リモート Windows イベント ログ Source
1 つの Sumo Logic Collector を使用して複数のリモート システムから Windows イベント ログ エントリを収集するには、リモート Windows イベント ログ Source をセットアップします。
以下は、リモート Windows イベント ログ Source のセットアップの概要です。
- リモート Windows イベント Source は、Windows Server 2012 以降が動作するシステムでのみ実行でき、リモート収集ができます。
- リモート システムに Sumo Logic Collector がインストールされている必要はありません。
- 収集元のリモート ホスト名のコンマ区切りリストを指定できます。
- リモート アクセスを有効にするには、いくつか設定を行う必要があります。
リモート Windows イベント ログ Source を設定するには
- リモート イベントを収集するための前提条件[1]を満たします。
- Sumo Logic で [Manage Data (データの管理)] > [Collection (コレクション)] > [Collection (コレクション)] を選択します。
- Source を追加する Installed Collector の名前を見つけます。[Add (追加)] をクリックして、ポップアップ メニューから [Add Source (Source の追加)] を選択します。
- [Windows Event Log (Windows イベント ログ)] Source を選択します。
- [Type of Windows Source (Windows Source のタイプ)] に Remote (リモート) を選択します。
- 以下の項目を設定します。
- Name (名前): Sumo Logic Web アプリケーションでこの Source に表示する名前を入力します。
- Description (説明): 省略可能。
- Windows host(s) (Windows ホスト): Windows イベントを収集する Windows マシンのホスト名を 1 つ以上入力します。複数のリモート ホストから収集する場合は、ホスト名をコンマで区切ります。(複数のホスト名を入力する場合、各ホストでは同じドメインのユーザからのイベント ログへのアクセスを許可する必要があります。詳細については、前提条件を参照してください)。ホスト名は最大 128 文字です。
ホスト名の値は自動的に parse され、イベント ログに _sourceHost メタデータとして適用されます。この値は、イベント ログ内のフィールドComputer
から parse されます。 - Source Category。この Source から収集されたログを検索可能なメタデータでタグ付けするための文字列を入力します。たとえば、web_apps と入力して [sourceCategory] フィールドでこの Source のすべてのログをタグ付けします。詳細については、「メタデータの命名規則」と「ベスト プラクティス: 良い Source Category、悪い Source Category」を参照してください。
[Source Category] の値は、システム環境変数を使用して定義できます。下記の「変数を使用した sourceCategory の設定」を参照してください。 - Fields (フィールド): [+Add Field (+ フィールドの追加)] リンクをクリックすると、カスタム ログ メタデータ フィールドが追加されます。
- 関連付けるフィールドを定義します。各フィールドには、名前 (キー) と値が必要です。
[Fields (フィールド)] テーブル スキーマにフィールドが存在し、有効化されている場合は、チェック マークを含む緑色の円が表示されます。
[Fields (フィールド)] テーブル スキーマにフィールドが存在しない場合、またはフィールドが無効化されている場合は、感嘆符を含む橙色の三角形が表示されます。この場合は、存在しないフィールドを [Fields (フィールド)] テーブル スキーマに自動的に追加する、または有効化するオプションが表示されます。[Fields (フィールド)] スキーマに存在しないフィールドが Sumo に送信された場合、または無効化された場合、このフィールドは無視され、削除済みとして認識されます。
- 関連付けるフィールドを定義します。各フィールドには、名前 (キー) と値が必要です。
- Windows Domain (Windows ドメイン): Windows ドメインの名前、このホストのユーザ名、およびパスワードを入力します。
- Windows Event Type (Windows イベント タイプ): 収集するイベント タイプを以下から選択します。
- Standard Event Channels (標準イベント チャネル): すべてのタイプを選択するメイン チェック ボックスか、特定のタイプのチェック ボックス (セキュリティ、アプリケーション、システム) をそれぞれオンにします。
- 収集元のチャネルをコンマ区切りで指定する場合は、[Custom Event Channels (カスタム イベント チャネル)] を使用します。Source がインストールされたマシンでチャネルを検索する場合については、「Windows イベント Source のカスタム チャネル」を参照してください。
- Metadata (メタデータ): Collector が各イベントのメッセージ テキスト全体を省略して、収集するデータ量を最小化するかどうかを選択します。イベント ID、タイムスタンプ、ユーザ名、フォーマットされていないイベント データなどのコア メタデータ フィールドは収集されます。これにより、データ使用量が削減され、イベントのスループットが向上しますが、多くのダッシュボードとアプリケーションが正しくデータを抽出できません。
- Collection should begin (コレクションの開始点): ログ履歴の収集をどこまで遡って開始するかを選択または入力します。以下のいずれかを実行します。
- 「Now (現在)」から「24 hours ago (24 時間前)」、「All Time (すべての時間)」までの範囲のドロップダウン リストから定義済みの値を選択します。または、
- 相対値を入力します。相対値を入力するには、[Collection should begin (コレクションの開始点)] フィールドをクリックし、キーボードで削除キーを押してフィールドをクリアします。次に、「-1w」などの相対時間表現を入力します。月 (M)、週 (w)、日 (d)、時間 (h)、および分 (m) を使用してコレクションの開始時期を定義できます。
- Security Identifier (セキュリティ識別子): 新しい Collector では、セキュリティ識別子 (SID) をユーザ名にマップできます。以下から選択します。
- セキュリティ識別子とユーザ名の両方
- セキュリティ識別子のみ
- ユーザ名のみ
- 新しい Source には、任意の処理ルールを作成できます。
- [Save (保存)] をクリックします。
このダイアログに戻って、いつでも Source の設定を編集できます。