全部产品
Search

搜索本产品

    Simple Log Service:Kumpulkan log event Windows

    文档中心

    Simple Log Service:Kumpulkan log event Windows

    更新时间:Jul 06, 2025

    Gunakan plugin Logtail untuk mengumpulkan log event Windows. Topik ini menjelaskan cara membuat konfigurasi Logtail yang digunakan untuk mengumpulkan log event Windows di konsol Simple Log Service.

    Prasyarat

    • Logtail versi 1.0.0.0 atau lebih baru telah terinstal pada Server Windows. Untuk informasi lebih lanjut, lihat Instal Logtail pada Server Windows.

    • Server tempat Anda ingin mengumpulkan log secara terus-menerus menghasilkan log.

      Penting

      Logtail hanya mengumpulkan log tambahan (inkremental). Jika file log pada server tidak diperbarui setelah konfigurasi Logtail diterapkan ke server, Logtail tidak akan mengumpulkan log dari file tersebut. Untuk informasi lebih lanjut, lihat Baca File Log.

    Implementasi

    Untuk mendapatkan log event, sistem operasi Windows menyediakan Windows Event Log API dan Event Logging API. Windows Event Log API adalah versi yang ditingkatkan dari Event Logging API dan hanya tersedia di sistem operasi Windows Vista atau yang lebih baru. Untuk informasi lebih lanjut, lihat Windows Event Log dan Event Logging. Plugin Logtail secara otomatis memilih API berdasarkan sistem operasi untuk mendapatkan log event Windows. Windows Event Log API diprioritaskan.

    Model publik-subskripsi digunakan untuk mengumpulkan log event Windows. Aplikasi atau kernel menerbitkan log event ke saluran tertentu, seperti saluran aplikasi, keamanan, atau sistem. Logtail menggunakan plugin yang diperlukan untuk memanggil Windows Event Log API atau Event Logging API untuk berlangganan ke saluran tersebut. Dengan cara ini, Logtail dapat terus mengumpulkan log event dan mengirimkan log ke Simple Log Service.

    Logtail memungkinkan Anda mengumpulkan log event dari beberapa saluran sekaligus. Misalnya, Anda dapat mengumpulkan log event dari saluran aplikasi dan sistem sekaligus.

    Implementation

    Lihat informasi tentang saluran

    Anda dapat melihat informasi tentang saluran di jendela Event Viewer pada server Windows Anda.

    1. Klik Start.

    2. Cari dan klik Event Viewer. Jendela Event Viewer akan muncul.

    3. Di panel navigasi di sebelah kiri, perluas Windows Logs.

    4. Lihat nama lengkap saluran.

      Klik kanan saluran di bawah Windows Logs dan pilih Properties. Di jendela yang muncul, Anda dapat melihat nama lengkap saluran. Saluran berikut disediakan:

      • Aplikasi

      • Keamanan

      • Pengaturan

      • Sistem

    5. Lihat informasi tentang saluran.

      Klik saluran di bawah Windows Logs. Kemudian, Anda dapat melihat Level, Tanggal dan Waktu, Sumber, dan ID Event dari setiap event.

      Dalam konfigurasi Logtail, Anda dapat memfilter log berdasarkan informasi tersebut.

      Event logs

    Prosedur

    1. Masuk ke konsol Simple Log Service.

    2. Di bagian Import Data, klik Windows Event Logs.

    3. Pilih proyek dan Logstore. Lalu, klik Next.

    4. Pada langkah Machine Group Configurations, konfigurasikan grup mesin.

      1. Konfigurasikan parameter Skenario dan Lingkungan Instalasi berdasarkan kebutuhan bisnis Anda.

        Penting

        Anda harus mengonfigurasi parameter Skenario dan Lingkungan Instalasi terlepas dari apakah grup mesin tersedia atau tidak. Pengaturan parameter ini mempengaruhi konfigurasi selanjutnya.

      2. Pastikan grup mesin ditampilkan di bagian Applied Server Groups dan klik Next.

        Grup mesin tersedia

        Pilih grup mesin dari bagian Source Machine Group.

        image

        Tidak ada grup mesin tersedia

        Klik Create Machine Group. Di panel Create Machine Group, konfigurasikan parameter-parameter tersebut. Anda dapat menyetel parameter Pengenal Grup Mesin ke IP Address atau Custom Identifier. Untuk informasi lebih lanjut, lihat Buat Grup Mesin Berbasis Pengenal Kustom atau Buat Grup Mesin Berbasis Alamat IP.

        Penting

        Jika Anda menerapkan grup mesin segera setelah membuat grup mesin, status detak jantung grup mesin mungkin menjadi FAIL. Masalah ini terjadi karena grup mesin belum terhubung ke Simple Log Service. Untuk menyelesaikan masalah ini, Anda dapat mengklik Retry. Jika masalah tetap ada, lihat Apa yang harus saya lakukan jika tidak ada koneksi detak jantung yang terdeteksi di Logtail?

    5. Pada langkah Configure Data Source, atur parameter Configuration Name dan Plug-in Configuration, lalu klik Next.

        Sebagai contoh, jika Anda ingin mengumpulkan log dari saluran Application dan System, Anda dapat menambahkan elemen-elemen berikut ke parameter inputs:

        {
    "inputs": [
        {
            "type": "service_wineventlog",
            "detail": {
                "Name": "Application",
                "IgnoreOlder": 259200
            }
        },
        {
            "type": "service_wineventlog",
            "detail": {
                "Name": "System",
                "IgnoreOlder": 259200
            }
        }
    ]
}

        Parameter

        Tipe

        Wajib

        Deskripsi

        type

        String

        Ya

        Tipe sumber data. Atur nilainya menjadi service_wineventlog.

        Name

        String

        Ya

        Nama saluran dari mana Anda ingin mengumpulkan log event. Nilai default: Application. Nilai ini menunjukkan bahwa log event dikumpulkan dari saluran Application. Anda dapat melihat nama lengkap saluran di sistem operasi Windows. Untuk informasi lebih lanjut, lihat Langkah 4.

        IgnoreOlder

        UINT

        Tidak

        Offset waktu. Anda dapat mengonfigurasi parameter ini untuk memfilter log berdasarkan waktu event. Satuan: detik. Jika waktu event dari sebuah log lebih awal dari waktu mulai pengumpulan dikurangi offset, log tersebut akan diabaikan. Waktu event menunjukkan waktu ketika log dibuat. Contoh:

        • Jika Anda menetapkan nilai menjadi 3600, log yang dihasilkan 1 jam sebelum waktu mulai pengumpulan akan diabaikan.

        • Jika Anda menetapkan nilai menjadi 14400, log yang dihasilkan 4 jam sebelum waktu mulai pengumpulan akan diabaikan.

        Secara default, parameter ini dibiarkan kosong, yang menunjukkan bahwa log tidak difilter berdasarkan waktu event. Dalam hal ini, semua log event historis di server Anda dikumpulkan.

        Catatan

        Parameter ini hanya berlaku saat pertama kali Anda membuat konfigurasi Logtail. Logtail mencatat titik kontrol untuk pengumpulan log event. Ini mencegah log dikumpulkan berulang kali.

        Level

        String

        Tidak

        Tingkat event. Anda dapat mengonfigurasi parameter ini untuk memfilter log berdasarkan tingkat event. Nilai default: information, warning, error, critical. Nilai ini menunjukkan bahwa log dari semua tingkat event kecuali verbose dikumpulkan. Tingkat yang tersedia termasuk information, warning, error, critical, dan verbose. Anda dapat menentukan beberapa tingkat event dan memisahkan tingkat event dengan koma (,).

        Catatan

        Parameter ini hanya tersedia saat menggunakan Windows Event Log API. Parameter ini didukung hanya di sistem operasi Windows Vista atau yang lebih baru.

        EventID

        String

        Tidak

        ID event. Anda dapat mengonfigurasi parameter ini untuk memfilter log berdasarkan ID event. Anda dapat menentukan ID event atau rentang ID event untuk penyaringan positif. Dalam hal ini, log dengan ID event yang ditentukan atau log dengan ID event yang ditentukan dikumpulkan. Anda juga dapat menentukan ID event untuk penyaringan negatif. Dalam hal ini, log dengan ID event yang ditentukan tidak dikumpulkan. Secara default, parameter ini dibiarkan kosong, yang menunjukkan bahwa semua log event dikumpulkan. Contoh:

        • 1-200: Hanya log event yang memiliki ID event dalam rentang dari 1 hingga 200 yang dikumpulkan.

        • 20: Hanya log event yang memiliki ID event 20 yang dikumpulkan.

        • -100: Semua log event kecuali log event yang memiliki ID event 100 dikumpulkan.

        • 1-200,-100: Log event yang memiliki ID event dalam rentang dari 1 hingga 200 kecuali 100 dikumpulkan.

        Anda dapat menentukan beberapa ID event atau rentang ID event dan memisahkannya dengan koma (,).

        Catatan

        Parameter ini hanya tersedia saat menggunakan Windows Event Log API. Parameter ini didukung hanya di sistem operasi Windows Vista atau yang lebih baru.

        Provider

        Array string

        Tidak

        Sumber event. Anda dapat mengonfigurasi parameter ini untuk memfilter log berdasarkan sumber event. Sebagai contoh, jika Anda menetapkan nilainya menjadi ["App1", "App2"], hanya log event yang bersumber dari App1 dan App2 yang dikumpulkan.

        Secara default, parameter ini dibiarkan kosong, yang menunjukkan bahwa log event dari semua sumber dikumpulkan.

        Catatan

        Parameter ini hanya tersedia saat menggunakan Windows Event Log API. Parameter ini didukung hanya di sistem operasi Windows Vista atau yang lebih baru.

        IgnoreZeroValue

        Boolean

        Tidak

        Beberapa bidang dalam log event mungkin kosong. Anda dapat mengonfigurasi parameter ini untuk menyaring bidang kosong. Anda dapat mendefinisikan bidang kosong berdasarkan tipe data dari bidang tersebut. Sebagai contoh, jika tipe data dari bidang kosong adalah integer, tentukan 0 untuk bidang tersebut.

        Nilai default: false. Nilai ini menunjukkan bahwa bidang kosong tidak disaring.

      • Create indexes dan preview data. Lalu, klik Next. Secara default, pengindeksan teks penuh diaktifkan di Simple Log Service. Anda juga dapat secara manual membuat indeks bidang untuk log yang dikumpulkan atau klik Automatic Index Generation. Lalu, Simple Log Service menghasilkan indeks bidang. Untuk informasi lebih lanjut, lihat Buat Indeks.

        Penting

        Jika Anda ingin menanyakan semua bidang dalam log, kami sarankan Anda menggunakan indeks teks penuh. Jika Anda hanya ingin menanyakan bidang tertentu, kami sarankan Anda menggunakan indeks bidang. Ini membantu mengurangi lalu lintas indeks. Jika Anda ingin menganalisis bidang, Anda harus membuat indeks bidang. Anda harus menyertakan pernyataan SELECT dalam pernyataan kueri Anda untuk analisis.

      • Klik Log Query. Anda akan dialihkan ke halaman kueri dan analisis Logstore Anda.

        Anda harus menunggu sekitar 1 menit agar indeks berlaku. Lalu, Anda dapat melihat log yang dikumpulkan di tab Raw Logs. Untuk informasi lebih lanjut, lihat Panduan Kueri dan Analisis Log.

      Pemecahan Masalah

      Jika tidak ada data yang ditampilkan di halaman pratinjau atau halaman kueri setelah log dikumpulkan menggunakan Logtail, Anda dapat memecahkan kesalahan berdasarkan instruksi yang diberikan di Apa yang harus saya lakukan jika terjadi kesalahan saat saya menggunakan Logtail untuk mengumpulkan log?

      Apa yang harus dilakukan selanjutnya

      Setelah log event Windows dikumpulkan ke Simple Log Service, Anda dapat melihat log tersebut di konsol Simple Log Service. Raw log

      Bidang log

      Deskripsi

      activity_id

      Pengenal transaksi global (GTID) dari transaksi tempat event tersebut milik. Event yang termasuk dalam transaksi yang sama menggunakan GTID yang sama.

      computer_name

      Nama server tempat event tersebut dihasilkan.

      event_data

      Data yang terkait dengan event.

      event_id

      ID event.

      kernel_time

      Waktu kernel yang dikonsumsi oleh event. Dalam banyak kasus, nilainya adalah 0.

      keywords

      Kata kunci yang terkait dengan event. Kata kunci digunakan untuk mengklasifikasikan event.

      level

      Tingkat event.

      log_name

      Nama saluran dari mana log event dikumpulkan. Nilai bidang ini sama dengan nilai parameter Name yang ditentukan dalam konfigurasi Logtail Anda.

      message

      Pesan yang terkait dengan event.

      message_error

      Kesalahan yang terjadi saat pesan yang terkait dengan event diuraikan.

      opcode

      Kode operasi yang terkait dengan event.

      process_id

      ID proses dari event.

      processor_id

      ID prosesor yang terkait dengan event. Dalam banyak kasus, nilainya adalah 0.

      processor_time

      Waktu prosesor yang dikonsumsi oleh event. Dalam banyak kasus, nilainya adalah 0.

      provider_guid

      GTID dari sumber event.

      record_number

      Nomor rekaman yang terkait dengan event. Nomor rekaman bertambah ketika sebuah event ditulis ke Simple Log Service. Jika nomor tersebut melebihi 2 32 untuk Event Logging API atau 2 64 untuk Windows Event Log API, nomor rekaman dimulai dari 0 lagi.

      related_activity_id

      GTID dari transaksi lain yang terkait dengan transaksi tempat event tersebut milik.

      session_id

      ID sesi dari event. Dalam banyak kasus, nilainya adalah 0.

      source_name

      Sumber event. Nilai bidang ini sama dengan nilai parameter Provider yang ditentukan dalam konfigurasi Logtail Anda.

      task

      Tugas yang terkait dengan event.

      thread_id

      ID thread dari event.

      type

      API yang digunakan untuk mendapatkan event.

      user_data

      Data pengguna yang terkait dengan event.

      user_domain

      Domain pengguna yang terkait dengan event.

      user_identifier

      Pengenal keamanan Windows dari pengguna yang terkait dengan event.

      user_name

      Nama pengguna yang terkait dengan event.

      user_time

      Waktu yang dikonsumsi oleh event dalam mode pengguna. Dalam banyak kasus, nilainya adalah 0.

      user_type

      Tipe pengguna yang terkait dengan event.

      version

      Versi event.

      xml

      Informasi mentah dari event. Informasi tersebut dalam format XML.