このセクションでは、Tivoli Log File Agent が Windows イベント・ログからのイベントをモニターする方法について説明します。
Tivoli Log File Agent は従来どおり、WINEVENTLOGS 構成 (.conf) ファイル・オプションを使用して、Windows イベント・ログからのイベントをモニターします。エージェントは、以下の例に示すように、イベント・ログのコンマ区切りリストをモニターします。
WINEVENTLOGS=System,Security,Application
また、Tivoli Log File Agent は従来どおり、WINEVENTLOGS=All 設定を使用します。 All 設定は、2008 より前の Windows バージョンで提供される標準イベント・ログ (セキュリティー、アプリケーション、システム、ディレクトリー、ドメイン・ネーム・システム (DNS)、およびファイル複製サービス (FRS)) を意味します。しかし、システム上のすべてのイベント・ログが検査されるわけではありません。
UseNewEventLogAPI という名前の構成ファイル・タグがあります。このタグを指定すると、イベント・ログ (Windows イベント・ログ 2008 以降) は、Microsoft によって追加されたすべての新規ログ、および他のアプリケーションまたはユーザーによって作成されたすべての Windows イベント・ログにアクセスできます。新規ログは、WINEVENTLOGS キーワードによってリストされます。
以下の例では、UseNewEventLogAPI タグは y に設定されます。
UseNewEventLogAPI=y
WINEVENTLOGS=Microsoft-Windows-Hyper-V-Worker-Admin
この例では、Hyper-V 役割を持つ Windows システム上で Microsoft-Windows-Hyper-V/Admin がモニターされます。
Windows イベント・ログ内では、各イベントに以下のフィールドがあり、この順序で配列されています。
例えば、管理ユーザーが Windows 2008 システムにログオンすると、新規ユーザー・セッションに割り当てられた特権を示すイベントがセキュリティー・ログ内で生成されます。
Mar 22 13:58:35 2011 1 Information N/A Microsoft-Windows-
Security-Auditing Audit_Success 4672 Special privileges assigned to new logon.
S-1-5-21-586564200-1406810015-1408784414-500 Account Name:
Administrator Account Domain: MOLDOVA Logon ID:
0xc39cb8e Privileges: SeSecurityPrivilege
SeBackupPrivilege SeRestorePrivilege
SeTakeOwnershipPrivilege SeDebugPrivilege
SeSystemEnvironmentPrivilege SeLoadDriverPrivilege
SeImpersonatePrivilege
REGEX BaseAuditEvent
^([A-Z][a-z]{2} [0-9]{1,2} [0-9]{1,2}:[0-9]{2}:[0-9]{2} [0-9]
{4}) [0-9] (¥S+) (¥S+) Microsoft-Windows-Security-Auditing (¥S+)
([0-9]+) (.*)
timestamp $1
severity $2
login $3
eventsource "Microsoft-Windows-Security-Auditing"
eventkeywords $4
eventid $5
msg $6
END
以下の例は、上記のイベント例のスロットに割り当てられる値を示します。timestamp=Mar 22 13:58:35 2011
severity=Information
login=N/A
eventsource=Microsoft-Windows-Security-Auditing
eventid=4672
msg="Special privileges assigned to new logon.
S-1-5-21-586564200-1406810015-1408784414-500 Account Name:
Administrator Account Domain: MOLDOVA Logon ID:
0xc39cb8e Privileges: SeSecurityPrivilege
SeBackupPrivilege SeRestorePrivilege
SeTakeOwnershipPrivilege SeDebugPrivilege
SeSystemEnvironmentPrivilege SeLoadDriverPrivilege
SeImpersonatePrivilege
これらのイベントがどのように表示されるかを正確に予測するのは難しいため、正規表現を記述するときには、実際のイベントをファイル内に取り込む手法を使用することをお勧めします。その後、このファイルを確認し、エージェントに取り込ませるイベントを選択し、これらのイベントと一致する正規表現を記述することができます。Windows イベント・ログからすべてのイベントを取り込むには、以下のステップを実行します。
REGEX NoMatch
This doesn't match anything
END
UnmatchLog=C:/temp/evlog.unmatch