Windows イベント チャネルを Log Insight Windows Agent 構成に追加できます。 Log Insight Windows Agent はログ イベントを収集し、vRealize Log Insight サーバに送信します。

フィールド名には制限があります。次の名前は予約されているため、フィールド名としては使用できません。

  • event_type
  • hostname
  • source
  • text

前提条件

vRealize Log InsightWindows エージェントをインストールした Windows マシンにログインし、サービス マネージャを起動して vRealize Log Insight エージェント サービスがインストールされていることを確認します。

手順

  1. vRealize Log InsightWindows エージェントのプログラム データ ディレクトリに移動します。
    %ProgramData%\VMware\Log Insight Agent
  2. 任意のテキスト エディタで liagent.ini を開きます。
  3. 次のパラメータを追加し、使用環境の値を設定します。
    パラメータ 説明
    [winlog|section_name] 構成セクションの一意な名前。
    channel イベント ビューア組み込み Windows アプリケーションに表示されるイベント チャネルのフル ネーム。正しいチャネル名をコピーするには、イベント ビューアでチャネルを右クリックし、[プロパティ] を選択して [フル ネーム] フィールドの内容をコピーします。
    enabled 構成セクションを有効または無効にするオプションのパラメータ。有効値は yes または no です(大文字と小文字は区別されません)。デフォルト値は yes です。
    tags

    収集したイベントのフィールドにカスタム タグを追加するためのオプションのパラメータ。JSON 表記を使用してタグを定義します。タグ名には文字、数字、アンダースコアを含めることができます。タグ名の先頭は文字またはアンダースコアにする必要があり、タグ名の長さは 64 文字以内にする必要があります。タグ名は、大文字と小文字が区別されません。たとえば、tags={"tag_name1" : "tag value 1", "Tag_Name1" : "tag value 2" } を使用する場合、Tag_Name1 は重複として無視されます。event_type および timestamp をタグ名として使用することはできません。同一の宣言内での重複は無視されます。

    ターゲットが Syslog サーバの場合、タグで APP-NAME フィールドをオーバーライドできます。例:tags={"appname":"VROPS"}

    whitelist, blacklist ログ イベントを明示的に含める、または除外するオプションのパラメータ。
    注: blacklist オプションはフィールドに対してのみ機能し、テキストをブロックするためには使用できません。
    exclude_fields (オプション)収集から個別のフィールドを除外するパラメータ。複数の値をセミコロンで区切って指定することができます。例:exclude_fields=EventId; ProviderName 
    [winlog|section_name]
channel=event_channel_name
enabled=yes_or_no
tags={"tag_name1" : "Tag value 1", "tag_name2" : "tag value 2" }
  4. liagent.ini ファイルを保存して閉じます。

例: 構成

次の [winlog| 構成の例を参照してください。 

[winlog|Events_Firewall ]
channel=Microsoft-Windows-Windows Firewall With Advanced Security/Firewall 
enabled=no

[winlog|custom]
channel=Custom
tags={"ChannelDescription": "Events testing channel"}