Windows-Ereignismonitoring einrichten
Das Windows-Ereignisprotokoll wird vom Windows-Betriebssystem generiert, um die Ereignisse im Zusammenhang mit Betriebssystemvorgängen, Dateizugriff, Benutzerzugriff und darauf ausgeführten Anwendungen aufzuzeichnen. Diese Ereignislogs können Einblicke in die Sicherheit und Anwendungsperformance und Probleme liefern.
Die in den Windows Event-Protokollen protokollierten Ereignistypen werden im Allgemeinen wie folgt klassifiziert:
-
Anwendung: Fehler und Ereignisse im Zusammenhang mit der Anwendung, die auf der Windows-Instanz installiert ist.
-
Sicherheit: Datei- und Benutzerzugriffsereignisse. Diese werden durch Windows-Auditing aufgezeichnet.
-
Setup: Installationsbezogene Ereignisse.
-
System: Aufzeichnung von Ereignissen im Zusammenhang mit dem Windows-Betriebssystem und seinen Komponenten.
Oracle Log Analytics stellt von Oracle definierte Logquellen bereit, die der Windows-Ereignisklassifizierung entsprechen, damit alle Arten von erfassten Daten verarbeitet werden können:
-
Windows Application Events
-
Windows Security Events
-
Windows Setup Events
-
Windows System Events
Oracle Log Analytics kann alle historischen Windows-Ereignislogeinträge erfassen und unterstützt Windows sowie andere benutzerdefinierte Ereigniskanäle.
Gesamtablauf zum Erfassen von Windows-Ereignislogs
Im Folgenden werden die allgemeinen Aufgaben zum Erfassen von Loginformationen von Ihrem Host aufgeführt:
-
Installieren Sie Management Agents auf Ihren Windows-Hosts. Siehe Kontinuierliche Logerfassung mit Management Agent einrichten.
-
Erstellen Sie die Windows-Entity. Siehe Entity zur Darstellung der protokollierenden Ressource erstellen.
- Identifizieren Sie eine Logquelle aus der vorhandenen Gruppe von Quellen, sowohl von Oracle als auch benutzerdefiniert. Wenn die vorhandene Quelle nicht für Ihre Anforderung geeignet ist, erstellen Sie eine Quelle. Siehe Windows-Ereignisquelle erstellen.
-
Verknüpfen Sie die Entitys mit der Quelle, die Sie zuvor erstellt haben. Siehe Neue Quellen-Entity-Verknüpfung konfigurieren
Nachdem die Verknüpfung abgeschlossen ist, fließen die Logs in Oracle Log Analytics.
-
Zeigen Sie Logdaten im Log Explorer an, indem Sie die zuvor erstellte Windows-Eventquelle auswählen. Siehe Logs nach Quellenattributen filtern.
Windows-Ereignisquelle erstellen
Oracle Log Analytics stellt bereits mehrere von Oracle definierte Logquellen für die Erfassung von Windows-Ereignissen bereit.
Oracle Log Analytics stellt bereits mehrere von Oracle definierte Logquellen für die Syslog-Erfassung bereit. Prüfen Sie, ob Sie eine der verfügbaren von Oracle definierten oder benutzerdefinierten Quellen verwenden können. Wenn nicht, verwenden Sie die folgenden Schritte, um eine neue Logquelle zu erstellen:
-
Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Log Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.
Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.
Die Seite Quellen wird geöffnet. Klicken Sie auf Quelle erstellen.
-
Geben Sie im Feld Name den Namen der Quelle ein.
Fügen Sie optional eine Beschreibung hinzu.
-
Wählen Sie in der Liste Quelltyp die Option Microsoft Windows aus. Mit dieser Option können alle historischen Windows Event Log-Einträge sowie Datensätze aus benutzerdefinierten Ereigniskanälen gesammelt werden.
Für diesen Quelltyp ist das Feld Logparser nicht erforderlich. Außerdem wird der Standardentitytyp
Host (Windows)automatisch ausgewählt und kann nicht geändert werden. -
Geben Sie einen Ereignisservicekanalnamen ein. Der Kanalname muss mit dem Namen des Windows-Ereignisses übereinstimmen, damit der Agent die Verknüpfung bilden kann, um Logs abzurufen.
-
Fügen Sie Datenfilter hinzu, um die Windows-Ereignisse mit bestimmten Ereignis-IDs zu filtern. Siehe Datenfilter in Quellen verwenden.
-
Klicken Sie auf Quelle erstellen.