====== イベントのサブスクリプション設定 ======
Windows Server 2008以降、イベントビューアで参照できるログ情報を任意のサーバに転送できるようになった。
===== 用語とか =====
  * **コレクター**：イベントの転送先。イベントの収集を行うコンピュータの事。
  * **ソース**：イベントの転送元。イベントを収集されるコンピュータの事。
  * **サブスクリプション**：イベントの転送設定。
===== 簡易手順 =====
簡単に手順を示す。
==== ソース側作業 ====
  - 管理者権限のコマンドプロンプトを起動する
  - コマンドを実行する<code winbatch>
C:\Windows\System32>winrm quickconfig
</code>
    * コマンドを実行すると、いくつか確認を求められるので、承諾（"**y**"応答）しておく。
  - **ローカルユーザーとグループ**のスナップイン（''lusrmgr.msc''）を起動する。
    * ローカルの**Administrators**グループにコレクターのコンピュータアカウントを追加する。
      * **オブジェクトの種類**を変更し、コンピュータアカウントが検索・追加できるようにしておく。
    * ローカルの**Event Log Readers**グループにローカルの**Network Service**を追加しておく。
      * **場所**を変更し、ローカルコンピュータから検索する。
==== コレクター側作業 ====
  - 管理者権限のコマンドプロンプトを起動する
  - コマンドを実行する<code winbatch>
C:\Windows\System32>winrm quickconfig
C:\Windows\System32>wecutil qc
</code>
  - イベントビューア（''eventvwr''）を起動する。
  - 左ペインの最下部にある**サブスクリプション**をクリックする。
  - **操作**メニューから**サブスクリプションの作成**をクリックする。
  - **サブスクリプション名**、**説明**、**宛先ログ**を設定する。
    * **宛先ログ**はデフォルトのままで良い。
  - **サブスクリプションの種類とソースコンピューター**で**コレクターによる開始**が選択されている事を確認し、**コンピュータの選択**ボタンをクリックする。
  - ソースとなるコンピュータを指定する。
  - **イベントの選択**をクリックする。
  - **クエリ フィルター**ダイアログボックスが表示されるので、収集したいイベントの条件を設定し、**OK**で閉じる
  - **詳細設定**をクリックする。
  - **サブスクリプションの詳細設定**ダイアログボックスが表示されるので、**イベント配信の最適化**を選択し、**OK**で閉じる
    * **イベント配信の最適化**の詳細は[[http://technet.microsoft.com/ja-jp/library/cc749167.aspx|こちら]]を参照
===== 転送の方向 =====
イベントの転送はPushとPullのいずれかで実行される。\\ 
上の手順で**イベント配信の最適化**を**通常**にした場合、イベントはコレクター側から定期的にPullされる形で転送を行う。\\ 
イベントの転送をソース側からPushするようにしたい場合は、追加の作業が必要になる。
==== ソース側のPush転送設定 ====
上の簡易手順が実行済であることが前提
  - ローカルグループポリシーエディタ（''gpedit.msc''）を起動する。
  - 左ペインを展開する。
    * **コンピュータの構成**→**管理用テンプレート**→**Windowsコンポーネント**→**イベント転送**
  - **ターゲット サブスクリプション マネージャーを構成する**のポリシーを編集する
    * コレクターの情報を登録する。httpで送信する場合は**Server=<IP|FQDN>**、httpsなどの場合は**Server=https:⁄⁄<IP|FQDN>:⁄wsman⁄SubscriptionManager⁄WEC**などとする。
    * Windows 8.1以前のOSの場合、**サーバー アドレス、更新間隔、ターゲット サブスクリプション マネージャーの発行証明機関を構成します。**という名前になっている。
  - 管理者権限でコマンドプロンプトを起動する。
  - コマンドを実行する<code winbatch>
C:\Windows\System32>gpupdate /force
</code>
本設定は、ローカルグループポリシーエディタでなく、Active Directoryのグループポリシーで実施しても構わない。
==== コレクター側のPush転送設定 ====
上の簡易手順が実行済であることが前提
  - イベントビューア（''eventvwr''）を起動する。
  - 左ペインの最下部にある**サブスクリプション**をクリックする。
  - 簡易手順で作成したサブスクリプションを右クリックし、**プロパティ**を選択する。
  - **サブスクリプションの種類とソースコンピューター**を**ソース コンピューターによる開始**に変更し、**コンピューターグループの選択**ボタンをクリックする。
  - ソースとなるコンピュータ、またはグループを指定する。
  - **詳細設定**をクリックする。
  - **サブスクリプションの詳細設定**ダイアログボックスが表示されるので、**イベント配信の最適化**を**潜在期間の最小化**に設定し、**OK**で閉じる

\\ 
\\ 
多分これでOKなはず。\\ 
なお、**イベント配信の最適化**で**カスタム**を使用したい場合は、コマンド**wecutil**を使わなければならない。\\ 
標準のイベント転送間隔は30秒みたいなので、10秒に短くするなど設定変更が必要な場合はこのコマンドが必須となる。