Datadog win32_event_log (v6 日本語環境)

以前日本語環境のWindows上で、イベントログ送信がうまく動作しなかったので現状(v6)ではどうなっているのかを確認します。また、 Logs での連携も追加されているので併せて確認します。

DatadogAgent を Windows10(日本語環境) へインストール – vague memory
- 以前確認した Version は 5.17

結果 Agent Version 6 でのマルチロケーション対応はされており、そのまま利用できました。

環境
サービスチェック
Logs
— Status Remap
　　—– facet
　　—– Pipelines
　　　　—– Category Processor
　　　　—– Status Remapper
　　—– Status Remap 結果

環境

確認した環境は以下です。

Win 2012

Agent Version: 6.3.3
Go Version: 1.10.3 
Platform: Windows Server 2012 R2 Standard
Platform Version: 6.3 Build 9600

Win 2018

Agent Version: 6.3.3
Go Version: 1.10.3 
Platform: Windows Server 2016 Datacenter
Platform Version: 10.0 Build 14393

日本語化

イベントビューアーは日本語で表示されている状態です。

サービスチェック

Win 32 event log

Datadog Agent Manager にてインテグレーション設定を追加します。

[Checks] -> [Manage Checks] -> [Add a Check]
- [win32_event_log]

設定ファイルの内容は以下のようにしています。

win32_event_log.d/conf.yaml

init_config:

instances:

  - log_file:
      - System
    type:
      - Error
    tags:
      - system

イベントビューアー上で “エラー” を発生させると、Datadog Events 上への通知を確認できます。

Logs

Logs での取得も確認します。

Windows Event Log

設定ファイル(win32_event_log.d/conf.yaml)に logs ディレクティブを追加します。

logs:
  - type: windows_event
    channel_path: System
    source: System
    service: eventlog
    sourcecategory: windowsevent

channel_path へは LogName を指定します。 LogName は PowerShell コマンドで参照できます。

Get-WinEvent -ListLog *

Windows Event Viewer

Datadog Logs

Status Remap

ここまでは特に躓かずに設定できたのですが、少々違和感が残ります。

イベントビューアー上、”エラー”や”警告”であるにも関わらず、Datadog Logs での Status が全て “INFO” になってしまいます。

他に良い方法があるかもしれませんが、下記の様に設定追加を行うことで Status を認識させる事ができました。(直接Remapすれば良さそうですが、効かなかったので一段噛ませています)

facet

facet と呼ばれる属性値を作成します。 Event.System.Level にイベントビューアー上のレベルに対応するエラーレベルがあります。

[Logs] -> [Explorer]
- 対象のログ詳細上の [ATTRIBUTES]
  - Create facet for @Event.System.Level

facet 作成後にログを受信すると左ペインにフィルタ用のチェックボックスが出力されます。

Pipelines

Windows Eventlog 用の Pipeline を作成します。

[Logs] -> [Pipelines] -> [New Pipeline]
- Filter: service:eventlog
- Name: windowsevent

Category Processor

上記 Pipeline にカテゴリプロセッサを作成します。作成済みの facet “@Event.System.Level” に対し、それぞれ以下の値を置き換えます。

Name	MATCHING QUERY	Event Viewer EntryType
Critical	@Event.System.Level:2	Error(エラー)
Warning	@Event.System.Level:3	Warning(警告)
Info	@Event.System.Level:4	Information(情報)

Status Remapper

作成したカテゴリをステータスに割り当てます。

Status Remap 結果

正常に認識されると Datadog Logs 上の Status での絞り込みが可能になります。

元記事はこちら

「Datadog win32_event_log (v6 日本語環境)」

この記事を書いた人

大住孝之構築運用担当。個性的な面々の中で無個性という個性を打ち出していこうと画策中。大住孝之が書いた記事

Datadog win32_event_log (v6 日本語環境)

環境

サービスチェック

Logs

Status Remap

facet

Pipelines

Category Processor

Status Remapper

Status Remap 結果

元記事はこちら

RHEL9にPHP8.3系をインストールする

RHEL7を8に, 8を9にインプレースアップグレードする

Google SpreadSheet: ハイパーリンクを一括抽出する

【Google Cloud Next ’24】Grounding with Google Search in Vertex AIを早速使ってみた🔍✨

【Google Cloud Next ’24】Google Cloud Next初参戦！！（準備編）

Datadog win32_event_log (v6 日本語環境)

環境

サービスチェック

Logs

Status Remap

facet

Pipelines

Category Processor

Status Remapper

Status Remap 結果

元記事はこちら

関連記事Related Articles

DatadogAgent を Windows10(日本語環境) へインストール

repos.sensuapp.org は index.html をちゃんと付けましょう

ElastiCache for Redis を datadog で監視するメモ

Ansible や Serverspec で管理することを前提にした Windows Server 2012 で OS 起動時にスクリプトを実行する方法の考察

Windows Update を RDP せずに実行する [cloudpack OSAKA blog]