メインコンテンツまでスキップ
Sumo Logic Japanese

Windows イベント ソースのカスタム チャネル

  1. 最後の更新
  2. PDFとして保存

ローカルまたはリモートの Windows イベント ソースを設定するには、収集元のチャネルを指定する必要があります。このページは、システムからチャネル名リストを取得する方法と Sumo Logic コレクタが処理できないチャネルについて説明します。

チャネル名の取得

コレクタで使用可能なイベント チャネルを検索するには、管理者 PowerShell プロンプトで以下のコマンドを実行します。次に、チャネル名をコピーしてソースの [Custom Events Channels (カスタム イベント チャネル)] テキスト ボックスに貼り付けます。
window_custom_channels.png

以下のコマンドを PowerShell に入力します。

# to see channels listed in the standard order
Get-WinEvent -ListLog *

# to sort more active channels to the top of the list
Get-WinEvent -ListLog * | sort RecordCount -Descending

# to see channels present on a remote computer
Get-WinEvent -ListLog * -ComputerName <hostname>

出力には、チャネル リストとそれらのチャネルの現在のイベント レコード数が以下のように表示されます。

LogMode   MaximumSizeInBytes RecordCount LogName
-------   ------------------ ----------- -------
Circular            20971520       59847 Application
Circular            20000000       29339 Microsoft-Windows-Store/Operational
Circular            20971520       21903 Security
Circular             4194304       10098 Microsoft-Windows-GroupPolicy/Operational
Circular             5242880        9568 Microsoft-Windows-StateRepository/Operational
Circular            15728640        7066 Windows PowerShell
Circular             5242880        4644 Microsoft-Windows-AppXDeploymentServer/Operational
Circular             8388608        4114 Microsoft-Windows-SmbClient/Connectivity
Circular             1052672        2843 Microsoft-Windows-EapHost/Operational
Circular             1052672        2496 Microsoft-Client-Licensing-Platform/Admin

出力の LogName 列には、チャネル名が表示されます。これらのチャネル名をコンマ区切りでソースの [Custom Events Channels (カスタム イベント チャネル)] テキスト ボックスに入力します。標準のアプリケーション、システム、またはセキュリティ ログの名前を再入力する必要はありません。これらはすでにチェック ボックスで選択できます。

たとえば、上記の上位 5 つのアクティブ チャネルからイベントを収集するには、[Application (アプリケーション)][Security (セキュリティ)] チェック ボックスをオンにして、以下の文字列をテキスト ボックスに入力します。

Microsoft-Windows-Store/Operational,Microsoft-Windows-GroupPolicy/Operational,Microsoft-Windows-StateRepository/Operational

以下のコマンドを実行して cmd.exe コンソールからチャネル名リストを取得することもできます。

rem List channels on the local system
wevtutil.exe enum-logs

rem List channels on a remote system
wevtutil.exe enum-logs /remote:<hostname>

Sumo Logic コレクタは以下のチャネルからはイベントを収集しません。

  • 分析 ETW チャネル
  • デバッグ ETW チャネル
  • 転送イベント チャネル
  1. このページのトップへ
  • この記事は役に立ちましたか?

おすすめの記事

  1. おすすめの記事はありません。
  1. 記事のタイプ
    トピック
  2. タグ
    1. sources:installed-collectors
    2. windows イベント
    3. ソース