メインコンテンツまでスキップ
Sumo Logic Japanese

Windows アプリケーションのログの収集

このページでは、Microsoft Windows イベント ログからログを収集して Sumo Logic に取り込むように Windows アプリケーションのログ収集を設定する方法について説明します。ログ メッセージとクエリの例も提供されています。

ログ タイプ

標準 Windows イベント チャネルには、以下が含まれます。

  • セキュリティ
  • Application (アプリケーション)
  • システム

PowerShell や Internet Explorer などのカスタム イベント チャネルもサポートされています。

Collector と Source の設定

Collector と HTTP Source を設定するには、次の手順を実行します。
  1. ユーザ インターフェイスまたはコマンド ラインから Installed Windows Collector を設定します。
  2. ローカルまたはリモート Windows イベント ログ Source を設定します。

ログ メッセージのサンプル

0
instance of Win32_NTLogEvent
{
    Category = 13571;
    CategoryString = "MPSSVC Rule-Level Policy Change";
    ComputerName = "aphrodite.sumolab.org";
    EventCode = 4957;
    EventIdentifier = 4957;
    EventType = 5;
    InsertionStrings = {"CoreNet-IPHTTPS-In", "Core Networking - IPHTTPS (TCP-In)", "Local Port"};
    Logfile = "Security";
    Message = "Windows Firewall did not apply the following rule:

    Rule Information:
    ID: CoreNet-IPHTTPS-In
    Name: Core Networking - IPHTTPS (TCP-In)

    Error Information:
    Reason: Local Port resolved to an empty set.";
    RecordNumber = 1441653878;
    SourceName = "Microsoft-Windows-Security-Auditing";
    TimeGenerated = "20130411232352.140400-000";
    TimeWritten = "20130411232352.140400-000";
    Type = "Audit Failure";
};

クエリのサンプル

最近のポリシーの変更

_sourceCategory=OS/Windows "Policy Change"
| parse regex "CategoryString = \"(?<category>[^\"]+?)\";[\s\S]+?Logfile = \"Security\""
| count by category
| where category matches "*Policy Change*"