マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

  • イベント・ログについてのあれこれ。
  • OSやミドルウェア、アプリケーションなど様々なプログラムから利用される。

詳細

参照

イベントビューアー

起動方法

Windows 7, Windows Server 2008 R2, Windows Vista

Windows Server 2012R2, Windows Server 2012

ファイルの場所

%SystemDrive?%\Windows\System\winevt\Logs

イベントID

上手く纏まっている情報はなさそうです(製品ごとに確認)。

ログ出力のテスト

イベント・ログの出力

以下で出力可能。

eventcreate /T INFORMATION /id 100 /d "これはログ出力のテストです。"

セキュリティ・ログの出力

  • BAT
    下の感じの bat で出力可能(検証用環境でない環境相手にはやらないように)
    @setlocal
    for /L %%i in (1,1,100) do (
      net use \\[IPアドレス若しくはホスト名]\c$ /user:[ユーザID] [パスワード]
      net use \\[IPアドレス若しくはホスト名]\c$ /d
    )
    @endlocal
    ※ ローカルポリシー等でログオンイベントの成功の監査が必要。

機能と役割

IIS

Active Directory, LDAP

SQL Server

その他

FailureAudit?が出力されない。

  • 以下を見ると、
  • 内部的には、FailureAudit?だけど、
  • イベントビューアには、Informationで表示される

みたいな話のようです。

  • 参考

メッセージテーブルDLL云々

イベントIDのメッセージ

イベントログのイベントIDに対応するメッセージは、

メッセージテーブルDLLなどを使用しているらしく、古い仕組みを踏襲していそう。

カテゴリ(分類)

カテゴリとは、分類を指すもよう。

以下の例では、分類に1000を指定するとデバイスと表示されている。

以下では、

  • イベントログビューアを開くと、このイベントのカテゴリ列に「デバイス」という説明が表示される。
    その理由は、イベントログビューアがこの特定のソースのカテゴリを見つけられないため、デフォルトのカテゴリを使用するため。
  • これらのデフォルトのカテゴリは次のように定義されている。
    - 0 : None
    - 1 : Devices
    - 2 : Disk
    - 3 : Printers
    - 4 : Services
    - 5 : Shell
    - 6 : System Event
    - 7 : Network
  • また、この続きを読むと、ソースのカテゴリを拡張するにも、 メッセージテーブルDLLを使用するもよう。

などと説明されている。

参考

監査の管理

イベント ビューアー


Tags: :Windows


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-07-12 (金) 09:13:48 (126d)