メインコンテンツまでスキップ
Sumo Logic Japanese

Windows アプリケーションのログの収集

この手順では、Microsoft Windows イベント ログからログを収集して Sumo Logic に取り込む方法について説明します。 

Windows パフォーマンスは、個別のデータ タイプと見なされます。

ログ タイプ

標準 Windows イベント チャネルには、以下が含まれます。

  • セキュリティ
  • Application (アプリケーション)
  • システム

PowerShell や Internet Explorer などのカスタム イベント チャネルもサポートされています。

コレクタの設定

ユーザ インターフェイスまたはコマンド ラインからインストール済み Windows コレクタを設定します。

ソースの設定

ローカルまたはリモート Windows イベント ログ ソースを設定します。

ログ メッセージのサンプル

0 instance of Win32_NTLogEvent { Category = 13571; CategoryString = "MPSSVC Rule-Level Policy Change"; ComputerName = "aphrodite.sumolab.org"; EventCode = 4957; EventIdentifier = 4957; EventType = 5; InsertionStrings = {"CoreNet-IPHTTPS-In", "Core Networking - IPHTTPS (TCP-In)", "Local Port"}; Logfile = "Security"; Message = "Windows Firewall did not apply the following rule: Rule Information: ID: CoreNet-IPHTTPS-In Name: Core Networking - IPHTTPS (TCP-In) Error Information: Reason: Local Port resolved to an empty set."; RecordNumber = 1441653878; SourceName = "Microsoft-Windows-Security-Auditing"; TimeGenerated = "20130411232352.140400-000"; TimeWritten = "20130411232352.140400-000"; Type = "Audit Failure"; };

クエリのサンプル

最近のポリシーの変更

_sourceCategory=OS/Windows "Policy Change"
| parse regex "CategoryString = \"(?<category>[^\"]+?)\";[\s\S]+?Logfile = \"Security\""
| count by category
| where category matches "*Policy Change*"

  • この記事は役に立ちましたか?