製品
サービス
- 簡易セキュリティコンサルティング【コンサルティング】
- Splunk SOAR 自動化アセスメントサービス【コンサルティング】
- ダッシュボード/SPL作成パック【実装・構築支援】
- バージョンアップサービス【実装・構築支援】
- Splunk Premium Apps 構築サポートサービス【実装・構築支援】
- Splunkセキュリティログ分析スタートパッケージ【独自App/サービス】
- Splunk × CrowdStrike Falcon Insight, Macnica Original App【独自App/サービス】
- 政府統一基準対応App【独自App/サービス】
- Smart Security Monitoring App【独自App/サービス】
- Splunk × LANSCOPE Original App 【独自App/サービス】
- Security Monitoring App for Box【独自App/サービス】
- Cloud Security Monitoring App【独自App/サービス】
- SIEM運用監視サービス【独自App/サービス】
- サービス一覧
- Macnica Premium Support for Splunk(利活用支援、バージョンアップ見守り)
- Macnica Premium Support for Splunk スキルアップパッケージ
仕様・技術情報
Windowsイベントログをフィルタ転送する方法
Windowsイベントログをフォワーダーを使用してインデクサーへ転送する際、Windowsイベントログの内容に基づいてblacklistやwhitelistによるフィルタリングを実装することが可能です。 フィルタリングには、WindowsイベントログのイベントIDやmessageなどをキーとして利用できます。 本FAQでは、イベントIDで対象ログを指定する方法を中心にご案内します。 ※設定についての留意事項 特定のイベントIDを除外して転送する方法 特定のイベントIDを持つWindowsイベントログを除外したい場合はフォワーダーのinputs.confに対してblacklistの設定を行ってください。 下記に具体的な設定例をご案内します。 例1)イベントID"4672"のWindowsイベントログを除外したい 例2)イベントID"4672","4660","5065"のWindowsイベントログを除外したい ※下記のいずれかの表現が可能です。 もしくは ※blacklist1~9の範囲で指定してください。 例3)イベントID"4672"かつアカウント名がWINから始まるユーザーのイベントを除外したい 特定のイベントIDを指定して転送する方法 指定した複数のイベントIDを持つWindowsイベントログを転送したい場合はフォワーダーのinputs.confに対してwhitelistの設定を行ってください。 例4)イベントID"4672"のWindowsイベントログを指定して転送したい 例5)イベントID"4672","4660","5065"のWindowsイベントログを指定して転送したい ※下記のいずれかの表現が可能です。 もしくは ※whitelist1~9の範囲で指定してください。 例6)イベントID"4672"かつアカウント名がWINから始まるユーザーのイベントを転送したい ※注意事項1 インデクサー側でフィルタリングを実装する必要がある場合はインデクサーのprops.confとtransforms.confを編集してください。 インデクサーでフィルタリングを実装する方法について、詳細は下記のリンクをご覧ください。 https://docs.splunk.com/Documentation/Splunk/9.0.3/Data/Whitelistorblacklistspecificincomingdata ※注意事項2 blacklistとwhitelistで同じファイルが指定された場合、blacklistの設定が優先されます。 また、数字付のblacklist、whitelistは1~9のみサポートされます。それ以上の数字は割り当てないようお願い致します。 blacklistとwhitelistのどちらにも指定されなかったファイルは全て読み込み対象となります。 詳細は下記のリンクをご覧ください。 https://docs.splunk.com/Documentation/Splunk/9.0.3/Data/Whitelistorblacklistspecificincomingdata 以上
https://docs.splunk.com/Documentation/Splunk/9.0.3/Data/MonitorfilesystemchangesonWindows
https://docs.splunk.com/Documentation/Splunk/9.0.3/Forwarding/Routeandfilterdatad#Filter_event_data_and_send_to_queues[WinEventLog://System]
blacklist = EventCode="4672"[WinEventLog://System]
blacklist = EventCode="4672|4660|5065"[WinEventLog://System]
blacklist1 = EventCode="4672"
blacklist2 = EventCode="4660"
blacklist3 = EventCode="5065"[WinEventLog://System]
blacklist = EventCode="4672" Message="アカウント名:\t\tWIN.+"[WinEventLog://System]
whitelist = EventCode="4672"[WinEventLog://System]
whitelist = EventCode="4672|4660|5065"[WinEventLog://System]
whitelist1 = EventCode="4672"
whitelist2 = EventCode="4660"
whitelist3 = EventCode="5065"[WinEventLog://System]
whitelist = EventCode="4672" Message="アカウント名:\t\tWIN.+"
株式会社マクニカ Splunk 担当
- TEL:045-476-2010
- E-mail:splunk-sales@macnica.co.jp
月~金 8:45~17:30