Windows Server 2008、Windows Vista、Windows 7におけるカスタムイベントログを、Systemwalker Centric Managerを使用してイベントログ監視する方法について説明します。
Systemwalker Centric Managerでは、以下のイベントログを監視することができます。
アプリケーション
セキュリティ(※)
システム
ファイル複製サービス
Directory Service
DFSレプリケーション
ハードウェア
DNS Server
Internet Explorer
Key Management Service
Media Center
Microsoft-Windows-Hyper-V-Config-Admin
Microsoft-Windows-Hyper-V-Config-Operational
Microsoft-Windows-Hyper-V-High-Availability-Admin
Microsoft-Windows-Hyper-V-Hypervisor-Admin
Microsoft-Windows-Hyper-V-Hypervisor-Operational
Microsoft-Windows-Hyper-V-Image-Management-Service-Admin
Microsoft-Windows-Hyper-V-Image-Management-Service-Operational
Microsoft-Windows-Hyper-V-Integration-Admin
Microsoft-Windows-Hyper-V-Network-Admin
Microsoft-Windows-Hyper-V-Network-Operational
Microsoft-Windows-Hyper-V-SynthNic-Admin
Microsoft-Windows-Hyper-V-SynthStor-Admin
Microsoft-Windows-Hyper-V-SynthStor-Operational
Microsoft-Windows-Hyper-V-VMMS-Admin
Microsoft-Windows-Hyper-V-Worker-Admin
Virtual Server
なお、アプリケーションのインストール、またはユーザ作成のアプリケーションの追加により、異なる種類のイベントログ(カスタムイベントログ)が追加されることがあります。
本章に従って設定を行うことで、追加されたカスタムイベントログを監視することができます。
※) セキュリティイベントログを監視する場合には、イベントログ監視設定ファイルでの設定が必要です。イベントログ監視設定ファイルの詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
Systemwalker Centric Managerのイベント監視機能でカスタ ムイベントログを監視する手順を説明します。
カスタム イベントログの一覧を出力し、確認します。 |
監視するカスタム イベントログ名をイベント監視に定義するための設定を行います。 |
Systemwalker Centric Managerのイベント監視機能でカスタム イベントログを監視する設定方法を説明します。
1. カスタム イベントログ名を確認する
カスタム イベントログの監視を行いたいサーバ上で、カスタム イベントログ名を確認します。
[スタート]-[アクセサリ]-[コマンドプロンプト]を右クリックし、[管理者として実行]を選択します。
→[管理者: コマンドプロンプト]が表示されます。
[管理者: コマンドプロンプト]で以下のコマンドを実行します。
wevtutil.exe el
実行結果一覧から監視の対象とするカスタム イベントログ名を確認します。
カスタム イベントログ名は、1行に表示されるすべての文字列が該当します。
監視対象とするカスタム イベントログの種類が監視対象にできるかを確認します。
以下のコマンドを実行した結果、typeが“Admin”、または“Operational”と表示されるものが、監視可能なカスタム イベントログです。
wevtutil.exe gl カスタムイベントログ名
例)
“Microsoft-Windows-Application-Experience/Program-Inventory”を指定した場合の例です。
typeに“Operational”と表示されたため、監視可能なカスタム イベントログであることが確認できます。
2. イベント監視の定義を設定する
監視するカスタム イベントログ名をイベント監視に定義するための設定を行います。
イベント監視の定義は、カスタム イベントログを監視するサーバで行います。
なお、“クラスタシステム上の運用管理サーバ、または部門管理サーバの場合【EE】”と“クラスタシステムではない、またはクラスタシステム上の業務サーバで起動する場合”で手順が異なります。
クラスタシステム上の運用管理サーバ、または部門管理サーバの場合【EE】
プライマリノードで定義を実施後、セカンダリノードで定義を行います。
その後、プライマリノード、セカンダリノードそれぞれでSystemwalker Centric Managerのサービスを起動します。
プライマリノードの定義を行います。
Systemwalker Centric Managerを停止します。
注意
運用管理サーバと同じサーバに、Systemwalker Service Quality CoordinatorのManager、またはAgentを導入し、Systemwalker Centric ManagerのRDBシステム(RDBシステム名:CENTRIC)を性能監視している場合、Systemwalker Centric Managerを停止する前にSystemwalker Service Quality Coordinatorを停止し、Systemwalker Centric Manager RDBシステムの性能情報収集処理を停止してください。
詳細については、Systemwalker Service Quality Coordinatorのマニュアルを参照してください。
クラスタアドミニストレータで、Systemwalker Centric Manager のグループをオフラインにします。
Systemwalker Centric Managerを停止するために、以下のコマンドを実行します。
pcentricmgr |
Systemwalker Centric Managerで使用する共有ディスクの所有権を獲得し、オンライン化します。
本手順は、運用管理サーバをインストールしている環境の場合に必要な手順です。
それ以外の環境の場合は、手順1.のc.に進んでください。
なお、所有権の獲得方法/オンライン化の設定方法については、使用しているクラスタのマニュアルを参照してください。
コマンドプロンプトで滞留イベント初期化コマンドを実行します。
mpstayevtinit |
以下のファイルをテキストエディタで開きます。
Systemwalkerインストールディレクトリ\MPWALKER.DM\mpopagt\etc\opaevtlogkind |
監視するカスタム イベントログを以下の形式で追加します。
|
“1. カスタム イベントログ名を確認する”で確認した、カスタム イベントログ名から追加するものを定義します。
Systemwalker Centric Managerがイベントログを読み込み、処理した時に付加されるラベル先頭2文字を半角英数字で2バイト定義します。
メッセージのラベルは、このラベルが利用され以下のとおりに組み立てられます。
例)
ラベルがSYと定義されたイベントログにソース名Source1のメッセージが出力された場合のラベルは、以下のとおりです。
SY:Source1: |
該当のカスタム イベントログに出力されたイベントの監視イベント種別を定義します。
16バイト以下で定義します。
例)
“Microsoft-Windows-Application-Experience/Program-Inventory”のカスタム イベントログを定義する場合
opaevtlogkindファイル
Application AP アプリケーション |
【条件】
文字コードは、Shift-JISで定義します。
1行1イベントログで定義します。
各項目区切り文字は必ずタブを使用します。半角空白は利用できません。
定義できるイベントログ数は50種類までです。
なお、デフォルト定義で27種類が定義されているため、追加できるのは23種類のイベントログになります。
行の先頭に“#”がある場合はコメント行になります。
本定義ファイルは削除しないでください。
既存の定義は変更しないでください。OSのイベントログ監視ができなくなります。
本定義は、バージョンアップ、バックアップ・リストアの対象とはなっていません。バージョンアップ、バックアップ・リストア時には再設定してください。
クラスタシステム上の運用管理サーバに定義する場合、プライマリとセカンダリノードの定義内容を同じにしてください。【EE】
セカンダリノードの定義を行います。
Systemwalker Centric Managerを停止するために、以下のコマンドを実行します。
pcentricmgr |
Systemwalker Centric Managerで使用する共有ディスクの所有権を獲得し、オンライン化します。
本手順は、運用管理サーバをインストールしている環境の場合に必要な手順です。
それ以外の環境の場合は、手順2.のc.に進んでください。
なお、所有権の獲得方法/オンライン化の設定方法については、使用しているクラスタのマニュアルを参照してください。
コマンドプロンプトで滞留イベント初期化コマンドを実行します。
mpstayevtinit |
以下のファイルをテキストエディタで開きます。
Systemwalkerインストールディレクトリ\MPWALKER.DM\mpopagt\etc\opaevtlogkind |
監視するカスタム イベントログを追加します。
定義内容は、プライマリノードと同じ内容にします。
Systemwalker Centric Managerのサービスを起動します。
共有ディスクの所有権を獲得します。
以下のリソースが所属するグループの所有権をプライマリノードで獲得します。
獲得方法については、クラスタのマニュアルを参照してください。
Quorumディスク
Systemwalkerで使用する共有ディスク
プライマリノードとセカンダリノードで、以下のコマンドを実行し、Systemwalker Centric Managerを起動します。
scentricmgr |
クラスタアドミニストレータで、Systemwalker Centric Manager のグループをオンラインにします。
クラスタシステムではない、またはクラスタシステム上の業務サーバで起動する場合
Systemwalker Centric Managerを停止するために、以下のコマンドを実行します。
pcentricmgr |
コマンドプロンプトで滞留イベント初期化コマンドを実行します。
mpstayevtinit |
以下のファイルをテキストエディタで開きます。
Systemwalkerインストールディレクトリ\MPWALKER.DM\mpopagt\etc\opaevtlogkind |
監視するカスタム イベントログを追加します。
例)
“Microsoft-Windows-Application-Experience/Program-Inventory”のカスタム イベントログを定義する場合
opaevtlogkindファイル |
定義の詳細については、“クラスタシステム上の運用管理サーバ、または部門管理サーバの場合【EE】”の“イベント監視の定義ファイルの形式”を参照してください。
Systemwalker Centric Managerを起動するために、以下のコマンドを実行します。
scentricmgr |
