はじめに
こんにちは。エンタープライズクラウド事業部の高木です。
本記事では、OCI上のWindowsサーバーのイベントログ(System、Application、Security)を、OCI Loggingに収集する方法を簡単に解説します。
今回はNW系の設計・構築からログ取得・確認まで行います。
構成図
本記事では以下の構成図に従って構築していきます。
構築の流れ
以下の手順で進めていきます。
- NW系構築 (VCN、サブネット、サービスゲートウェイ、ルート表、セキュリティリスト)
- IAM設定 (ポリシー、動的グループ)
- Windowsサーバー構築
- OCI Logging設定 (ロググループ、エージェント構成、ログ)
NW系構築 (VCN、サブネット、サービスゲートウェイ、セキュリティリスト、ルート表)
- コンソール画面左上にある「ナビゲーション・メニュー」を開き、「ネットワーキング」→「仮想クラウド・ネットワーク」をクリックしてください。
- 今回使用する任意のコンパートメントを選択し、「VCNの作成」をクリックしてください。
- 次の情報を入力後、右下の「VCNの作成」をクリックしてください。
| 項目名 | 入力値 |
|---|---|
| 名前 | vcn01 |
| IPv4 CIDRブロック | 10.0.0.0/16 |
| DNSラベル | vcn01 |
- VCNが作成できました。
- 完成したVCNをクリックしてください。
- 「サブネット」タブに移動し、「サブネットの作成」をクリックしてください。
- 次の情報を入力後、右下の「サブネットの作成」をクリックしてください。
| 項目名 | 入力値 |
|---|---|
| 名前 | private-subnet01 |
| サブネット・タイプ | リージョナル |
| IPv4 CIDRブロック | 10.0.0.0/24 |
| サブネット・アクセス | プライベート・サブネット |
- ページを更新すると作成したサブネットが確認できます。
- 「ゲートウェイ」タブに移動し、「サービス・ゲートウェイの作成」をクリックしてください。
- 次の情報を入力後、右下の「サービス・ゲートウェイの作成」をクリックしてください。
| 項目名 | 入力値 |
|---|---|
| 名前 | service-gateway01 |
| サービス | All NRT Services In Oracle Services Network |
- ページを更新すると作成したサービス・ゲートウェイが確認できます。
- 「ルーティング」タブに移動し、「Default Route Table for vcn01」をクリックしてください。
- 「ルート・ルール」タブをクリックし、「ルート・ルールの追加」をクリックしてください。
- 次の情報を入力後、右下の「ルート・ルールの追加」をクリックしてください。
| 項目名 | 入力値 |
|---|---|
| ターゲット・タイプ | サービス・ゲートウェイ |
| 宛先サービス | All NRT Services In Oracle Services Network |
| ターゲット・サービス・ゲートウェイ | service-gateway01 |
- ページを更新すると作成したルート・ルールが確認できます。
- 「セキュリティ」タブに移動し、「Default Security List for vcn01」をクリックしてください。
- 「セキュリティ・ルール」タブに移動し、「イングレス・ルール」の右側にある「・・・」から「削除」で既存のルールを全て削除します。
※エグレス・ルールは削除しないでください
- 削除後、「イングレス・ルールの追加」をクリックしてください。
- 次の情報を入力後、右下の「イングレス・ルールの追加」をクリックしてください。
※本記事では検証のためすべてのプロトコルを許可していますが、本番環境では必要なポート(RDP用の3389番など)のみを許可してください。
| 項目名 | 入力値 |
|---|---|
| ソースCIDR | 10.0.0.0/16 |
| IPプロトコル | すべてのプロトコル |
- ページを更新すると作成したイングレス・ルールが確認できます。
IAM設定 (動的グループ、ポリシー)
- コンソール画面左上にある「ナビゲーション・メニュー」を開き、「アイデンティティとセキュリティ」→「アイデンティティ」→「ドメイン」をクリックしてください。
- ルートコンパートメントを選択してください。
- 「Default」をクリックしてください。
- 「動的グループ」タブに移動し、「動的グループの作成」をクリックしてください。
- 次の情報を入力後、右下の「作成」をクリックしてください。
| 項目名 | 入力値 |
|---|---|
| 名前 | windows-dg |
| 説明 | windows 動的グループ |
| ルール | ALL {instance.compartment.id = ‘任意のコンパートメントOCID’} |
※コンパートメントのOCIDは「アイデンティティとセキュリティ」→「コンパートメント」で自身が選択したコンパートメント名をクリックすると表示されます。
※任意のコンパートメントOCIDは「’(シングルクォーテーション)」で囲む必要がある点にご注意ください。
- 動的グループが作成できました。
- 左側のメニューから「ポリシー」をクリックし、今回使用する任意のコンパートメントを選択後「ポリシーの作成」をクリックしてください。
- 次の情報を入力後、右下の「作成」をクリックしてください。
| 項目名 | 入力値 |
|---|---|
| 名前 | windows-log-policy |
| 説明 | Windows ログ収集用のポリシー |
| コンパートメント | 今回使用する任意のコンパートメント |
| 手動エディタ | Allow dynamic-group windows-dg to use log-content in compartment id 任意のコンパートメントOCID |
※ポリシーの記述では、コンパートメントOCIDを「’(シングルクォーテーション)」で囲まない点にご注意ください。
※ compartment 自身のコンパートメント名 と名前で指定することも可能です。
- IAMポリシーが作成できました。
Windowsサーバー構築
- コンソール画面左上にある「ナビゲーション・メニュー」を開き、「コンピュート」→「インスタンス」をクリックしてください。
- 「インスタンスの作成」をクリックしてください。
- 次の「基本情報」を入力後、右下の「次」をクリックしてください。
| 項目名 | 入力値 |
|---|---|
| 名前 | windows-server-01 |
| イメージ | Windows Server 2025 Standard – 追加のライセンス料金 |
| シェイプ | VM.Standard.E5.Flex |
※「拡張オプション」を開くと下に「Oracle Cloudエージェント」という項目があります。その中の「カスタム・ログのモニタリング」というプラグインが有効になっていることを確認してください。
- 「セキュリティ」「ネットワーキング」「ストレージ」の項目については、今回はデフォルトのままで進めるため、何も入力せずに「次」をクリックして進めます。
- 設定内容を確認し、問題なければ「作成」をクリックしてください。
- 10分ほど待機するとインスタンスが実行中になります。
OCI Logging設定 (ロググループ、エージェント構成、ログ)
- コンソール画面左上にある「ナビゲーション・メニュー」を開き、「オブザーバビリティおよび管理」→「ロギング」→「ログ・グループ」をクリックしてください。
- 「ログ・グループの作成」をクリックしてください。
- 次の情報を入力後、右下の「作成」をクリックしてください。
| 項目名 | 入力値 |
|---|---|
| 名前 | Windows-os-log-group |
| 説明 | Windows OS用ロググループ |
- 作成したログ・グループが確認できます。
- 左側のメニューから「ログ」をクリックし、先ほど作成したログ・グループを選択後「カスタム・ログの作成」をクリックしてください。
- 次の情報を入力後、右下の「次」をクリックしてください。
| 項目名 | 入力値 |
|---|---|
| カスタム・ログ名 | Windows-os-log |
| ログ・グループ | Windows-os-log-group |
- 次の情報を入力後、右下の「次」をクリックしてください。
| 項目名 | 入力値 |
|---|---|
| 構成名 | Windows-os-agent |
| 説明 | Windows イベントログ収集 |
| ドメインの選択の有効化 | オフ |
| 動的グループ | windows-dg |
| エージェント構成 – 名前の入力 | windows_event_channels |
| エージェント構成 – イベント・チャネル | アプリケーション、セキュリティ、システム |
- 設定内容を確認し、問題なければ「作成」をクリックしてください。
- 作成したログが確認できます。
※ログとエージェント構成の反映は10分ほどかかります。
ログの確認方法①
※確認前に10分ほど待機してください。ログの反映待機時間が必要です。
- コンソール画面左上にある「ナビゲーション・メニュー」を開き、「オブザーバビリティおよび管理」→「ロギング」→「ログ」をクリックしてください。
- 作成した「Windows-os-log」をクリックしてください。
- 「ログの探索」タブに移動し、「編集」をクリックしてください。
- 「過去1時間」を選択し、右下の「更新」をクリックしてください。
- ログが表示されます。
ログの確認方法②
- コンソール画面左上にある「ナビゲーション・メニュー」を開き、「オブザーバビリティおよび管理」→「ロギング」→「検索」をクリックしてください。
- 「検索するログの選択」を画像に従ってクリックしてください。
- 先ほど作成したログを選択してください。
- 「時間によるフィルタ」を「過去1時間」に変更すると、ログが表示されます。
- ログの右側にある拡張ボタンをクリックすると、ログの詳細を確認できます。
まとめ
本記事では、動的グループでWindowsイベントログをOCI Loggingに収集する手順を紹介しました。
今回紹介した方法ではコンソール画面の操作だけで完結するため非常に簡単です。また、ユーザー(APIキー)を使用してログを収集する方法と比べ、秘密鍵をサーバー内に配置する必要がないため、セキュリティリスクを抑えつつ安全な運用が可能です。さらに、サービス・ゲートウェイを利用することで、インターネットを経由せずに閉域網で安全にログを送信できる点も大きなメリットです。
ここまで読んでくださりありがとうございました!
![[OCI] 監査ログ(Audit)をオブジェクト・ストレージに長期保存する構成](https://iret.media/wp-content/uploads/2025/06/eyecatch-oracle-cloud-infrastructure-e1774956016583-220x124.png)
簡単30秒