Pour activer la surveillance des journaux dans un environnement Windows, sélectionnez la politique pertinente et affectez des paramètres de vérification spécifiques à la politique. Lorsque la surveillance des journaux est activée et qu'une chaîne spécifiée est détectée dans le journal surveillé, le système crée un événement.
Avant de commencer
Rôle requis : agent_client_collector_admin
Procédure
-
Accédez à la .
-
Sélectionnez la politique Surveillance des journaux Windows.
-
Dans l'onglet Instances de vérifications, sélectionnez os.windows.check-log pour activer la surveillance des fichiers journaux Windows.
-
Dans l'onglet Paramètres de vérification, spécifiez les paramètres de journal que doit surveiller la vérification en vous reportant au tableau suivant :
Tableau 1. Paramètres de vérification
| Nom |
Valeur |
| avertissement |
Nombre d'occurrences des chaînes de modèle spécifiées dans le journal, qui génèrent un événement warning. Valeur par défaut = 1. Par exemple, si la valeur pattern est Exception et qu'un événement Exception est consigné dans le journal, un événement warning est généré. |
| critique |
Nombre d'occurrences des chaînes de modèle spécifiées dans le journal, qui génèrent un événement critical. Valeur par défaut = 2. Par exemple, si la valeur pattern est Exception et que deux événements d'exception sont consignés dans le journal, un événement critical est généré. |
| fichier |
Emplacement du fichier journal. |
| modèle |
Chaînes recherchées dans le journal. Les valeurs par défaut sont Grave et Exception. Les autres valeurs possibles incluent 404 et Erreur. Veillez à séparer les modèles par une barre verticale (|) et de les transmettre comme paramètre entre guillemets droits. Par exemple : "GRAVE|404". |