Windows アプリケーションのログの収集

最後の更新
PDFとして保存

このページでは、Microsoft Windows イベントログからログを収集して Sumo Logic に取り込むように Windows アプリケーションのログ収集を設定する方法について説明します。ログメッセージとクエリの例も提供されています。

ログタイプ

標準 Windows イベントチャネルには、以下が含まれます。

セキュリティ
Application (アプリケーション)
システム

PowerShell や Internet Explorer などのカスタムイベントチャネルもサポートされています。

Collector と Source の設定

Collector と HTTP Source を設定するには、次の手順を実行します。

ユーザインターフェイスまたはコマンドラインから Installed Windows Collector を設定します。
ローカルまたはリモート Windows イベントログ Source を設定します。

ローカル Windows イベントログ Source (Windows サーバが実行されているシステム)
リモート Windows イベントログ Source。

ログメッセージのサンプル

0
instance of Win32_NTLogEvent
{
    Category = 13571;
    CategoryString = "MPSSVC Rule-Level Policy Change";
    ComputerName = "aphrodite.sumolab.org";
    EventCode = 4957;
    EventIdentifier = 4957;
    EventType = 5;
    InsertionStrings = {"CoreNet-IPHTTPS-In", "Core Networking - IPHTTPS (TCP-In)", "Local Port"};
    Logfile = "Security";
    Message = "Windows Firewall did not apply the following rule:

    Rule Information:
    ID: CoreNet-IPHTTPS-In
    Name: Core Networking - IPHTTPS (TCP-In)

    Error Information:
    Reason: Local Port resolved to an empty set.";
    RecordNumber = 1441653878;
    SourceName = "Microsoft-Windows-Security-Auditing";
    TimeGenerated = "20130411232352.140400-000";
    TimeWritten = "20130411232352.140400-000";
    Type = "Audit Failure";
};

クエリのサンプル

最近のポリシーの変更

_sourceCategory=OS/Windows "Policy Change" | parse regex "CategoryString = \"(?<category>[^\"]+?)\";[\s\S]+?Logfile = \"Security\"" | count by category | where category matches "*Policy Change*"