Win 32 event log
セキュリティモニタリングが使用可能です セキュリティモニタリングが使用可能です

Win 32 event log

Agent Check Agentチェック

Supported OS: Windows

概要

Win 32 Event Log は、Windows のイベントログを監視して Datadog に転送します。このチェックを有効にして、以下のことができます。

  • システムとアプリケーションのイベントを Datadog で追跡できます。
  • システムとアプリケーションのイベントを他のアプリケーションと関連付けることができます。

セットアップ

インストール

Windows Event Log チェックは Datadog Agent パッケージに含まれています。追加のインストールは必要ありません。

構成

  1. Agent の構成ディレクトリのルートにある conf.d/ フォルダーの win32_event_log.d/conf.yaml を編集します。使用可能なすべての構成オプションの詳細については、サンプル win32_event_log.d/conf.yaml を参照してください。

  2. Agent を再起動すると、Windows イベントが Datadog に送信されます。

ログの収集

特定の Windows イベントからログを収集するには、チャンネルを conf.d/win32_event_log.d/conf.yaml ファイルに手動で、または Datadog Agent Manager を使用して追加します。

チャンネルリストを表示するには、PowerShell で以下のコマンドを実行します。

Get-WinEvent -ListLog *

最もアクティブなチャンネルを表示するには、PowerShell で以下のコマンドを実行します。

Get-WinEvent -ListLog * | sort RecordCount -Descending

このコマンドは、チャンネルを LogMode MaximumSizeInBytes RecordCount LogName の形式で表示します。次に応答例を示します。

LogMode MaximumSizeInBytes RecordCount LogName
Circular 134217728 249896 Security

LogName 列の値は、チャンネルの名前です。上の例では、チャンネル名は Security です。

次に、チャンネルを win32_event_log.d/conf.yaml 構成ファイルに追加します。

logs:
  - type: windows_event
    channel_path: "<チャンネル_1>"
    source: "<チャンネル_1>"
    service: myservice

  - type: windows_event
    channel_path: "<チャンネル_2>"
    source: "<チャンネル_2>"
    service: myservice

<CHANNEL_X> パラメーターは、イベントの収集に使用する Windows チャンネル名に変更してください。 インテグレーションの自動処理パイプラインを利用するには、対応する source パラメーターを同じチャンネル名に設定します。

最後に、Agent を再起動します。

: Security ログチャンネルの場合は、Datadog Agent ユーザーを Event Log Readers ユーザーグループに追加してください。

イベントの絞り込み

Windows イベントビューア GUI を使用して、このインテグレーションを使用してキャプチャできるすべてのイベントログをリストします。

正確な値を決定するには、次の PowerShell コマンドを使用してフィルターを設定します。

Get-WmiObject -Class Win32_NTLogEvent

たとえば、Security ログファイルに記録された最新のイベントを表示するには、次のコマンドを使用します。

Get-WmiObject -Class Win32_NTLogEvent -Filter "LogFile='Security'" | select -First 1

コマンドの出力にリストされる値を win32_event_log.d/conf.yaml で設定して、同種のイベントをキャプチャできます。

Get-EventLog PowerShell コマンドまたは Windows イベントビューア GUI から提供される情報が、Get-WmiObject から提供される情報とは多少異なる場合があります。
設定したイベントがインテグレーションによってキャプチャされない場合は、Get-WmiObject を使用してフィルターの値をダブルチェックしてください。
  1. イベントログに 1 つ以上のフィルターを構成します。フィルターを使用すると、Datadog に取り込むログイベントを選択できます。

    次のプロパティにフィルターを設定できます。

    • type: Warning、Error、または Information
    • log_file: Application、System、Setup、または Security
    • source_name: 使用可能な任意のソース名
    • user: 有効な任意のユーザー名

    win32_event_log.d/conf.yaml のコンフィギュレーションファイルに、フィルターごとにインスタンスを追加します。

    いくつかのフィルターの例を示します。

    instances:
     # The following captures errors and warnings from SQL Server which
     # puts all events under the MSSQLSERVER source and tag them with #sqlserver.
     - tags:
         - sqlserver
       type:
         - Warning
         - Error
       log_file:
         - Application
       source_name:
         - MSSQLSERVER
    
     # This instance captures all system errors and tags them with #system.
     - tags:
         - system
       type:
         - Error
       log_file:
         - System
  2. Agent Manager を使用して Agent を再起動します (またはサービスを再起動します)。

検証

Datadog Agent Manager の情報ページを確認するか、Agent の status サブコマンドを実行し、Checks セクションで win32_event_log を探します。以下のようなセクションが表示されるはずです。

Checks
======

  [...]

  win32_event_log
  ---------------
      - instance #0 [OK]
      - Collected 0 metrics, 2 events & 1 service check

収集データ

メトリクス

Win32 Event log チェックには、メトリクスは含まれません。

イベント

すべての Windows イベントが Datadog アプリケーションに転送されます。

サービスのチェック

Win32 Event log チェックには、サービスのチェック機能は含まれません。

トラブルシューティング

ご不明な点は、Datadog のサポートチームまでお問合せください。

その他の参考資料

Documentation

ブログ