EventReporterは、イベントログを収集し、各項目をプロパティ値として保存します。
その取り込む仕様について、「イベントID:4769」のセキュリティイベントを例として、説明したいと思います。(ActiveDirectryの監視すべきKerberosチケット発行の認証ログの一つです)
また、ファイルに出力、他のサーバーへ転送する際のフォーマットのカスタマイズ方法についても紹介します。
EventReporterでは、イベントビューアで表示される上記の値を以下のリストのプロパティ情報として保存します。
ファイルログアクションで出力フォーマットをカスタマイズ
カスタムフォーマットに出力するプロパティや出力順をカスタマイズできます。
イベント報告日時を先頭に、その他は上記の順番で出力する場合:
各プロパティ値(変数)は「挿入」ボタンより、選択します。
%timereported:::localtime%,%channel%,%sourceproc%,%id%,%catname%,%level%,
%keyword%,%user%,%source%,%msg:::spacecc,compressspace%%$CRLF%
上記フォーマットで出力したファイルをCSVで開くと以下のようになります。
Syslog転送アクションで送信メッセージをカスタマイズ
送信メッセージに「%msg%」のみ指定すると、イベントビューアの詳細タブに含まれるイベント本文のみ転送されます(マルチラインで転送されます)。
イベントID、キーワード、カテゴリ名等も転送したい場合は、送信メッセージにプロパティを追加します。
フォーマット例:
%channel%,%sourceproc%,%timereported:::localtime%,%id%,%catname%,
%level%,%keyword%,%user%,%source%,%msg:::spacecc,compressspace%
ActiveDirectoryの認証ログ等は、Windowsイベントログに保存されますので、イベントログを日々適切な状態で保存しておくことが重要だと言われています。
EventReporterはスタンドアロンでも運用でき、費用対効果が非常に高い製品です。
EventReporterは、1台でフィルタリングや出力・転送時のカスタマイズができ、リアルタイムに
メールアラートを送信することも可能です。
また、環境に合わせて文字エンコードを変換転送できるフレキシブルなソフトウェアです。
30日間、フル機能が使用できる評価版をダウンロードして、ぜひご試用ください。
