Imposta monitoraggio eventi Windows
Il registro eventi di Windows viene generato dal sistema operativo Windows per registrare gli eventi relativi alle operazioni del sistema operativo, all'accesso ai file, all'accesso utente e alle applicazioni in esecuzione su di esso. Questi log degli eventi possono fornire approfondimenti sulla sicurezza e sulle prestazioni e sui problemi delle applicazioni.
I tipi di eventi registrati nei log degli eventi di Windows sono ampiamente classificati come di seguito:
-
Applicazione: errori ed eventi correlati all'applicazione installata nell'istanza di Windows.
-
Sicurezza: eventi di accesso a file e utenti. Questi vengono registrati tramite l'audit di Windows.
-
Impostazione: eventi correlati all'installazione.
-
Sistema: record di eventi relativi al sistema operativo Windows e ai relativi componenti.
Oracle Log Analytics fornisce origini di log definite da Oracle che corrispondono alla classificazione degli eventi Windows per poter elaborare tutti i tipi di dati raccolti:
-
Eventi applicazione Windows
-
Eventi di sicurezza Windows
-
Eventi impostazione finestre
-
Eventi di sistema Windows
Oracle Log Analytics è in grado di raccogliere tutte le voci cronologiche del log eventi di Windows e supporta Windows e altri canali eventi personalizzati.
Flusso complessivo per la raccolta dei log degli eventi di Windows
Di seguito sono riportati i task di alto livello per la raccolta delle informazioni di log dall'host.
-
Installare Management Agent negli host Windows. Vedere Impostazione della raccolta di log continua mediante Management Agent.
-
Creare l'entità Windows. Vedere Creare un'entità per rappresentare la risorsa che invia il log.
- Identificare un'origine log dal set di origini esistente, definite da Oracle e definite dall'utente. Se l'origine esistente non è adatta alle proprie esigenze, creare un'origine. Vedere Creazione di un'origine eventi Windows.
-
Associare le entità all'origine creata in precedenza. Vedere Configura nuova associazione origine-entità.
Al termine dell'associazione, i log iniziano a fluire in Oracle Log Analytics.
-
Visualizzare i dati di log in Esplora log selezionando l'origine evento di Windows creata in precedenza. Vedere Filtrare i log in base agli attributi di origine.
Crea un'origine evento Windows
Oracle Log Analytics fornisce già diverse origini di log definite da Oracle per la raccolta di eventi Windows.
Oracle Log Analytics fornisce già diverse origini di log definite da Oracle per la raccolta syslog. Verificare se è possibile utilizzare una delle origini disponibili definite da Oracle o definite dall'utente. In caso contrario, effettuare le operazioni riportate di seguito per creare una nuova origine log.
-
Aprire il menu di navigazione e fare clic su Observability & Management. In Log Analytics, fare clic su Amministrazione.
Le risorse di amministrazione sono elencate nel riquadro di navigazione a sinistra in Amministrazione. Fare clic su Origini.
Viene visualizzata la pagina Origini. Fare clic su Crea origine.
-
Immettere il nome dell'origine nel campo Nome.
Facoltativamente, aggiungere una descrizione.
-
Nell'elenco Tipo di origine, selezionare Microsoft Windows. Con questa opzione, è possibile raccogliere tutte le voci storiche del registro eventi di Windows e i record dei canali eventi personalizzati.
Questo tipo di origine non richiede il campo Parser di log. Inoltre, il tipo di entità predefinito
Host (Windows)viene selezionato automaticamente e non può essere modificato. -
Specificare un nome di canale del servizio eventi. Il nome del canale deve corrispondere al nome dell'evento Windows in modo che l'agente possa formare l'associazione per raccogliere i log.
-
Per filtrare gli eventi di Windows con ID evento specifici, aggiungere Filtri dati. Vedere Usa filtri dati nelle origini.
-
Fare clic su Crea origine.