メインコンテンツまでスキップ
Sumo Logic Japanese

ローカル Windows イベント ログ Source

通常 Windows イベント ビューアで表示するローカル イベントを収集するには、ローカル Windows イベント ログ Source をセットアップします。ローカル Windows イベント Source のセットアップの手順は簡単です。Source のセットアップに前提条件はないので、1 分程度でログの収集が開始できます。

ローカル Windows イベント Source は、Windows イベント ログの収集専用です。他のタイプのログ Source はすべてリモート ファイル Source またはローカル ファイル Source として設定する必要があります。

ローカル Windows イベント ログ Source を設定するには

  1. Sumo Logic で [Manage Data (データの管理)] > [Collection (コレクション)] > [Collection (コレクション)] を選択します。
  2. Source を追加する Installed Collector の名前を見つけます。[Add (追加)] をクリックして、ポップアップ メニューから [Add Source (Source の追加)] を選択します。
  3. [Windows Event Log (Windows イベント ログ)] をクリックします。
  4. [Type of Windows Source (Windows Source のタイプ)] に Local (ローカル) を選択します。
  5. 以下の項目を設定します。
    • Name (名前): 新しい Source に表示する名前を入力します。 
    • 必要に応じて Description (説明) を入力します。
    • Source Category。この Source から収集された出力を検索可能なメタデータでタグ付けするための文字列を入力します。たとえば、web_apps と入力して [sourceCategory] フィールドのこの Source のすべてのログをタグ付けする場合、_sourceCategory=web_apps で検索すると、Source からログが返ってきます。詳細については、「メタデータの命名規則」「ベスト プラクティス: 良い Source Category、悪い Source Category」を参照してください。
      [Source Category] の値は、システム環境変数を使用して定義できます。下記の「変数を使用した sourceCategory の設定」を参照してください。
    • Fields (フィールド): [+Add Field (+ フィールドの追加)] リンクをクリックすると、カスタム ログ メタデータ フィールドが追加されます。
      • 関連付けるフィールドを定義します。各フィールドには、名前 (キー) と値が必要です。 
        • green check circle.png [Fields (フィールド)] テーブル スキーマにフィールドが存在し、有効化されている場合は、チェック マークを含む緑色の円が表示されます。
        • orange exclamation point.png [Fields (フィールド)] テーブル スキーマにフィールドが存在しない場合、またはフィールドが無効化されている場合は、感嘆符を含む橙色の三角形が表示されます。この場合は、存在しないフィールドを [Fields (フィールド)] テーブル スキーマに自動的に追加する、または有効化するオプションが表示されます。[Fields (フィールド)] スキーマに存在しないフィールドが Sumo に送信された場合、または無効化された場合、このフィールドは無視され、削除済みとして認識されます。
    • Windows Event Type (Windows イベント タイプ): 収集するイベント タイプを以下から選択します。
      • Standard Event Channels (標準イベント チャネル): すべてのタイプを選択するメイン チェック ボックスか、特定のタイプのチェック ボックス (セキュリティ、アプリケーション、システム) をそれぞれオンにします。
      • 収集元のチャネルをコンマ区切りで指定する場合は、[Custom Event Channels (カスタム イベント チャネル)] を使用します。Source がインストールされたマシンでチャネルを検索する場合については、「Windows イベント Source のカスタム チャネル」を参照してください。 

      windows_file_source_event_types.png

    • Metadata (メタデータ): Collector が各イベントのメッセージ テキスト全体を省略して、収集するデータ量を最小化するかどうかを選択します。イベント ID、タイムスタンプ、ユーザ名、フォーマットされていないイベント データなどのコア メタデータ フィールドは収集されます。これにより、データ使用量が削減され、イベントのスループットが向上しますが、多くのダッシュボードとアプリケーションが正しくデータを抽出できません。

      イベント メタデータ設定

    • Collection should begin (コレクションの開始点): ログ履歴の収集をどこまで遡って開始するかを選択または入力します。以下のいずれかを実行します。
      • 「Now (現在)」から「24 hours ago (24 時間前)」、「All Time (すべての時間)」までの範囲のドロップダウン リストから定義済みの値を選択します。または、
      • 相対値を入力します。相対値を入力するには、[Collection should begin (コレクションの開始点)] フィールドをクリックし、キーボードで削除キーを押してフィールドをクリアします。次に、「-1w」などの相対時間表現を入力します。月 (M)、週 (w)、日 (d)、時間 (h)、および分 (m) を使用してコレクションの開始時期を定義できます。
    • Security Identifier (セキュリティ識別子): 新しい Collector では、セキュリティ識別子 (SID) をユーザ名にマップできます。以下から選択します。
      • セキュリティ識別子とユーザ名の両方
      • セキュリティ識別子のみ
      • ユーザ名のみ
    • 新しい Source任意の処理ルールを作成します。
  6. [Save (保存)] をクリックします。

このダイアログに戻って、いつでも Source の設定を編集できます。

変数を使用した sourceCategory の設定

Collector バージョン 19.216-22 以降では、Source Category と Source ホストのメタデータ値を、ホスト マシンで設定するシステム環境変数で定義できます。

Source を設定するときは、次のようにシステム環境変数の先頭に sys. を付けて、変数全体を二重の中括弧 {{}} で囲みます。

{{sys.VAR_NAME}}

VAR_NAME は環境変数名です。例:

{{sys.PATH}}

以下のように、複数の変数を使用できます。

{{sys.PATH}}-{{sys.YourEnvVar}}

environment variable usage.png

以下のように、メタデータ形式でテキストを結合できます。

AnyTextYouWant_{{sys.PATH}}_{{sys.YourEnvVar}}

ユーザ定義変数がない場合は、メタデータ フィールドの該当部分は空白です。

  • この記事は役に立ちましたか?