Windows/Linux

Windowsイベントログの監視について

当記事では、LogStare Collector(以下、LSCと記載)の機能を利用して、Windowsのイベントログを監視する方法について設定例を交えた説明を記載します。

前提条件

当記事内の説明はWindows Server 2016を前提とした内容になります。利用しているLSCはv2.0.1build201113となります。
また、イベントログの発生をSNMPトラップにて通知させたい場合は以下の記事をご参照ください。
SNMP-Trap監視設定と具体的な設定方法について
Evntwinの使い方

設定(Windows側)

監査ログの出力設定

監査ログの出力設定につきましては、以下の記事をご参照ください。
Windows Server 2016 (2012) /Windows 10 にて、監査ログの出力設定を投入する

設定(LSC側)

基本設定

WindowsイベントログをLSCにて収集する方法については以下の記事をご参照ください。
WMI収集の設定

ログ監視設定

LSCでは、ログ監視として「テキストマッチング」という機能を利用します。「テキストマッチング」については以下の記事をご参照ください。
テキストマッチングについて

以下は「イベントID1102:監査ログが消去されました。」と「イベントID4719: システム監査ポリシーが変更されました。」のイベントログ発生を検知したい場合の設定例になります。

 

以下はテキストマッチングにて設定した文字列を検知して、「イベントID1102:監査ログが消去されました。」としてアラートメールにて通知されたものです。

以下はテキストマッチングにて設定した文字列を検知して、「イベントID4719: システム監査ポリシーが変更されました。」としてアラートメールにて通知されたものです。

以上でWindowsイベントログの監視についての説明は終了となります。

LogStare Reporter-レポート作成キャンペーン「LogStareチャレンジ」やってみた【後編】前のページ

メトリクス監視におけるOAuth2.0認証の使用方法について次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. Zabbixヒストリデータのレポート生成について
  3. ログフォワーダー「okurun.jar」について
  4. 自社製品をAMIにしてマーケットプレイスへ出品

関連記事

  1. NW機器

    FortiGateにおけるTLS通信を利用したSYSLOG送信方法

    当記事では、FortiGateにおけるTLS通信を利用してSyslog…

  2. NW機器

    LogStare Collectorにて、iLO4 , iLO5 のSNMP監視をするための設定方法…

    当記事では、LogStare Collectorにおける Integr…

  3. NW機器

    Cisco 製品にSNMP (v1, v2c) / Syslog の設定を追加する (Cisco C…

    当記事では、Cisco 製品からSNMP 並びにSyslog を取得す…

  4. Windows/Linux

    .bash_historyの出力内容をLSCにて収集する方法

    当記事では、.bash_historyの出力内容をLogStare C…

  5. NW機器

    D-Link製DGS-3000シリーズ及びDGS-3120シリーズにおけるSYSLOG/SNMP設定…

    当記事では、D-Link製DGS-3000シリーズ及びDGS-3120…

secuavail

logstare collector

logstare collector

  1. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  2. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  3. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  4. NW機器

    SonicWall UTMにてSNMP(v1/v2/v3)を有効化する方法につい…
PAGE TOP