この記事ではXDR Collectorを使用して、WindowsのDHCPサーバーログを収集する方法について説明します。

XDR Collector

XDR Collectorはオンプレミスのログデータを収集するエージェントです。

Windows,Linuxマシンにインストールすることが可能です。

DHCPサーバーのログを収集する

WindowsのDHCPサーバーログは、デフォルトでDHCPサーバ内の

%SystemRoot%\System32\DhcpフォルダにDhcpSrvLog-XXX.logというファイル名で保存されます。

このサンプルでは、直接DHCPサーバーのログフォルダを参照し収集するのではなく、

DHCPログを保存するログサーバ(windows)のフォルダを参照し収集します。

XDR Collectorはログサーバーにインストールします。

収集対象のログファイルはログサーバーのC:¥Logs¥dhcpフォルダに保存したDHCPログファイルを対象にします。

このようなイメージです。

|  DHCPサーバー(Windows) | ---- (copy logs) ------> | ログサーバー(windows) + XDR Collector | -------> | Cortex XDR |

XDR Collectorは以下の通り、ログサーバー(WinLogServer)にインストールされています。

プロファイル(filebeat)を作成する

XDR Collectors Profilesで、[+ Add Profile]をクリックします。

Windowsを選択します。

 ここでは[Filebeat]を選択します。

 「Profile Name」を入力し、「Filebeat Configuration File」から、「DHCP」を選択します。

Addボタンをクリックします。

DHCPサーバーのログ取り込みに関する設定が埋め込まれます。

pathsの設定を実際のログサーバーの保存先フォルダのパスに変更します。

変更前

 変更後

encodingの設定を追加する

日本語OSの場合、ログファイルのエンコーディングがShift_JISになっている場合があり、

そのままですとDescriptionが文字化けしてしまいます。

encoding: shift_jisを追加することで、ファイルのエンコーディングをshift_jisとして読み込みます。

文字化けする場合は、このパラメータを調整し試してみてください。

encodingなどfilebeatのパラメータに関する詳細はfilebeatの設定ファイルのドキュメントを参照してください。

 XDR Collectors Profilesにプロファイルが作成されたことを確認します。

Settingsプロファイルを追加する

XDR Collectors Profilesで「Settings」をクリックします。

 XDR Collectorsの自動アップグレードに関する設定を行います。ここではそのままDefaultとします。

XDR Collectors Profilesにプロファイルが作成されたことを確認します。

ポリシーを作成する 

XDR Collectors Policesで「+ Add Policy」をクリックします。

作成したFilebeatプロファイルと、Collector Settingsプロファイルを選択します。

このポリシーを設定するXDR Collectorを選択します。

内容を確認し、「Done」をクリックします。

 最後に「Save」をクリックします。

ポリシーが追加されたことを確認します。

Audit Logs

端末を右クリックし「View Audit Logs」をクリックすると、

 ポリシー更新などのログを確認できます。

XQLで確認する

datasetはmicrosoft_dhcp_rawです。dataset=microsoft_dhcp_rawで検索します。

以下のようにログがパースされ保存されていることがわかります。

Tech Doc

XDR Collectorの詳細についてはこちら

DHCPサーバーログの取り込みに関する詳細はこちら