Windows Event Forwarding (WEF) は、(Microsoft Vista で導入された)Microsoft オペレーティング システムの機能で、複数の
イベント ソースのコンピューターのログを、中央の Windows システム(通常は
Event Collector と呼ばれる)に転送するよう設定できます。McAfee Event Collector は、収集されたログを読み取り、受信者に送信するよう設計されています。
注: Vista は Event Collector とイベント ソースの両方のオペレーティング システムの最小要件です。
環境設定は以下の手順で行います。
- イベント ソース システムを WEF Event Collector に転送するように設定します。
- エージェント をWEF Event Collector にインストールします。
- 1 台のホストを追加し、ホスト名/IP を設定し、Event Collector の IP アドレスを追加します。
- 構成を作成します。Windows イベント ログと構成の名前を選択します。
- 転送イベントを Windows イベント領域から選択します。
注: WEF は 転送するイベント以外のログに対して転送できます。転送するイベント はデフォルトです。
- この時点で、2 つの選択肢があります。
- WEF を選択 - イベント ソース毎にデータソースを必要とする場合、WEF チェックボックスを選択します。
- WEF を選択しない - 多数のイベント ソースがある(たとえば、Event Forwarding をドメイン グループ ポリシーの一部として構成することにより、どれくらいのイベント ソースがイベントを転送するか明確でなくなっている)場合は、イベント ソースごとにデータ ソースを設定することが困難になります。 この場合は、WEF を選択しないままにします。これにより、多数のイベントがエージェント データ ソースに収集されます。
- 受信側では、Event Collector のデータ ソースを作成します。 これは、受信側のファイアウォールで、エージェントと受信者の通信を可能にするために必要な手順です。設定項目は以下のとおりです。
- ベンダー: Microsoft
- モデル: WMI イベント ログ
- データ取得: MEF
- 名称: DS 名
- IP アドレス: エージェントがインストールされているシステムの IP
- 暗号化の使用: エージェントの設定に合わせる
注: 上述の WEF オプションを選択しない場合は、次の手順は実行しないでください。
イベント ソースごとにデータ ソースが必要な場合は、エージェントがインストールされ、サーバーにイベントを転送している各 Windows システムに対してデータ ソースを作成します。
- ベンダー: Microsoft
- モデル: WMI イベント ログ
- データ取得: MEF
- 名称: DS 名
- IP アドレス: IP を使用しません。
- ホスト ID: ログを転送する Windows システムのホスト名を使用します。 これは、イベント ソース システムの IP アドレスが、転送するイベントにないためです。イベントにはホスト名のみが含まれます。
- 暗号化の使用: エージェントの設定に合わせる
