イベント・ログ
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>ログ収集いろいろ]]
* 目次 [#edeb0e97]
#contents
*概要 [#p19a551b]
-イベント・ログについてのあれこれ。
-OSやミドルウェア、アプリケーションなど様々なプログラムか...
*詳細 [#zff4f62e]
**参照 [#t16c3ee8]
***イベントビューアー [#be3fbf99]
起動方法
Windows 7, Windows Server 2008 R2, Windows Vista
-イベント ビューアーを起動する [Longhorn]~
https://technet.microsoft.com/ja-jp/library/cc766401.aspx
Windows Server 2012R2, Windows Server 2012
-http://faq.mypage.otsuka-shokai.co.jp/app/answers/detail...
***ファイルの場所 [#sd1da65e]
%SystemDrive%\Windows\System\winevt\Logs
***イベントID [#ee291801]
上手く纏まっている情報はなさそうです(製品ごとに確認)。
-アプリケーションログのイベントID一覧~
http://social.technet.microsoft.com/Forums/ja-JP/windowss...
--Events and Errors~
http://technet.microsoft.com/ja-jp/library/dd299434.aspx
-イベントIDの解析ついて~
http://social.technet.microsoft.com/Forums/ja-JP/w7itproh...
--イベントとエラー メッセージ センター 高度な検索~
http://www.microsoft.com/technet/support/ee/ee_advanced.a...
-ミドルウェア毎に定義がある。
--「Windowsイベントログの一覧 日立」で検索
---JP1/Base~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R723...
---JP1/Integrated Management~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R815...
---JP1/Performance Management - Agent Option for HiRDB~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K702...
---JP1/Performance Management - Agent Option for OpenTP1~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K746...
---JP1/Performance Management - Agent Option for uCosmine...
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R630...
---JP1/Performance Management - Agent Option for Enterpri...
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K664...
---JP1/Performance Management - Agent Option for IBM WebS...
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R610...
---JP1/Power Monitor~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K540...
---Tuning Manager - Agent for SAN Switch~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3W466...
---.etc.etc
**ログ出力のテスト [#wdd724b5]
***イベント・ログの出力 [#j7206a6a]
以下で出力可能。
eventcreate /T INFORMATION /id 100 /d "これはログ出力の...
***セキュリティ・ログの出力 [#fd1c8318]
-BAT~
下の感じの bat で出力可能(検証用環境でない環境相手にはや...
@setlocal
for /L %%i in (1,1,100) do (
net use \\[IPアドレス若しくはホスト名]\c$ /user:[ユー...
net use \\[IPアドレス若しくはホスト名]\c$ /d
)
@endlocal
※ ローカルポリシー等でログオンイベントの成功の監査が必...
--管理者必見! ネットワーク・コマンド集 - net useコマンド...
http://itpro.nikkeibp.co.jp/article/COLUMN/20060725/244263/
--仕事に役立つコマンド入門 - 別のユーザー名で共有フォルダ...
http://itpro.nikkeibp.co.jp/article/COLUMN/20080125/292051/
-API~
新しいOS(XP以降)では出力出来なくなっている模様。
--Writing in Security log on WinXP - Sysinternals Forums~
http://forum.sysinternals.com/writing-in-security-log-on-...
**機能と役割 [#w430ad9d]
***[[IIS]] [#gb9c8910]
-IIS の Windows イベント~
https://msdn.microsoft.com/ja-jp/library/cc338087.aspx
***[[Active Directory]], [[LDAP>LDAPプロトコルでのディレ...
-Active Directory Diagnostic Logging~
https://technet.microsoft.com/en-us/library/cc961809.aspx
-Active Directory で LDAP API を使った操作をログに記録す...
http://qiita.com/FmtWeisszwerg/items/be36003fef2f106218bd
--Active DirectoryのLDAP処理のログ | Works | URAMIRAIKAN~
https://www.uramiraikan.net/Works/entry-1804.html
--[ Windows / ActiveDirectory ] LDAP インターフェイスへの~
アクセスをログに記録する方法: Fomalhaut of Piscis Austral...
http://foma-zakki.cocolog-nifty.com/zakki/2012/05/windows...
***[[SQL Server]] [#d6c28200]
-Windows アプリケーション ログの表示~
https://technet.microsoft.com/ja-jp/library/ms191446.aspx
*その他 [#m1d68b30]
**Windowsの接続ログと言えば... [#lcf1bfc2]
***イベントログ(成功の監査、ログイン) [#v453c9b7]
-HTTPベースのNTLM認証(デスクトップにログインしない場合)...
-イベントID:「4624(ログオン成功)」「4625(ログオン失敗...
-参考:[[Windows リモートデスクトップでのログイン記録の調...
***イベントログ(その他のユーザ操作) [#g5b58347]
Windowsのイベントログに記録されるユーザ操作
-ログオン・ログオフ関連
--ログオン成功/失敗(イベントID: 4624, 4625)
--ログオフ(イベントID: 4634)
--セッションのロック/ロック解除(イベントID: 4800, 4801)
--資格情報の使用(イベントID: 4648)
-ファイル・フォルダ操作
--ファイルのアクセス/変更/削除(監査ポリシーが有効な場...
--共有フォルダへのアクセス(イベントID: 5140)
-システム設定・構成変更
--ユーザーアカウントの作成/削除/変更(イベントID: 4720,...
--グループメンバーシップの変更(イベントID: 4732, 4733)
--ポリシー変更(監査、権限など)(イベントID: 4719)
-プログラム・プロセス関連
--プロセスの作成/終了(イベントID: 4688, 4689)
--アプリケーションのインストール/アンインストール(一部...
-ネットワーク・リモート操作
--リモートデスクトップ接続(イベントID: 4624 + 特定のログ...
--ネットワーク接続の確立/切断(イベントID: 5156, 5158)
-その他の操作
--シャットダウン/再起動(イベントID: 6006, 6008, 1074)
--USBデバイスの接続/取り外し(イベントID: 2003 など、デ...
***FailureAuditが出力されない。 [#x694e751]
-以下を見ると、
--内部的には、FailureAuditだけど、
--イベントビューアには、Informationで表示される
>みたいな話のようです。
-参考
--Windows Server 2008 Event log problem:~
SuccessAudit and FailureAudit not recognized | The ASP.NE...
https://forums.asp.net/t/1494360.aspx?Windows+Server+2008...
--Log Analyticsでイベントログ収集時に収集されないログがあ...
https://social.msdn.microsoft.com/Forums/sqlserver/ja-JP/...
---Error=1, Warning=2, Information=4, SuccessAudit=8, Fai...
となっていますが、Orは取れないので、Error=1, Warning=2, I...
しか選択肢がないと選択できないのでしょう。
---イベントビューアでは、便宜上「情報」となっていますが、~
Information=4以上であることを指しているに過ぎないと思いま...
**メッセージテーブルDLL云々 [#p9a82756]
***イベントIDのメッセージ [#mad75dbb]
イベントログのイベントIDに対応するメッセージは、
-NTイベントログに、任意のソースで任意のイベントIDのメッセ...
http://www.monyo.com/technical/products/evt_messages/
メッセージテーブルDLLなどを使用しているらしく、古い仕組み...
***カテゴリ(分類) [#w26d7882]
カテゴリとは、分類を指すもよう。
-https://togarasi.wordpress.com/2008/05/24/%E3%82%A4%E3%8...
WORD wCategory, // イベントの分類
以下の例では、分類に1000を指定するとデバイスと表示されて...
-イベントログにエントリを書き込む - .NET Tips (VB.NET,C#....
https://dobon.net/vb/dotnet/system/writeeventlog.html
以下では、
-Customizing Event Log Categories | Dr Dobb's~
http://www.drdobbs.com/customizing-event-log-categories/1...
--イベントログビューアを開くと、このイベントのカテゴリ列...
その理由は、イベントログビューアがこの特定のソースのカテ...
--これらのデフォルトのカテゴリは次のように定義されている。
- 0 : None
- 1 : Devices
- 2 : Disk
- 3 : Printers
- 4 : Services
- 5 : Shell
- 6 : System Event
- 7 : Network
--また、この続きを読むと、ソースのカテゴリを拡張するにも...
などと説明されている。
*参考 [#tb1bba16]
-【コラム】にわか管理者のためのWindowsサーバ入門 (85)~
イベントログの確認と保存 エンタープライズ マイナビニュ...
http://news.mynavi.jp/column/winserver/085/index.html
**監査の管理 [#lab1b72b]
-概要~
http://technet.microsoft.com/ja-jp/library/dd362983.aspx
-セキュリティ ログの表示~
http://technet.microsoft.com/ja-jp/library/dd362984.aspx
-イベント ログの設定~
http://technet.microsoft.com/ja-jp/library/dd362985.aspx
-イベント ログの保存~
http://technet.microsoft.com/ja-jp/library/dd362986.aspx
-既定のイベント ビューア ログ ファイルの場所の変更~
http://technet.microsoft.com/ja-jp/library/dd362987.aspx
**イベント ビューアー [#r001fbf0]
-イベント ビューアーの操作方法~
https://technet.microsoft.com/ja-jp/library/cc749408.aspx
--イベント ビューアーを起動する~
https://technet.microsoft.com/ja-jp/library/cc766401.aspx
--カスタム ビューを作成して管理する~
https://technet.microsoft.com/ja-jp/library/cc766238.aspx
--イベントの表示方法を構成する~
https://technet.microsoft.com/ja-jp/library/cc765959.aspx
--イベント ログを管理する~
https://technet.microsoft.com/ja-jp/library/cc766178.aspx
--サブスクリプションを管理する~
https://technet.microsoft.com/ja-jp/library/cc749140.aspx
--リモート コンピューター上のイベント ログを操作する~
https://technet.microsoft.com/ja-jp/library/cc766438.aspx
--特定のイベントに応じてタスクを実行する~
https://technet.microsoft.com/ja-jp/library/cc748900.aspx
----
Tags: [[:Windows]]
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>ログ収集いろいろ]]
* 目次 [#edeb0e97]
#contents
*概要 [#p19a551b]
-イベント・ログについてのあれこれ。
-OSやミドルウェア、アプリケーションなど様々なプログラムか...
*詳細 [#zff4f62e]
**参照 [#t16c3ee8]
***イベントビューアー [#be3fbf99]
起動方法
Windows 7, Windows Server 2008 R2, Windows Vista
-イベント ビューアーを起動する [Longhorn]~
https://technet.microsoft.com/ja-jp/library/cc766401.aspx
Windows Server 2012R2, Windows Server 2012
-http://faq.mypage.otsuka-shokai.co.jp/app/answers/detail...
***ファイルの場所 [#sd1da65e]
%SystemDrive%\Windows\System\winevt\Logs
***イベントID [#ee291801]
上手く纏まっている情報はなさそうです(製品ごとに確認)。
-アプリケーションログのイベントID一覧~
http://social.technet.microsoft.com/Forums/ja-JP/windowss...
--Events and Errors~
http://technet.microsoft.com/ja-jp/library/dd299434.aspx
-イベントIDの解析ついて~
http://social.technet.microsoft.com/Forums/ja-JP/w7itproh...
--イベントとエラー メッセージ センター 高度な検索~
http://www.microsoft.com/technet/support/ee/ee_advanced.a...
-ミドルウェア毎に定義がある。
--「Windowsイベントログの一覧 日立」で検索
---JP1/Base~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R723...
---JP1/Integrated Management~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R815...
---JP1/Performance Management - Agent Option for HiRDB~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K702...
---JP1/Performance Management - Agent Option for OpenTP1~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K746...
---JP1/Performance Management - Agent Option for uCosmine...
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R630...
---JP1/Performance Management - Agent Option for Enterpri...
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K664...
---JP1/Performance Management - Agent Option for IBM WebS...
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3R610...
---JP1/Power Monitor~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3K540...
---Tuning Manager - Agent for SAN Switch~
http://www.hitachi.co.jp/Prod/comp/soft1/manual/pc/d3W466...
---.etc.etc
**ログ出力のテスト [#wdd724b5]
***イベント・ログの出力 [#j7206a6a]
以下で出力可能。
eventcreate /T INFORMATION /id 100 /d "これはログ出力の...
***セキュリティ・ログの出力 [#fd1c8318]
-BAT~
下の感じの bat で出力可能(検証用環境でない環境相手にはや...
@setlocal
for /L %%i in (1,1,100) do (
net use \\[IPアドレス若しくはホスト名]\c$ /user:[ユー...
net use \\[IPアドレス若しくはホスト名]\c$ /d
)
@endlocal
※ ローカルポリシー等でログオンイベントの成功の監査が必...
--管理者必見! ネットワーク・コマンド集 - net useコマンド...
http://itpro.nikkeibp.co.jp/article/COLUMN/20060725/244263/
--仕事に役立つコマンド入門 - 別のユーザー名で共有フォルダ...
http://itpro.nikkeibp.co.jp/article/COLUMN/20080125/292051/
-API~
新しいOS(XP以降)では出力出来なくなっている模様。
--Writing in Security log on WinXP - Sysinternals Forums~
http://forum.sysinternals.com/writing-in-security-log-on-...
**機能と役割 [#w430ad9d]
***[[IIS]] [#gb9c8910]
-IIS の Windows イベント~
https://msdn.microsoft.com/ja-jp/library/cc338087.aspx
***[[Active Directory]], [[LDAP>LDAPプロトコルでのディレ...
-Active Directory Diagnostic Logging~
https://technet.microsoft.com/en-us/library/cc961809.aspx
-Active Directory で LDAP API を使った操作をログに記録す...
http://qiita.com/FmtWeisszwerg/items/be36003fef2f106218bd
--Active DirectoryのLDAP処理のログ | Works | URAMIRAIKAN~
https://www.uramiraikan.net/Works/entry-1804.html
--[ Windows / ActiveDirectory ] LDAP インターフェイスへの~
アクセスをログに記録する方法: Fomalhaut of Piscis Austral...
http://foma-zakki.cocolog-nifty.com/zakki/2012/05/windows...
***[[SQL Server]] [#d6c28200]
-Windows アプリケーション ログの表示~
https://technet.microsoft.com/ja-jp/library/ms191446.aspx
*その他 [#m1d68b30]
**Windowsの接続ログと言えば... [#lcf1bfc2]
***イベントログ(成功の監査、ログイン) [#v453c9b7]
-HTTPベースのNTLM認証(デスクトップにログインしない場合)...
-イベントID:「4624(ログオン成功)」「4625(ログオン失敗...
-参考:[[Windows リモートデスクトップでのログイン記録の調...
***イベントログ(その他のユーザ操作) [#g5b58347]
Windowsのイベントログに記録されるユーザ操作
-ログオン・ログオフ関連
--ログオン成功/失敗(イベントID: 4624, 4625)
--ログオフ(イベントID: 4634)
--セッションのロック/ロック解除(イベントID: 4800, 4801)
--資格情報の使用(イベントID: 4648)
-ファイル・フォルダ操作
--ファイルのアクセス/変更/削除(監査ポリシーが有効な場...
--共有フォルダへのアクセス(イベントID: 5140)
-システム設定・構成変更
--ユーザーアカウントの作成/削除/変更(イベントID: 4720,...
--グループメンバーシップの変更(イベントID: 4732, 4733)
--ポリシー変更(監査、権限など)(イベントID: 4719)
-プログラム・プロセス関連
--プロセスの作成/終了(イベントID: 4688, 4689)
--アプリケーションのインストール/アンインストール(一部...
-ネットワーク・リモート操作
--リモートデスクトップ接続(イベントID: 4624 + 特定のログ...
--ネットワーク接続の確立/切断(イベントID: 5156, 5158)
-その他の操作
--シャットダウン/再起動(イベントID: 6006, 6008, 1074)
--USBデバイスの接続/取り外し(イベントID: 2003 など、デ...
***FailureAuditが出力されない。 [#x694e751]
-以下を見ると、
--内部的には、FailureAuditだけど、
--イベントビューアには、Informationで表示される
>みたいな話のようです。
-参考
--Windows Server 2008 Event log problem:~
SuccessAudit and FailureAudit not recognized | The ASP.NE...
https://forums.asp.net/t/1494360.aspx?Windows+Server+2008...
--Log Analyticsでイベントログ収集時に収集されないログがあ...
https://social.msdn.microsoft.com/Forums/sqlserver/ja-JP/...
---Error=1, Warning=2, Information=4, SuccessAudit=8, Fai...
となっていますが、Orは取れないので、Error=1, Warning=2, I...
しか選択肢がないと選択できないのでしょう。
---イベントビューアでは、便宜上「情報」となっていますが、~
Information=4以上であることを指しているに過ぎないと思いま...
**メッセージテーブルDLL云々 [#p9a82756]
***イベントIDのメッセージ [#mad75dbb]
イベントログのイベントIDに対応するメッセージは、
-NTイベントログに、任意のソースで任意のイベントIDのメッセ...
http://www.monyo.com/technical/products/evt_messages/
メッセージテーブルDLLなどを使用しているらしく、古い仕組み...
***カテゴリ(分類) [#w26d7882]
カテゴリとは、分類を指すもよう。
-https://togarasi.wordpress.com/2008/05/24/%E3%82%A4%E3%8...
WORD wCategory, // イベントの分類
以下の例では、分類に1000を指定するとデバイスと表示されて...
-イベントログにエントリを書き込む - .NET Tips (VB.NET,C#....
https://dobon.net/vb/dotnet/system/writeeventlog.html
以下では、
-Customizing Event Log Categories | Dr Dobb's~
http://www.drdobbs.com/customizing-event-log-categories/1...
--イベントログビューアを開くと、このイベントのカテゴリ列...
その理由は、イベントログビューアがこの特定のソースのカテ...
--これらのデフォルトのカテゴリは次のように定義されている。
- 0 : None
- 1 : Devices
- 2 : Disk
- 3 : Printers
- 4 : Services
- 5 : Shell
- 6 : System Event
- 7 : Network
--また、この続きを読むと、ソースのカテゴリを拡張するにも...
などと説明されている。
*参考 [#tb1bba16]
-【コラム】にわか管理者のためのWindowsサーバ入門 (85)~
イベントログの確認と保存 エンタープライズ マイナビニュ...
http://news.mynavi.jp/column/winserver/085/index.html
**監査の管理 [#lab1b72b]
-概要~
http://technet.microsoft.com/ja-jp/library/dd362983.aspx
-セキュリティ ログの表示~
http://technet.microsoft.com/ja-jp/library/dd362984.aspx
-イベント ログの設定~
http://technet.microsoft.com/ja-jp/library/dd362985.aspx
-イベント ログの保存~
http://technet.microsoft.com/ja-jp/library/dd362986.aspx
-既定のイベント ビューア ログ ファイルの場所の変更~
http://technet.microsoft.com/ja-jp/library/dd362987.aspx
**イベント ビューアー [#r001fbf0]
-イベント ビューアーの操作方法~
https://technet.microsoft.com/ja-jp/library/cc749408.aspx
--イベント ビューアーを起動する~
https://technet.microsoft.com/ja-jp/library/cc766401.aspx
--カスタム ビューを作成して管理する~
https://technet.microsoft.com/ja-jp/library/cc766238.aspx
--イベントの表示方法を構成する~
https://technet.microsoft.com/ja-jp/library/cc765959.aspx
--イベント ログを管理する~
https://technet.microsoft.com/ja-jp/library/cc766178.aspx
--サブスクリプションを管理する~
https://technet.microsoft.com/ja-jp/library/cc749140.aspx
--リモート コンピューター上のイベント ログを操作する~
https://technet.microsoft.com/ja-jp/library/cc766438.aspx
--特定のイベントに応じてタスクを実行する~
https://technet.microsoft.com/ja-jp/library/cc748900.aspx
----
Tags: [[:Windows]]
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
