- 追加された行はこの色です。
- 削除された行はこの色です。
* 目次 [#w5c5a79a]
#contents
*概要 [#a54487d8]
ログ収集に関する様々なトピック。
*所在 [#t834eb78]
**イベント・ログ [#tb5b916a]
-監査の管理
--概要~
http://technet.microsoft.com/ja-jp/library/dd362983.aspx
--セキュリティ ログの表示~
http://technet.microsoft.com/ja-jp/library/dd362984.aspx
--イベント ログの設定~
http://technet.microsoft.com/ja-jp/library/dd362985.aspx
--イベント ログの保存~
http://technet.microsoft.com/ja-jp/library/dd362986.aspx
--既定のイベント ビューア ログ ファイルの場所の変更~
http://technet.microsoft.com/ja-jp/library/dd362987.aspx
**タスク・スケジュール・ログ [#jc71d2bc]
-@IT:Windows TIPS -- Tips:タスク・ログ・ファイルの見方~
http://www.atmarkit.co.jp/fwin2k/win2ktips/466tasklog/tasklog.html
**IIS [#s2bd3626]
-IISのログ・ファイル・フォルダを変更する - @IT~
http://www.atmarkit.co.jp/fwin2k/win2ktips/525iislogs/iislogs.html
-IIS 7 でログ記録を構成する~
http://technet.microsoft.com/ja-jp/library/cc732079.aspx
-インターネット インフォメーション サービス (IIS) のログ収集を有効にする方法~
http://support.microsoft.com/kb/313437/ja
**SQL Server [#ba820aa5]
-SQL Server エラー ログの表示~
http://msdn.microsoft.com/ja-jp/library/ms187885.aspx
-MSDN Blogs > Microsoft SQL Server Japan Support Team Blog
--Tips:SQL Server の Log フォルダの位置の確認方法~
http://blogs.msdn.com/b/jpsql/archive/2012/06/19/tips-sql-server-log.aspx
--[SQL Troubleshooting] 第1回 : Tips~
SQL Server エラーログとイベント ログを採取する (SQL 2000 ~ 2008 R2)~
http://blogs.msdn.com/b/jpsql/archive/2012/03/27/info-sql-server-sql-server-error-log-and-event-log.aspx
*ツール類 [#lba0934c]
**採取系 [#da5e3d3c]
下記、[[テキスト化>#d29c7379]]も参照。
***ネットワーク [#y2099543]
電文取得もログ採取の一環です。
-生産技術センタ / 開発構造改革センタ > ノウハウ > 生産技術ガイド > ネットワーク~
http://hisolweb2.hitachi-solutions.co.jp/seigi/hp/project/guide_assist/index.html#ui-tabs-6
--Windowsネットワークの基礎知識、設定・トラブルシュート(監視・パケット解析編)~
http://c-brain2.hitachi-solutions.co.jp/asset/c-brain_001776.php
--Fiddler(HTTPデバッグ・プロキシ)の利用方法~
http://c-brain2.hitachi-solutions.co.jp/Asset.php?ID=001778
***Active Directory [#h3041545]
-[[Active Directory]]
--[[グループポリシー設定リスト]]
***MPS Report [#e4a7bc64]
Microsoft Product Support Report(MPS_Report)
>環境変更時や障害発生時のログ収集のために使用する。
-Microsoft Configuration Capture ユーティリティ (MPS_REPORTS) の概要~
http://support.microsoft.com/kb/818742/ja
>MPS_REPORTS は、コンピュータの重要な情報~
(システム情報、診断情報、および構成情報)を収集するために使用可能な~
スクリプトや他のユーティリティを含む圧縮されたソフトウェア パッケージ
-download Microsoft Product Support Reports~
Microsoft Download Center - Download Details~
http://www.microsoft.com/en-us/download/details.aspx?id=24745
-Live Meeting エディション MPS レポート ツールを利用する~
http://technet.microsoft.com/ja-jp/library/ff986278.aspx
-Microsoft Product Support Reports ログ採取方法 - JPFAQ_198373 デル Japan~
http://supportapj.dell.com/support/topics/global.aspx/support/kcs/document?c=jp&docid=226373_ja
**分析系 [#d1780a26]
***LogParser [#w324d67c]
-Log Parserの概要 - @IT~
http://www.atmarkit.co.jp/fwin2k/operation/logparser1/logparser1_01.html
++Log Parserで何ができるのか~
http://www.atmarkit.co.jp/fwin2k/operation/logparser1/logparser1_02.html
++Log Parserの入手とインストール~
http://www.atmarkit.co.jp/fwin2k/operation/logparser1/logparser1_03.html
++Log ParserをWSHスクリプトから使う~
http://www.atmarkit.co.jp/fwin2k/operation/logparser1/logparser1_04.html
>Log Parserには、上記入出力形式を変換するための~
専用のSQL形式エンジン・コアが実装されている。~
このためLog Parserを利用したデータ変換や集計では、~
--一般的なSQL句(SELECT、WHERE、GROUP BY、HAVING、ORDER BYなど)や、
--集計関数(SUM、COUNT、AVG、MAX、MINなど)、
--およびその豊富な関数(TO_STRING、SUBSTR、CASEなど)を
>利用可能である。
→ この機能が、ログの加工・分析を支援する。
Log Parser 2.2が扱える主な入出力形式
|入力形式|出力形式|h
|IIS W3C拡張ログ形式|W3C拡張ログ形式|
|Microsoft IISログ・ファイル形式|SQL Serverへのデータ送信|
|NCSA共通ログ・ファイル形式|SYSLOGサーバへのデータ送信|
|集中バイナリ・ログ|チャート形式|
|HTTPエラー・ログ|テンプレートを利用したHTML形式|
|ODBCログ|XML形式|
|FTPログ・ファイル|CSV形式|
|SMTPログ・ファイル|タブ区切りテキスト形式|
|Windowsイベント・ログ|汎用的なテキスト形式|
|Windowsレジストリ||
|Active Directoryオブジェクト||
|ファイルとディレクトリ情報||
|NetMon.capキャプチャ・ファイル||
|拡張または結合されたNCSAログ・ファイル||
|W3C拡張ログ形式||
|ETW(Event Tracing for Windows)トレース||
|XML形式||
|CSV形式||
|タブ区切りテキスト形式||
|汎用的なテキスト形式||
|独自の入力形式(COM入力形式のCOM+プラグインの作成が必要)||
***wlog [#i7e1d657]
Webサーバのログを一度Accessにインポートし、~
そこから、Excelのピボットテーブルを生成する。
>Accessにインポートするので、そこからSQLによる分析も可能。
-生産技術センタ / 開発構造改革センタ > ノウハウ > 生産技術ガイド > その他~
http://hisolweb2.hitachi-solutions.co.jp/seigi/hp/project/guide_assist/index.html#ui-tabs-10
--wlog(Webサーバ用のアクセス・ログ収集、解析ツール)の利用方法~
http://hisolweb2.hitachi-solutions.co.jp/seigi/hp/project/guide_assist/docs/assist/memo_dotnet/DMSG-0039.pdf
***MPS Report Viewer [#hbaf9bb6]
Microsoft Product Support Report(MPS_Report)~
で収集したログのビューアになります。
-ユーティリティ スポットライト トラブルシューティング データを収集する~
http://technet.microsoft.com/ja-jp/magazine/jj860527.aspx
-Download MPSReports Viewer 2.0 from Official Microsoft Download Center~
http://www.microsoft.com/en-us/download/details.aspx?id=18325
*テキスト化 [#d29c7379]
ログをテキスト化して収集する方法~
(SenSageサポート時入手した情報など)
**イベント・ログ [#w74c9f82]
-監査の管理 ‐ イベント ログの保存(TXT、CSVでのエクスポート)~
http://technet.microsoft.com/ja-jp/library/dd362986.aspx
***LogParser [#uc8f4ef6]
2000/2003イベント・ログを~
LogParserコマンドでテキスト・ファイル出力できる。
以下コマンド例
-対象
--System
--Application
--Security
-抽出時間帯
--<時間帯フラグ>:対象時間帯
+++:前日16時~当日0時未満
+++:当日0時以降~当日7時未満
+++:当日7時以降~当日16時未満
-コマンド
--前日16時~当日0時未満
LogParser
"SELECT EventLog,TimeGenerated,EventID,EventTypeName,EventCategoryName,SourceName, ComputerName,SID,Message
INTO 出力PATH + <サーバ名>_<ログ種別ID>_<年月日>_1.log
FROM System
WHERE TO_DATE(TimeGenerated) = SUB(TO_TIMESTAMP('引数の<日付>','yyyy/MM/dd'), TIMESTAMP('2','d'))
AND TO_TIME(TimeGenerated) >= TIMESTAMP('16','h')"
-i:EVT -o:CSV -q:ON -resolveSIDs:ON
--当日0時以降~当日7時未満
LogParser
"SELECT EventLog, TimeGenerated, EventID,EventTypeName, EventCategoryName, SourceName, ComputerName, SID, Message
INTO 出力PATH + <サーバ名>_<ログ種別ID>_<年月日>_1.log
FROM System
WHERE TO_DATE(TimeGenerated) = TO_TIMESTAMP('引数の<日付>','yyyy/MM/dd')
AND TO_TIME(TimeGenerated) < TIMESTAMP('7','h')"
-i:EVT -o:CSV -q:ON -resolveSIDs:ON
--当日7時以降~当日16時未満
LogParser
"Select EventLog, TimeGenerated, EventID, EventTypeName, EventCategoryName, SourceName, ComputerName, SID, Message
INTO 出力PATH + <サーバ名>_<ログ種別ID>_<年月日>_1.log
FROM System
WHERE TO_DATE(TimeGenerated) = TO_TIMESTAMP('引数の<日付>','yyyy/MM/dd')
AND TO_TIME(TimeGenerated) >= TIMESTAMP('7','h')
AND TO_TIME(TimeGenerated) < TIMESTAMP('16','h')"
-i:EVT -o:CSV -q:ON -resolveSIDs:ON
※ "From System" の部分は、"From Application"、"From Security"にも対応
※ 日付の部分は、引数の値に変更する。
***wevtutil [#i0875e61]
2008/2012イベント・ログを~
wevtutilコマンドでテキスト・ファイル出力できる。
以下コマンド例
-コマンド
wevtutil qe System
"/q:*[System[TimeCreated[@SystemTime>='yyyy-mm-ddT00:00:00.000Z'
and @SystemTime<= 'yyyy-mm-ddT00:00:00.000Z']]]"
/f:text > 出力パス + <サーバ名>_<ログ種別ID>_<年月日>_<時間帯フラグ>.log
※ "qe System" の部分は、"qe Application"、"qe Security"にも対応
※ 日付の部分は、引数の値に変更する。
※ 3種類のファイルを抽出するが、途中で処理が失敗した場合、途中で処理を中断する。
**タスク・スケジュール・ログ [#of0425f2]
タスク・スケジュール・ログを~
schtasksコマンドでテキスト・ファイル出力できる。
-schtasksコマンド~
schtasksコマンドで、テキスト・ファイル出力可能(以下、コマンドの例)。
--Windows Server 2003 で Schtasks.exe~
を使用してタスクをスケジュールする方法~
http://support.microsoft.com/kb/814596/ja
schtasks /QUERY /FO CSV /V > TasksLog.log
schtasks /QUERY /FO CSV /V /S <サーバ名> > TasksLog.log
**SQL Serverトレース・ログ [#iaa9b09a]
SQL Server 2012トレース・ログ(バイナリ)をSQL Server 2005でもインポートできる。
***準備 [#ce1c45bc]
-ログ・テーブル作成
SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO
CREATE TABLE [dbo].[テーブル名](
[TextData] [ntext] COLLATE Japanese_CI_AS NULL,
[BinaryData] [image] NULL,
[DatabaseID] [int] NULL,
[TransactionID] [bigint] NULL,
[LineNumber] [int] NULL,
[NTUserName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[NTDomainName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[HostName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[ClientProcessID] [int] NULL,
[ApplicationName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[LoginName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[SPID] [int] NULL,
[Duration] [bigint] NULL,
[StartTime] [datetime] NULL,
[EndTime] [datetime] NULL,
[Reads] [bigint] NULL,
[Writes] [bigint] NULL,
[CPU] [int] NULL,
[Permissions] [bigint] NULL,
[Severity] [int] NULL,
[EventSubClass] [int] NULL,
[ObjectID] [int] NULL,
[Success] [int] NULL,
[IndexID] [int] NULL,
[IntegerData] [int] NULL,
[ServerName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[EventClass] [int] NULL,
[ObjectType] [int] NULL,
[NestLevel] [int] NULL,
[State] [int] NULL,
[Error] [int] NULL,
[Mode] [int] NULL,
[Handle] [int] NULL,
[ObjectName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[DatabaseName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[FileName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[OwnerName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[RoleName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[TargetUserName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[DBUserName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[LoginSid] [image] NULL,
[TargetLoginName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[TargetLoginSid] [image] NULL,
[ColumnPermissions] [int] NULL,
[LinkedServerName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[ProviderName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[MethodName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[RowCounts] [bigint] NULL,
[RequestID] [int] NULL,
[XactSequence] [bigint] NULL,
[EventSequence] [int] NULL,
[BigintData1] [bigint] NULL,
[BigintData2] [bigint] NULL,
[GUID] [uniqueidentifier] NULL,
[IntegerData2] [int] NULL,
[ObjectID2] [bigint] NULL,
[Type] [int] NULL,
[OwnerID] [int] NULL,
[ParentName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[IsSystem] [int] NULL,
[Offset] [int] NULL,
[SourceDatabaseID] [int] NULL,
[SqlHandle] [image] NULL,
[SessionLoginName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
[PlanHandle] [image] NULL
) ON [PRIMARY] TEXTIMAGE_ON [PRIMARY]
-ストアド登録
SET ANSI_NULLS ON
GO
SET QUOTED_IDENTIFIER ON
GO
CREATE PROCEDURE [dbo].[ImportTraceFile]
@Param1 nvarchar(256),
@Param2 nvarchar(30)
AS
BEGIN
SET NOCOUNT ON;
exec(
'INSERT INTO ' + @Param2 +
' SELECT * FROM fn_trace_gettable(''' + @Param1 + ''', default)')
END
GO
***トレースのインポート・エクスポート [#n6808d00]
-インポート~
上記ストアド(ImportTraceFile)を実行
--@Param1:トレースファイル名
--@Param2:テーブル名
--ストアドは必須でない(fn_trace_gettableを直接実行可能)。
---In SQL Server, how to move-import a multiple~
.trc files to a trace table - Stack Overflow~
http://stackoverflow.com/questions/2784714/in-sql-server-how-to-move-import-a-multiple-trc-files-to-a-trace-table
-エクスポート(bcp)
cmd.exe /c bcp
"SELECT
EventClass, Success, ApplicationName, HostName, LoginName, SPID,
Duration, StartTime, EndTime, ObjectName, DatabaseName, ServerName,
EventSubClass, TargetLoginName, RoleName, TargetUserName, TextData
FROM テーブル名"
queryout C:\Trace.txt -c -t , -r ,\n -T
--bcp ユーティリティ~
http://msdn.microsoft.com/ja-jp/library/ms162802.aspx
*その他 [#h02aa978]
**イベント・ログ [#v2b331d2]
***ログ出力のテスト [#wdd724b5]
-イベント・ログの出力~
以下で出力可能。
eventcreate /T INFORMATION /id 100 /d "これはログ出力のテストです。"
-セキュリティ・ログの出力
--BAT~
下の感じの bat で出力可能(検証用環境でない環境相手にはやらないように)
@setlocal
for /L %%i in (1,1,100) do (
net use \\[IPアドレス若しくはホスト名]\c$ /user:[ユーザID] [パスワード]
net use \\[IPアドレス若しくはホスト名]\c$ /d
)
@endlocal
※ ローカルポリシー等でログオンイベントの成功の監査が必要。
---管理者必見! ネットワーク・コマンド集 - net useコマンド:ITpro~
http://itpro.nikkeibp.co.jp/article/COLUMN/20060725/244263/
---仕事に役立つコマンド入門 - 別のユーザー名で共有フォルダを利用する「net use」:ITpro~
http://itpro.nikkeibp.co.jp/article/COLUMN/20080125/292051/
--API~
新しいOS(XP以降)では出力出来なくなっている模様。
---Writing in Security log on WinXP - Sysinternals Forums~
http://forum.sysinternals.com/writing-in-security-log-on-winxp_topic2804.html
***イベントID [#ee291801]
上手く纏まっている情報はなさそうです。
-アプリケーションログのイベントID一覧~
http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/e16a1828-4860-4f31-a2b8-1d5162413960
--Events and Errors~
http://technet.microsoft.com/ja-jp/library/dd299434.aspx
-イベントIDの解析ついて~
http://social.technet.microsoft.com/Forums/ja-JP/w7itprohardwareja/thread/7873fa69-ce9f-49a5-83bc-e47561f42c9e
--イベントとエラー メッセージ センター 高度な検索~
http://www.microsoft.com/technet/support/ee/ee_advanced.aspx
-ミドルウェア毎に定義がある。
--「Windowsイベントログの一覧 日立」で検索
---JP1/Base~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R7230/BSRE0028.HTM
---JP1/Integrated Management~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R8151/IMMS0028.HTM
---JP1/Performance Management - Agent Option for HiRDB~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K7020/PCAB0204.HTM
---JP1/Performance Management - Agent Option for OpenTP1~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K7460/PCAH0173.HTM
---JP1/Performance Management - Agent Option for uCosminexus Application Server~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R6300/PCAC0349.HTM
---JP1/Performance Management - Agent Option for Enterprise Applications~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K6640/PCAM0190.HTM
---JP1/Performance Management - Agent Option for IBM WebSphere Application Server~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R6101/PCA20150.HTM
---JP1/Power Monitor~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K5400/PW0334.HTM
---Tuning Manager - Agent for SAN Switch~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3W4660/PCAW0232.HTM
---.etc.etc
プレミアサポートと言う手もあります(あまり期待できないそうですが)。
-マイクロソフト製品・技術について調査・問合せをされる方へ~
http://hisolweb2.hitachi-solutions.co.jp/seisag/mssupport/