サポートセンターホーム


Windowsイベントログの収集と転送

LogicMonitorは、ほとんどのWindowsイベントログに記録されているイベントを検出して警告できます。 ザ・ LogicMonitorコレクター Windowsイベントログを受信して​​LMLogs IngestionAPIに転送する機能があります。 これは、 Windowsイベントログデータソース ログの取り込み用。

必須条件

  • EA Collector30.100以降がインストールされています。
  • WMIユーザー名やパスワードなどのプロパティはデバイスのプロパティから取得されるため、ログを取り込む同じコレクターによってデバイスを監視する必要があります。
  • APIによって取得されたEventSourcesを介して以前にWindowsイベントコレクションを構成した場合は、競合を回避するためにグループ/リソースから資格情報を削除してください。

Windowsイベントログの転送を有効にする

必要な構成

次のプロパティを追加または編集して、LMログへのWindowsイベントログの転送をオンにします。

プロパティ 製品説明
lmlogs.windowseventlogs.enabled = true このプロパティをコレクターのagent.confに追加して、Windowsイベントログのログ収集を有効にします。 デフォルトはfalseです。
lmlogs.winevents.enable = true このカスタムプロパティを監視対象のWindowsデバイスにグループレベルまたはリソースレベルで追加して、このデバイスのWindowsイベントのログ収集を有効にします。

オプションの構成

以下は、コレクターのagent.confで追加または編集できるオプションの構成です。 これらの構成行は、デフォルト設定を変更する場合にのみ必要です。

プロパティ 製品説明
lmlogs.windowseventlogs.pollinterval = 1 分単位のポーリング間隔。 デフォルトは1分です。
lmlogs.thread.count.for.ingest.api.communication = 10 ログ取り込みのスレッド数。 デフォルトは10です。
有効間隔= 60 秒単位の有効間隔。 デフォルトは60秒です。
suppressDuplicatesES = false 重複イベントの抑制を構成します。 デフォルトはfalseです。

ログを削除するようにフィルターを構成する

LogicMonitorに送信されないように、機密情報(クレジットカード、電話番号、個人IDなど)を含むログメッセージを削除するようにフィルターを構成することをお勧めします。 フィルタを使用して、ログ取り込みAPIキューに送信される必須ではないログメッセージの量を減らすこともできます。

Windowsイベントログコレクションのフィルタリング基準は、eventID、レベル、ログ名、メッセージ、およびソース名のフィールドに基づいています。 フィルタを設定する場合:

  • 構成行のコメントを解除して、フィルターを有効にします。
  • フィルタは、シリアル番号の順に評価されます。
  • 複数のテキスト値を区切るにはコンマを使用し、複数の数値を区切るにはパイプ文字を使用します。
フィルタ名 製品説明
EVENTID 特定のイベントIDまたはイベントIDのセットに基づいてフィルターを定義します。 logsource.winevents.filter.21.EVENTID.Equal = 4625
logsource.winevents.filter.22.EVENTID.In = 4625 | 4621 | 4620
logsource.winevents.filter.23.EVENTID.NotIn = 4625 | 4621 | 4620
logsource.winevents.filter.24.EVENTID.RegexNotMatch = 46 [0-5]
LEVEL イベントレベルに基づいてフィルターを定義します。 デフォルトで送信されるイベントレベルは、クリティカル、エラー、警告です。

情報レベルは収集されず、フィルターが設定されていても収集されません。
警告レベルのイベントのみを収集します。
#logsource.winevents.filter.1.LEVEL.Equal =警告

エラーおよびクリティカルレベルのイベントのみを収集します。
#logsource.winevents.filter.2.LEVEL.MoreUrgentThan =警告
LOGNAME Windowsイベントチャネルに基づいてフィルターを構成します。 デフォルトで送信されるチャネルは、アプリケーション、セキュリティ、およびシステムです。 システムチャネルログのみを収集します。
#logsource.winevents.filter.11.LOGNAME.Equal = System

アプリケーションとセキュリティチャネルのログのみを収集します:#logsource.winevents.filter.12.LOGNAME.NotEqual = System
MESSAGE 一致するキーワードまたは正規表現パターンを使用して、メッセージ自体の内容に基づいてフィルターを構成します。 #logsource.winevents.filter.3.MESSAGE.Equal = login
#logsource.winevents.filter.4.MESSAGE.NotEqual = login
#logsource.winevents.filter.5.MESSAGE.Contain = login
#logsource.winevents.filter.6.MESSAGE.NotContain = login
#logsource.winevents.filter.7.MESSAGE.RegexMatch =(logon)+ w
#logsource.winevents.filter.8.MESSAGE.Regexnotmatch =(logon)+ w
#logsource.winevents.filter.9.MESSAGE.Exist = *
#logsource.winevents.filter.10.MESSAGE.NotExist = *
SOURCENAME 一致するキーワードまたは正規表現パターンを使用して、ソース名に基づいてフィルターを構成します #logsource.winevents.filter.13.SOURCENAME.Equal = login
#logsource.winevents.filter.14.SOURCENAME.NotEqual = login
#logsource.winevents.filter.15.SOURCENAME.Contain = login
#logsource.winevents.filter.16.SOURCENAME.NotContain = login
#logsource.winevents.filter.17.SOURCENAME.RegexMatch =(logon)+ \ w
#logsource.winevents.filter.18.SOURCENAME.RegexNotMatch =(logon)+ \ w
#logsource.winevents.filter.19.SOURCENAME.Exist = *
#logsource.winevents.filter.20.SOURCENAME.NotExist = *

記事上で