こんにちは、ロジカル・アーツ 井上です。
モニタリングツールである、WhaTapを利用して、 Windows イベントログの収集機能方法を動作させてみました。
1.イベントログ設定
イベントログ設定は、「アプリケーション」「セキュリティ」「セットアップ」「システム」「フォワーダイベント」 これらの種類のログを選択して収集可能です。
| $contentToAdd = @" inputs.win_eventlog category = "win_event_log" stats_category = "win_event_log_stats" stats_enabled = true enabled = true inputs.win_eventlog.file #true | false enabled = true # Application, Security, Setup, System, Forwarded file = "Application" #1: Information, 2: Warning 3: Critical 4: Audit Success 5 Audit Fail #event_type = #event id #event_id = #event source name #source_name = ""
"@
New-Item -path "C:\Program Files\WhatapInfra\extension" -name "win_eventlog.conf" -type "file" -value $contentToAdd -Force
Restart-Service "Whatap Infra" ||<
今回はシステムを指定して動作させる。 ログのイベントとして、「情報」「警告」「重大」「監査の成功」「監査の失敗」を指定してログを収集できるようです。
2.ログの確認
ログの収集がこちらになります。
3.ログのアラート設定
WhaTapでは、Windows イベントログに対してのアラート通知も用意されているようです。
収集レベルは、ログ取集で設定可能なレベルで設定でき、検索ワードによって 特定のサービスダウンに対してアラートを設定できるようになっています。
4.動作させてみて
Windows イベントログを一括で収集できるだけでなく、 特定のイベントのアラート設定が可能である点は汎用性が高いですね。 監視したいサービスの動作や、Windows 認証に対しての監視としても利用できそうです。