Windowsイベントログをフィルタ転送する方法

公開日
2016-05-27
最終更新日
2018-09-14
バージョン
Splunk Enterprise 6.2.2
概要
Windowsイベントログをフィルタ転送する方法
参考情報
内容

Windowsイベントログをフォワーダーを使用してインデクサーへ転送する際、Windowsイベントログの内容に基づいてblacklistやwhitelistによるフィルタリングを実装することが可能です。

フィルタリングには、WindowsイベントログのイベントIDやmessageなどをキーとして利用できます。

本FAQでは、イベントIDで対象ログを指定する方法を中心にご案内します。

※設定についての留意事項

特定のイベントIDを除外して転送する方法

特定のイベントIDを持つWindowsイベントログを除外したい場合はフォワーダーのinputs.confに対してblacklistの設定を行ってください。

下記に具体的な設定例をご案内します。

例1)イベントID"4672"のWindowsイベントログを除外したい

[WinEventLog://System]
blacklist = EventCode="4672"

例2)イベントID"4672","4660","5065"のWindowsイベントログを除外したい

※下記のいずれかの表現が可能です。

[WinEventLog://System]
blacklist = EventCode="4672|4660|5065"

もしくは

[WinEventLog://System]
blacklist1 = EventCode="4672"
blacklist2 = EventCode="4660"
blacklist3 = EventCode="5065"

※blacklist1~9の範囲で指定してください。

例3)イベントID"4672"かつアカウント名がWINから始まるユーザーのイベントを除外したい

[WinEventLog://System]
blacklist = EventCode="4672" Message="アカウント名:\t\tWIN.+"

特定のイベントIDを指定して転送する方法

指定した複数のイベントIDを持つWindowsイベントログを転送したい場合はフォワーダーのinputs.confに対してwhitelistの設定を行ってください。

例4)イベントID"4672"のWindowsイベントログを指定して転送したい

[WinEventLog://System]
whitelist = EventCode="4672"

例5)イベントID"4672","4660","5065"のWindowsイベントログを指定して転送したい

※下記のいずれかの表現が可能です。

[WinEventLog://System]
whitelist = EventCode="4672|4660|5065"

もしくは

[WinEventLog://System]
whitelist1 = EventCode="4672"
whitelist2 = EventCode="4660"
whitelist3 = EventCode="5065"

※whitelist1~9の範囲で指定してください。

例6)イベントID"4672"かつアカウント名がWINから始まるユーザーのイベントを転送したい

[WinEventLog://System]
whitelist = EventCode="4672" Message="アカウント名:\t\tWIN.+"

※注意事項1

インデクサー側でフィルタリングを実装する必要がある場合はインデクサーのprops.confとtransforms.confを編集してください。

インデクサーでフィルタリングを実装する方法について、詳細は下記のリンクをご覧ください。

http://docs.splunk.com/Documentation/Splunk/6.2.2/Forwarding/Routeandfilterdatad#Filter_event_data_and_send_to_queues

※注意事項2

blacklistとwhitelistで同じファイルが指定された場合、blacklistの設定が優先されます。

また、数字付のblacklist、whitelistは1~9のみサポートされます。それ以上の数字は割り当てないようお願い致します。

blacklistとwhitelistのどちらにも指定されなかったファイルは全て読み込み対象となります。

詳細は下記のリンクをご覧ください。

https://docs.splunk.com/Documentation/Splunk/6.2.2/Data/Whitelistorblacklistspecificincomingdata

以上