【Checkmk KB】ログファイル監視②:Windowsイベントログを監視する

ログファイル監視①では任意の静的なログファイルの監視設定をご紹介しました。本記事では、その続きとしてCheckmkエージェントを使用したWindowsイベントログの監視方法、またログ取得時のフィルター設定方法をご紹介します。

文:ジュピターテクノロジー とぐち

はじめに

CheckmkエージェントはLogwatchプラグインを組み込むことでログファイルを分析でき、このプラグインを使えば監視中のメッセージを直接Checkmkの監視画面から確認可能になります。Windows用のCheckmkエージェントはデフォルトでlogwatchプラグインが統合されており、Checkmkエージェントをインストールするだけでアプリケーションログ、セキュリティログ、システムログなどのWindowsのイベントログなど必要なログを自動的に取得してくれます。

Windowsイベントログの取得

さっそく、Windowsイベントログが取得できているかモニター画面で確認していきます。

監視したいWindows機器を登録し、エージェントをインストールしてある状態でサービスを取得してください。正常にエージェントがインストールされていれば、デフォルトで「Log~」という名称で複数のログが取得でき、Windowsイベントログは、図1赤枠のようにサービス一覧に並ぶはずです。

図1 WindowsPC監視画面

ホスト/サービスの登録方法、エージェントのダウンロード/インストール方法は、ユーザーガイドよりご確認ください。また、エージェントの自動アップデート機能がインストールされていると後述の設定を行う際に便利です。こちらも設定する場合はユーザーガイドをご参照ください。

フィルター設定ルール

Windowsログに対し、てフィルターを設定する方法は以下の2種類のルールから設定できます。

Finetune Windows Eventlog monitoring:エージェントルール(ログ取得前のフィルター)

⇒ログ取得前にエージェントに組み込むルール。監視したいログを指定する、また監視不要なログを指定することで、エージェントが取得してくるログを制限することが可能。Windowsイベントログ専用のルール。

ログファイルパターン:サービス監視ルール(ログ取得後のフィルター)

⇒ログを取得してきた後に、Checkmkサーバー上で状態を監視するためのルール。状態(OK/CRIT/WARN…)と文字列(正規表現)の組合せパターンを設定し、設定した内容で対象ログファイルの監視状態を切り分けて状態を変更させる。

2種類のルールの詳しい内容、設定方法を説明します。

Finetune Windows Eventlog monitoring設定方法

Finetune Windows Eventlog monitoringというルールを使うとエージェントが取得するログを指定することができます。Windowsイベントログの中で、「セキュリティログ」だけ取得したい、また、「セキュリティログ」は取得しない、といった取得制限を行うことができます。これを先に指定しておくメリットは、Checkmkサーバーが全ログを受信してからサーバー上でフィルターをかける、という作業がなくなりサーバーの負荷が減ることです。

今回は、「WindowsPC」というホスト上でWindowsイベントログの中から「セキュリティログのみ」受信する方法を確認します。

セットアップメニュー>”エージェント”>Windows, Linux, Solaris, AIXの画面を表示し、[エージェントルール]ボタンをクリック。

図2 エージェント選択画面

エージェントルール画面で、エージェントルール>エージェントプラグインの「Finetune Windows Eventlog monitoring」を選択。

図3 エージェントルール画面

[ルールを追加]ボタンをクリックしてルールの設定画面が表示されたら、[チューニング構成を追加する]ボタンを必要な数だけクリック。今回は全て無視する設定と、セキュリティログだけ取得するという指示をするため2回クリックします。

図4赤枠「個々のイベントログの構成」のプルダウンに以下のとおり設定してください。

図4 Finetune Windows Eventlog monitoring設定画面
個々のイベントログの構成
 「イベントログ:」  「Security」 「すべて」 「コンテキスト付き」 …取得イベントログ指定
 「全てのイベントログ:」 「無効にする」 「コンテキスト付き」    …他ログは取得しない設定

セキュリティログとアプリケーションログの2種類を取得したいという場合は、[チューニング構成を追加する]ボタンで1行追加し、「Security」と同様に「Application」というログを追加してください。

条件欄には対象のホストを指定します。今回は「WindowsPC」というホストにのみルールを適用したいため明示的なホストを選択してますが、こちらも対象が複数台存在する場合は、フォルダやタグ、ラベル等で調整してください。

[保存する]ボタンから保存したら、エージェントルールの場合はエージェントベイクを実施してエージェントを更新します。実施方法は以前の記事「【Checkmk KB】ログファイル監視①:文字列を指定して静的なログファイルを監視する 」のエージェントベイク/更新手順と同様です。

エージェントの更新が完了したら、サービスを再取得してみます。

図5 サービス取得画面

設定したホストのサービス取得画面へ移動しサービスが自動的に再取得されると、図5赤枠のように、Log Security以外はサービスとして取得されなくなったことがわかります。「受け入れる」ボタンをクリックしたら、画面右上の「〇個の変更」からアクティベートを実行してください。図6のように、監視サービスが確定します。

図6 セキュリティログのみ監視

ログを確認する場合は、「Log Security」の右にある三本線のアイコンから「ログを開く」を選択してください。過去のログは全て、Checkmkの画面から一覧で確認することができます。

ログファイルパターン設定方法

ログファイルパターンのルールでは、OK/WARN/CRITの状態にそれぞれキーワードを指定することができます。ルールを設定しておくことで、「ログを開く」でログ一覧を開いた際にキーワードが含まれているログを色分けして一覧表示されるため、対象のログが見つけやすくなります。

それでは、今回はセキュリティログに対し、OK(緑)・WARN(黄)・CRIT(赤)それぞれのキーワードを設定し、分類していきます。

セットアップメニュー>”サービス”>サービス監視ルールの画面を表示して「ログファイル」を検索、「ログファイルパターン」ルールをクリック。

図7 サービス監視ルール画面

[ルールを追加]ボタンをクリックしてルールの設定画面が表示されたら、ログファイルパターンを設定する項目で、[パターンを追加する]ボタンを必要な数クリックし、以下の通り設定を行います。

図8 ログファイルパターン設定画面
ログファイルパターン(状態、任意のキーワード、正規表現可)
 状態:OK   パターン:正常にログオン
 状態:警告   パターン:ログオンが試行されました
 状態:クリティカル   パターン:ログオンに失敗しました

今回は3種類それぞれ設定しました。

条件の欄は、適用したい任意のホストとログファイルを設定してください。今回は特定ホスト1台に適用する場合の設定です。ログファイル名を指定しない場合、全てのログファイルに適用されてしまいます。セキュリティログにのみこのルールを適用したいという場合は、「Security」と必ずログファイルを指定してください。

[保存する]ボタンをクリックし、設定をアクティベートします。今回はエージェントルールではないので、エージェントの更新は行う必要はありません。サービスの表示用ルールを作成した際は、サービスの再取得を行います。

では、セキュリティログの中身を確認してみましょう。

WindowsPCの監視画面から「Log Security」を探し、サービスの[ログを開く]で一覧を表示します。

すると、指定したキーワードを含むログが明確に色で分類して表示されるようになりました。

図9 ログを開く

左上の[ログをクリアする]というボタンをクリックすると、受信したログをCheckmkのサーバー上から削除することができます。

図10 サービス一覧画面

このルールはあくまでも表示時に色の分類をするためのルールです。そのため、サービスの状態としてのCRIT表示(図10)は蓄積する全てのログから判断されます。サーバー内に保管しているログのうち、1つでもクリティカルが存在すればCRIT(赤)となり、状態はCRIT>WARN>OKの順で優先されます。

つまり、Checkmkで受信した過去のCRITログを消去しない限り、ずっとCRIT表示となります。

おわりに

今回は、Checkmkを使ったWindowsイベントログの監視とフィルタリング方法を説明しました。Checkmkのログファイル監視には、このほかにも様々なフィルター機能があり、Checkmkの通知機能と組み合わせてさらにフィルターをかけることが可能です。

Checkmkの通知機能は、「OK→CRIT」など状態変化が行われた際にメール等を発報します。そのため、ログファイルパターンのルールを設定するだけでは、一度でもCRITになってしまうとログを削除するまでCRIT表示は変わらないため、通知としては不十分です。「このキーワードが入ったログを受信したときに通知を送りたい」という場合は、ログの監視方法を「サービスとしての監視」から「イベントコンソール上での監視」に切り替えなければなりません。

ログをイベントコンソールへ転送する方法や通知でのフィルタリング設定については、「ログファイル監視③」の記事で紹介したいと思います。次回の記事で、ログファイル監視のシリーズも最後です!

お問い合わせ

Checkmkにご興味のある方は、以下リンクよりいつでも弊社までお問い合わせください。

30日無償でご利用いただける評価版も以下のダウンロードリンクにご用意しております。評価ガイドをもとに簡単に検証ができますので、ぜひお試しください。

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP