Blogical

AWS/Salesforceを中心に様々な情報を配信していきます(/・ω・)/

【WhaTap】Windows イベントログの収集について

こんにちは、ロジカル・アーツ 井上です。

モニタリングツールである、WhaTapを利用して、 Windows イベントログの収集機能方法を動作させてみました。

1.イベントログ設定

イベントログ設定は、「アプリケーション」「セキュリティ」「セットアップ」「システム」「フォワーダイベント」 これらの種類のログを選択して収集可能です。

| $contentToAdd = @" inputs.win_eventlog category = "win_event_log" stats_category = "win_event_log_stats" stats_enabled = true enabled = true inputs.win_eventlog.file #true | false enabled = true # Application, Security, Setup, System, Forwarded file = "Application" #1: Information, 2: Warning 3: Critical 4: Audit Success 5 Audit Fail #event_type = #event id #event_id = #event source name #source_name = ""

"@

New-Item -path "C:\Program Files\WhatapInfra\extension" -name "win_eventlog.conf" -type "file" -value $contentToAdd -Force

Restart-Service "Whatap Infra" ||<

今回はシステムを指定して動作させる。 ログのイベントとして、「情報」「警告」「重大」「監査の成功」「監査の失敗」を指定してログを収集できるようです。

2.ログの確認

ログの収集がこちらになります。

3.ログのアラート設定

WhaTapでは、Windows イベントログに対してのアラート通知も用意されているようです。

収集レベルは、ログ取集で設定可能なレベルで設定でき、検索ワードによって 特定のサービスダウンに対してアラートを設定できるようになっています。

4.動作させてみて

Windows イベントログを一括で収集できるだけでなく、 特定のイベントのアラート設定が可能である点は汎用性が高いですね。 監視したいサービスの動作や、Windows 認証に対しての監視としても利用できそうです。