采集Windows事件日志

原理

对于事件日志，Windows提供了Windows Event Log和Event Logging两套API，前者是后者的升级，仅在Windows Vista及以上的版本中提供。Logtail插件会根据所运行的系统，自动选择API（优先选择Windows Event Log）来获取Windows事件日志。

Windows事件日志采用发布订阅的模式，应用程序或者内核将事件日志发布到指定的通道（例如Application、Security、System），Logtail通过对应的Logtail插件调用Windows API，实现对这些通道的订阅，从而不断地获取相关的事件日志并发送到日志服务。

Logtail支持同时采集多个通道事件，例如同时采集应用程序和系统日志。

查看通道信息

您可以在Windows服务器的事件查看器中可以查看通道信息。

1. 单击开始。
2. 搜索并打开事件查看器。
3. 在左侧导航栏中展开Windows 日志。
4. 查看通道的全名。
   在Windows日志下，选择目标通道，右键单击属性，查看通道全名。Windows日志下常用通道全名如下所示。

   • 应用程序：Application
   • 安全：Security
   • Setup：Setup
   • 系统：System
5. 查看通道相关信息。
   在Windows日志下，单击目标通道，在页面中间区域查看事件的级别、日期和时间、来源和事件ID等信息。

   在采集配置中，可根据这些信息进行过滤。

   

采集步骤

1. 登录日志服务控制台。
2. 在接入数据区域，选择自定义数据插件。
3. 选择目标Project和Logstore，单击下一步。
4. 在创建机器组页签中，创建机器组。
   • 如果您已有可用的机器组，请单击使用现有机器组。
   • 如果您还没有可用的机器组，请执行以下操作（以ECS为例）。
     1. 选择ECS实例安装Logtail，详情请参见安装Logtail（ECS实例）。

        如果已在ECS上安装Logtail，可直接单击确认安装完毕。

        说明 如果是自建集群、其他云厂商服务器，需要手动安装Logtail，详情请参见安装Logtail（Windows系统）。
     2. 安装完成后，单击确认安装完毕。
     3. 创建机器组，详情请参见创建IP地址机器组或创建用户自定义标识机器组。
5. 选中目标机器组，将该机器组从源机器组移动到应用机器组，单击下一步。
   注意 如果创建机器组后立刻应用，可能因为连接未生效，导致心跳为FAIL，您可单击自动重试。如果还未解决，请参见Logtail机器组无心跳进行排查。
6. 在数据源设置页签中，配置配置名称和插件配置。
   • inputs为Logtail采集配置，必选项，请根据您的数据源配置。
     说明 一个inputs中只允许配置一个类型的数据源。
   • processors为Logtail处理配置，可选项。您可以配置一种或多种处理方式，详情请参见概述。

   此处以同时采集应用程序和系统两个通道为例，其中IgnoreOlder设置为3天以避免采集过多的事件日志。

   {
       "inputs": [
           {
               "type": "service_wineventlog",
               "detail": {
                   "Name": "Application",
                   "IgnoreOlder": 259200
               }
           },
           {
               "type": "service_wineventlog",
               "detail": {
                   "Name": "System",
                   "IgnoreOlder": 259200
               }
           }
       ]
   }

   参数	类型	是否必选	说明
   type	string	是	数据源类型，固定为service_wineventlog。
   Name	string	是	待采集事件日志所属的通道名称，只能指定一个。不配置时，默认为Application，表示采集应用程序通道中的事件日志。您可以在windows系统中查看通道全名，详情请参见步骤 4。
   IgnoreOlder	uint	否	根据事件时间过滤日志，此配置是相对于采集开始时间的偏移量，单位为秒，早于此设置的日志会被忽略。 例如： 设置为3600，表示相对于采集开始时间一小时前的日志都会被忽略。 设置为14400，表示相对于采集开始时间四小时前的日志都会被忽略。 默认为空，表示不根据事件时间进行过滤，采集服务器上所有的历史事件日志。 说明 该选项仅在首次配置采集时生效，Logtail会记录事件采集的Checkpoint，保证不会重复采集事件日志。
   Level	string	否	根据事件等级过滤日志，默认值为information, warning, error, critical，表示采集除了verbose等级外的其他所有日志。 可选等级包括：information、warning、error、critical、verbose。您可以使用英文逗号（,）指定多个等级。 说明 该参数仅支持Windows Event Log API，即只能在 Windows Vista 及以上的操作系统上使用。
   EventID	string	否	根据事件ID过滤日志，可以指定正向过滤（单个或范围）或者反向过滤（不支持范围设置）。默认为空，表示采集所有事件。例如： 1-200表示只采集事件ID在1-200范围内的事件日志。 20表示只采集事件ID为20的事件日志。 -100表示采集除了事件ID为100以外的所有事件日志。 1-200,-100表示采集1-200范围内除了100以外的事件日志。 您可以使用英文逗号（,）指定多个值。 说明 该参数仅支持Windows Event Log API，即只能在 Windows Vista 及以上的操作系统上使用。
   Provider	string 数组	否	根据事件来源过滤日志。例如设置为["App1", "App2"] 表示只采集来源名字为App1和App2的事件日志，其他事件日志都会被忽略。 默认为空，表示采集所有来源的事件。 说明 该参数仅支持Windows Event Log API，即只能在 Windows Vista 及以上的操作系统上使用。
   IgnoreZeroValue	boolean	否	并非每条事件日志都拥有所有的字段，您可以使用此参数过滤空字段，空字段的定义根据类型而定，例如整数类型使用0表示空字段。 默认为false，表示不过滤空字段。

7. 预览数据及设置索引，单击下一步。
   日志服务默认开启全文索引。您也可以根据采集到的日志，手动或者自动设置字段索引。更多信息，请参见配置索引。

   说明

   • 如果您要查询分析日志，那么全文索引和字段索引属性必须至少启用一种。同时启用时，以字段索引为准。
   • 索引类型为long、double时，大小写敏感和分词符属性无效。