Configuración de la supervisión de eventos de Windows
El sistema operativo Windows genera el registro de eventos de Windows para registrar los eventos relacionados con las operaciones del sistema operativo, el acceso a archivos, el acceso de usuario y las aplicaciones que se ejecutan en él. Estos logs de eventos pueden proporcionar información sobre la seguridad y el rendimiento de la aplicación, así como problemas.
Los tipos de eventos registrados en los registros de eventos de Windows se clasifican ampliamente de la siguiente manera:
-
Aplicación: errores y eventos relacionados con la aplicación instalada en la instancia de Windows.
-
Seguridad: eventos de acceso de archivo y usuario. Estos se registran mediante la auditoría de Windows.
-
Configuración: eventos relacionados con la instalación.
-
Sistema: registro de eventos relacionados con el sistema operativo Windows y sus componentes.
Oracle Logging Analytics proporciona orígenes de log definidos por Oracle que coinciden con la clasificación de eventos de Windows para poder procesar todo tipo de datos recopilados:
-
Eventos de aplicación de Windows
-
Eventos de seguridad de Windows
-
Eventos de configuración de Windows
-
Eventos del sistema de Windows
Oracle Logging Analytics puede recopilar todas las entradas históricas del log de eventos de Windows y soporta Windows, así como otros canales de eventos personalizados.
Flujo general para recopilar logs de eventos de Windows
A continuación se muestran las tareas de alto nivel para recopilar información de log del host:
-
Instale Management Agent en los hosts de Windows. Consulte Configuración de la recopilación continua de logs desde los hosts.
-
Cree la entidad de Windows. Consulte Creación de una entidad que represente su recurso emisor de logs.
- Identifique un origen de log del juego de orígenes existente, definido por Oracle y definido por el usuario. Si el origen existente no es adecuado para su requisito, cree un origen. Consulte Creación de un origen de evento de Windows.
-
Asocie las entidades al origen que ha creado anteriormente. Consulte Configuración de una nueva asociación origen-entidad.
Una vez finalizada la asociación, los logs comienzan a fluir a Oracle Logging Analytics.
-
Visualice los datos de log en el explorador de logs seleccionando el origen de evento de Windows que creó anteriormente. Consulte Filtrado de logs por atributos de origen.
Creación de un origen de evento de Windows
Oracle Logging Analytics ya proporciona varios orígenes de log definidos por Oracle para la recopilación de eventos de Windows.
Oracle Logging Analytics ya proporciona varios orígenes de log definidos por Oracle para la recopilación de syslog. Compruebe si puede utilizar uno de los orígenes definidos por Oracle o definidos por el usuario disponibles. Si no es así, utilice los siguientes pasos para crear un nuevo origen de log:
-
Abra el menú de navegación y haga clic en Observación y gestión. En Logging Analytics, haga clic en Administración. Se abre la página Visión general de administración.
Los recursos de administración se muestran en el panel de navegación de la izquierda en Recursos. Haga clic en Orígenes.
Se abre la página Orígenes. Haga clic en Crear origen.
-
En el campo Nombre, introduzca el nombre del origen.
También puede agregar una descripción.
-
En la lista Tipo de origen, seleccione Microsoft Windows. Con esta opción, se pueden recopilar todas las entradas históricas del registro de eventos de Windows, así como los registros de los canales de eventos personalizados.
Este tipo de origen no necesita el campo Analizador de log. Además, el tipo de entidad por defecto
Host (Windows)se selecciona automáticamente y no se puede cambiar. -
Especifique un nombre de canal de servicio de eventos. El nombre del canal debe coincidir con el nombre del evento de Windows para que el agente pueda formar la asociación para seleccionar logs.
-
Para filtrar los eventos de Windows con ID de eventos específicos, agregue Filtros de datos. Consulte Uso de filtros de datos en los orígenes.
-
Haga clic en Crear origen.