Windowsイベント・モニタリングの設定
Windowsイベントログは、OS操作、ファイルアクセス、ユーザーアクセス、およびそれで実行されているアプリケーションに関連するイベントを記録するために Windowsオペレーティングシステムによって生成されます。これらのイベント・ログは、セキュリティおよびアプリケーションのパフォーマンスと問題に関するインサイトを提供できます。
Windowsイベントログに記録されるイベントのタイプは、次のように大きく分類されます。
-
アプリケーション: Windowsインスタンスにインストールされたアプリケーションに関連するエラーおよびイベント。
-
セキュリティ: ファイルおよびユーザー・アクセス・イベント。これらは Windowsの監査によって記録されます。
-
設定: インストール関連イベント。
-
システム: Windows OSシステムとそのコンポーネントに関連するイベントの記録。
Oracle Logging Analyticsには、Windowsイベント分類と一致するOracle定義のログ・ソースが用意されており、あらゆる種類の収集データを処理できます:
-
Windowsアプリケーション・イベント
-
Windowsセキュリティ・イベント
-
Windows設定イベント
-
Windowsシステム・イベント
Oracle Logging Analyticsでは、これまでのすべてのWindowsイベント・ログ・エントリを収集でき、Windowsおよびその他のカスタム・イベント・チャネルをサポートしています。
Windowsイベントログを収集するための全体的なフロー
次に、ホストからログ情報を収集するためのタスクの概要を示します:
-
Windowsホストに管理エージェントをインストールします。ホストからの継続的なログ収集の設定を参照してください。
-
Windowsエンティティーを作成します。ログ出力リソースを表すエンティティの作成を参照してください。
- Oracle定義とユーザー定義の両方の既存のソース・セットからログ・ソースを識別します。既存のソースが要件に適していない場合は、ソースを作成します。Create a Windows Event Sourceを参照してください。
-
エンティティを前に作成したソースに関連付けます。新しいソースとエンティティのアソシエーションの構成を参照してください。
アソシエーションが完了すると、ログはOracle Logging Analyticsへのフローを開始します。
-
前に作成したWindowsイベント・ソースを選択して、ログ・エクスプローラでログ・データを表示します。ソース属性でログをフィルタを参照してください。
Windowsイベント・ソースの作成
Oracle Logging Analyticsには、Windowsイベント収集用のOracle定義ログ・ソースがすでにいくつか用意されています。
Oracle Logging Analyticsには、syslog収集用のOracle定義ログ・ソースがすでにいくつか用意されています。使用可能なOracle定義ソースまたはユーザー定義ソースのいずれかを使用できるかどうかを確認します。そうでない場合は、次のステップを使用して新しいログ・ソースを作成します:
-
ナビゲーション・メニューを開き、「監視および管理」をクリックします。「ログ・アナリティクス」で、「管理」をクリックします。「管理の概要」ページが開きます。
管理リソースが、左側のナビゲーション・ペインの「リソース」の下にリストされます。「ソース」をクリックします。
「ソース」ページが開きます。「ソースの作成」をクリックします。
-
「名前」フィールドに、ソースの名前を入力します。
オプションで、説明を追加します。
-
「Source Type」リストから「Microsoft Windows」を選択します。このオプションを使用すると、すべての履歴 Windowsイベントログエントリとカスタムイベントチャネルのレコードを収集できます。
このソース・タイプには、「ログ・パーサー」フィールドは必要ありません。また、デフォルトのエンティティ・タイプ
Host (Windows)が自動的に選択され、変更できません。 -
イベント・サービス・チャネル名を指定してください。チャネル名は、エージェントがアソシエーションを構成してログを取得できるように、Windowsイベントの名前と一致する必要があります。
-
特定のイベントIDでWindowsイベントをフィルタするには、データ・フィルタを追加します。ソースでのデータ・フィルタの使用を参照してください。
-
「ソースの作成」をクリックします。