イベントのサブスクリプション設定
Windows Server 2008以降、イベントビューアで参照できるログ情報を任意のサーバに転送できるようになった。
用語とか
簡易手順
ソース側作業
管理者権限のコマンドプロンプトを起動する
コマンドを実行する
C:\Windows\System32>winrm quickconfig
ローカルユーザーとグループのスナップイン(lusrmgr.msc
)を起動する。
コレクター側作業
管理者権限のコマンドプロンプトを起動する
コマンドを実行する
C:\Windows\System32>winrm quickconfig
C:\Windows\System32>wecutil qc
イベントビューア(eventvwr
)を起動する。
左ペインの最下部にあるサブスクリプションをクリックする。
操作メニューからサブスクリプションの作成をクリックする。
サブスクリプション名、説明、宛先ログを設定する。
サブスクリプションの種類とソースコンピューターでコレクターによる開始が選択されている事を確認し、コンピュータの選択ボタンをクリックする。
ソースとなるコンピュータを指定する。
イベントの選択をクリックする。
クエリ フィルターダイアログボックスが表示されるので、収集したいイベントの条件を設定し、OKで閉じる
詳細設定をクリックする。
サブスクリプションの詳細設定ダイアログボックスが表示されるので、イベント配信の最適化を選択し、OKで閉じる
転送の方向
イベントの転送はPushとPullのいずれかで実行される。
上の手順でイベント配信の最適化を通常にした場合、イベントはコレクター側から定期的にPullされる形で転送を行う。
イベントの転送をソース側からPushするようにしたい場合は、追加の作業が必要になる。
ソース側のPush転送設定
上の簡易手順が実行済であることが前提
ローカルグループポリシーエディタ(gpedit.msc
)を起動する。
左ペインを展開する。
ターゲット サブスクリプション マネージャーを構成するのポリシーを編集する
管理者権限でコマンドプロンプトを起動する。
コマンドを実行する
C:\Windows\System32>gpupdate /force
本設定は、ローカルグループポリシーエディタでなく、Active Directoryのグループポリシーで実施しても構わない。
コレクター側のPush転送設定
上の簡易手順が実行済であることが前提
イベントビューア(eventvwr
)を起動する。
左ペインの最下部にあるサブスクリプションをクリックする。
簡易手順で作成したサブスクリプションを右クリックし、プロパティを選択する。
サブスクリプションの種類とソースコンピューターをソース コンピューターによる開始に変更し、コンピューターグループの選択ボタンをクリックする。
ソースとなるコンピュータ、またはグループを指定する。
詳細設定をクリックする。
サブスクリプションの詳細設定ダイアログボックスが表示されるので、イベント配信の最適化を潜在期間の最小化に設定し、OKで閉じる
多分これでOKなはず。
なお、イベント配信の最適化でカスタムを使用したい場合は、コマンドwecutilを使わなければならない。
標準のイベント転送間隔は30秒みたいなので、10秒に短くするなど設定変更が必要な場合はこのコマンドが必須となる。