、MoreUrgentThan。	「エラー」、「警告」、「情報」、「セキュリティ監査成功」、「セキュリティ監査失敗」
ログ名	イコール、イン。	「システム|アプリケーション|キー管理サービス|Internet Explorer|Windows PowerShell」	「In」と「NotIn」には、カンマまたはパイプで区切られた複数の値を含めることができます。
メッセージ	Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。		この 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。
ソース名	Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。		この 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。
イベント ID	Equal、In、NotIn、RegexNotMatch。		「In」と「NotIn」には、カンマまたはパイプで区切られた複数の値を含めることができます。

フィルタを含める

LogSource を構成するときに、Include Filter パラメータを追加して、アプリケーションなどの特定の種類のリソースを含めることができます。フィルタ条件に一致するデータは、ログ取り込みプロセスに転送されます。

Attributes	比較演算子	値の例	説明
レベル	Equal、MoreUrgentThan。	「エラー」、「警告」、「情報」、「セキュリティ監査成功」、「セキュリティ監査失敗」
ログ名	イコール、イン。	「システム|アプリケーション|キー管理サービス|Internet Explorer|Windows PowerShell」	「In」には、カンマまたはパイプで区切られた複数の値を含めることができます。
メッセージ	Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。		この 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。
ソース名	Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。		この 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。
イベント ID	Equal、In、NotIn、RegexNotMatch。		「In」と「NotIn」には、カンマまたはパイプで区切られた複数の値を含めることができます。

ログフィールド

ログフィールド (タグ) を構成して、ログとともに追加のメタデータを送信できます。

方法	主な例	値の例	説明
静的	"お客様"	「顧客_XYZ」
ダイナミック(REGEX)	"ホスト"	「ホスト=*」	クエリはメッセージ フィールドで実行されます。
LM プロパティ(トークン)	"端末"	「##system.deviceId##」	LogicMonitor の既存のデバイス プロパティから抽出された DeviceID。
Windows イベント属性		イベント ID、レベル、ログ名、ソース名。
動的グループ正規表現	「スキーム、ログイン」	「(https*):\/\/([]az]+)」	クエリはメッセージ フィールドで実行され、正規表現から最初のグループ値を取得します。動的グループ正規表現のキーはコンマ区切りのリストとして追加でき、値は同じ数のグループから読み取られます。 この表に示されているキーと値の例では、正規表現はキーと値のメタデータ、つまり Scheme と Login を生成します。たとえば、 URL: https://admin:[メール保護]/lm/apps/agent/mfsagent:e1?ステータス=アップ スキーム： https ログイン： admin (メッセージから抽出したユーザー名) 注意: ログ フィールドの動的グループ正規表現メソッドは、EA Collector 36.100 以降のバージョンで使用できます。

リソースマッピング

LogSource を構成するときに、LM ログ プロパティを関連する監視対象リソースと一致させるようにリソース マッピングを構成して、正確なデータ収集を確保できます。これらのマッピングを使用すると、手動セットアップが削減され、ログに一貫したラベルとフィールドが適用されます。

方法	主な例	値の例	説明
静的	"顧客ID"	"1234"	テキスト フィールド、任意の値。
動的 (正規表現)	「システム.サービス名」	「サービス=*」	クエリはメッセージ フィールドで実行されます。
LM プロパティ(トークン)		「##system.deviceId##」	LogicMonitor の既存のデバイス プロパティから抽出された DeviceID。

Windows イベント ログ LogSource を構成するための要件

Windows イベント ログ用に LogSource を構成するには、次のものが必要です。

• LMコレクター — WindowsイベントログはLMコレクターを使用します。詳細については、 LogicMonitorコレクターについて.
• Windows イベント チャネルを定義する — LogSource を使用するには、ログをソースに基づいて分類できるように Windows イベント チャネルを定義する必要があります。 

Windows イベント ログ ログソースの構成

1. LogicMonitor のナビゲーション メニューで、 モジュール.
2. 新しいLogSourceを追加するか、既存のLogSourceを編集します。 マイ モジュール ツールボックス。 詳細については、を参照してください。 カスタム モジュールの作成 と モジュール管理.
3.  インフォ タブで、次の操作を行います。
   1.  お名前 フィールドに「Windows_Events」と入力します。
   2.  説明 フィールドに、「監視対象の Windows リソースからの Windows イベント ログのデータ収集」と入力します。
   3.  種類 フィールド、選択 LM ログ: Windows イベント ログ.
   4.  グループ フィールド、選択 Windowsイベントログ.
4. 現在地に最も近い に適用されます タブをクリックして適切な に適用されます 関連するデバイスに適用するための式。
   たとえば、system.deviceId == “13581” || system.deviceId == “1894”
5. 現在地に最も近い フィルターを含める タブには何も表示されないことに注意してください。
6. 選択する フィルターを追加 次の属性を追加します。

属性	比較演算子	値
ログ名	In	システム|アプリケーション

7. 現在地に最も近い ログフィールド タブには何も表示されないことに注意してください。
8. 選択する ログフィールドの追加 次のメソッドが自動入力されていることを確認します。

方法	キー	値
属性	レベル	レベル
属性	ソース	ソース名
属性	イベントID	イベント ID
属性	チャネル	ログ名

9. 現在地に最も近い リソースマッピング タブには何も表示されないことに注意してください。
10. 選択する リソースマッピングの追加 次のメソッドを追加します。

方法	キー	値
Next	system.deviceId	##システム.デバイスID##

11. 選択する Save.