Windows-Ereignismonitoring einrichten
Das Windows-Ereignisprotokoll wird vom Windows-Betriebssystem generiert, um die Ereignisse im Zusammenhang mit Betriebssystemvorgängen, Dateizugriff, Benutzerzugriff und darauf ausgeführten Anwendungen aufzuzeichnen. Diese Ereignislogs können Einblicke in Sicherheit und Anwendungsperformance sowie Probleme liefern.
Die in den Windows-Ereignisprotokollen protokollierten Ereignistypen werden allgemein wie folgt klassifiziert:
-
Anwendung: Fehler und Ereignisse im Zusammenhang mit der auf der Windows-Instanz installierten Anwendung.
-
Sicherheit: Datei- und Benutzerzugriffsereignisse. Diese werden durch Windows-Auditing aufgezeichnet.
-
Setup: Installationsbezogene Ereignisse.
-
System: Aufzeichnen von Ereignissen, die sich auf das Windows-Betriebssystem und seine Komponenten beziehen.
Oracle Logging Analytics stellt von Oracle definierte Logquellen bereit, die der Windows-Ereignisklassifizierung entsprechen, um alle Arten von erfassten Daten verarbeiten zu können:
-
Windows Application Events
-
Windows Security Events
-
Windows Setup Events
-
Windows System Events
Oracle Logging Analytics kann alle historischen Windows-Ereignislogeinträge erfassen und unterstützt Windows sowie andere benutzerdefinierte Ereigniskanäle.
Allgemeiner Ablauf zum Erfassen von Windows-Ereignislogs
Im Folgenden finden Sie die allgemeinen Aufgaben zum Erfassen von Loginformationen von Ihrem Host:
-
Installieren Sie Management Agents auf Ihren Windows-Hosts. Siehe Kontinuierliche Logerfassung von Ihren Hosts einrichten.
-
Erstellen Sie die Windows-Entity. Siehe Entity zur Darstellung der logausgebenden Ressource erstellen.
- Identifizieren Sie eine Logquelle aus der vorhandenen Gruppe von Quellen, sowohl von Oracle definiert als auch benutzerdefiniert. Wenn die vorhandene Quelle nicht für Ihre Anforderung geeignet ist, erstellen Sie eine Quelle. Siehe Windows-Ereignisquelle erstellen.
-
Ordnen Sie die Entitys der Quelle zu, die Sie zuvor erstellt haben. Siehe Neue Quellen-Entity-Verknüpfung konfigurieren
Nach Abschluss der Verknüpfung fließen die Logs in Oracle Logging Analytics.
-
Zeigen Sie Protokolldaten im Log Explorer an, indem Sie die zuvor erstellte Windows-Ereignisquelle auswählen. Siehe Logs nach Quellenattribut filtern.
Windows-Ereignisquelle erstellen
Oracle Logging Analytics stellt bereits mehrere von Oracle definierte Logquellen für die Erfassung von Windows-Ereignissen bereit.
Oracle Logging Analytics stellt bereits mehrere von Oracle definierte Logquellen für die Syslog-Erfassung bereit. Prüfen Sie, ob Sie eine der verfügbaren von Oracle definierten oder benutzerdefinierten Quellen verwenden können. Falls nicht, führen Sie die folgenden Schritte aus, um eine neue Logquelle zu erstellen:
-
Öffnen Sie das Navigationsmenü, und klicken Sie auf Observability and Management. Klicken Sie unter Logging Analytics auf Administration. Die Seite Administration - Überblick wird geöffnet.
Die Administrationsressourcen werden im linken Navigationsbereich unter Ressourcen aufgeführt. Klicken Sie auf Quellen.
Die Seite Quellen wird geöffnet. Klicken Sie auf Quelle erstellen.
-
Geben Sie im Feld Name den Namen der Quelle ein.
Fügen Sie optional eine Beschreibung hinzu.
-
Wählen Sie in der Liste Quelltyp die Option Microsoft Windows aus. Mit dieser Option können alle historischen Windows-Ereignisprotokolleinträge sowie Datensätze aus benutzerdefinierten Ereigniskanälen erfasst werden.
Für diesen Quelltyp ist das Feld Logparser nicht erforderlich. Außerdem wird der Standardentitytyp
Host (Windows)automatisch ausgewählt und kann nicht geändert werden. -
Geben Sie einen Ereignisservicekanalnamen an. Der Kanalname muss mit dem Namen des Windows-Ereignisses übereinstimmen, damit der Agent die Verknüpfung bilden kann, um Logs abzurufen.
-
Um die Windows-Ereignisse mit bestimmten Eventkennungen zu filtern, fügen Sie Datenfilter hinzu. Siehe Datenfilter in Quellen verwenden.
-
Klicken Sie auf Quelle erstellen.