Journalisation à partir de systèmes Windows Server

Utilisez le service IBM® Log Analysis pour surveiller et gérer les journaux des systèmes Windows Server.

Fin de l'assistance : Depuis le 30 mars 2025, les services IBM Log Analysis et IBM Cloud Activity Tracker ne sont plus pris en charge. IBM Cloud Logs remplace ces deux services. Pour plus d'informations sur IBM Cloud Logs, voir la IBM Cloud Logs documentation.

Vous allez utiliser NXLog pour ajouter vos journaux Windows dans IBM Log Analysis.

Pour configurer NXLog, vous devez activer un port pour envoyer des journaux via syslog à votre instance de journalisation. Si vous utilisez (a) le protocole syslog classique, (b) un port personnalisé dans syslog-ng, ou (c) un port personnalisé dans rsyslog, il n'y a pas d'authentification disponible et quiconque connaît le noeud final peut soumettre des journaux à votre instance. En conséquence, selon votre environnement, votre utilisation du protocole syslog classique ou des configurations de port personnalisées avec syslog-ng ou rsyslog peut présenter un risque important pour la sécurité. Utilisez ces configurations au niveau du risque de votre organisation. Validez avec vos équipes de conformité et de sécurité si ce risque de sécurité est acceptable pour votre organisation.

NXLog est utilisé pour fournir des fichiers journaux à IBM® Log Analysis.

Par défaut, NXLog surveille les fichiers journaux dans le répertoire C:\\ProgramData\\logs.

Dans IBM Cloud, configurez un serveur Windows pour acheminer les journaux vers une instance IBM Log Analysis en procédant comme suit :

Mettez à disposition une instance du service IBM Log Analysis.
Configurez NXLog sur le serveur Windows.
Facultatif : ajoutez des répertoires supplémentaires que l'agent devra surveiller.

Component overview on the IBM Cloud — Component overview

Au cours de ce tutoriel, vous allez apprendre à configurer un serveur Windows pour acheminer des journaux vers une instance IBM Log Analysis.

Ce tutoriel suppose que vous disposez d'un serveur Windows existant. Voir Journalisation avec des instances de serveur VPC Windows pour un tutoriel sur la configuration avec un VPC.

Avant de commencer

Avant de commencer, vérifiez qu'une instance IBM Log Analysis est configurée.

Vérification des droits de votre ID

Utilisez un ID utilisateur qui est membre ou propriétaire d'un compte IBM Cloud. Pour obtenir un identifiant IBM Cloud, rendez-vous sur le site : Inscription.

Des règles IAM doivent avoir été affectées à votre IBMID pour chacune des ressources ci-après. Par exemple, pour travailler dans la région US South et dans le groupe de ressources par défaut, vous devez disposer des droits suivants :

Liste des politiques IAM
Ressource	Portée de la règle d'accès	Rôle	Région	Informations
Groupe de ressources Default	Groupe de ressources	Afficheur	us-south	Cette règle est requise pour autoriser l'utilisateur à visualiser des instances de service dans le groupe de ressources par défaut.
Service IBM Log Analysis	Groupe de ressources	Editeur	us-south	Cette règle est requise pour autoriser l'utilisateur à mettre à disposition et à administrer le service IBM Log Analysis dans le groupe de ressources par défaut.

Mise à disposition d'une instance IBM Log Analysis

Pour mettre à disposition une instance de service IBM Log Analysis via la console IBM Cloud, voir Mise à disposition d'une instance.

Installation de NXLog

Procédez comme suit pour installer NXLog.

Vous devez exécuter toutes les étapes dans l'invite de commande ou PowerShell en tant qu'administrateur Windows.

Le gestionnaire de paquets Chocolately est utilisé pour installer NXLog. Exécutez l'une des commandes ci-dessous si le gestionnaire de package n'est pas installé.

A partir d'une invite de commande Windows (cmd.exe) :

powershell -command "Set-ExecutionPolicy Bypass -Scope Process -Force; [System.Net.ServicePointManager]::SecurityProtocol = [System.Net.ServicePointManager]::SecurityProtocol -bor 3072; iex ((New-Object System.Net.WebClient).DownloadString('https://chocolatey.org/install.ps1'))"

A partir d'une invite PowerShell :

Set-ExecutionPolicy Bypass -Scope Process -Force; [System.Net.ServicePointManager]::SecurityProtocol = [System.Net.ServicePointManager]::SecurityProtocol -bor 3072; iex ((New-Object System.Net.WebClient).DownloadString('https://chocolatey.org/install.ps1'))

Exécutez la commande suivante dans PowerShell pour installer NXLog Community Edition :
```
choco install -y nxlog
```

Configuration de NXLog

Mettez à disposition un port syslog pour NXLog.

Pour obtenir la valeur de port requise, procédez comme suit :
1. Accédez à l'interface utilisateur d'IBM Log Analysis.
2. Cliquez sur l'icône de point d'interrogation pour accéder aux instructions d'installation.
3. Cliquez sur NXLog.
4. Le port syslog que vous devez mettre à disposition dans Windows est affiché. Par exemple, syslog-a.us-south.logging.cloud.ibm.com:63980.
Ensuite, dans Windows, procédez comme suit :
1. Dans le panneau de configuration, accédez à Système et sécurité > Pare-feu Windows Defender.
2. Cliquez sur Paramètres avancés.
3. Cliquez sur Règles entrantes.
4. Cliquez sur Nouvelle règle.
5. Sélectionnez Port.
6. Cliquez sur Suivant.
7. Pour Ports locaux spécifiques, entrez 63980.
8. Cliquez sur Suivant.
9. Sélectionnez Autoriser la connexion.
10. Cliquez sur Suivant.
11. Sélectionnez à quel endroit la règle doit s'appliquer.
12. Cliquez sur Suivant.
13. Donnez un nom à la règle. Par exemple, syslog-a.us-south.logging.cloud.ibm.com:63980.
14. Cliquez sur Terminer.
Créez votre fichier nxlog.conf.
1. Obtenez le fichier nxlog.conf fourni :
  1. Accédez à l'interface utilisateur d'IBM Log Analysis.
  2. Cliquez sur l'icône de point d'interrogation pour accéder aux instructions d'installation.
  3. Cliquez sur NXLog.
  4. Cliquez sur Télécharger le fichier pour télécharger une copie du fichier nxlog.conf fourni.
2. Personnalisez le fichier nxlog.conf en fonction de vos besoins.
  - La section <Input eventlog> indique les canaux de consignation à capturer. Pour activer un canal de consignation, supprimez la mise en commentaire des lignes appropriées. Pour désactiver un canal de consignation, mettez-les en commentaire.
  - LOGFOLDER spécifie le dossier à partir duquel diffuser les journaux. Vérifiez également que la valeur File '%LOGFOLDER%\\*.log' est correcte pour votre système.
  - Les canaux d'entrée, de processeur et de sortie sont connectés dans le bloc <Route>. Mettez ce bloc en commentaire pour retirer la route et désactiver la consignation à partir de ce canal. Ajoutez de nouveaux modules d'entrée avec des noms uniques pour activer la consignation à partir de nouvelles sources.
3. Copiez le fichier nxlog.conf en tant que <NXLOGDIR>\conf\nxlog.conf où <NXLOGDIR> est le répertoire dans lequel vous avez installé NXLog. Par exemple, C:\Program Files (x86)\nxlog\
Téléchargez le fichier de l'autorité de certification SSL LogDNA de l'une des façons ci-dessous.
- Exécutez le script PowerShell suivant où <NXLOGDIR> est le répertoire dans lequel vous avez installé NXLog.
```
$url = "https://assets.us-south.logging.cloud.ibm.com/rootca/ld-root-ca.crt"
$output = "<NXLOGDIR>\cert\ca.pem"
(New-Object System.Net.WebClient).DownloadFile($url, $output)
```
- Utilisez le lien figurant dans les informations d'installation pour télécharger et installer le certificat de l'autorité de certification racine.
  1. Accédez à l'interface utilisateur d'IBM Log Analysis.
  2. Cliquez sur l'icône de point d'interrogation pour accéder aux instructions d'installation.
  3. Cliquez sur NXLog.
  4. Cliquez sur Télécharger le certificat de l'autorité de certification racine pour télécharger une copie du certificat.
  5. Copiez le certificat dans <NXLOGDIR>\cert\ca.pem, où <NXLOGDIR> est le répertoire nxlog est installé.

Exécution de NXLog

Exécutez la commande suivante dans PowerShell depuis le répertoire d'installation de NXLog :

.\nxlog.exe

Exécutez la commande suivante dans PowerShell depuis le répertoire d'installation de NXLog pour arrêter le service :

.\nxlog.exe --stop