Windowsイベント監視の設定
Windowsイベントログは、OS操作、ファイルアクセス、ユーザーアクセス、およびそこで実行されているアプリケーションに関連するイベントを記録するために、Windowsオペレーティングシステムによって生成されます。これらのイベント・ログは、セキュリティとアプリケーションのパフォーマンスおよび問題に関するインサイトを提供できます。
Windowsイベント・ログに記録されるイベントのタイプは、主に次のように分類されます。
-
アプリケーション: Windowsインスタンスにインストールされているアプリケーションに関連するエラーおよびイベント。
-
セキュリティ: ファイルおよびユーザー・アクセス・イベント。これらはWindows監査によって記録されます。
-
設定: インストール関連のイベント。
-
システム: Windows OSシステムおよびそのコンポーネントに関連するイベントの記録。
Oracle Logging Analyticsには、Windowsイベント分類と一致するOracle定義のログ・ソースがあり、収集されたすべてのデータを処理できます。
-
Windowsアプリケーション・イベント
-
Windowsセキュリティ・イベント
-
Windows設定イベント
-
Windowsシステム・イベント
Oracle Logging Analyticsでは、これまでのすべてのWindowsイベント・ログ・エントリを収集でき、Windowsおよび他のカスタム・イベント・チャネルをサポートしています。
Windowsイベントログを収集するための全体的なフロー
次に、ホストからログ情報を収集するためのタスクの概要を示します:
-
Windowsホストに管理エージェントをインストールします。ホストからの継続的なログ収集の設定を参照してください。
-
Windowsエンティティーを作成します。ログ出力リソースを表すエンティティの作成を参照してください。
- 既存のソース・セット(Oracle定義とユーザー定義の両方)からログ・ソースを識別します。既存のソースが要件に適していない場合は、ソースを作成します。Windowsイベント・ソースの作成を参照してください。
-
エンティティを前に作成したソースに関連付けます。新しいソースとエンティティのアソシエーションの構成を参照してください。
関連付けが完了すると、ログがOracle Logging Analyticsに流れ始めます。
-
前に作成したWindowsイベント・ソースを選択して、ログ・エクスプローラでログ・データを表示します。「ソース属性でログをフィルタ」を参照してください。
Windowsイベント・ソースの作成
Oracle Logging Analyticsには、すでにWindows Eventコレクション用のOracle定義ログ・ソースがいくつか用意されています。
Oracle Logging Analyticsには、syslog収集用の複数のOracle定義ログ・ソースがすでに用意されています。使用可能なOracle定義ソースまたはユーザー定義ソースのいずれかを使用できるかどうかを確認します。そうでない場合は、次のステップを使用して新しいログ・ソースを作成します。
-
ナビゲーション・メニューを開き、「監視および管理」をクリックします。「ログ・アナリティクス」で、「管理」をクリックします。「管理の概要」ページが開きます。
管理リソースが、左側のナビゲーション・ペインの「リソース」の下にリストされます。「ソース」をクリックします。
「ソース」ページが開きます。「ソースの作成」をクリックします。
-
「名前」フィールドに、ソースの名前を入力します。
オプションで、説明を追加します。
-
「ソース・タイプ」リストから、「Microsoft Windows」を選択します。このオプションを使用すると、すべての履歴Windowsイベント・ログ・エントリおよびカスタム・イベント・チャネルのレコードを収集できます。
このソース・タイプには、「ログ・パーサー」フィールドは必要ありません。また、デフォルトのエンティティ・タイプ
Host (Windows)
は自動的に選択され、変更できません。 -
イベント・サービス・チャネル名を指定してください。チャネル名は、エージェントがアソシエーションを構成してログを取得できるように、Windowsイベントの名前と一致する必要があります。
-
特定のイベントIDで Windowsイベントをフィルタリングするには、データフィルタを追加します。ソースでのデータ・フィルタの使用を参照してください。
-
「ソースの作成」をクリックします。