目次

イベントのサブスクリプション設定

Windows Server 2008以降、イベントビューアで参照できるログ情報を任意のサーバに転送できるようになった。

用語とか

簡易手順

簡単に手順を示す。

ソース側作業

  1. 管理者権限のコマンドプロンプトを起動する
  2. コマンドを実行する
    C:\Windows\System32>winrm quickconfig
    • コマンドを実行すると、いくつか確認を求められるので、承諾(“y“応答)しておく。
  3. ローカルユーザーとグループのスナップイン(lusrmgr.msc)を起動する。
    • ローカルのAdministratorsグループにコレクターのコンピュータアカウントを追加する。
      • オブジェクトの種類を変更し、コンピュータアカウントが検索・追加できるようにしておく。
    • ローカルのEvent Log ReadersグループにローカルのNetwork Serviceを追加しておく。
      • 場所を変更し、ローカルコンピュータから検索する。

コレクター側作業

  1. 管理者権限のコマンドプロンプトを起動する
  2. コマンドを実行する
    C:\Windows\System32>winrm quickconfig
    C:\Windows\System32>wecutil qc
  3. イベントビューア(eventvwr)を起動する。
  4. 左ペインの最下部にあるサブスクリプションをクリックする。
  5. 操作メニューからサブスクリプションの作成をクリックする。
  6. サブスクリプション名説明宛先ログを設定する。
    • 宛先ログはデフォルトのままで良い。
  7. サブスクリプションの種類とソースコンピューターコレクターによる開始が選択されている事を確認し、コンピュータの選択ボタンをクリックする。
  8. ソースとなるコンピュータを指定する。
  9. イベントの選択をクリックする。
  10. クエリ フィルターダイアログボックスが表示されるので、収集したいイベントの条件を設定し、OKで閉じる
  11. 詳細設定をクリックする。
  12. サブスクリプションの詳細設定ダイアログボックスが表示されるので、イベント配信の最適化を選択し、OKで閉じる
    • イベント配信の最適化の詳細はこちらを参照

転送の方向

イベントの転送はPushとPullのいずれかで実行される。
上の手順でイベント配信の最適化通常にした場合、イベントはコレクター側から定期的にPullされる形で転送を行う。
イベントの転送をソース側からPushするようにしたい場合は、追加の作業が必要になる。

ソース側のPush転送設定

上の簡易手順が実行済であることが前提

  1. ローカルグループポリシーエディタ(gpedit.msc)を起動する。
  2. 左ペインを展開する。
    • コンピュータの構成管理用テンプレートWindowsコンポーネントイベント転送
  3. ターゲット サブスクリプション マネージャーを構成するのポリシーを編集する
    • コレクターの情報を登録する。httpで送信する場合はServer=<IP|FQDN>、httpsなどの場合はServer=https:⁄⁄<IP|FQDN>:⁄wsman⁄SubscriptionManager⁄WECなどとする。
    • Windows 8.1以前のOSの場合、サーバー アドレス、更新間隔、ターゲット サブスクリプション マネージャーの発行証明機関を構成します。という名前になっている。
  4. 管理者権限でコマンドプロンプトを起動する。
  5. コマンドを実行する
    C:\Windows\System32>gpupdate /force

本設定は、ローカルグループポリシーエディタでなく、Active Directoryのグループポリシーで実施しても構わない。

コレクター側のPush転送設定

上の簡易手順が実行済であることが前提

  1. イベントビューア(eventvwr)を起動する。
  2. 左ペインの最下部にあるサブスクリプションをクリックする。
  3. 簡易手順で作成したサブスクリプションを右クリックし、プロパティを選択する。
  4. サブスクリプションの種類とソースコンピューターソース コンピューターによる開始に変更し、コンピューターグループの選択ボタンをクリックする。
  5. ソースとなるコンピュータ、またはグループを指定する。
  6. 詳細設定をクリックする。
  7. サブスクリプションの詳細設定ダイアログボックスが表示されるので、イベント配信の最適化潜在期間の最小化に設定し、OKで閉じる



多分これでOKなはず。
なお、イベント配信の最適化カスタムを使用したい場合は、コマンドwecutilを使わなければならない。
標準のイベント転送間隔は30秒みたいなので、10秒に短くするなど設定変更が必要な場合はこのコマンドが必須となる。