Systemwalker Centric Managerの監査ログ管理機能でカスタム イベントログを収集する設定方法を説明します。
カスタム イベントログの一覧を出力し、確認します。 |
収集したいカスタム イベントログのログ収集を設定します。 |
カスタム イベントログ名を確認する
カスタム イベントログの収集を行いたいサーバ上で、カスタム イベントログ名を確認します。
Windowsの[コマンドプロンプト]を右クリックし、[管理者として実行]を選択します。
→[管理者: コマンドプロンプト]が表示されます。
コマンドプロンプトで以下のコマンドを実行します。
wevtutil.exe el
実行結果一覧から監査ログ収集するカスタム イベントログ名を確認します。
カスタム イベントログ名は、1行に表示されるすべての文字列が該当します。
監視対象とするカスタム イベントログの種類が収集できるかを確認します。
以下のコマンドを実行した結果、typeが「Admin」、または「Operational」と表示されるものが、収集可能なカスタム イベントログです。
wevtutil.exe gl カスタムイベントログ名
例)
「Microsoft-Windows-Application-Experience/Program-Inventory」を指定した場合の例です。
typeに“Operational”と表示されたため、収集可能なカスタム イベントログであることを確認できます。
監査ログの収集を設定する
収集するカスタム イベントログをログ収集するための設定を行います。ログ収集の設定は、収集対象サーバで行います。
以下のファイルをテキストエディタで開きます。
Systemwalkerインストールディレクトリ\MPWALKER.DM\mpatm\etc\mpatm_eventlog.def |
収集するカスタム イベントログのログ識別名とカスタム イベントログ名を以下の形式で追加します。
ログ識別名<タブ>カスタムイベントログ名 |
「EventLog」で始まる文字列を、ASCII(80文字以内)で指定します。
半角英数字、および「-」(ハイフン)以外の文字列を指定しないでください。
“カスタム イベントログ名を確認する”で確認した、カスタム イベントログ名から追加するものを定義します。
【条件】
文字コードは、Shift-JISで定義します。
1行1イベントログで定義します。
各項目区切り文字は必ずタブを使用します。半角空白は利用できません。
本定義ファイルは削除しないでください。
既存の定義は変更しないでください。OSのイベントログ収集ができなくなります。
本定義は、バージョンアップ、バックアップ・リストアの対象とはなっていません。バージョンアップ、バックアップ・リストア時には再設定してください。
例)
「Microsoft-Windows-Application-Experience/Program-Inventory」のカスタム イベントログを定義する場合
mpatm_eventlog.defファイル
EventLogApplication Application EventLogSystem System … EventLogHVVMMSSto Microsoft-Windows-Hyper-V-VMMS-Storage NREventLog Security EventLogMWAEPI Microsoft-Windows-Application-Experience/Program-Inventory
mpatmlogapdef(ログ収集設定コマンド)により、ログ収集の定義を行います。
mpatmlogapdef(ログ収集設定コマンド)の詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
例)
「Microsoft-Windows-Application-Experience/Program-Inventory」のカスタム イベントログを定義する場合
mpatmlogapdef ADD -A EventLogMWAEPI -L “Systemwalkerインストールディレクトリ\MPWALKER.DM\mpatm\EventLog\EventLogMWAEPI”
【条件】
ログ識別名は、手順2で追加した文字列を指定してください。
ログファイル名は、イベントログを出力する任意の一時ファイル名を指定してください。
ただし、一時ファイル名のパスは存在する必要があります。
日付書式定義ファイル名は、ログ識別名に「EventLog」で始まる文字列を指定することにより、「mpatmevt.fmt」がデフォルト定義されます。
