Windows アプリケーションのログの収集
このページでは、Microsoft Windows イベント ログからログを収集して Sumo Logic に取り込むように Windows アプリケーションのログ収集を設定する方法について説明します。ログ メッセージとクエリの例も提供されています。
ログ タイプ
標準 Windows イベント チャネルには、以下が含まれます。
- セキュリティ
- Application (アプリケーション)
- システム
PowerShell や Internet Explorer などのカスタム イベント チャネルもサポートされています。
Collector と Source の設定
Collector と HTTP Source を設定するには、次の手順を実行します。
- ユーザ インターフェイスまたはコマンド ラインから Installed Windows Collector を設定します。
- ローカルまたはリモート Windows イベント ログ Source を設定します。
- ローカル Windows イベント ログ Source (Windows サーバが実行されているシステム)
- リモート Windows イベント ログ Source。
ログ メッセージのサンプル
0 instance of Win32_NTLogEvent { Category = 13571; CategoryString = "MPSSVC Rule-Level Policy Change"; ComputerName = "aphrodite.sumolab.org"; EventCode = 4957; EventIdentifier = 4957; EventType = 5; InsertionStrings = {"CoreNet-IPHTTPS-In", "Core Networking - IPHTTPS (TCP-In)", "Local Port"}; Logfile = "Security"; Message = "Windows Firewall did not apply the following rule: Rule Information: ID: CoreNet-IPHTTPS-In Name: Core Networking - IPHTTPS (TCP-In) Error Information: Reason: Local Port resolved to an empty set."; RecordNumber = 1441653878; SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20130411232352.140400-000"; TimeWritten = "20130411232352.140400-000"; Type = "Audit Failure"; };
クエリのサンプル
最近のポリシーの変更
_sourceCategory=OS/Windows "Policy Change"
| parse regex "CategoryString = \"(?<category>[^\"]+?)\";[\s\S]+?Logfile = \"Security\""
| count by category
| where category matches "*Policy Change*"