Documentation Oracle Cloud Infrastructure

Configuration de la surveillance des événements Windows

Le journal des événements Windows est généré par le système d'exploitation Windows pour enregistrer les événements liés aux opérations du système d'exploitation, à l'accès aux fichiers, à l'accès utilisateur et aux applications qui y sont exécutées. Ces journaux d'événements peuvent fournir des informations sur la sécurité, les performances des applications et les problèmes.

Les types d'événements consignés dans les journaux d'événements Windows sont généralement classés comme suit :

  • Application : erreurs et événements liés à l'application installée sur l'instance Windows.

  • Sécurité : événements d'accès aux fichiers et aux utilisateurs. Ils sont enregistrés via l'audit Windows.

  • Configuration : événements liés à l'installation.

  • Système : enregistrement des événements liés au système d'exploitation Windows et à ses composants.

Oracle Log Analytics fournit des sources de journal définies par Oracle pour correspondre à la classification des événements Windows afin de pouvoir traiter toutes sortes de données collectées :

  • Windows Application Events

  • Windows Security Events

  • Windows Setup Events

  • Windows System Events

Oracle Log Analytics peut collecter toutes les entrées historiques du journal des événements Windows et prend en charge Windows ainsi que d'autres canaux d'événements personnalisés.

Flux global de collecte des journaux d'événements Windows

Vous trouverez ci-dessous les tâches de haut niveau pour la collecte d'informations de journal à partir de votre hôte :

Créer une source d'événement Windows

Oracle Log Analytics fournit déjà plusieurs sources de journal définies par Oracle pour la collecte d'événements Windows.

Oracle Log Analytics fournit déjà plusieurs sources de journal définies par Oracle pour la collecte syslog. Vérifiez si vous pouvez utiliser l'une des sources disponibles définies par Oracle ou par l'utilisateur. Sinon, procédez comme suit pour créer une source de journal :

  1. Ouvrez le menu de navigation et cliquez sur Observation et gestion. Sous Log Analytics, cliquez sur Administration.

    Les ressources d'administration sont répertoriées dans le volet de navigation gauche sous Administration. Cliquez sur Sources.

    La page Sources apparaît. Cliquez sur Créer une source.

  2. Dans le champ Nom, saisissez le nom de la source.

    Ajoutez éventuellement une description.

  3. Dans la liste Type de source, sélectionnez Microsoft Windows. Avec cette option, toutes les entrées historiques du journal des événements Windows ainsi que les enregistrements des canaux d'événements personnalisés peuvent être collectés.

    Ce type de source ne requiert pas le champ Analyseur de journal. Par ailleurs, le type d'entité par défaut Host (Windows) est automatiquement sélectionné et ne peut pas être modifié.

  4. Indiquez le nom d'un canal du service d'événements. Le nom du canal doit correspondre au nom de l'événement Windows afin que l'agent puisse former l'association pour récupérer les journaux.

  5. Pour filtrer les événements Windows avec des ID d'événement spécifiques, ajoutez des filtres de données. Reportez-vous à Utilisation de filtres de données dans les sources.

  6. Cliquez sur Créer une source.