Open棟梁Project - マイクロソフト系技術情報 Wiki * 目次 [#w5c5a79a] #contents *概要 [#a54487d8] ログ収集に関する様々なトピック。 *所在 [#t834eb78] **イベント・ログ [#tb5b916a] -監査の管理 --概要~ http://technet.microsoft.com/ja-jp/library/dd362983.aspx --セキュリティ ログの表示~ http://technet.microsoft.com/ja-jp/library/dd362984.aspx --イベント ログの設定~ http://technet.microsoft.com/ja-jp/library/dd362985.aspx --イベント ログの保存~ http://technet.microsoft.com/ja-jp/library/dd362986.aspx --既定のイベント ビューア ログ ファイルの場所の変更~ http://technet.microsoft.com/ja-jp/library/dd362987.aspx **タスク・スケジュール・ログ [#jc71d2bc] -@IT:Windows TIPS -- Tips:タスク・ログ・ファイルの見方~ http://www.atmarkit.co.jp/fwin2k/win2ktips/466tasklog/tasklog.html **IIS [#s2bd3626] -IISのログ・ファイル・フォルダを変更する - @IT~ http://www.atmarkit.co.jp/fwin2k/win2ktips/525iislogs/iislogs.html -IIS 7 でログ記録を構成する~ http://technet.microsoft.com/ja-jp/library/cc732079.aspx -インターネット インフォメーション サービス (IIS) のログ収集を有効にする方法~ http://support.microsoft.com/kb/313437/ja **SQL Server [#ba820aa5] -SQL Server エラー ログの表示~ http://msdn.microsoft.com/ja-jp/library/ms187885.aspx -MSDN Blogs > Microsoft SQL Server Japan Support Team Blog --Tips:SQL Server の Log フォルダの位置の確認方法~ http://blogs.msdn.com/b/jpsql/archive/2012/06/19/tips-sql-server-log.aspx --[SQL Troubleshooting] 第1回 : Tips~ SQL Server エラーログとイベント ログを採取する (SQL 2000 ~ 2008 R2)~ http://blogs.msdn.com/b/jpsql/archive/2012/03/27/info-sql-server-sql-server-error-log-and-event-log.aspx *ツール類 [#lba0934c] **採取系 [#da5e3d3c] 下記、[[テキスト化>#d29c7379]]も参照。 ***ネットワーク [#y2099543] 電文取得もログ採取の一環です。 -[[電文を確認する方法(パケット・キャプチャ)]] ***Active Directory [#h3041545] -[[Active Directory]] --[[グループポリシー設定リスト]] ***MPS Report [#e4a7bc64] Microsoft Product Support Report(MPS_Report) >環境変更時や障害発生時のログ収集のために使用する。 -Microsoft Configuration Capture ユーティリティ (MPS_REPORTS) の概要~ http://support.microsoft.com/kb/818742/ja >MPS_REPORTS は、コンピュータの重要な情報~ (システム情報、診断情報、および構成情報)を収集するために使用可能な~ スクリプトや他のユーティリティを含む圧縮されたソフトウェア パッケージ -download Microsoft Product Support Reports~ Microsoft Download Center - Download Details~ http://www.microsoft.com/en-us/download/details.aspx?id=24745 -Live Meeting エディション MPS レポート ツールを利用する~ http://technet.microsoft.com/ja-jp/library/ff986278.aspx -Microsoft Product Support Reports ログ採取方法 - JPFAQ_198373 デル Japan~ http://supportapj.dell.com/support/topics/global.aspx/support/kcs/document?c=jp&docid=226373_ja **分析系 [#d1780a26] ***LogParser [#w324d67c] -Log Parserの概要 - @IT~ http://www.atmarkit.co.jp/fwin2k/operation/logparser1/logparser1_01.html ++Log Parserで何ができるのか~ http://www.atmarkit.co.jp/fwin2k/operation/logparser1/logparser1_02.html ++Log Parserの入手とインストール~ http://www.atmarkit.co.jp/fwin2k/operation/logparser1/logparser1_03.html ++Log ParserをWSHスクリプトから使う~ http://www.atmarkit.co.jp/fwin2k/operation/logparser1/logparser1_04.html >Log Parserには、上記入出力形式を変換するための~ 専用のSQL形式エンジン・コアが実装されている。~ このためLog Parserを利用したデータ変換や集計では、~ --一般的なSQL句(SELECT、WHERE、GROUP BY、HAVING、ORDER BYなど)や、 --集計関数(SUM、COUNT、AVG、MAX、MINなど)、 --およびその豊富な関数(TO_STRING、SUBSTR、CASEなど)を >利用可能である。 → この機能が、ログの加工・分析を支援する。 Log Parser 2.2が扱える主な入出力形式 |入力形式|出力形式|h |IIS W3C拡張ログ形式|W3C拡張ログ形式| |Microsoft IISログ・ファイル形式|SQL Serverへのデータ送信| |NCSA共通ログ・ファイル形式|SYSLOGサーバへのデータ送信| |集中バイナリ・ログ|チャート形式| |HTTPエラー・ログ|テンプレートを利用したHTML形式| |ODBCログ|XML形式| |FTPログ・ファイル|CSV形式| |SMTPログ・ファイル|タブ区切りテキスト形式| |Windowsイベント・ログ|汎用的なテキスト形式| |Windowsレジストリ|| |Active Directoryオブジェクト|| |ファイルとディレクトリ情報|| |NetMon.capキャプチャ・ファイル|| |拡張または結合されたNCSAログ・ファイル|| |W3C拡張ログ形式|| |ETW(Event Tracing for Windows)トレース|| |XML形式|| |CSV形式|| |タブ区切りテキスト形式|| |汎用的なテキスト形式|| |独自の入力形式(COM入力形式のCOM+プラグインの作成が必要)|| ***wlog [#i7e1d657] Webサーバのログを一度Accessにインポートし、~ そこから、Excelのピボットテーブルを生成する。 >Accessにインポートするので、そこからSQLによる分析も可能。 -生産技術センタ / 開発構造改革センタ > ノウハウ > 生産技術ガイド > その他~ http://hisolweb2.hitachi-solutions.co.jp/seigi/hp/project/guide_assist/index.html#ui-tabs-10 --wlog(Webサーバ用のアクセス・ログ収集、解析ツール)の利用方法~ http://hisolweb2.hitachi-solutions.co.jp/seigi/hp/project/guide_assist/docs/assist/memo_dotnet/DMSG-0039.pdf ***MPS Report Viewer [#hbaf9bb6] Microsoft Product Support Report(MPS_Report)~ で収集したログのビューアになります。 -ユーティリティ スポットライト トラブルシューティング データを収集する~ http://technet.microsoft.com/ja-jp/magazine/jj860527.aspx -Download MPSReports Viewer 2.0 from Official Microsoft Download Center~ http://www.microsoft.com/en-us/download/details.aspx?id=18325 *テキスト化 [#d29c7379] ログをテキスト化して収集する方法~ (SenSageサポート時入手した情報など) **イベント・ログ [#w74c9f82] -監査の管理 ‐ イベント ログの保存(TXT、CSVでのエクスポート)~ http://technet.microsoft.com/ja-jp/library/dd362986.aspx ***LogParser [#uc8f4ef6] 2000/2003イベント・ログを~ LogParserコマンドでテキスト・ファイル出力できる。 以下コマンド例 -対象 --System --Application --Security -抽出時間帯 --<時間帯フラグ>:対象時間帯 +++:前日16時~当日0時未満 +++:当日0時以降~当日7時未満 +++:当日7時以降~当日16時未満 -コマンド --前日16時~当日0時未満 LogParser "SELECT EventLog,TimeGenerated,EventID,EventTypeName,EventCategoryName,SourceName, ComputerName,SID,Message INTO 出力PATH + <サーバ名>_<ログ種別ID>_<年月日>_1.log FROM System WHERE TO_DATE(TimeGenerated) = SUB(TO_TIMESTAMP('引数の<日付>','yyyy/MM/dd'), TIMESTAMP('2','d')) AND TO_TIME(TimeGenerated) >= TIMESTAMP('16','h')" -i:EVT -o:CSV -q:ON -resolveSIDs:ON --当日0時以降~当日7時未満 LogParser "SELECT EventLog, TimeGenerated, EventID,EventTypeName, EventCategoryName, SourceName, ComputerName, SID, Message INTO 出力PATH + <サーバ名>_<ログ種別ID>_<年月日>_1.log FROM System WHERE TO_DATE(TimeGenerated) = TO_TIMESTAMP('引数の<日付>','yyyy/MM/dd') AND TO_TIME(TimeGenerated) < TIMESTAMP('7','h')" -i:EVT -o:CSV -q:ON -resolveSIDs:ON --当日7時以降~当日16時未満 LogParser "Select EventLog, TimeGenerated, EventID, EventTypeName, EventCategoryName, SourceName, ComputerName, SID, Message INTO 出力PATH + <サーバ名>_<ログ種別ID>_<年月日>_1.log FROM System WHERE TO_DATE(TimeGenerated) = TO_TIMESTAMP('引数の<日付>','yyyy/MM/dd') AND TO_TIME(TimeGenerated) >= TIMESTAMP('7','h') AND TO_TIME(TimeGenerated) < TIMESTAMP('16','h')" -i:EVT -o:CSV -q:ON -resolveSIDs:ON ※ "From System" の部分は、"From Application"、"From Security"にも対応 ※ 日付の部分は、引数の値に変更する。 ***wevtutil [#i0875e61] 2008/2012イベント・ログを~ wevtutilコマンドでテキスト・ファイル出力できる。 以下コマンド例 -コマンド wevtutil qe System "/q:*[System[TimeCreated[@SystemTime>='yyyy-mm-ddT00:00:00.000Z' and @SystemTime<= 'yyyy-mm-ddT00:00:00.000Z']]]" /f:text > 出力パス + <サーバ名>_<ログ種別ID>_<年月日>_<時間帯フラグ>.log ※ "qe System" の部分は、"qe Application"、"qe Security"にも対応 ※ 日付の部分は、引数の値に変更する。 ※ 3種類のファイルを抽出するが、途中で処理が失敗した場合、途中で処理を中断する。 **タスク・スケジュール・ログ [#of0425f2] タスク・スケジュール・ログを~ schtasksコマンドでテキスト・ファイル出力できる。 -schtasksコマンド~ schtasksコマンドで、テキスト・ファイル出力可能(以下、コマンドの例)。 --Windows Server 2003 で Schtasks.exe~ を使用してタスクをスケジュールする方法~ http://support.microsoft.com/kb/814596/ja schtasks /QUERY /FO CSV /V > TasksLog.log schtasks /QUERY /FO CSV /V /S <サーバ名> > TasksLog.log **SQL Serverトレース・ログ [#iaa9b09a] SQL Server 2012トレース・ログ(バイナリ)をSQL Server 2005でもインポートできる。 ***準備 [#ce1c45bc] -ログ・テーブル作成 SET ANSI_NULLS ON GO SET QUOTED_IDENTIFIER ON GO CREATE TABLE [dbo].[テーブル名]( [TextData] [ntext] COLLATE Japanese_CI_AS NULL, [BinaryData] [image] NULL, [DatabaseID] [int] NULL, [TransactionID] [bigint] NULL, [LineNumber] [int] NULL, [NTUserName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [NTDomainName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [HostName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [ClientProcessID] [int] NULL, [ApplicationName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [LoginName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [SPID] [int] NULL, [Duration] [bigint] NULL, [StartTime] [datetime] NULL, [EndTime] [datetime] NULL, [Reads] [bigint] NULL, [Writes] [bigint] NULL, [CPU] [int] NULL, [Permissions] [bigint] NULL, [Severity] [int] NULL, [EventSubClass] [int] NULL, [ObjectID] [int] NULL, [Success] [int] NULL, [IndexID] [int] NULL, [IntegerData] [int] NULL, [ServerName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [EventClass] [int] NULL, [ObjectType] [int] NULL, [NestLevel] [int] NULL, [State] [int] NULL, [Error] [int] NULL, [Mode] [int] NULL, [Handle] [int] NULL, [ObjectName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [DatabaseName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [FileName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [OwnerName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [RoleName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [TargetUserName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [DBUserName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [LoginSid] [image] NULL, [TargetLoginName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [TargetLoginSid] [image] NULL, [ColumnPermissions] [int] NULL, [LinkedServerName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [ProviderName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [MethodName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [RowCounts] [bigint] NULL, [RequestID] [int] NULL, [XactSequence] [bigint] NULL, [EventSequence] [int] NULL, [BigintData1] [bigint] NULL, [BigintData2] [bigint] NULL, [GUID] [uniqueidentifier] NULL, [IntegerData2] [int] NULL, [ObjectID2] [bigint] NULL, [Type] [int] NULL, [OwnerID] [int] NULL, [ParentName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [IsSystem] [int] NULL, [Offset] [int] NULL, [SourceDatabaseID] [int] NULL, [SqlHandle] [image] NULL, [SessionLoginName] [nvarchar](256) COLLATE Japanese_CI_AS NULL, [PlanHandle] [image] NULL ) ON [PRIMARY] TEXTIMAGE_ON [PRIMARY] -ストアド登録 SET ANSI_NULLS ON GO SET QUOTED_IDENTIFIER ON GO CREATE PROCEDURE [dbo].[ImportTraceFile] @Param1 nvarchar(256), @Param2 nvarchar(30) AS BEGIN SET NOCOUNT ON; exec( 'INSERT INTO ' + @Param2 + ' SELECT * FROM fn_trace_gettable(''' + @Param1 + ''', default)') END GO ***トレースのインポート・エクスポート [#n6808d00] -インポート~ 上記ストアド(ImportTraceFile)を実行 --@Param1:トレースファイル名 --@Param2:テーブル名 --ストアドは必須でない(fn_trace_gettableを直接実行可能)。 ---In SQL Server, how to move-import a multiple~ .trc files to a trace table - Stack Overflow~ http://stackoverflow.com/questions/2784714/in-sql-server-how-to-move-import-a-multiple-trc-files-to-a-trace-table -エクスポート(bcp) cmd.exe /c bcp "SELECT EventClass, Success, ApplicationName, HostName, LoginName, SPID, Duration, StartTime, EndTime, ObjectName, DatabaseName, ServerName, EventSubClass, TargetLoginName, RoleName, TargetUserName, TextData FROM テーブル名" queryout C:\Trace.txt -c -t , -r ,\n -T --bcp ユーティリティ~ http://msdn.microsoft.com/ja-jp/library/ms162802.aspx *その他 [#h02aa978] **イベント・ログ [#v2b331d2] ***ログ出力のテスト [#wdd724b5] -イベント・ログの出力~ 以下で出力可能。 eventcreate /T INFORMATION /id 100 /d "これはログ出力のテストです。" -セキュリティ・ログの出力 --BAT~ 下の感じの bat で出力可能(検証用環境でない環境相手にはやらないように) @setlocal for /L %%i in (1,1,100) do ( net use \\[IPアドレス若しくはホスト名]\c$ /user:[ユーザID] [パスワード] net use \\[IPアドレス若しくはホスト名]\c$ /d ) @endlocal ※ ローカルポリシー等でログオンイベントの成功の監査が必要。 ---管理者必見! ネットワーク・コマンド集 - net useコマンド:ITpro~ http://itpro.nikkeibp.co.jp/article/COLUMN/20060725/244263/ ---仕事に役立つコマンド入門 - 別のユーザー名で共有フォルダを利用する「net use」:ITpro~ http://itpro.nikkeibp.co.jp/article/COLUMN/20080125/292051/ --API~ 新しいOS(XP以降)では出力出来なくなっている模様。 ---Writing in Security log on WinXP - Sysinternals Forums~ http://forum.sysinternals.com/writing-in-security-log-on-winxp_topic2804.html ***イベントID [#ee291801] 上手く纏まっている情報はなさそうです。 -アプリケーションログのイベントID一覧~ http://social.technet.microsoft.com/Forums/ja-JP/windowsserver2008ja/thread/e16a1828-4860-4f31-a2b8-1d5162413960 --Events and Errors~ http://technet.microsoft.com/ja-jp/library/dd299434.aspx -イベントIDの解析ついて~ http://social.technet.microsoft.com/Forums/ja-JP/w7itprohardwareja/thread/7873fa69-ce9f-49a5-83bc-e47561f42c9e --イベントとエラー メッセージ センター 高度な検索~ http://www.microsoft.com/technet/support/ee/ee_advanced.aspx -ミドルウェア毎に定義がある。 --「Windowsイベントログの一覧 日立」で検索 ---JP1/Base~ http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R7230/BSRE0028.HTM ---JP1/Integrated Management~ http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R8151/IMMS0028.HTM ---JP1/Performance Management - Agent Option for HiRDB~ http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K7020/PCAB0204.HTM ---JP1/Performance Management - Agent Option for OpenTP1~ http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K7460/PCAH0173.HTM ---JP1/Performance Management - Agent Option for uCosminexus Application Server~ http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R6300/PCAC0349.HTM ---JP1/Performance Management - Agent Option for Enterprise Applications~ http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K6640/PCAM0190.HTM ---JP1/Performance Management - Agent Option for IBM WebSphere Application Server~ http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R6101/PCA20150.HTM ---JP1/Power Monitor~ http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K5400/PW0334.HTM ---Tuning Manager - Agent for SAN Switch~ http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3W4660/PCAW0232.HTM ---.etc.etc