Pour activer les journaux de surveillance dans un environnement Windows, sélectionnez la stratégie pertinente et affectez-lui des paramètres de vérification spécifiques. Lorsque la surveillance des journaux est activée et qu’une chaîne spécifiée est détectée dans le journal surveillé, le système crée un événement.
Avant de commencer
Rôle requis : agent_client_collector_admin
Procédure
-
Accédez à la .
-
Sélectionnez la politique de surveillance des journaux Windows .
-
Dans l’onglet Vérifier les instances , sélectionnez os.windows.check-log pour activer la surveillance des fichiers journaux Windows.
-
Dans l’onglet Paramètres de vérification , spécifiez les paramètres de journal à surveiller par la vérification, comme décrit dans le tableau suivant :
Tableau 1. Vérifier les paramètres
| Nom |
Valeur |
| avertissement |
Nombre de fois où les chaînes de schéma spécifiées sont trouvées dans le journal qui génère un warning événement. Valeur par défaut = 1. Par exemple, si la pattern valeur est Exception et qu’un événement d’exception se trouve dans le journal, un warning événement est généré. |
| critique |
Nombre de fois où les chaînes de schéma spécifiées sont trouvées dans le journal qui génère un critical événement. Valeur par défaut = 2. Par exemple, si la valeur est Exception et que deux événements d’exception pattern se trouvent dans le journal, un critical événement est généré. |
| fichier |
Emplacement du fichier journal. |
| modèle |
Chaînes faisant l’objet d’une recherche dans le journal. Les valeurs par défaut sont Severe et Exception. Parmi les autres valeurs possibles, citons 404 et Error. Assurez-vous de séparer plusieurs modèles par une barre verticale (|) et de la transmettre en tant que paramètre entre guillemets. Par exemple : « SEVERE|404 ». |