Azure Monitorのデータ収集ルールに記載されている Security!*[System[(band(Keywords,13510798882111488))]] とは何ですか?

この記事は更新から24ヶ月以上経過しているため、最新の情報を別途確認することを推奨いたします。

セキュリティログで「失敗の監査」と「成功の監査」を指定するXPathクエリです。

 

Azure Monitorデータ収集ルールでデータソースに「Windows event logs」を選択し、基本設定画面で、収集対象のイベントログに「セキュリティ」ログの「監査の成功」と「監査の失敗」にチェックをいれた場合(画像1)

その表示を「カスタム」ログ画面で見た場合(画像2)は以下のように表示されます。

セキュリティ以外のログの表記は、Level=*  など、イベントログの重要度を指定しているのだろうと想像しやすいですが、セキュリティのログの
Security!*[System[(band(Keywords,13510798882111488))]]
という部分はどのような意味を持つのか分かり辛いと思います。


これは、
カスタム XPath クエリを使用してデータ収集を制限する
に解説があるとおり、XPathクエリによるイベントログフィルタのクエリ文です。

Windowsイベントログをフィルタする際、以下のような画面で「キーワード」が指定できますが、このキーワード指定の際、セキュリティログで「失敗の監査」と「成功の監査」を指定した場合、XMLタブ表示に表示されるのが、

Security!*[System[(band(Keywords,13510798882111488))]]
というクエリです。

データ収集ルールでは、このXPathクエリで対象を絞り込むことができ、例えば、GUI上の操作で、Windowsイベントログでフィルタした際のクエリ(上記XMLタブに表示されるクエリ)をカスタムログの指定に利用することが可能です。

データ収集ルールのカスタムログ指定の場合、イベントログのカテゴリの後(Security、System、Applicationなどの指定の後)に「!」を追加する必要がある、という点に注意が必要です。
Azure Monitorの、英語ドキュメントの方のみ、このあたりの記載があり、指定方法は以下を参照するとわかりやすいと思います。
Extracting XPath queries from Windows Event Viewer

いいね (この記事が参考になった人の数:2)
(↑参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルクロステクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください