WindowsのイベントログをLog Analyticsに収集して検索する手順
Windows ServerのイベントログをAzure Monitorログ(Log Analyticsワークスペース)で収集する設定手順です。
収集したイベントログをLog AnalyticsでKQLクエリ検索する手順も纏めています。
-
- 実施した手順内容
- 分析情報(VM insights)有効化
- データ収集ルールを作成してイベントログを収集
- データ収集ルールにリソースを追加
- Log Analyticsで収集したイベントログをKQL検索
- parse_xml()を使ってイベントログの内容を取得
- 実施した手順内容
※仮想マシン(Azure VM)を利用しています。
※Windows Server 2022 Datacenter Azure Editionを利用しています。
※Log Analyticsワークスペースはlog-test-01、仮想マシン(Azure VM)はtest-vm-01、02のリソースを利用しています。
データ収集ルールを使ってイベントログをAzure Monitorログで収集
イベントログの収集設定はMS Learnに記載があります。参照し設定を進めます。
Azure Monitor を使用して Azure 仮想マシンを監視する
分析情報(VM insights)を有効化
分析情報の有効化(VM insights)はイベントログの収集には必要ありません。
今回はデータ収集ルール確認の一環として実施しています。
公式サイトの手順に沿って有効化します。
有効化対象の仮想マシン(Azure VM)には拡張機能がインストールされます。
仮想マシン(Azure VM)で起動状態である必要があります。
Azure portal で VM insights を有効にする
モニターの分析情報(VM insights)や仮想マシンの分析情報(VM insights)のメニューからも有効化する事が出来ます。
分析情報の有効化で収集されるデータはパフォーマンスやマップといった情報です。
ログの収集については別途設定が必要です。
分析情報を有効化 | |
左側のメニューで分析情報を選択します。 有効を選択します。 |
|
監視の構成画面です。 データ収集ルールの新規作成を選択します。 |
|
新しいルールの作成画面です。 データ収集ルール名やLog Analytics workspacesを選択します。 作成を選択します。 |
|
監視を構成します。 |
※データ収集エンドポイントの設定やログ収集の設定項目はありませんでした。
※分析情報(VM insights)についてはこちらに纏めています
データ収集ルールを確認
分析情報(VM insights)を有効化するとデータ収集ルールも一緒にデプロイされます。
データ収集ルール(Data collection rule)の設定は主にデータソースとリソースで構成されています。
-
- データソース:取得間隔や収集対象のデータ
- リソース:データ取得対象のリソース
データ収集ルール確認 | |
モニターの左側のメニューでデータ収集ルールを選択します。 | |
Log Analyticsワークスペースのエージェントからも確認出来ます。 | |
データソースを選択するとパフォーマンスカウンターが設定されています。 パフォーマンスカウンターを選択すると取得対象のデータや取得間隔の設定が確認出来ます。 |
|
リソースを選択すると取得対象のリソースが確認出来ます。 |
仮想マシンに追加される拡張機能
分析情報を有効化すると仮想マシン(Azure VM)に拡張機能がインストールされます。
-
- AzureMonitorWindowsAgent:ログやパフォーマンス情報を収集する拡張機能
- DependencyAgentWindows:マップ作成(トラフィック等)に必要な情報を収集する拡張機能
今回はマップ情報も有効化しているので2つの拡張機能がインストールされています。
拡張機能 | |
拡張機能とアプリケーションのメニューで確認出来ます。 2つの拡張機能がインストールされています。 |
Windowsのイベントログを収集するルールを作成
イベントログを収集する為にはデータ収集ルールを追加します。
※今回はエンドポイントは有効化していません。
※データ収集ルール対象となる仮想マシン(Azure VM)には拡張機能がインストールされる為起動状態である必要があります。
リソースの追加
同じデータ収集ルールを複数の仮想マシン(Azure VM)に適用出来ます。
イベントログの収集ルールを設定した場合はAzureMonitorWindowsAgentの拡張機能のみインストールされます。
データ収集ルールにリソースを追加 | |
左側のメニューでリソースを選択します。 追加を選択します。 追加対象の仮想マシン(Azure VM)を選択します。 |
|
追加したリソースには拡張機能がインストールされます。 | |
システム割り当て済みのマネージドIDも有効化されます。 |
収集対象のログを制限
収集対象のログをXPathクエリを利用して制限する事が出来ます。
Windows イベント ビューアーから XPath クエリを抽出する
基本で設定したログ収集の設定はXPathとして設定されています。
収集対象のログを制限 | |
基本でイベントログ収集設定がXPathとして表示されています。 | |
イベントIDを4624と4625を収集する場合の設定です。 指定したイベントログの条件はor条件として動作します。 既存の設定を削除後に収集対象のXPathのクエリを追加しています。 |
※XPathのクエリにはand条件やor条件も利用出来ます。
—広告—
イベントログをLog Analyticsで確認
ログイン(RDP接続時)時のイベントログ
RDP(リモートデスクトップ)接続時のログを例に確認しています。
こちらに纏めていますので併せて見て頂けると有難いです。
イベントログを確認
Log AnalyticsワークスペースのEventのテーブルにイベントログは保管されます。
イベントID4624のイベントログを検索します。 EventDataにXML形式でイベントログのデータが含まれている事が確認出来ます。 |
|
|
parse_xml使ってEventDataをJSON形式に変換
EventDataはXML形式で1つの項目にデータが保管されています。
parse_xml()を利用すると値をJSON形式に変換して要素単位にする事が出来ます。
EventDataをparse_xml()で変換したデータをEventData_xmlとして定義します。
parse_xml()を使う | |
|
|
EventData_xmlを確認すると要素ごとに分解されている事が確認出来ます。 |
イベントログの値を抽出
parse_xml()を利用してJSON形式に変換した値からデータを取得します。
イベントログ(SecurityのイベントID4624)のワークステーション名、ソースネットワークアドレス、ログオンタイプの値を取得してみます。
EventData_xml>DataItem>EventData>Dataの階層に値が含まれています。
今回はDataとして新しい列を定義したしたのちに各項目を取得します。
※例えば検索条件にwhere EventLog contains “Security"を追加するとセキュリティのイベントログのみに絞り込み出来ます。
※2つ目のKQLでは検索結果をログオンタイプ10のみに絞り込みしています。
※新しく追加した列をDataとしちゃってますが大目に見てください。
Azure Monitorでイベントログを監視
Log Analyticsワークスペースに収集したイベントログはAzure Monitorの監視設定に利用出来ます。
手順についてはこちらに纏めています。
—広告—
最後に
今回はWindows ServerのイベントログをAzure Monitorログ(Log Analyticsワークスペース)へ取り込んで検索する手順について纏めてみました。
イベントログのデータ本文の項目取得には少し手間がかかりますが、各サーバーから取り込んだデータKQLで一括して検索する事が出来るので非常に便利かと思います。
今後も色々試してみたいと思います。
RDP(リモートデスクトップ)接続元IPを例にイベントログについて纏めています。
併せて見て頂けると有難いです。
仮想マシン(Azure VM)の接続状況についてはこちらに纏めています。
ログを利用する方法、メトリックを利用する方法について纏めています。