リモート Windows イベントを収集するマシンの事前設定
リモート Windows イベント ログ Source からのリモート アクセスができるようにシステムを設定するには、このトピックの手順を使用します。ローカル Windows イベント ログを収集する場合は、「ローカル Windows イベント ログ Source の設定」を参照してください。
リモート イベント ログ収集を有効にするには、以下の 2 つの主要な設定要件があります。
- この Source に指定されたユーザ アカウントには、リモートでイベント ログを読み取る権限が必要です。
- リモート マシンのファイアウォールは、イベント ログの読み取り用の受信接続ができるように設定する必要があります。
ユーザ アカウント
Source を設定する場合、ドメイン名、ユーザ名、およびパスワードを入力します。Collector はこのユーザ アカウントを使用して、イベント ログ レコードのリモート コレクションを実行します。資格情報は Sumo のデータベースに暗号化されて格納されます。Collector のメモリにも格納されます。このアカウントは、指定したリモート システムのそれぞれのイベント ログを読み取りできるように権限を設定する必要があります。
ターゲット システムのローカル管理者または Event Log Readers ローカル グループのメンバーの場合、アカウントにはリモート イベントを読み取る権限があります。 セキュリティのベスト プラクティスとしては、管理者以外のアカウントを使用することをお勧めします。
UI
- [コンピューターの管理] アプリケーション (compmgmt.msc) を開きます。
- [ローカル ユーザとグループ] に移動して、[グループ] を選択します。
3.[Event Log Readers] グループをダブルクリックして、アカウントを新規メンバーとして追加します。
コマンド ライン
以下のコマンド ラインを使用して Event Log Readers ローカル グループにユーザを追加できます。
net localgroup "Event Log Readers" <domain\username> /add
ファイアウォールの設定
リモート システムで Windows イベント ログを読み取れるようにするには、受信ファイアウォールの一連の例外を有効にする必要があります。
UI
- [セキュリティが強化された Windows ファイアウォール] アプリケーション (wf.msc) を開きます。
- 左側のパネルで、[受信の規則] を選択します。
- [リモート イベントのログ管理] という名前のルール セットまで下にスクロールします。
- 受信トラフィックを許可するには、[リモート イベントのログ管理] ルールのすべてを有効にします。
これらのファイアウォール ルールのそれぞれについて、ドメイン システムのトラフィックのみ、特定のアカウントのトラフィックのみ、特定の IP 範囲のトラフィックのみなどを許可する詳細な範囲指定ができます。組織の IT インフラストラクチャやセキュリティ ポリシーに従って、適切な設定を行います。
コマンド ライン
ファイアウォール ルールは、コマンド ラインから netsh コマンドを実行して設定できます。
rem Enables all rules in the Remote Event Log Management group, for all network profiles netsh advfirewall firewall set rule group="Remote Event Log Management" new enable=yes
netsh でも詳細なファイアウォール設定ができます。これらのパラメータの詳細については、netsh advfirewall ドキュメントを参照してください。