EventReporter使い方ガイド#1「イベントログの出力形式をカスタマイズ」


EventReporterは、イベントログを収集し、各項目をプロパティ値として保存します。
その取り込む仕様について、「イベントID:4769のセキュリティイベントを例として、説明したいと思います。(ActiveDirectryの監視すべきKerberosチケット発行の認証ログの一つです)
また、ファイルに出力、他のサーバーへ転送する際のフォーマットのカスタマイズ方法についても
紹介します。



EventReporterでは、イベントビューアで表示される上記の値を以下のリストのプロパティ情報として保存します。

1.    ファイルログアクションで出力フォーマットをカスタマイズ

カスタムフォーマットに出力するプロパティや出力順をカスタマイズできます。
イベント報告日時を先頭に、その他は上記の順番で出力する場合:
各プロパティ値(変数)は「挿入」ボタンより、選択します。

%timereported:::localtime%,%channel%,%sourceproc%,%id%,%catname%,%level%,
%keyword%,%user%,%source%,%msg:::spacecc,compressspace%%$CRLF%

上記フォーマットで出力したファイルをCSVで開くと以下のようになります。
 

2.    Syslog転送アクションで送信メッセージをカスタマイズ

送信メッセージに「%msg%」のみ指定すると、イベントビューアの詳細タブに含まれるイベント本文のみ転送されます(マルチラインで転送されます)。

イベントID、キーワード、カテゴリ名等も転送したい場合は、送信メッセージにプロパティを追加します。

 

フォーマット例:
%channel%,%sourceproc%,%timereported:::localtime%,%id%,%catname%,
%level%,%keyword%,%user%,%source%,%msg:::spacecc,compressspace%
ActiveDirectoryの認証ログ等は、Windowsイベントログに保存されますので、イベントログを日々適切な状態で保存しておくことが重要だと言われています。
EventReporterはスタンドアロンでも運用でき、費用対効果が非常に高い製品です。
EventReporterは、1台でフィルタリングや出力・転送時のカスタマイズができ、リアルタイムに
メールアラートを送信することも可能です。
また、環境に合わせて文字エンコードを変換転送できるフレキシブルなソフトウェアです。
30日間、フル機能が使用できる評価版をダウンロードして、ぜひご試用ください。



EventReporter製品ページ:

FAQ

こんな記事も読まれています

最新記事

おすすめ記事

  1. 【Syslog監視】Syslogサーバーとネットワーク監視を連携。PRTGで重要なSyslogだけを監視する。

  2. システム管理者の特権アカウントを保護するための7つの方法

  3. 「Wiresharkでsyslogプロトコルパケットを覗く」syslog-ng Store Box活用連載企画vol.4

製品カテゴリー

JTC IT用語集
TOP