ログ収集いろいろ のバックアップ(No.8)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ログ収集いろいろ へ行く。
  • 1 (2014-09-11 (木) 17:00:17)
  • 2 (2014-09-11 (木) 17:29:37)
  • 3 (2014-09-13 (土) 00:43:57)
  • 4 (2014-09-17 (水) 09:52:10)
  • 5 (2014-09-18 (木) 22:25:39)
  • 6 (2015-07-23 (木) 10:12:29)
  • 7 (2015-08-08 (土) 20:40:00)
  • 8 (2016-01-26 (火) 19:05:36)
  • 9 (2017-03-27 (月) 13:12:48)
  • 10 (2017-04-05 (水) 14:05:47)
  • 11 (2017-04-18 (火) 13:16:43)
  • 12 (2018-02-03 (土) 14:20:06)
  • 13 (2018-08-20 (月) 12:36:22)
  • 14 (2018-09-07 (金) 12:58:33)
  • 15 (2018-11-06 (火) 10:48:19)
  • 16 (2020-02-21 (金) 12:19:51)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

目次 †

概要 †

ログ収集に関する様々なトピック。

所在 †

イベント・ログ †

• 監査の管理
  • 概要
    http://technet.microsoft.com/ja-jp/library/dd362983.aspx
  • セキュリティ ログの表示
    http://technet.microsoft.com/ja-jp/library/dd362984.aspx
  • イベント ログの設定
    http://technet.microsoft.com/ja-jp/library/dd362985.aspx
  • イベント ログの保存
    http://technet.microsoft.com/ja-jp/library/dd362986.aspx
  • 既定のイベント ビューア ログ ファイルの場所の変更
    http://technet.microsoft.com/ja-jp/library/dd362987.aspx

タスク・スケジュール・ログ †

• ＠IT：Windows TIPS -- Tips：タスク・ログ・ファイルの見方
  http://www.atmarkit.co.jp/fwin2k/win2ktips/466tasklog/tasklog.html

IIS †

• IISのログ・ファイル・フォルダを変更する － ＠IT
  http://www.atmarkit.co.jp/fwin2k/win2ktips/525iislogs/iislogs.html

• IIS 7 でログ記録を構成する
  http://technet.microsoft.com/ja-jp/library/cc732079.aspx
• インターネット インフォメーション サービス (IIS) のログ収集を有効にする方法
  http://support.microsoft.com/kb/313437/ja

SQL Server †

• SQL Server エラー ログの表示
  http://msdn.microsoft.com/ja-jp/library/ms187885.aspx

• MSDN Blogs > Microsoft SQL Server Japan Support Team Blog
  • Tips:SQL Server の Log フォルダの位置の確認方法
    http://blogs.msdn.com/b/jpsql/archive/2012/06/19/tips-sql-server-log.aspx

• [SQL Troubleshooting] 第1回 : Tips
  SQL Server エラーログとイベント ログを採取する (SQL 2000 ～ 2008 R2)
  http://blogs.msdn.com/b/jpsql/archive/2012/03/27/info-sql-server-sql-server-error-log-and-event-log.aspx

ネットワーク上の電文 †

ネットワーク上の電文取得もログ採取の一環です。

• 電文を確認する方法（パケット・キャプチャ）

ツール類 †

採取系 †

下記、テキスト化も参照。

Active Directory †

• Active Directory
  • グループポリシー設定リスト

MPS Report †

Microsoft Product Support Report（MPS_Report）

環境変更時や障害発生時のログ収集のために使用する。

• Microsoft Configuration Capture ユーティリティ (MPS_REPORTS) の概要
  http://support.microsoft.com/kb/818742/ja

  MPS_REPORTS は、コンピュータの重要な情報
  (システム情報、診断情報、および構成情報)を収集するために使用可能な
  スクリプトや他のユーティリティを含む圧縮されたソフトウェア パッケージ

• download Microsoft Product Support Reports
  Microsoft Download Center - Download Details
  http://www.microsoft.com/en-us/download/details.aspx?id=24745

• Live Meeting エディション MPS レポート ツールを利用する
  http://technet.microsoft.com/ja-jp/library/ff986278.aspx

• Microsoft Product Support Reports ログ採取方法 - JPFAQ_198373 デル Japan
  http://supportapj.dell.com/support/topics/global.aspx/support/kcs/document?c=jp&docid=226373_ja

分析系 †

LogParser †

LogParserの機能は、ログの加工・分析を支援する。

wlog †

Webサーバのログを一度Accessにインポートし、
そこから、Excelのピボットテーブルを生成する。

Accessにインポートするので、そこからSQLによる分析も可能。

MPS Report Viewer †

Microsoft Product Support Report（MPS_Report）
で収集したログのビューアになります。

• ユーティリティ スポットライト トラブルシューティング データを収集する
  http://technet.microsoft.com/ja-jp/magazine/jj860527.aspx
• Download MPSReports Viewer 2.0 from Official Microsoft Download Center
  http://www.microsoft.com/en-us/download/details.aspx?id=18325

テキスト化 †

ログをテキスト化して収集する方法

イベント・ログ †

• 監査の管理 ‐ イベント ログの保存（TXT、CSVでのエクスポート）
  http://technet.microsoft.com/ja-jp/library/dd362986.aspx

LogParser †

2000/2003イベント・ログを
LogParserコマンドでテキスト・ファイル出力できる。

以下コマンド例

• 対象
  • System
  • Application
  • Security

• 抽出時間帯
  • <時間帯フラグ>：対象時間帯
    1. ：前日16時～当日0時未満
    2. ：当日0時以降～当日7時未満
    3. ：当日7時以降～当日16時未満

• コマンド
  • 前日16時～当日0時未満

    LogParser
     "SELECT EventLog,TimeGenerated,EventID,EventTypeName,EventCategoryName,SourceName, ComputerName,SID,Message
      INTO 出力PATH + <サーバ名>_<ログ種別ID>_<年月日>_1.log
      FROM System
      WHERE TO_DATE(TimeGenerated) = SUB(TO_TIMESTAMP('引数の<日付>','yyyy/MM/dd'), TIMESTAMP('2','d'))
       AND TO_TIME(TimeGenerated) >= TIMESTAMP('16','h')"
     -i:EVT -o:CSV -q:ON -resolveSIDs:ON

• 当日0時以降～当日7時未満

  LogParser
   "SELECT EventLog, TimeGenerated, EventID,EventTypeName, EventCategoryName, SourceName, ComputerName, SID, Message
    INTO 出力PATH + <サーバ名>_<ログ種別ID>_<年月日>_1.log
    FROM System
    WHERE TO_DATE(TimeGenerated) = TO_TIMESTAMP('引数の<日付>','yyyy/MM/dd')
     AND TO_TIME(TimeGenerated) < TIMESTAMP('7','h')"
  -i:EVT -o:CSV -q:ON -resolveSIDs:ON

• 当日7時以降～当日16時未満

  LogParser
   "Select EventLog, TimeGenerated, EventID, EventTypeName, EventCategoryName, SourceName, ComputerName, SID, Message
    INTO 出力PATH + <サーバ名>_<ログ種別ID>_<年月日>_1.log
    FROM System
    WHERE TO_DATE(TimeGenerated) = TO_TIMESTAMP('引数の<日付>','yyyy/MM/dd')
     AND TO_TIME(TimeGenerated) >= TIMESTAMP('7','h')
     AND TO_TIME(TimeGenerated) < TIMESTAMP('16','h')"
   -i:EVT -o:CSV -q:ON -resolveSIDs:ON
  ※ "From System" の部分は、"From Application"、"From Security"にも対応
  ※ 日付の部分は、引数の値に変更する。

wevtutil †

2008/2012イベント・ログを
wevtutilコマンドでテキスト・ファイル出力できる。

以下コマンド例

• コマンド

  wevtutil qe System
   "/q:*[System[TimeCreated[@SystemTime>='yyyy-mm-ddT00:00:00.000Z'
   and @SystemTime<= 'yyyy-mm-ddT00:00:00.000Z']]]"
  /f:text > 出力パス + <サーバ名>_<ログ種別ID>_<年月日>_<時間帯フラグ>.log
  ※ "qe System" の部分は、"qe Application"、"qe Security"にも対応
  ※ 日付の部分は、引数の値に変更する。
  ※ 3種類のファイルを抽出するが、途中で処理が失敗した場合、途中で処理を中断する。

タスク・スケジュール・ログ †

タスク・スケジュール・ログを
schtasksコマンドでテキスト・ファイル出力できる。

• schtasksコマンド
  schtasksコマンドで、テキスト・ファイル出力可能（以下、コマンドの例）。

• Windows Server 2003 で Schtasks.exe
  を使用してタスクをスケジュールする方法
  http://support.microsoft.com/kb/814596/ja

schtasks /QUERY /FO CSV /V > TasksLog.log
schtasks /QUERY /FO CSV /V /S <サーバ名>  > TasksLog.log

SQL Serverトレース・ログ †

SQL Server 2012トレース・ログ（バイナリ）をSQL Server 2005でもインポートできる。

準備 †

• ログ・テーブル作成

  SET ANSI_NULLS ON
  GO
  SET QUOTED_IDENTIFIER ON
  GO
  CREATE TABLE [dbo].[テーブル名](
   [TextData] [ntext] COLLATE Japanese_CI_AS NULL,
   [BinaryData] [image] NULL,
   [DatabaseID] [int] NULL,
   [TransactionID] [bigint] NULL,
   [LineNumber] [int] NULL,
   [NTUserName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [NTDomainName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [HostName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [ClientProcessID] [int] NULL,
   [ApplicationName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [LoginName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [SPID] [int] NULL,
   [Duration] [bigint] NULL,
   [StartTime] [datetime] NULL,
   [EndTime] [datetime] NULL,
   [Reads] [bigint] NULL,
   [Writes] [bigint] NULL,
   [CPU] [int] NULL,
   [Permissions] [bigint] NULL,
   [Severity] [int] NULL,
   [EventSubClass] [int] NULL,
   [ObjectID] [int] NULL,
   [Success] [int] NULL,
   [IndexID] [int] NULL,
   [IntegerData] [int] NULL,
   [ServerName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [EventClass] [int] NULL,
   [ObjectType] [int] NULL,
   [NestLevel] [int] NULL,
   [State] [int] NULL,
   [Error] [int] NULL,
   [Mode] [int] NULL,
   [Handle] [int] NULL,
   [ObjectName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [DatabaseName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [FileName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [OwnerName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [RoleName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [TargetUserName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [DBUserName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [LoginSid] [image] NULL,
   [TargetLoginName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [TargetLoginSid] [image] NULL,
   [ColumnPermissions] [int] NULL,
   [LinkedServerName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [ProviderName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [MethodName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [RowCounts] [bigint] NULL,
   [RequestID] [int] NULL,
   [XactSequence] [bigint] NULL,
   [EventSequence] [int] NULL,
   [BigintData1] [bigint] NULL,
   [BigintData2] [bigint] NULL,
   [GUID] [uniqueidentifier] NULL,
   [IntegerData2] [int] NULL,
   [ObjectID2] [bigint] NULL,
   [Type] [int] NULL,
   [OwnerID] [int] NULL,
   [ParentName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [IsSystem] [int] NULL,
   [Offset] [int] NULL,
   [SourceDatabaseID] [int] NULL,
   [SqlHandle] [image] NULL,
   [SessionLoginName] [nvarchar](256) COLLATE Japanese_CI_AS NULL,
   [PlanHandle] [image] NULL
  ) ON [PRIMARY] TEXTIMAGE_ON [PRIMARY]

• ストアド登録

  SET ANSI_NULLS ON
  GO
  SET QUOTED_IDENTIFIER ON
  GO
  CREATE PROCEDURE [dbo].[ImportTraceFile]
  	@Param1 nvarchar(256),
  	@Param2 nvarchar(30)
  AS
  BEGIN
   SET NOCOUNT ON;
   exec(
   'INSERT INTO ' + @Param2 + 
   ' SELECT * FROM fn_trace_gettable(''' + @Param1 + ''', default)')
  END
  GO

トレースのインポート・エクスポート †

• インポート
  上記ストアド（ImportTraceFile?）を実行
  • @Param1：トレースファイル名
  • @Param2：テーブル名

• ストアドは必須でない（fn_trace_gettableを直接実行可能）。
  • In SQL Server, how to move-import a multiple
    .trc files to a trace table - Stack Overflow
    http://stackoverflow.com/questions/2784714/in-sql-server-how-to-move-import-a-multiple-trc-files-to-a-trace-table

• エクスポート（bcp）

  cmd.exe /c bcp
   "SELECT
     EventClass, Success, ApplicationName, HostName, LoginName, SPID,
     Duration, StartTime, EndTime, ObjectName, DatabaseName, ServerName,
     EventSubClass, TargetLoginName, RoleName, TargetUserName, TextData
    FROM テーブル名"
   queryout C:\Trace.txt -c -t , -r ,\n -T

• bcp ユーティリティ
  http://msdn.microsoft.com/ja-jp/library/ms162802.aspx

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.034 sec.