Windows 事件日誌

OS 代理程式使用 .conf 檔監視 Windows 事件日誌中的事件。

OS 代理程式繼續使用 WINEVENTLOGS 配置檔 (.conf) 選項監視 Windows 事件日誌中的事件。 代理程式會監視以逗點區隔的事件日誌清單,如下列範例中所示:

WINEVENTLOGS=System,Security,Application

OS 代理程式也繼續使用 WINEVENTLOGS=All 設定。 All 設定參照下列標準事件日誌:2008 以前的 Windows 版本隨附的「安全」、「應用程式」、「系統」、「目錄」、「網域名稱系統 (DNS)」及「檔案抄寫服務 (FRS)」。 不過,並不會檢查系統上的所有事件日誌。

UseNewEventLogAPI 配置檔標記可讓事件日誌(Windows 事件日誌 2008 或更新版本)存取 Microsoft 所新增的任何新日誌, 以及其他應用程式或使用者所建立的任何 Windows 事件日誌。 新日誌依 WINEVENTLOGS 關鍵字列出。

在下例中,UseNewEventLogAPI 標記設定為 y

UseNewEventLogAPI=y
WINEVENTLOGS=Microsoft-Windows-Hyper-V-Worker-Admin

在本例中,於 Windows 系統上監視了具有 Hyper-V 角色的 Microsoft-Windows-Hyper-V/Admin

在 Windows 事件日誌中,每一個事件都有按照此順序的下列欄位:

  • 採用下列格式的日期:月、日、時間和年
  • 整數形式的事件種類
  • 事件層次
  • Windows 安全 ID。 如果配置檔 (.conf) 中有 SpaceReplacement=TRUE,則 Windows 安全 ID 中的任何空格都會被底線取代。
    註: 如果您在 (.conf) 檔中將 UseNewEventLogAPI 設定為 y,則 SpaceReplacement=TRUE 為預設值(指定您正在使用事件日誌)。
  • Windows 來源。 如果配置檔 (.conf) 中有 SpaceReplacement=TRUE,則 Windows 來源中的任何空格都會被底線取代。
  • Windows 事件日誌關鍵字。 如果配置檔 (.conf) 中有 SpaceReplacement=TRUE,則 Windows 事件日誌關鍵字中的任何空格都會被底線取代。
    註: 這裡說明的關鍵字欄位是 Windows 2008 版事件日誌的新功能。 它不存在於前一個事件日誌, 因此其存在會阻止您直接重複使用舊的「事件日誌」格式陳述式。 必須加以修改才能說明此額外欄位。
  • Windows 事件 ID
  • 訊息文字

例如,當管理使用者登入 Windows 2008 系統時, 會在「安全」日誌中產生一個事件,指出指派給新使用者階段作業的專用權:

Mar 22 13:58:35 2011 1 Information N/A Microsoft-Windows-
Security-Auditing Audit_Success 4672 Special privileges assigned to new logon. 
S-1-5-21-586564200-1406810015-1408784414-500    Account Name: 
Administrator   Account Domain:     MOLDOVA     Logon ID: 
0xc39cb8e    Privileges:        SeSecurityPrivilege  
SeBackupPrivilege          SeRestorePrivilege  
SeTakeOwnershipPrivilege            SeDebugPrivilege 
SeSystemEnvironmentPrivilege            SeLoadDriverPrivilege      
SeImpersonatePrivilege
若要擷取 Microsoft-Windows-Security-Auditing 事件來源所建立的所有事件,請撰寫如下所示的格式陳述式: 
REGEX BaseAuditEvent
^([A-Z][a-z]{2} [0-9]{1,2} [0-9]{1,2}:[0-9]{2}:[0-9]{2} [0-9]
{4}) [0-9] (\S+) (\S+) Microsoft-Windows-Security-Auditing (\S+)
([0-9]+) (.*)
timestamp $1
severity $2
login $3
eventsource "Microsoft-Windows-Security-Auditing"
eventkeywords $4
eventid $5
msg $6
END
針對前一個範例事件,下列範例指出指派給屬性的值: 
timestamp=Mar 22 13:58:35 2011
severity=Information
login=N/A
eventsource=Microsoft-Windows-Security-Auditing
eventid=4672
msg="Special privileges assigned to new logon.
S-1-5-21-586564200-1406810015-1408784414-500    Account Name: 
Administrator   Account Domain:     MOLDOVA     Logon ID: 
0xc39cb8e    Privileges:        SeSecurityPrivilege  
SeBackupPrivilege          SeRestorePrivilege  
SeTakeOwnershipPrivilege            SeDebugPrivilege 
SeSystemEnvironmentPrivilege            SeLoadDriverPrivilege      
SeImpersonatePrivilege

由於很難精確預測這些事件的樣貌,因此撰寫正規表示式的一個有用的方法是擷取檔案中的實際事件。 然後,您可以檢查檔案、選擇您要代理程式擷取的事件, 以及撰寫正規表示式以符合這些事件。 若要從 Windows 事件日誌擷取所有事件,請使用下列步驟:

  1. 建立格式檔案,其中僅包含一個不符合任何內容的型樣,如下列範例所示: 
    REGEX NoMatch
This doesn't match anything
END
  2. 將下列設定新增至配置檔 (.conf)
    UnmatchLog=C:/temp/evlog.unmatch
  3. 執行代理程式並擷取部分範例事件。