Configurer la surveillance des événements Windows
Le journal des événements Windows est généré par le système d'exploitation Windows pour enregistrer les événements liés aux opérations du système d'exploitation, à l'accès aux fichiers, à l'accès des utilisateurs et aux applications qui y sont exécutées. Ces journaux d'événements peuvent fournir des informations sur la sécurité, la performance des applications et les problèmes.
Les types d'événements enregistrés dans les journaux d'événements Windows sont généralement classés comme suit :
-
Application : Erreurs et événements liés à l'application installée sur l'instance Windows.
-
Sécurité : Événements d'accès aux fichiers et aux utilisateurs. Ceux-ci sont enregistrés via l'audit Windows.
-
Configuration : Événements liés à l'installation.
-
Système : Enregistrement des événements liés au système d'exploitation Windows et à ses composants.
Oracle Log Analytics fournit des sources de journaux définies par Oracle correspondant à la classification des événements Windows pour pouvoir traiter tous les types de données collectées :
-
Événements d'application Windows
-
Événements de sécurité Windows
-
Événements de configuration Windows
-
Événements du système Windows
Oracle Log Analytics peut collecter toutes les entrées historiques du journal des événements Windows et prend en charge Windows ainsi que d'autres canaux d'événement personnalisés.
Flux global pour la collecte des journaux d'événements Windows
Voici les tâches générales de collecte des informations de journal à partir de votre hôte :
-
Installez les agents de gestion sur vos hôtes Windows. Voir Configurer la collecte continue des journaux à l'aide de l'agent de gestion.
-
Créez l'entité Windows. Voir Créer une entité pour représenter votre ressource émettrice de journaux.
- Identifier une source de journaux à partir de l'ensemble existant de sources, définies par Oracle et par l'utilisateur. Si la source existante ne convient pas à vos besoins, créez-en une. Voir Créer une source d'événements Windows.
-
Associez les entités à la source que vous avez créée précédemment. Voir Configurer une nouvelle association source-entité.
Une fois l'association terminée, les journaux commencent à circuler dans Oracle Log Analytics.
-
Consultez les données de journal dans l'explorateur de journaux en sélectionnant la source d'événements Windows que vous avez créée précédemment. Voir Filtrer les journaux par attribut source.
Créer une source d'événements Windows
Oracle Log Analytics fournit déjà plusieurs sources de journaux définies par Oracle pour la collecte des événements Windows.
Oracle Log Analytics fournit déjà plusieurs sources de journaux définies par Oracle pour la collecte syslog. Vérifiez si vous pouvez utiliser l'une des sources définies par Oracle ou par l'utilisateur disponibles. Si ce n'est pas le cas, procédez comme suit pour créer une source de journaux :
-
Ouvrez le menu de navigation et cliquez sur Observabilité et gestion. Sous Log Analytics, cliquez sur Administration. La page Aperçu de l'administration s'ouvre.
Les ressources d'administration sont répertoriées dans le volet de navigation de gauche sous Ressources. Cliquez sur Sources.
La page Sources s'ouvre. Cliquez sur Créer une source.
-
Dans le champ Nom, entrez le nom de la source.
Au besoin, ajoutez une description.
-
Dans la liste Type de source, sélectionnez Microsoft Windows. Avec cette option, toutes les entrées historiques du journal des événements Windows ainsi que les enregistrements des canaux d'événements personnalisés peuvent être collectés.
Ce type de source ne nécessite pas le champ Analyseur de journaux. De plus, le type d'entité par défaut
Host (Windows)est automatiquement sélectionné et ne peut pas être modifié. -
Indiquez un nom de canal de service d'événement. Le nom du canal doit correspondre au nom de l'événement Windows afin que l'agent puisse former l'association pour récupérer les journaux.
-
Pour filtrer les événements Windows avec des ID événements spécifiques, ajoutez des filtres de données. Voir Utiliser des filtres de données dans les sources.
-
Cliquez sur Créer une source.