Windowsイベント監視の設定

Windowsイベントログは、OS操作、ファイルアクセス、ユーザーアクセス、およびそこで実行されているアプリケーションに関連するイベントを記録するために、Windowsオペレーティングシステムによって生成されます。これらのイベント・ログは、セキュリティとアプリケーションのパフォーマンスおよび問題に関するインサイトを提供できます。

Windowsイベント・ログに記録されるイベントのタイプは、主に次のように分類されます。

  • アプリケーション: Windowsインスタンスにインストールされているアプリケーションに関連するエラーおよびイベント。

  • セキュリティ: ファイルおよびユーザー・アクセス・イベント。これらはWindows監査によって記録されます。

  • 設定: インストール関連のイベント。

  • システム: Windows OSシステムおよびそのコンポーネントに関連するイベントの記録。

Oracle Logging Analyticsには、Windowsイベント分類と一致するOracle定義のログ・ソースがあり、収集されたすべてのデータを処理できます。

  • Windowsアプリケーション・イベント

  • Windowsセキュリティ・イベント

  • Windows設定イベント

  • Windowsシステム・イベント

Oracle Logging Analyticsでは、これまでのすべてのWindowsイベント・ログ・エントリを収集でき、Windowsおよび他のカスタム・イベント・チャネルをサポートしています。

Windowsイベントログを収集するための全体的なフロー

次に、ホストからログ情報を収集するためのタスクの概要を示します:

Windowsイベント・ソースの作成

Oracle Logging Analyticsには、すでにWindows Eventコレクション用のOracle定義ログ・ソースがいくつか用意されています。

Oracle Logging Analyticsには、syslog収集用の複数のOracle定義ログ・ソースがすでに用意されています。使用可能なOracle定義ソースまたはユーザー定義ソースのいずれかを使用できるかどうかを確認します。そうでない場合は、次のステップを使用して新しいログ・ソースを作成します。

  1. ナビゲーション・メニューを開き、「監視および管理」をクリックします。「ログ・アナリティクス」で、「管理」をクリックします。「管理の概要」ページが開きます。

    管理リソースが、左側のナビゲーション・ペインの「リソース」の下にリストされます。「ソース」をクリックします。

    「ソース」ページが開きます。「ソースの作成」をクリックします。

  2. 「名前」フィールドに、ソースの名前を入力します。

    オプションで、説明を追加します。

  3. 「ソース・タイプ」リストから、「Microsoft Windows」を選択します。このオプションを使用すると、すべての履歴Windowsイベント・ログ・エントリおよびカスタム・イベント・チャネルのレコードを収集できます。

    このソース・タイプには、「ログ・パーサー」フィールドは必要ありません。また、デフォルトのエンティティ・タイプHost (Windows)は自動的に選択され、変更できません。

  4. イベント・サービス・チャネル名を指定してください。チャネル名は、エージェントがアソシエーションを構成してログを取得できるように、Windowsイベントの名前と一致する必要があります。

  5. 特定のイベントIDで Windowsイベントをフィルタリングするには、データフィルタを追加します。ソースでのデータ・フィルタの使用を参照してください。

  6. 「ソースの作成」をクリックします。