Windows/Linux

Windowsイベントログの監視について

この記事は投稿日から3年以上経過しています。

当記事では、LogStare Collector(以下、LSCと記載)の機能を利用して、Windowsのイベントログを監視する方法について設定例を交えた説明を記載します。

前提条件

当記事内の説明はWindows Server 2016を前提とした内容になります。利用しているLSCはv2.0.1build201113となります。
また、イベントログの発生をSNMPトラップにて通知させたい場合は以下の記事をご参照ください。
SNMP-Trap監視設定と具体的な設定方法について
Evntwinの使い方

設定(Windows側)

監査ログの出力設定

監査ログの出力設定につきましては、以下の記事をご参照ください。
Windows Server 2016 (2012) /Windows 10 にて、監査ログの出力設定を投入する

設定(LSC側)

基本設定

WindowsイベントログをLSCにて収集する方法については以下の記事をご参照ください。
WMI収集の設定

ログ監視設定

LSCでは、ログ監視として「テキストマッチング」という機能を利用します。「テキストマッチング」については以下の記事をご参照ください。
テキストマッチングについて

以下は「イベントID1102:監査ログが消去されました。」と「イベントID4719: システム監査ポリシーが変更されました。」のイベントログ発生を検知したい場合の設定例になります。

 

以下はテキストマッチングにて設定した文字列を検知して、「イベントID1102:監査ログが消去されました。」としてアラートメールにて通知されたものです。

以下はテキストマッチングにて設定した文字列を検知して、「イベントID4719: システム監査ポリシーが変更されました。」としてアラートメールにて通知されたものです。

以上でWindowsイベントログの監視についての説明は終了となります。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

LogStare Reporter-レポート作成キャンペーン「LogStareチャレンジ」やってみた【後編】前のページ

METRICS(メトリクス)監視と収集におけるOAuth設定と認証設定について次のページ

ピックアップ記事

  1. IoT機器「Raspberry pi」とLogStare Collectorで温…
  2. ログフォワーダー「okurun.jar」について
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. Zabbixヒストリデータのレポート生成について

関連記事

  1. Windows/Linux

    Linuxにて特定のインバウンド通信を許可するための設定例

    当記事では、Linuxにて特定のインバウンド通信を許可するための設定例…

  2. Windows/Linux

    Audit.logをsyslogを利用して収集する方法

    当記事では、rsyslogを利用してAudit.logをsyslogサ…

  3. Windows/Linux

    IIS アクセスログを収集する方法|ログの設定から収集まで

    WindowsのIIS にはアクセスログの記録を行う機能があります。I…

  4. Windows/Linux

    rsyslogをホスト名、IPアドレスごとにフォルダー分けする方法

    当記事では、rsyslogで受信したログを送信元ホスト名、IPアドレス…

  5. ログ分析・監視テクニック

    ZabbixヒストリデータをLSCにて収集する方法について

    当記事では、ZabbixヒストリデータをLogStare Collec…

  6. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について

    当記事では、SonicWall UTMにSyslog送信設定を追加する…

月額200円でM356の監査ログの運用レベルUP LogStare M365

AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  2. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
  3. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  4. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…
  5. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
PAGE TOP