OpsRamp Windowsイベントログ監視

概要

OpsRampの監視エージェントをインストールしたWindows10でイベントログの監視設定をしてます。
そして、アラートの確認方法と対処手順についても記載しておきます。

Windowsイベントログの監視設定手順

”Infrastructure” - ”Resources” をクリックします

イベントログ監視を設定する機器を選択します

”モニタ” - ”Monitors” - ”割り当てるMonitors” をクリックします

Add Monitor画面が表示されるので、カテゴリで”イベントログモニタ”を選択 - ”Save”をクリックします

詳細設定画面が表示されるので、アラートのチェックボックスをONにし、ログタイプ別に監視するレベルを選択して”Save”をクリックします。
今回は定番の”Application” ”Security” ”System” のエラーをONにしておきます。監視周期はデフォルト15分ですが、最短1分まで設定可能です。
※ログタイプの一覧は監視エージェントが収集して表示させているわけではなく、OpsRampのデフォルトテンプレートの様です。”Active Directory Web Service”など対象機器では表示されない項目が確認できます。

”×”をクリックします

”EVENTLOGS”が監視モニターとして追加されました。

システムログのエラー検知試験

監視対象のWindows10でイベントログのエラーを記録して、OpsRampで検知できるか確認してみたいと思います。
Powershellを起動して下記コマンドを実行すると、システムログにID：999のエラーが記録されます。

Write-EventLog -LogName System -Source EventLog -EventID 999 -EntryType Error -Message "OpsRamp Eventlog Watch TEST"

”Command Center” - ”Alerts” をクリックします

ID：328509833 でイベントログがアラートとして検知されていることが確認できました。
アラートをクリックすると詳細画面が表示されます。

内容を確認すると、Powershellで書き込んだMessage部分が記録されていません。該当ログの前後ログや関連ログの調査はOpsRampからはできないので、トラブルシュートは実際に対象機器にログインする必要があります。
また、このアラートを処理しないとアラート一覧に表示されたままになるので、画面右下の”Take Action”をクリックします。
※"Event Log Date Time"の部分だけUTC時刻になってますね。。

今後の対応が必要であれば”インシデントの作成”を選択します。今回は後処理が不要なので”認知（アクナレッジ）”を選択しておきます。

コメントを記載して”適用”をクリックします。

コメント欄に今回の処理が記録されました。

アラート一覧でもステータスが”select”から”Acknowledged”に変更されています。
※日本語化が部分的なので統一感がありませんね。。

同じエラーを複数回検知した場合

同じ内容のイベントログを検知した場合、自動的にマージしてくれます。
先ほどAcknowledgedにしたイベントエラーをもう一度記録してみると、件数がカウントされたことが分かります。

この件数をクリックするとアラートの一覧が表示されます。

特定のイベントログをフィルタリングする方法

同じイベントログが繰り返し検知された場合に自動でマージされるわけですが、監視台数が増えてくるとアラート一覧が埋め尽くされてしまいます。その場合の対応策として監視エージェント側でフィルタリングする方法があります。

イベントログの監視設定の画面下方にフィルタの設定項目があるので、フィルタリングしたいソース、イベントID、メッセージを入力します。
（メッセージは設定しなくても動作しました）

それではソース：evenglog、イベントID：996のエラーをPowershellで書き込んでみます。

Write-EventLog -LogName System -Source EventLog -EventID 996 -EntryType Error -Message "OpsRamp Eventlog Watch TEST"

イベントID：996については30分経過しても表示される事はありませんでした。（フィルタリング成功）

おわり。