Windowsイベント監視の設定
Windowsイベント・ログは、OS操作、ファイル・アクセス、ユーザー・アクセスおよびそれで実行されているアプリケーションに関連するイベントを記録するために、Windowsオペレーティング・システムによって生成されます。これらのイベント・ログは、セキュリティおよびアプリケーションのパフォーマンスと問題に関するインサイトを提供できます。
Windowsイベント・ログに記録されるイベントのタイプは、次のように広く分類されています。
-
アプリケーション: Windowsインスタンスにインストールされたアプリケーションに関連するエラーおよびイベント。
-
セキュリティ: ファイルおよびユーザー・アクセス・イベント。これらは、Windows監査によって記録されます。
-
設定: インストール関連イベント。
-
システム: Windows OSシステムおよびそのコンポーネントに関連するイベントの記録。
Oracle Log Analyticsは、Windowsイベント分類と一致するOracle定義のログ・ソースを提供し、あらゆる種類の収集データを処理できるようにします。
-
Windowsアプリケーション・イベント
-
Windowsセキュリティ・イベント
-
Windows設定イベント
-
Windowsシステム・イベント
Oracle Log Analyticsは、すべての履歴Windowsイベント・ログ・エントリを収集し、Windowsおよびその他のカスタム・イベント・チャネルをサポートできます。
Windowsイベントログを収集するための全体的なフロー
次に、ホストからログ情報を収集するためのタスクの概要を示します。
-
Windowsホストに管理エージェントをインストールします。ホストからの継続的なログ収集の設定を参照してください。
-
Windowsエンティティを作成します。「ログ出力リソースを表すエンティティの作成」を参照してください。
- Oracle定義とユーザー定義の両方の既存のソース・セットからログ・ソースを識別します。既存のソースが要件に適していない場合は、ソースを作成します。Windowsイベント・ソースの作成を参照してください。
-
以前に作成したソースにエンティティを関連付けます。新しいソースとエンティティのアソシエーションの構成を参照してください。
アソシエーションの完了後、ログはOracle Log Analyticsへのフローを開始します。
-
前に作成したWindowsイベント・ソースを選択して、ログ・エクスプローラでログ・データを表示します。ソース属性によるログのフィルタを参照してください。
Windowsイベント・ソースの作成
Oracle Log Analyticsには、Windowsイベント収集用の複数のOracle定義ログ・ソースがすでに用意されています。
Oracle Log Analyticsには、syslog収集用の複数のOracle定義ログ・ソースがすでに用意されています。使用可能なOracle定義ソースまたはユーザー定義ソースのいずれかを使用できるかどうかを確認します。そうでない場合は、次のステップを使用して新しいログ・ソースを作成します。
-
ナビゲーション・メニューを開き、「監視および管理」をクリックします。「Log Analytics」で、「管理」をクリックします。「管理の概要」ページが開きます。
管理リソースが、左側のナビゲーション・ペインの「リソース」の下にリストされます。「ソース」をクリックします。
「ソース」ページが開きます。「ソースの作成」をクリックします。
-
「名前」フィールドに、ソースの名前を入力します。
オプションで、説明を追加します。
-
「ソース・タイプ」リストから、「Microsoft Windows」を選択します。このオプションを使用すると、すべての履歴Windowsイベント・ログ・エントリおよびカスタム・イベント・チャネルのレコードを収集できます。
このソース・タイプには、「ログ・パーサー」フィールドは必要ありません。また、デフォルトのエンティティ・タイプ
Host (Windows)が自動的に選択され、変更できません。 -
イベント・サービス・チャネル名を指定します。チャネル名は、エージェントがアソシエーションを構成してログを取得できるように、Windowsイベントの名前と一致する必要があります。
-
特定のイベントIDでWindowsイベントをフィルタするには、データ・フィルタを追加します。ソースでのデータ・フィルタの使用を参照してください。
-
「ソースの作成」をクリックします。