TOP » Microsoft » OS » Server » Windows Server 2008 » イベント ビューアとタスクマネージャ

イベント ビューアとタスクマネージャ

最終更新日時:2011/06/02 03:52:17
Windows Server 2008 のイベント ビューアとタスクマネージャについて説明します。
1 2 →

イベント ビューア

Windows System のトラブル時には、各アプリケーションのログとあわせて最初に確認するのがイベント ビューアだと思います。Windows Server 2008 のイベント ビューアは、Windows vista から導入された新しいタイプの物が採用されています。

Windows Server 2003 といった過去のバージョンの OS に付属していたイベント ビューアからある特定のイベントを保存しようとしても,イベント単体を保存する事はできず evt形式でログ単位(アプリケーション,セキュリティ,システムなど)で保存する必要がありました。単独で保存しようとするとクリップボードへコピーし、それをメモ帳などに手動で保存する方法をとる必要がありました。
Windows Server 2008 のイベント ビューアでは、従来のログ単位の保存以外にも各イベントを選択して右クリックし、そのイベントを evtx 形式で保存することもできるようになり,選択したものだけを選んでイベントログのバックアップが可能になったほか,XML 形式でのイベントログ保存も可能になりました。

イベントログをリモートのコンピュータで収集する

Windows Server 2008 および Windows Vista からサポートされた機能の1つに,各サーバやコンピュータのイベントログを別のコンピュータへ転送し、ログを一括管理することができるようになりました。
この機能を利用するには、イベントログを収集するコンピュータ(コレクタ)とイベントログを収集されるコンピュータ(ソース)の両方を構成する必要があります。

グループポリシーを使用したソースサーバ側の設定

GPMCを使用して以下の,グループ ポリシー オブジェクト(以下GPO)を構成します。

  1. Windows Remote Management (WS-Management)サービスを自動起動するように構成する
    GPO のパス
    [コンピュータの構成]-[ポリシー]-[Windows の設定]-[セキュリティ設定]-[システムサービス]
  2. セキュリティが強化された Windows ファイアウォールで Windows リモート管理 (HTTP 受信)からの通信を許可する
    GPO のパス
     [コンピュータの構成]-[ポリシー]-[Windows の設定]-[セキュリティ設定]-[システムサービス]-[セキュリティが強化された Windows ファイアウォール]-[セキュリティが強化された Windows ファイアウォール....]-[受信の規則]
  3. Windows Remote Management (WS-Management)サービスが起動し、すべてのアドレスからの要求を80番ポートでListenするように設定する
    GPO のパス

    [コンピュータの構成]-[ポリシー]-[管理テンプレート]-[Winodws リモート管理(WinRM)]-[WinRM サービス]

    「リスナの自動構成を許可する」を有効にします。設定項目では、今回は 特にアドレスの制限をする必要がないため、図12のように設定を実施します。「IPv4フィルタ」欄には「*」を入力し、IPv6アドレスは今回利用しないので、「IPv6 フィルタ」欄は空欄にします。

    図12 リスナの自動構成を許可する
    図12 リスナの自動構成を許可する
  4. イベントログの転送先サーバを設定する
    GPO のパス

    [コンピュータの構成]-[ポリシー]-[管理テンプレート]-[イベント転送]

    「サーバー アドレス、更新間隔、ターゲット サブスクリプション マネージャの発行証明機関を構成します」を「有効」にして、「サブスクリプション マネージャ」の「表示」をクリックして、図13のように転送先のサーバを指定します。

    図13 イベントログ転送
  5. gpupdateコマンドを実行して、グループポリシーを適用します。この際に念のため、各コンピュータは再起動することをお勧めします。

グループポリシーを使用しない手順を実施したい場合や[帯域幅の最小化] または [潜在期間の最小化] を使用する場合には、別途コレクタ側のサーバに対しても設定が必要になりますが、今回は使用しないため手順については、イベントを転送して収集するようコンピュータを構成するを参照ください.

コレクタ側サーバの設定

コレクタ側のサーバで、管理者権限を持っているアカウントを使用して「wecutil qc」コマンドを実行する必要があります。このコマンドは、「Windows Event Collector」サービスを自動(遅延開始)で設定し、開始されていない場合には開始するように設定し、「ForwardedEvents ログ(転送されたイベントログ)」が無効になっている場合は有効にします。

サブスクリプションの設定

  1. イベント ビューアのサブスクリプションを右クリックして、「サブスクリプションの作成」を実行します。サブスクリプション名は自由に設定できるので、わかりやすい名前で設定します。ここでは、図13のようにEventLog2とします。
  2. 説明欄は必須ではありませんが、後でみてわかりやすいように情報を追加しておくと良いでしょう。ここではVista Logとします。
  3. あて先ログは、ここではデフォルトの「転送されたイベントログ」を選択します。
  4. 「サブスクリプションの種類とソースコンピュータ」では、今回はコレクタ側から情報を取得するように設定するため「コレクタによる開始」をチェックして、「コンピュータの選択」をクリックします。
    図14 サブスクリプションのプロパティ
    図14 サブスクリプションのプロパティ
  5. 「コンピュータ」画面が開いたら,「ドメイン コンピュータの追加」をクリックして、取得したいコンピュータの情報を追加し図15の右下の「テスト」を実施して接続が確認できたらOKをクリックします。「テスト」で接続が確認できない場合は、取得したい先のコンピュータの「Windows Remote Management (WS-Management)」が開始されていないため、確認をする必要があります。
    図15 コンピュータとの接続性
    図15 コンピュータとの接続性
  6. イベントの選択をクリックし「クエリ フィルタ」が表示されたら,今回は「ログの日付」を「指定なし」,イベントレベルを「警告、エラー、情報」,ログごとを「イベント ログ」を Windows ログの転送されたイベントログ以外という値で設定しOKをクリックします。実際にはイベントログの種類は今回設定したよりも豊富なログを取得できますので、興味のある人は色々確認してみてください.
  7. 「ユーザーアカウントを変更するか、詳細設定を構成する」欄の「詳細設定」をクリックします。既定では「ユーザーアカウント」は、コンピュータ アカウントが選択されていますが、今回は「特定のユーザー」の方にチェックを入れて図16のように「ユーザーとパスワード」をクリックして管理者権限を持つユーザーの情報を登録します。
    図16 ユーザアカウントの追加
    図16 ユーザアカウントの追加
  8. 「サブスクリプションの詳細設定」ページでは、今回は特に設定を変更しないためそのまま「OK」をクリックし「サブスクリプションのプロパティ」も「OK」をクリックして設定を完了します。

※なお, 7 の手順においてコンピュータアカウントを選択した場合は、各コンピュータの「Administratorsグループ」に対して、コレクタサーバのコンピュータ アカウントを追加しておく必要があります。そこで実際の運用場面を考えて,ドメインのグループを作成しそのグループを各コンピュータの「Administratorsグループ」に追加してイベントログの転送を実施してみたところ図17のように認証エラーが起こるという問題がおこりました。

図17 イベント転送認証不可
図17 イベント転送認証不可

一方,個別のコンピュータ アカウントを「Administratorsグループ」に直接追加した場合は、図18のように問題なく動作しました。なお,コンピュータアカウントを使った方法を実施したい場合に環境による問題なのか検索からコンピュータオブジェクトをはずしているのかといった原因は今のところ特定できていません.

図18 イベント転送認証可能
図18 イベント転送認証可能

転送されたイベントログを確認する

イベント ビューアの転送されたイベントログをクリックして、図19のようにイベントログが転送されてきていることを確認します。

図19 転送されたイベントログ
図19 転送されたイベントログ

Page 1 > Page 2

INDEX

▲このページのトップへ

TOP » Microsoft » OS » Server » Windows Server 2008