ja:documentation:pandorafms:monitoring:09_log_monitoring

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

両方とも前のリビジョン 前のリビジョン
次のリビジョン		 前のリビジョン
ja:documentation:pandorafms:monitoring:09_log_monitoring [2025/05/11 08:05] – [エージェント設定] junichija:documentation:pandorafms:monitoring:09_log_monitoring [2025/08/24 06:25] (現在) – [Unix システムの例] junichi
行 9: 行 9:
 ===== 概要 ===== ===== 概要 =====
  
-Log monitoring in Pandora FMS is established in two different ways:+Log monitoring in **Pandora FMS** allows users to see in a single console all the logs from multiple sources to be captured, organizing information sequentially, using the time stamp in which the logs were processed.
  
-Pandora FMS におけるログ監視には、以下の 2つ異なる手法があります。+**Pandora FMS** のログ監視により、ユーザは、ログが処理されたタイムスタンプを使用して情報を順番に整理し、キャプチャされた複数ソースからすべてのログを単一のコンソールで参照できます。
  
-  - **Based on modules**: It represents logs in Pandora FMS as asynchronous monitors, being able to associate alerts to detected entries that meet series of conditions preconfigured by the user. The modular representation of the logs allows: +This information does not contain structures or formats, it is stored in text format along with time stamp (of the time of receipt), in addition to the original time stamps that the files may have had.
-      - Creating modules that count the occurrences of a regular expression in a log. +
-      - Obtaining the lines and context of the log messages. +
-  - **Based on combined display**: It allows the user to see in a single Console all the log information from multiple sources that is desired to be captured, organizing the information sequentially, using the timestamp in which the logs were processed.+
  
-  - **モジュールベース**: 非同期監視としの Pandora でログを表現しす。ユーザより事前設定され条件を満たすデーを検出した場合にアラートを関連付けることができます。 ログのモジュール表現では、以下を行うことができます: +情報には構造や形式は含れておらず、ファイル元々付いていたタイムスタンプえて、タイムスタンプ (受信時刻) とともテキスト形式保存されます。
-    - ログの中で正規表現マッチする数を数るモジュールの作成 +
-    - ログメッセージの行および内容を取得 +
-  - **複合表示ベース**: キャプチャしたい複数の発生元のログからすべの情報を 1つのコンソールで表示しログが処理されたタイムスタンプを使用して情報を順番整理ます。+
  
-<WRAP center round info 60%>+{{  :wiki:pfms-log_monitoring-welcome_page.png?800  }}
  
-Starting with version 7.0 NG 774, Pandora FMS incorporates OpenSearch to store log information. See also "[[:en:documentation:pandorafms:technical_annexes:38_opensearch_installation|OpenSearch installation and configuration]]".+These logs may be used to generate security events ([[:en:documentation:pandorafms:cybersecurity:21_siem|SIEM]]) and/or for troubleshootinglegal compliance or forensic analysis purposes. The log processing capacity is limited only by the capacity of the device used to store them. 
 + 
 +これらのログは、セキュリティイベント ([[[:ja:documentation:pandorafms:monitoring:21_siem|SIEM]]) の生成や、トラブルシューティング、法令遵守、フォレンジック分析などに利用できます。ログ処理能力は、ログ保存に使用するデバイスの容量によってのみ制限されます。 
 + 
 +<WRAP center round info 90%> 
 + 
 +**Pandora FMS** uses **OpenSearch** to store log information. See also "[[:en:documentation:pandorafms:technical_annexes:38_opensearch_installation|OpenSearch installation and configuration]]" for how to configure it properly.
  
 </WRAP> </WRAP>
  
-<WRAP center round info 60%>+<WRAP center round info 90%>
  
-バージョン 7.0 NG 774 以降、Pandora FMS はログ情報保存するために OpenSearch が組み込まれています。"[[:ja:documentation:pandorafms:technical_annexes:38_opensearch_installation|OpenSearch のインストールと設定]]もご確認ください。+**Pandora FMS** はログ情報保存に **OpenSearch** を使用します。適切な設定方法については、「[[:ja:documentation:pandorafms:technical_annexes:38_opensearch_installation|OpenSearch のインストールと設定]]もごください。
  
 </WRAP> </WRAP>
行 39: 行 39:
 ===== 動作の仕組み ===== ===== 動作の仕組み =====
  
-  * The logs analyzed by the [[:en:documentation:pandorafms:introduction:03_glossary|Software Agents]] (**eventlog**  or text files), are forwarded to Pandora FMS server, in RAW form within the [[:en:documentation:pandorafms:introduction:03_glossary|XML]] agent report. +  * Logs analyzed by [[:en:documentation:pandorafms:introduction:03_glossary#endpoint|EndPoints]] (<wrap :en>**eventlog**</wrap> or text files), are forwarded to Pandora FMS server, in RAW form inside the [[:en:documentation:pandorafms:introduction:03_glossary#data_filesdata_xml|XML]] agent report. 
-  * The Pandora FMS Data Server receives the agent'XML, which contains both monitoring and log information. +  * **Pandora FMS Data Server**  receives the XML from the agent, which contains both monitoring and log information. 
-  * When the Data Server processes the XML data, it identifies the information in the logssaving in the main database the references of the reporting agent and the source of the log and then automatically sending the information to OpenSearch. +  * When the Data Server processes XML data, it identifies log information, storing in the main database the references of the reporting agent and the log source and then automatically sending the information to [[:en:documentation:pandorafms:technical_annexes:38_opensearch_installation|OpenSearch]]
-  * Pandora FMS stores data in OpenSearch indexesgenerating a unique index daily for each Pandora FMS instance. +  * Pandora FMS stores the data in OpenSearch indexes daily generating a unique index for each Pandora FMS instance. 
-  * Pandora FMS server has a maintenance task that deletes the indexes at the interval defined by the system administrator (by default, 30 days).+  * Pandora FMS server has a maintenance task that deletes the indexes in the interval defined by the system administrator (by default, 30 days, modifiable)
 +  * Logs travel through the network encrypted to avoid formatting problems. 
 +  * If you wish the logs to travel over the network encrypted, you may use a safe communication method ([[:en:documentation:pandorafms:technical_reference:09_tentacle#ks6|Secure communication Tentacle]]) for this purpose. 
 +  * Logs can be sent by **Syslog**  to Pandora FMS Syslog Server, which directly processes logs from a local Syslog server, making the processing much faster. 
 +  * The load can be distributed using different agents and remote Syslog servers to adopt the best distribution and suitability to the network topology.
  
-  * [[:ja:documentation:pandorafms:introduction:03_glossary#ソフトウアエージェント|ソフトウアエージェント]]で分析されたログ (**eventlog** またはテキストファイル) は、Pandora サーバへ転送されます。エージェントから送信される [[:ja:documentation:pandorafms:introduction:03_glossary#データファイルxml_データ|XML]] に (RAW) データとして含まれます。+  * [[:ja:documentation:pandorafms:introduction:03_glossary#ンドポイント|エンドポイント]]で分析されたログ (**eventlog** またはテキストファイル) は、Pandora サーバへ転送されます。エージェントから送信される [[:ja:documentation:pandorafms:introduction:03_glossary#データファイルxml_データ|XML]] に (RAW) データとして含まれます。
   * Pandora FMS データサーバは、エージェントから XML を受け取ります。そこには、監視とログの両方の情報が含まれています。   * Pandora FMS データサーバは、エージェントから XML を受け取ります。そこには、監視とログの両方の情報が含まれています。
   * データサーバが XML データを処理する時に、ログ情報を識別し、報告されたエージェントに関する情報やログのソースをプライマリデータベースに保存し、ログの保存には情報を自動的に OpenSearch に送信します。   * データサーバが XML データを処理する時に、ログ情報を識別し、報告されたエージェントに関する情報やログのソースをプライマリデータベースに保存し、ログの保存には情報を自動的に OpenSearch に送信します。
   * Pandora FMS はデータを OpenSearch インデックスに保存し、各 Pandora FMS インスタンスの日次インデックスを生成します。   * Pandora FMS はデータを OpenSearch インデックスに保存し、各 Pandora FMS インスタンスの日次インデックスを生成します。
   * Pandora FMS サーバには、システム管理者が定義した間隔(デフォルトでは30日)でインデックスを削除するメンテナンスタスクがあります。   * Pandora FMS サーバには、システム管理者が定義した間隔(デフォルトでは30日)でインデックスを削除するメンテナンスタスクがあります。
 +  * フォーマットの問題を回避するために、ログは符号化されてネットワークを通過します。
 +  * ログを暗号化してネットワーク経由で送信したい場合は、安全なトランスポート ([[:ja:documentation:pandorafms:technical_reference:09_tentacle#ks6|Tentacle の安全な通信]]) を使用できます。
 +  * ログは **Syslog** によって Pandora FMS Syslog サーバに送信され、ローカル Syslog サーバからのログが直接処理されるため、処理速度が大幅に向上します。
 +  * さまざまなエージェントとリモート Syslog サーバを使用して負荷を分散し、ネットワークトポロジに最​​適な分散と適合性を実現できます。
  
 <wrap #ks3 /> <wrap #ks3 />
行 95: 行 103:
 ==== エージェント設定 ==== ==== エージェント設定 ====
  
-Log collecting is carried out by agents, both in Microsoft Windows® agents and in Unix® agents (Linux®, MacOS X®, Solaris®, HPUX®, AIX®, BSD®, etc.).+Log collecting is carried out by agents, both in Microsoft Windows® agents and in Unix® agents (Linux®, MacOS X®, Solaris®, HPUX®, AIX®, BSD®, etc).
  
 ログ収集は、Microsoft Windows® 用エージェントと Unix® エージェント (Linux®、MacOS X®、Solaris®、HPUX®、AIX®、BSD® など) の両方でエージェントを通じて行われます。 ログ収集は、Microsoft Windows® 用エージェントと Unix® エージェント (Linux®、MacOS X®、Solaris®、HPUX®、AIX®、BSD® など) の両方でエージェントを通じて行われます。
  
-  * In the case of [[#ks3_2_1|agents for Windows]], information may also be obtained from the operating system event viewer, using the same filters as in the event viewer monitoring module. +<wrap #ks3_2_1 />
-  * In the case of [[#ks3_2_2_2|agents for Unix]] you may exclude search patterns by ''module_pattern_exclude''  to narrow down monitoring to more precise parameters.+
  
-  * [[#ks3_2_1|Windows用エージェント]]の場合、イベントビューア監視モジュールと同じフィルターを使用して、オペレーティングシステムのイベントビューアから情報を取得することもきます。 +=== MS Windows での設定 ===
-  * [[#ks3_2_2_2|Unix用エージェント]]場合、''module_pattern_exclude'' で検索パターンを除外して、監視をより正確なパラメータに絞り込むことができます。+
  
-<wrap #ks3_2_1 />+Agents are used to collect local information from each monitored EndPoint.
  
-=== MS Windows 例 ===+エージェントは、監視対象各エンドポイントからローカル情報を収集するために使用されます。
  
-For version 774 or later, the lines that appear under ''Logs extraction''  must be uncommented:+You may collect [[#ks3_2_1_2|events]] or [[#ks3_2_1_1|plain texts]] (conventional logs).
  
-ージン 774 以降では、''Logs extraction'' の下の行のコメンを外す必要があり+[[#ks3_2_1_2|イベント]] または [[#ks3_2_1_1|プレンテキスト]] (従来のログ) を収集できます。 
 + 
 +<wrap #ks3_2_1_1 /> 
 + 
 +== プレーンテキストでのログ収集 == 
 + 
 +Similar to the Linux syntax, the module type ''log''  is used together with the token ''module_regexp''
 + 
 +Linux 構文と同様に、モュールタイプ ''log'' はトークン ''module_regexp'' と一緒に使用されます。 
 + 
 +**MS Windows does not support**  ''module_pattern_exclude''
 + 
 +**MS Windows では**、 ''module_pattern_exclude'' **はサポーしていせん**
  
 <code> <code>
  
-Log extraction +Logs extraction 
-#module_begin +module_begin 
-#module_name X_Server_log +module_name Apache_log 
-#module_description Logs extraction module +module_description Logs extraction module 
-#module_type log +module_type log 
-#module_regexp C:\server\logs\xserver.log +module_regexp C:\server\logs\apache.log 
-#module_pattern .* +module_source_type apache 
-#module_end+module_pattern .* 
 +module_end
  
 </code> </code>
  
-For more information about the description of log type modules, check the following section referring to [[:en:documentation:pandorafms:installation:05_configuration_agents|Specific directives]].+<wrap #ks3_2_1_2 />
  
-ログタモジュールの説明詳細いては、[[:ja:documentation:pandorafms:installation:05_configuration_agents|特定のディレクティブ]] を参照してセクョンを確認してください。+== MS Windows ベント収集 == 
 + 
 +The special ''logchannel''  module is used for that purpose, which works only for Microsoft Windows® environments. It allows you to obtain information from MS Windows® event log based on certain filters, depending on the source and type of event. 
 + 
 +この目的には、Microsoft Windows® 環境でのみ動作する特別な ''logchannel'' モジュールが使用されます。こモジュールを使用すると、イベントソースと種類に応じて、特定のフィルター基づいて MS Windows® イベントログから情報を取得できます。 
 + 
 +<WRAP center round info 90%> 
 + 
 +The ''[[:en:documentation:pandorafms:installation:05_configuration_agents#module_logchannel|module_logchannel]]'' completely displaces the use of the old ''[[:en:documentation:pandorafms:installation:05_configuration_agents#module_logevent|module_logevent]]''. Although it still works for compatibility, it is not supported since LTS 2025 and is suitable for use on legacy Microsoft systems (Windows 7, Windows 2003 and earlier). 
 + 
 +</WRAP> 
 + 
 +<WRAP center round info 90%> 
 + 
 +''[[:ja:documentation:pandorafms:installation:05_configuration_agents#module_logchannel|module_logchannel]]'' は、従来の ''[[:ja:documentation:pandorafms:installation:05_configuration_agents#module_logevent|module_logevent]]'' の使用完全に置き換えます。互換性のために引き続き動作ますが、LTS 2025 以降はサポートされおらず、従来の Microsoft ステム (Windows 7、Windows 2003 以前) での使用に適しています 
 + 
 +</WRAP> 
 + 
 +General format of this module: 
 + 
 +このモジュールの一般的な形式:
  
 <code> <code>
  
 +module_begin
 +module_name MyEvent
 module_type log module_type log
 +module_logchannel
 +module_source <logName>
 +module_eventtype <event_type/level (optional)>
 +module_eventcode <event_id (optional)>
 +module_application <source (optional)>
 +module_pattern <text substring to match (optional)>
 +module_source_type <siem log type (optional)>
 +module_end
  
 </code> </code>
  
-By defining this type of tag''module_type log'', it is indicated that it must **not**  store in the databasebut rather it must be sent to the log collectorAny module with this type of Data will be sent to the collector, as long as it is enabled: otherwise the information will be discarded.+To avoid displaying repeated informationonly those events that have taken place since the last time the Agent was executed are taken into account. **In the first execution, it will therefore not collect all the events that already exist**It will start sending the collected events from the first execution.
  
-タイプのタグ ''module_type log'' 定義すース存するではなく、ログコレクターに送信する指定になりまこのタプのデータを持つモジュールは、有効になっている場合はコレクターに送信されます。そうでない場合は、情報は破棄されます。+重複した情報表示避けためジェントが最後に実行されてから発生したイントのみが考慮されます。**そのため、初回実行時は、既のイベントがべて収集されわけではりません**収集されたベントは、初回実行時から送信され始めます。
  
-For versions prior to 774: <WRAP center round tip 60%> Starting with version 750, this action can be performed using the [[:en:documentation:pandorafms:monitoring:02_operations|agent plugins]] by activating the Advanced option. </WRAP>+All of the following parameters require the correct input of upper and lower case letters:
  
-774 より前バージョン場合: <WRAP center round tip 60%> バジョン 750 以降では、詳細オプション有効にすることで、[[:ja:documentation:pandorafms:monitoring:02_operations|エージェント プラグイン]] を使用してこのアクションを実行できます。</WRAP>+以下すべてパラメは、大文字と小文字正しく入力する必要があります。
  
-Executions of the type shown below may be carried out:+  * ''[[#module_source|module_source]]''
 +  * ''[[#module_source_type|module_source_type]]''
 +  * ''[[#module_eventtype|module_eventtype]]''
 +  * ''[[#module_eventcode|module_eventcode]]''
 +  * ''[[#module_application|module_application]]''.
  
-以下に示すタイプの処理が実行されます。+<wrap #ks3_2_1_3 />
  
-**logchannel module**+== module_source ==
  
-**logchannel モジュール**+Source generating the event recorded in the log. It is fundamental to distinguish well from ''module_application'', which indicates the name of the application (another way to obtain events). It is an optional parameter if ''module_application''  is used but one of the two must be used. 
 + 
 +ログに記録されたイベントの生成元。アプリケーション名(イベントを取得する別の方法)を示す ''module_application'' と明確に区​​別することが重要です。''module_application'' を使用する場合、これはオプションパラメータですが、どちらか一方を使用する必要があります。 
 + 
 +This is an old categorization that comes from the times of MS Windows NT®. The most known are System, Application, Security and hundreds more. They can be seen in any event, in this case in Spanish under the name "Registro" or "Nombre de registro"
 + 
 +これは MS Windows NT® の時代から続く古い分類です。最もよく知られているのは、システム、アプリケーション、セキュリティなど、数百あります。いずれにせよ、スペイン語では "Registro" または "Nombre de registro" という名前で表示されます。 
 + 
 +{{  :wiki:pfms-log_monitoring-module_source.png  }} 
 + 
 +<WRAP center round important 90%> 
 + 
 +Even if it appears in the translation, **English names should be used**. 
 + 
 +</WRAP> 
 + 
 +<WRAP center round important 90%> 
 + 
 +訳語が出てくる場合でも、**英語名を使用する**必要があります。 
 + 
 +</WRAP> 
 + 
 +That is to say, in this screenshot it looks like "<wrap :es>**Sistema**</wrap>", but the keys to be able to filter must be expressed in English, <wrap :en>"**System**</wrap>" in this case. <wrap :en>"**Application**</wrap>" instead of <wrap :es>"**Aplicación**</wrap>" and "<wrap :en>**Security**</wrap>" instead of "<wrap :es>**Seguridad**</wrap>". Other long log names should be used as is, <wrap :en>**System, Application, Security**</wrap> and should always be placed in English to be able to retrieve and display events. 
 + 
 +つまり、このスクリーンショットでは "<wrap :es>**Sistema**</wrap>" のように見えますが、フィルタリングを可能にするキーは英語で表現する必要があります。この場合は "<wrap :en>**System**</wrap>" です。"<wrap :es>**Aplicación**</wrap>" ではなく "<wrap :en>**Application**</wrap>"、また "<wrap :es>**Seguridad**</wrap>" ではなく "<wrap :en>**Security**</wrap>" です。その他の長いログ名はそのまま使用し、"<wrap :en>**System, Application, Security**</wrap>" のように、イベントを取得して表示できるように常に英語で記述する必要があります。 
 + 
 +Example of ''module_source''  with long name, without translation: 
 + 
 +翻訳なしの長い名前の ''module_source'' の例: 
 + 
 +<file> 
 + 
 +Microsoft-Windows-DeviceManagement-Enterprise-Diagnostics-Provider/Administración 
 + 
 +</file> 
 + 
 +{{  :wiki:pfms-log_monitoring-module_source_long_name.png  }} 
 + 
 +<wrap #ks3_2_1_4 /> 
 + 
 +== module_source_type == 
 + 
 +SIEM monitoring relies heavily on the type of log collected, so it will be necessary to specify ''module_source_type''  in the log collection modules to indicate that type. The type is used by //decoders//  and //rules//, so the active [[:en:documentation:pandorafms:cybersecurity:21_siem#ks7|decoders]] and [[:en:documentation:pandorafms:cybersecurity:21_siem#ks8|rules]] should be consulted to find out the type to be indicated in each log. 
 + 
 +SIEM 監視は収集されるログの種類に大きく依存するため、ログ収集モジュールで ''module_source_type'' を指定してその種類を指定する必要があります。この種類は //decoders// と //rules// で使用されるため、各ログで表示される種類を確認するには、有効な [[:ja:documentation:pandorafms:cybersecurity:21_siem#ks7|デコーダー]] と [[:ja:documentation:pandorafms:cybersecurity:21_siem#ks8|ルール]] を参照する必要があります。 
 + 
 +The most commonly used types of logs are: 
 + 
 +最も一般的に使用されるログの種類は次のとおりです。 
 + 
 +  <wrap :en>**syslog**</wrap>
 +  * <wrap :en>**ids**</wrap>
 +  * <wrap :en>**web-log**</wrap>
 +  * <wrap :en>**squid**</wrap>
 +  * <wrap :en>**host-information**</wrap>
 +  * <wrap :en>**ossec**</wrap>
 + 
 +<WRAP center round info 90%> 
 + 
 +In case ''module_source_type''  **is omitted,**  the default value ''syslog''  is used. 
 + 
 +</WRAP> 
 + 
 +<WRAP center round info 90%> 
 + 
 +''module_source_type'' が**省略されている**場合、デフォルト値 ''syslog'' が使用されます。 
 + 
 +</WRAP> 
 + 
 +<wrap :en>**ossec**</wrap> type must be used to process Windows events through SIEM. For more information, please refer to [[:en:documentation:pandorafms:cybersecurity:21_siem|SIEM monitoring documentation]]. 
 + 
 +SIEM を介して Windows イベントを処理するには、<wrap :en>**ossec**</wrap> タイプを使用する必要があります。詳細については、[[:ja:documentation:pandorafms:cybersecurity:21_siem|SIEM 監視ドキュメント]] を参照してください。 
 + 
 +This would be a specific example for collecting all security events in Windows, which allows processing specific security events through SIEM: 
 + 
 +これは、Windows のすべてのセキュリティ イベントを収集し、SIEM を通じて特定のセキュリティイベントを処理できるようにする具体的な例です。
  
 <code> <code>
  
 +# Security Events
 module_begin module_begin
-module_name MyEvent+module_logchannel 
 +module_name Security_Events
 module_type log module_type log
 +module_source Security
 +module_source_type ossec
 +module_end
 +
 +</code>
 +
 +<wrap #ks3_2_1_5 />
 +
 +== module_eventtype ==
 +
 +It is an optional attribute used to filter the type of event (depending on the version of MS Windows®: <wrap :en>Error, Warning, Information, Audit success, Audit failure …</wrap>). It is expressed as a value that can be observed in the Windows event viewer.
 +
 +これは、イベントの種類(MS Windows®のバージョンによって異なります:<wrap :en>Error, Warning, Information, Audit success, Audit failure…</wrap>)をフィルタリングするために使用されるオプション属性です。これは、Windowsイベントビューアで確認できる値として表現されます。
 +
 +^Code^Event type|
 +|0  |Correct audit  |
 +|1  |Critical  |
 +|2  |Error  |
 +|3  |Warning  |
 +|4  |Information  |
 +
 +{{  :wiki:pfms-log_monitoring-module_eventtype_01.png  }}
 +
 +{{  :wiki:pfms-log_monitoring-module_eventtype_02.png  }}
 +
 +This example would take level 3 (warning) safety events:
 +
 +この例では、レベル 3 (警告) の安全イベントが採用されます。
 +
 +<code>
 +
 +module_begin
 module_logchannel module_logchannel
-module_source <logChannel> +module_name Security_Events_Warning 
-module_eventtype <event_type/level> +module_type log 
-module_eventcode <event_id> +module_source Security 
-module_pattern <text substring to match> +module_event_type 3 
-module_description <description>+module_source_type ossec
 module_end module_end
  
 </code> </code>
  
-**logevent module**+<wrap #ks3_2_1_6 /> 
 + 
 +== module_eventcode == 
 + 
 +Optional parameter. Allows to use a specific event ID to filter only events with that ID. It is perhaps the most accurate filter. 
 + 
 +オプションパラメータ。特定のイベントIDを使用して、そのIDを持つイベントのみをフィルタリングできます。おそらく最も正確なフィルタです。 
 + 
 +As you can see in this screenshot, the ''eventID''  is referenced in the event viewer: 
 + 
 +このスクリーンショットでわかるように、イベントビューアーでは ''eventID'' が参照されています。 
 + 
 +{{  :wiki:pfms-log_monitoring-module_eventcode.png  }} 
 + 
 +This example would take level 3 (warning) safety events:
  
-**logevent モジュー**+この例では、レベル 3 (警告) の安全イベントが採用されます。
  
 <code> <code>
 module_begin module_begin
-module_name Eventlog_System+module_logchannel 
 +module_name Security_Events_4798
 module_type log module_type log
-module_logevent +module_source Security 
-module_source System+module_eventcodee 4798 
 +module_source_type ossec
 module_end module_end
  
 </code> </code>
  
-**regexp module**+<wrap #ks3_2_1_7 />
  
-**regexp モジュール**+== module_application == 
 + 
 +Origin of the event. This is an **optional field**. 
 + 
 +イベントの発生源。これは**オプションのフィールド**です。 
 + 
 +To obtain the name of the event provider, it will be necessary to specify the exact name of the event provider that appears in the ''name''  field of the detailed event list. To do this, in the Windows event viewer, after right-clicking on it, select **Properties**  and copy the parameter <wrap :en>**Full name**</wrap>, required for ''module_application'', as shown in the screenshot below: 
 + 
 +イベントプロバイダーの名前を取得するには、詳細なイベントリストの ''name'' フィールドに表示されるイベントプロバイダーの正確な名前を指定する必要があります。これを行うには、Windowsイベントビューアで、イベントプロバイダーを右クリックし、**プロパティ** を選択し、''module_application'' に必要なパラメータ <wrap :en>**Full name**</wrap> をコピーします(以下のスクリーンショットを参照)。 
 + 
 +{{  :wiki:pfms-log_monitoring-module_application.png  }} 
 + 
 +These are some common examples of vendor names that appear in the Windows Event Viewer, but there may be many more, as each application will use a specific name. 
 + 
 +これらは、Windows イベントビューアーに表示されるベンダー名の一般的な例ですが、各アプリケーションが特定の名前を使用するため、さらに多くの例が存在する可能性があります。 
 + 
 +Operating system providers: 
 + 
 +オペレーティングシステムプロバイダー: 
 + 
 +  * Microsoft-Windows-Winlogon 
 +  * Microsoft-Windows-Security-Auditing 
 +  * Microsoft-Windows-User Profiles Service 
 +  * Microsoft-Windows-WindowsUpdateClient 
 +  * Microsoft-Windows-DNS-Client 
 +  * Microsoft-Windows-GroupPolicy 
 +  * Microsoft-Windows-TaskScheduler 
 +  * Microsoft-Windows-TerminalServices-LocalSessionManager 
 +  * Microsoft-Windows-Eventlog 
 +  * Microsoft-Windows-WMI 
 +  * Microsoft-Windows-Application-Experience 
 +  * Microsoft-Windows-PrintService 
 +  * Microsoft-Windows-Time-Service 
 + 
 +Common application or service providers: 
 + 
 +一般的なアプリケーションまたはサービスプロバイダー: 
 + 
 +  * MSSQLSERVER 
 +  * Microsoft Outlook 
 +  * Microsoft Office Alerts 
 +  * VSS 
 +  * Microsoft Exchange Server 
 +  * Application Error 
 +  * Windows Defender 
 +  * Windows Firewall 
 + 
 +Specific examples of events relevant to advanced diagnostics: 
 + 
 +高度な診断に関連するイベントの具体的な例: 
 + 
 +  * Microsoft-Windows-Kernel-General 
 +  * Microsoft-Windows-DistributedCOM 
 +  * Microsoft-Windows-Power-Troubleshooter 
 +  * Microsoft-Windows-Kernel-Boot 
 +  * Microsoft-Windows-Resource-Exhaustion-Detector 
 +  * Microsoft-Windows-Ntfs 
 +  * Microsoft-Windows-Kernel-Processor-Power 
 + 
 +Here are some examples of common vendors (not Microsoft): 
 + 
 +一般的なベンダーの例をいくつか示します (Microsoft 以外)。 
 + 
 +  * Google Chrome 
 +  * Mozilla Firefox 
 +  * VMware Tools 
 +  * Citrix Broker Service 
 +  * Oracle Database 
 +  * Symantec Endpoint Protection 
 +  * McAfee Security 
 +  * ESET Security 
 +  * Apache Service 
 +  * TeamViewer 
 +  * Adobe Acrobat 
 +  * Backup Exec 
 +  * Dropbox Update 
 + 
 +These providers serve as filtering criteria to collect or exclude events through the Pandora FMS agent. If it has spaces, **quotes should not be used**, for example, in the case of "Pandora FMS" it would be: 
 + 
 +これらのプロバイダは、Pandora FMS エージェントを通じてイベントを収集または除外するためのフィタリング基準として機能します。スペースが含まれる場合でも、**引用符を使用しないでください**。例えば、"Pandora FMS" の場合は以下のようになります。
  
 <code> <code>
 module_begin module_begin
-module_name PandoraAgent_log+module_name Pandora_Events_Windows
 module_type log module_type log
-module_regexp <%PROGRAMFILES%>\pandora_agent\pandora_agent.log +module_logchannel 
-module_description This module will return all lines from the specified logfile +module_application Pandora FMS 
-module_pattern .*+module_source Application
 module_end module_end
  
 </code> </code>
  
-<wrap #ks3_2_2 />+<wrap #ks3_2_1_8 />
  
-=== Unix システムの例 ===+== Windows および Sysmon イベント ==
  
-For version 774 or later, the lines that appear under ''Logs extraction''  must be //uncommented//:+  * **What is Sysmon?**
  
-ージョン 774 以降では、''Logs extraction'' の行を //コメント解除// する必要があります。+  * **Sysmon とは?** 
 + 
 +Sysmon<wrap :en>(**System Monitor**</wrap>) is a free tool developed by Microsoft as part of the <wrap :en>**Sysinternals Tools**</wrap>, designed to significantly improve the monitoring and logging of detailed events on Windows operating systems. 
 + 
 +Sysmon<wrap :ja>(**システムモニタ**</wrap>) は、Microsoft が <wrap :en>**Sysinternals Tools**</wrap> の一部として開発した無料のツールで、Windows オペレーティングシステムでの詳細なイベントの監視とログ記録を大幅に改善するように設計されています。 
 + 
 +Its main purpose is to record activities related to system and application security, which are usually not recorded in sufficient detail in the standard event viewer. 
 + 
 +その主な目的は、システムとアプリケーションのセキュリティに関連するアクティビティを記録することです。これらのアクティビティは通常、標準のイベントビューアーでは十分な詳細が記録されません。 
 + 
 +  * **What is Sysmon for?** 
 + 
 +  * **Sysmon の用途は?** 
 + 
 +Sysmon is primarily focused on monitoring and early detection of security incidents through comprehensive logging of key system events, such as: 
 + 
 +Sysmon は、次のような主要なシステムイベントを包括的に記録することで、セキュリティインシデントの監視と早期検出に主に焦点を当てています。 
 + 
 +  - Creation and execution of processes. 
 +  - Network connections (incoming and outgoing). 
 +  - Windows registry modifications. 
 +  - Loading of DLL libraries. 
 +  - File access and modifications. 
 +  - Suspicious memory and process usage. 
 +  - Code injections in legitimate processes. 
 + 
 +  - プロセスの作成と実行。 
 +  - ネットワーク接続(受信および送信)。 
 +  - Windows レジストリの変更。 
 +  - DLL ライブラリの読み込み。 
 +  - ファイルへのアクセスと変更。 
 +  - 不審なメモリおよびプロセスの使用。 
 +  - 正規のプロセスへのコードインェクション。 
 + 
 +These activities are typically exploited by malware or attackers during intrusion attempts or lateral movements within a corporate network. 
 + 
 +これらのアクティビティは通常、マルウェアや攻撃者によって企業ネットワークへの侵入試行やネットワーク内の拡大に悪用されます。 
 + 
 +  * **How does Sysmon work?** 
 + 
 +  * **Sysmon はどのように動くのか?** 
 + 
 +Sysmon works by installing a driver in **kernel mode**, collecting real-time information about operating system activities. This data is then sent to the Windows Event Viewer (<wrap :en>**Event Viewer**</wrap>). 
 + 
 +Sysmonは、**カーネルモード**でドライバーをインストールすることで動作し、オペレーティングシステムのアクティビティに関するリアルタイム情報を収集します。収集されたデータは、Windowsイベントビューアー(<wrap :en>**Event Viewer**</wrap>)に送信されます。 
 + 
 +  * **How does Sysmon improve monitoring with Pandora FMS?** 
 + 
 +  * **Sysmon は Pandora FMS による監視をどのように改善しますか?** 
 + 
 +Pandora FMS can use the Windows agent to collect these detailed events directly from the Sysmon channel and send them to the Pandora central server. 
 + 
 +Pandora FMS は Windows エージェントを使用して、これらの詳細なイベントを Sysmon チャネルから直接収集し、Pandora 中央サーバに送信できます。 
 + 
 +This combined approach (Sysmon + Pandora FMS + Pandora SIEM) provides great advantages in the monitoring and security of a Windows-based host: 
 + 
 +この組み合わせたアプローチ (Sysmon + Pandora FMS + Pandora SIEM) は、Windows ベースのホストの監視とセキュリティに大きな利点をもたらします。 
 + 
 +  - //Deep security visibility//: Provides a level of detail far superior to traditional event logging. Enables comprehensive analysis of suspicious behavior, identifying anomalies and potential threats in real time. 
 +  - //Early detection of advanced attacks//: Facilitates detection of sophisticated attacks such as lateral movement, execution of malicious scripts or connection to suspicious servers. 
 +  - //Immediate response capability//: Pandora FMS can generate automatic alerts based on rules defined in Sysmon events (e.g., execution of suspicious processes, log accesses or unusual connection attempts). 
 +  - //Historical and correlation//: Pandora FMS allows to store, consult and correlate historical events generated by Sysmon during long periods, which is essential in forensic investigations or security audits. 
 +  - //Advanced Reporting//: Automated extraction enables easy creation of reports for cyber security audits, compliance or post-incident analysis. 
 + 
 +  - //詳細なセキュリティ可視性//:従来イベントログをはるかに凌駕する詳細な情報を提供します。疑わしい動作を包括的に分析し、異常や潜在的な脅威をリアルタイムで特定できます。 
 +  - //高度な攻撃早期検知//:ラテラルムーブメント、悪意のあるスクリプトの実、疑わしいサーバへの接続といった高度な攻撃容易に検知できます。 
 +  - //即時対応機能//:Pandora FMSは、Sysmonイベントで定義されたルール(疑わしいプロセスの実行、ログへのアクセス、異常な接続試行など)に基づいて自動アラートを生成できます。 
 +  - //履歴と相関分析//:Pandora FMSは、Sysmonによって長期間にわたって生成された履歴イベントを保存、参照、相関分析できます。これは、フォレンジック調査やセキュリティ監査に不可欠です。 
 +  - //高度なレポート//:自動抽出機能により、サイバーセキュリティ監査、ンプライアンス、インシデント事後分析用のレポートを簡単に作成できます。 
 + 
 +  * **Practical example of integration**. 
 + 
 +  * **統合の実例** 
 + 
 +Suppose a Sysmon alert sent through the Pandora agent indicating that: 
 + 
 +Pandora エージェントを通じて Sysmon アラートが送信され、次のような内容を示しているとします。 
 + 
 +  - An unknown process has created an outgoing connection to a suspicious IP address. 
 +  - An unknown DLL has been loaded into memory. 
 +  - An attempt was made to modify the Windows registry by an unexpected process. 
 +  - Pandora FMS would receive these detailed events, generate an immediate alert, and allow to act quickly on the incident before significant damage is done. 
 + 
 +  - 不明なプロセスが疑わしいIPアドレスへの送信接続を作成した。 
 +  - 不明なDLLがモリにロードされた。 
 +  - 予期しないプロセスによってWindowsレジストリが変更されようとした。 
 +  - Pandora FMS はこれらの詳細なイベントを受信し、即座にアラートを生成し、重大な損害が発生する前にインシデントに迅速に対応できるようにします。 
 + 
 +  * **Installation and use of Sysmon**. 
 + 
 +  * **Sysmon のインストールと使用** 
 + 
 +Sysmon is included in the official Microsoft "Sysinternals Suite" and is available for Intel 32-bit and 64-bit systems as well as the new ARM 64-bit architecture (Windows 11). 
 + 
 +Sysmon は、Microsoft 公式の "Sysinternals Suite" に含まれており、Intel 32 ビットおよび 64 ビット システム、および新しい ARM 64 ビット アーキテクチャ (Windows 11) でも利用できます。 
 + 
 +Sysmon has a fairly extensive configuration file to indicate what it should "monitor". Monitoring "everything" would affect both the host performance and the system that collects all this information. Pandora FMS agents incorporate a base configuration file that can be improved by the user, by default it will generate a lot of security information. 
 + 
 +Sysmon は、何を「監視」すべきかを指定するための、かなり詳細な設定ファイルを持っています。「すべて」を監視すると、ホストのパフォーマンスと、このすべての情報を収集するシステムの両方に影響を与えます。Pandora FMS エージェントには、ユーザが変更できる基本設定ファイルが組み込まれており、デフォルトでは多くのセキュリティ情報が生成されます。 
 + 
 +For more information on how to use Sysmon, check the documentation [[:en:documentation:pandorafms:cybersecurity:21_siem|SIEM]]. 
 + 
 +Sysmon の使用方法の詳細については、ドキュメント [[:ja:documentation:pandorafms:cybersecurity:21_siem|SIEM]] を参照してください。 
 + 
 +<WRAP center round important 90%> 
 + 
 +If Sysmon events are to be used, the specific module name must be used to identify them as Sysmon so that they are processed as such by the SIEM. This module is used for this purpose: 
 + 
 +</WRAP> 
 + 
 +<WRAP center round important 90%> 
 + 
 +Sysmon イベントを使用する場合は、SIEM によって Sysmon として処理されるように、特定のモジュール名を使用して Sysmon として識別する必要があります。このモジュールは、以下の目的で使用されます。 
 + 
 +</WRAP>
  
 <code> <code>
-# Log extraction + 
-#module_begin +module_begin 
-#module_name Syslog +module_name WinEvtLog 
-#module_description Logs extraction module +module_type log 
-#module_type log +module_logchannel 
-#module_regexp /var/log/logfile.log +module_source Microsoft-Windows-Sysmon/Operational 
-#module_pattern .* +module_source_type windows 
-#module_end+module_end
  
 </code> </code>
  
-For more information about the description of log type modules check the following section referring to [[:en:documentation:pandorafms:installation:05_configuration_agents|Specific directives]].+Unlike other events, it uses ''module_source_type windows''  instead of ''module_source_type ossec''. Also, it uses the name ''WinEvtLog'', as defined in the [[:en:documentation:pandorafms:cybersecurity:21_siem#ks8|SIEM rules]] provided with Pandora SIEM. **If other names and/or types are used, it will not work as expected**.
  
-ログタプモジュール説明の詳細については、[[:ja:documentation:pandorafms:installation:05_configuration_agents|特定のディレクティブ]] を参照て次セクション確認てください+他のベントとは異なり、こイベントでは ''module_source_type ossec'' ではなく ''module_source_type windows'' を使用します。またPandora SIEM に付属の[[:ja:documentation:pandorafms:cybersecurity:21_siem#ks8|SIEMルール]]で定義されている ''WinEvtLog'' という名前使用ます。**他名前やタイプ使用た場合、期待どおりに動作しません** 
 + 
 +<wrap #ks3_2_2 /> 
 + 
 +=== Linux/Unix イベント収集 === 
 + 
 +Log example: 
 + 
 +ログの例:
  
 <code> <code>
  
 +module_begin
 +module_name Syslog
 +module_description Sample log collection of syslog messages file
 module_type log module_type log
 +module_regexp /var/log/messages
 +module_pattern .*
 +module_pattern_exclude DEBUG
 +module_end
  
 </code> </code>
  
-By defining this type of tag, ''module_type log''it is indicated that it must **not**  be stored in the database, but rather that it must be sent to the log collector. Any module with this type of data will be sent to the collector, as long as it is enabledotherwise the information will be discarded.+For more information about the description of log type modulesplease refer to the following section about [[:en:documentation:pandorafms:installation:05_configuration_agents#module_regexp|Specific Directives]].
  
-このタイプのタグ ''module_type log'' を定義すると、データベースに保存するのではなく、ログコレクターに送信する指定になります。このタイプのデータを持つモジュールは、有効なっいる場合レクターに送信れます。そうでな場合は、情報は破棄されます+ログタイプモジュールの説明の詳細ついては、[[:ja:documentation:pandorafms:installation:05_configuration_agents#module_regexp|特定のディレクティブ]]の章を参照してください。
  
-For versions earlier than 744:+By defining this type of tag, ''module_type log'', you indicate that **not**  to be stored in the database, but to be sent to the log collector. Any module with this type of data will be sent to the //logs//  collector, as long as it is enabled. **Otherwise the information will be discarded**.
  
-744 より前のバージョンの場合:+このタイプのタグ ''module_type log'' を定義することで、**データベースに保存されず**、ログコレクターに送信されることを示します。このタイプのデータを持つモジュールは、ログコレクターが有効になっている限、すべてログコレクターに送信されます。**有効になっていない場合、情報は破棄されます**。 
 + 
 +<WRAP center round info 90%> 
 + 
 +In the past other methods were used to collect logs in the Linux agent (plugins), from version 781 onwards it is recommended to use only this method. 
 + 
 +</WRAP> 
 + 
 +<WRAP center round info 90%> 
 + 
 +は、Linux エージェント (プラグイン) でログを収集するために他方法が使用されていましたが、バージョン 781 以降ではこ方法のみを使用することをお勧めします。 
 + 
 +</WRAP> 
 + 
 +More complete examples: 
 + 
 +より完全な例:
  
 <code> <code>
-module_plugin grep_log_module /var/log/messages Syslog \.\*+ 
 +module_begin 
 +module_name apache_access 
 +module_type log 
 +module_regexp /var/log/httpd/access_log 
 +module_pattern .* 
 +module_pattern_exclude \s200\s|\s301\s 
 +module_source_type web-log 
 +module_end
  
 </code> </code>
 +<code>
  
-Similar to the log parsing plugin (**grep_log**), the **grep_log_module**  plugin sends the processed log information to the Log Collector with the name "Syslog" as the source. It uses the regular expression ''\.\*''  (in this case "everything") as a pattern when choosing which lines to send and which not to send.+module_begin 
 +module_name Audit denied 
 +module_type log 
 +module_regexp /var/log/audit/audit.log 
 +module_pattern denied 
 +module_end
  
-ログ解析プラグイン (**grep_log**) と同様に、**grep_log_module** プラグインは、処理されたログ情報を、ソースとして "Syslog" という名前のログコレクターに送信します。送信する行と送信しない行を選択するときに、正規表現 ''\.\*'' (この場合は「すべて」) をパターンとして使用します。+</code> 
 + 
 +<code> 
 +module_begin 
 +module_name Syslog 
 +module_type log 
 +module_regexp /var/log/messages 
 +module_pattern error|fail|panic|segfault|denied|timeout|critical|alert|emergency|memory|core_dumped|failure|attack|bad|illegal|refused|unauthorized|fatal|failed|Segmentation|Corrupted 
 +module_end 
 + 
 +</code> 
 +<code> 
 + 
 +module_begin 
 +module_name Secure 
 +module_type log 
 +module_regexp /var/log/secure 
 +module_pattern Failed|failure|invalid|denied|accepted|root 
 +module_end 
 + 
 +</code>
  
 <wrap #ks3_3 /> <wrap #ks3_3 />
行 465: 行 901:
 ==== 共通フィルタ ==== ==== 共通フィルタ ====
  
-<WRAP center round info 60%>+This option allows you to save frequently used filtering preferences, thus creating a list of filters. Once all filter values have been set up, click <wrap :en>**Save filter**</wrap> and assign a name, which will allow you to click <wrap :en>**Save**</wrap> and thus save your preferences or changes (can be saved to an existing filter).
  
-Version 771 or later+このオプションを使用すると、頻繁に使用するフィルタリング設定を保存し、フィルターリストを作成できます。すべてのフィルター値を設定したら、<wrap :ja>**フィルタを保存(Save filter)**</wrap> をクリックして名前を付けます。その後、<wrap :ja>**保存(Save)**</wrap> をクリックして設定や変更を保存できます(既存のフィルタに保存することもできます)。
  
-</WRAP>+At any other time, these preferences may be loaded by means of <wrap :en>**Load filter**</wrap> to drop down the list of saved filters. Select one of them and click <wrap :en>**Load filter**</wrap>.
  
-<WRAP center round info 60%>+それ以外の場合は、<wrap :ja>**フィルタ読み込み(Load filter)**</wrap> をクリックして保存済みのフィルターのリストをドロップダウンすることで、これらの設定をいつでも読み込むことができます。フィルターを1つ選択し、<wrap :ja>**フィルタ読み込み(Load filter)**</wrap> をクリックしてください。
  
-バージョン 771 以上+{{  :wiki:pfms-monitoring-log_viewer-frequently_filters.png  }} 
 + 
 +<WRAP center round info 90%> 
 + 
 +In the <wrap :en>**Operation → Logs → Filters**</wrap> menu, you can edit filters, including their individual or mass deletion. Filters can also be created using this option.
  
 </WRAP> </WRAP>
  
-Through this option you may save frequently used filtering preferences, thus creating a list of frequent filters. When you have configured all the filter values, click **Save filter**, assign a name and click **Save**. At any other time you may load these preferences using the **Load filter**  button, then download the list of saved filters, select one of them and click **Load filter**.+<WRAP center round info 90%>
  
-このオプションを使用すると、頻繁に使用するフィルタリング設定を保存して、頻繁に使用するフィルタのリストを作成できます。すべてのフィルタ値を設定したら、**フィルタを保存(Save filter)** をクリックし、名前を割り当てて **保存(Save)** をクリックします。他のときはいつでも、**フィルタ読み込み(Load filter)** ボタンを使用してこれらの設定を読み込み保存したフィルタのリストをダウロードして、そのうちの 1 つ選択して **フィルタ読み込み(Load filter)** クリックできます。+<wrap :ja>**操作(Operation→ ログ(Logs→ フィルタ(Filters)**</wrap> メニューでは、フィルタの編集(個別削除や一括削除など)が可能です。このオプションを使用してフィルタを作成することもできます。
  
-{{  :wiki:pfms-monitoring-log_viewer-frequently_filters.png  }}+</WRAP>
  
 <wrap #ks4_4 /> <wrap #ks4_4 />
行 487: 行 927:
 ==== お気に入りアイテムとして保存されたフィルタ ==== ==== お気に入りアイテムとして保存されたフィルタ ====
  
-<WRAP center round info 60%>+By using the favorites system in PFMS, a shortcut to the <wrap :en>**Log viewer**</wrap> with filtering preferences may be saved by clicking on the star icon in the section title. 
 + 
 +PFMS のお気に入りシステムを使用すると、セクションタイトルの星アイコンをクリックすることで、フィルタリング設定を含む <wrap :ja>**ログビューア**</wrap> へのショートカットを保存できます。
  
-Version 770 or later.+<WRAP center round important 90%> 
 + 
 +Favorite elements work separately from [[#ks4_3|frequent filters]].
  
 </WRAP> </WRAP>
  
-<WRAP center round info 60%>+<WRAP center round important 90%>
  
-バージョン 770 以上+お気に入りの要素は [[#ks4_3|頻繁に使用するフィルタ]] とは別に機能します。
  
 </WRAP> </WRAP>
- 
-Using the favorites system in PFMS you may save a shortcut for the **Log viewer**  with filtering preferences by clicking the star icon in the section title. 
- 
-PFMS のお気に入りシステムを使用すると、セクションタイトルの星アイコンをクリックして、フィルタリング設定を含む **ログビューワ** のショートカットを保存できます。 
  
 {{  :wiki:pfms-menu-operation-favorite-log_viewer.png  }} {{  :wiki:pfms-menu-operation-favorite-log_viewer.png  }}
  • ja/documentation/pandorafms/monitoring/09_log_monitoring.1746950710.txt.gz
  • 最終更新: 2025/05/11 08:05
  • by junichi