すべてのプロダクト
Search

このプロダクト

    Simple Log Service:Collect Windows event logs

    ドキュメントセンター

    Simple Log Service:Collect Windows event logs

    最終更新日:Aug 30, 2024

    Logtailプラグインを使用して、Windowsイベントログを収集できます。 このトピックでは、Log ServiceコンソールでWindowsイベントログを収集するために使用されるLogtail設定を作成する方法について説明します。

    始める前に

    • Logtail V1.0.0.0以降がWindowsサーバーにインストールされます。 詳細については、「WindowsサーバーにLogtailをインストールする」をご参照ください。

    • ログを収集するサーバーは、継続的にログを生成します。

      重要

      Logtailは増分ログのみを収集します。 適用されたLogtail設定がサーバーに配信された後にサーバー上のログファイルが更新されない場合、Logtailはファイルからログを収集しません。 詳細については、「ログの読み取り」をご参照ください。

    実装

    To obtain event logs, Windows operating systems provide Windows Event Log API and Event Logging API. Windows Event Log API is an upgraded version of Event Logging API and is provided only in the Windows Vista operating system or later. For more information, see Windows Event Log and Event Logging. Logtail plug-ins automatically select an API based on the operating system to obtain Windows event logs. Windows Event Log API is preferentially selected.

    The publish-subscribe model is used to collect Windows event logs. An application or kernel publishes event logs to a specified channel, such as an application, security, or system channel. Logtail uses the required plug-in to call Windows Event Log API or Event Logging API to subscribe to the channel. これにより、Logtailはイベントログを継続的に収集し、ログをLog Serviceに送信できます。

    Logtailを使用すると、一度に複数のチャネルからイベントログを収集できます。 たとえば、アプリケーションチャネルとシステムチャネルから一度にイベントログを収集できます。

    実装

    チャネルに関する情報を表示する

    Windowsサーバーの [イベントビューアー] ウィンドウで、チャネルに関する情報を表示できます。

    1. [開始] をクリックします。

    2. Search for and click Event Viewer. [イベントビューアー] ウィンドウが表示されます。

    3. 左側のナビゲーションウィンドウで、[Windowsログ] を展開します。

    4. チャンネルの完全な名前を表示します。

      [Windowsログ] の下のチャンネルを右クリックし、[プロパティ] を選択します。 表示されるウィンドウで、チャンネルのフルネームを表示できます。 以下のチャンネルが提供されます。

      • アプリケーション

      • セキュリティ

      • セットアップ

      • システム

    5. View the information about a channel.

      [Windowsログ] の下のチャンネルをクリックします。 Then, you can view Level, Date and Time, Source, and Event ID of each event.

      In a Logtail configuration, you can filter logs based on the preceding information.

      イベントログ

    手順

    1. Log Serviceコンソールにログインします。

    2. In the Import Data section, click Windows Event Logs.

    3. プロジェクトとLogstoreを選択します。 [次へ] をクリックします。

    4. In the Create Machine Group step, create a machine group.

      • マシングループが利用可能な場合は、[既存のマシングループを使用] をクリックします。

      • If no machine groups are available, perform the following steps to create a machine group. この例では、Elastic Compute Service (ECS) インスタンスが使用されています。

        1. [ECSインスタンス] タブで、[手動でインスタンスを選択] を選択します。 次に、使用するECSインスタンスを選択し、[今すぐ実行] をクリックします。

          詳細については、「ECSインスタンスへのLogtailのインストール」をご参照ください。

          説明

          サーバーがLog Serviceとは異なるAlibaba Cloudアカウントに属するECSインスタンス、サードパーティのクラウドサービスプロバイダーのサーバー、またはデータセンターのオンプレミスサーバーの場合、Logtailを手動でインストールする必要があります。 詳細については、「WindowsサーバーにLogtailをインストールする」をご参照ください。 Logtailを手動でインストールした後、サーバーでユーザー識別子を設定する必要があります。 詳細については、「ユーザー識別子の設定」をご参照ください。

        2. Logtailをインストールしたら、[インストールの完了] をクリックします。

        3. [マシングループの作成] ステップで、[名前] パラメーターを設定し、[次へ] をクリックします。

          Log Serviceでは、IPアドレスベースのマシングループとカスタム識別子ベースのマシングループを作成できます。 詳細については、「IPアドレスベースのマシングループを作成する」および「カスタム識別子ベースのマシングループを作成する」をご参照ください。

      • 入力は必須であり、Logtail構成のデータソース設定を構成するために使用されます。

        重要

        inputsに指定できるデータソースの種類は1つだけです。

      • processorsはオプションで、データを解析するLogtail設定のデータ処理設定を設定するために使用されます。 1つ以上の処理方法を指定できます。

        入力の設定のみに基づいてログを解析できない場合は、[プラグイン設定] フィールドでプロセッサを設定して、データ処理用のプラグインを追加できます。 たとえば、フィールドの抽出、ログ時間の抽出、データのマスク、ログのフィルタリングができます。 詳細については、「Logtailプラグインを使用したデータ処理」をご参照ください。

    6. [データソースの指定] ステップで、[設定名] および [プラグイン設定] パラメーターを設定します。 [次へ] をクリックします。

      • 入力は必須であり、Logtail構成のデータソース設定を構成するために使用されます。

        重要

        inputsに指定できるデータソースの種類は1つだけです。

      • processorsはオプションで、データを解析するLogtail設定のデータ処理設定を設定するために使用されます。 1つ以上の処理方法を指定できます。

        入力の設定のみに基づいてログを解析できない場合は、[プラグイン設定] フィールドでプロセッサを設定して、データ処理用のプラグインを追加できます。 たとえば、フィールドの抽出、ログ時間の抽出、データのマスク、ログのフィルタリングができます。 詳細については、「Logtailプラグインを使用したデータ処理」をご参照ください。

      たとえば、[アプリケーション] チャネルと [システム] チャネルからログを収集する場合は、[入力] パラメーターに次の要素を追加できます。 

      {
    "inputs": [
        {
            "type": "service_wineventlog",
            "detail": {
                "Name": "Application",
                "IgnoreOlder": 259200
            }
        },
        {
            "type": "service_wineventlog",
            "detail": {
                "Name": "System",
                "IgnoreOlder": 259200
            }
        }
    ]
}

      項目

      データ型

      必須/任意

      説明 

      type

      String

      必須

      データソースのタイプ。 値をservice_wineventlogに設定します。

      Name

      String

      必須

      イベントログを収集するチャネルの名前。 デフォルト値: Application。 この値は、イベントログがアプリケーションチャネルから収集されることを示します。 Windowsオペレーティングシステムでチャネルのフルネームを表示できます。 詳細については、「ステップ4」をご参照ください。

      IgnoreOlder

      UINT

      いいえ

      時間オフセット。 このパラメーターを設定して、イベント時間でログをフィルターできます。 単位:秒。 ログのイベント時刻が、収集の開始時刻からオフセットを引いた時刻より前の場合、ログは無視されます。 イベント時刻は、ログが生成された時刻を示す。 例:

      • If you set the value to 3600, logs that are generated 1 hour before the start time of collection are ignored.

      • 値を14400に設定した場合、収集開始時刻の4時間前に生成されたログは無視されます。

      デフォルトでは、このパラメーターは空のままです。これは、ログがイベント時間によってフィルタリングされないことを示します。 In this case, all historical event logs on your server are collected.

      説明

      このパラメーターは、Logtail設定を初めて作成したときにのみ有効になります。 Logtailは、イベントログの収集のチェックポイントを記録します。 これにより、ログが繰り返し収集されるのを防ぎます。

      Level

      String

      任意

      イベントレベル。 このパラメーターを設定して、イベントレベルでログをフィルタリングできます。 デフォルト値: information, warning, error, critical この値は、verboseを除くすべてのイベントレベルのログが収集されることを示します。 利用可能なレベルには、情報、警告、エラー、クリティカル、および冗長が含まれます。 複数のイベントレベルを指定し、コンマ (,) で区切ることができます。

      説明

      このパラメーターは、WindowsイベントログAPIが使用されている場合にのみ使用できます。 このパラメーターは、Windows Vistaオペレーティングシステム以降でのみサポートされます。

      EventID

      String

      任意

      イベントID。 このパラメーターを設定して、イベントIDでログをフィルタリングできます。 正のフィルタリングには、イベントIDまたはイベントIDの範囲を指定できます。 この場合, 指定されたイベントIDのログ, または指定されたイベントIDのログが収集されます。 ネガティブフィルタリング用のイベントIDを指定することもできます。 この場合, 指定されたイベントIDのログは収集されません。 デフォルトでは、このパラメーターは空のままです。これは、すべてのイベントログが収集されることを示します。 例:

      • 1-200: イベントIDが1 ~ 200のイベントログのみを収集します。

      • 20: イベントIDが20のイベントログのみを収集します。

      • -100: イベントIDが100のイベントログを除くすべてのイベントログを収集します。

      • 1-200,-100: 100以外のイベントIDが1 ~ 200のイベントログを収集します。

      You can specify multiple event IDs or event ID ranges and separate them with commas (,).

      説明

      このパラメーターは、WindowsイベントログAPIが使用されている場合にのみ使用できます。 このパラメーターは、Windows Vistaオペレーティングシステム以降でのみサポートされます。

      プロバイダー

      文字列配列

      いいえ

      イベントソース。 このパラメーターを設定して、イベントソースごとにログをフィルタリングできます。 たとえば、値を ["App1", "App2"] に設定した場合、ソースがApp1とApp2のイベントログのみが収集されます。

      デフォルトでは、このパラメーターは空のままです。これは、すべてのソースのイベントログが収集されることを示します。

      説明

      このパラメーターは、WindowsイベントログAPIが使用されている場合にのみ使用できます。 このパラメーターは、Windows Vistaオペレーティングシステム以降でのみサポートされます。

      IgnoreZeroValue

      Boolean

      いいえ

      Some fields in an event log may be empty. このパラメーターを設定して、空のフィールドを除外できます。 You can define empty fields based on the data type of the fields. For example, if the data type of an empty field is integer, specify 0 for the field.

      デフォルト値: "false" This value indicates that empty fields are not filtered out.

    7. データをプレビューし、インデックスを設定し、[次へ] をクリックします。

      デフォルトでは、Log Serviceでフルテキストインデックスが有効になっています。 手動モードまたは自動モードで収集したログに基づいてフィールドインデックスを設定することもできます。 自動モードでフィールドインデックスを設定するには、[自動インデックス生成] をクリックします。 これにより、Log Serviceは自動的にフィールドインデックスを作成します。 詳細については、「インデックスの作成」をご参照ください。

      重要

      ログをクエリおよび分析する場合は、フルテキストインデックス作成またはフィールドインデックス作成を有効にする必要があります。 フルテキストインデックスとフィールドインデックスの両方を有効にすると、フィールドインデックスのみが使用されます。

    8. [ログクエリ] をクリックします。 Logstoreのクエリと分析ページにリダイレクトされます。

      インデックスが有効になるまで約1分待つ必要があります。 そして、収集したログを Raw Logsタブで確認することができます。 詳細については、「データのクエリと分析」をご参照ください。

    トラブルシューティング

    Logtailを使用してログを収集した後、プレビューページまたはクエリページにデータが表示されない場合は、Logtailを使用してログを収集するときにエラーが発生した場合はどうすればよいですか?で提供されている手順に基づいてエラーをトラブルシューティングできます。

    次のタスク

    After Windows event logs are collected to Log Service, you can view the logs in the Log Service console. 生ログ

    ログフィールド

    説明 

    activity_id

    イベントが属するトランザクションのグローバルトランザクション識別子 (GTID) 。 同じトランザクションに属するイベントは、同じGTIDを使用します。

    computer_name

    イベントが生成されるサーバーの名前。

    event_data

    イベントに関連するデータ。

    event_id

    イベントの ID。

    kernel_time

    イベントによって消費されるカーネル時間。 ほとんどの場合、値は0です。

    キーワード

    イベントに関連付けられているキーワード。 キーワードはイベントの分類に使用されます。

    level

    イベントのレベル。

    log_name

    The name of the channel from which the logs of the event are collected. このフィールドの値は、Logtail設定で指定されているNameパラメーターの値と同じです。

    メッセージ

    イベントに関連付けられているメッセージ。

    message_error

    イベントに関連付けられたメッセージが解析されたときに発生したエラー。

    opcode

    イベントに関連付けられているオペレーションコード。

    process_id

    イベントのプロセスID。

    processor_id

    イベントに関連付けられているプロセッサID。 ほとんどの場合、値は0です。

    processor_time

    イベントによって消費されたプロセッサ時間。 ほとんどの場合、値は0です。

    provider_guid

    イベントソースのGTID。

    record_number

    イベントに関連付けられているレコード番号。 The record number increases when an event is written to Log Service. If the number exceeds 2 32 for Event Logging API or 2 64 for Windows Event Log API, the record number starts from 0 again.

    related_activity_id

    イベントが属するトランザクションに関連付けられている別のトランザクションのGTID。

    session_id

    The session ID of the event. ほとんどの場合、値は0です。

    source_name

    イベントの発生源。 このフィールドの値は、Logtail設定で指定されているProviderパラメーターの値と同じです。

    タスク

    イベントに関連付けられているタスク。

    thread_id

    イベントのスレッドID。

    タイプ

    イベントの取得に使用されるAPI。

    user_data

    イベントに関連付けられているユーザーデータ。

    user_domain

    イベントに関連付けられているユーザードメイン。

    user_identifier

    イベントに関連付けられているユーザーのWindowsセキュリティ識別子。

    user_name

    The username that is associated with the event.

    ユーザー_時間

    The time that is consumed by the event in user mode. In most cases, the value is 0.

    user_type

    イベントに関連付けられているユーザータイプ。

    バージョン

    イベントのバージョン。

    xml

    イベントの生の情報。 情報はXML形式である。