WindowsServer2008の「アプリケーションとサービスログ」監視について
はじめまして。shirosakiと申します。
現在、環境を構築して監視検証を行っているのですが
WindowsServer2008、R2のログ監視にて行き詰まってしまいました。
ご助力お願いします。
[バージョン]
zabbix1.8.5
[監視対象OS]
Windows Server 2008
Windows Server 2008 R2
[監視したいログファイル]
「アプリケーションとサービスログ」>「Microsoft」>「Windows」>「Backup」,「TaskScheduler」の2つ
ファイルパスは下記になります。
C:\Windows\System32\winevt\Logs\Microsoft-Windows-Backup.evtx
C:\Windows\System32\winevt\Logs\Microsoft-Windows-TaskScheduler%4Operational.evtx
特にエラー、警告の項目を拾う必要があります。
Windowsのログ監視キーと言えばキーeventlog[<イベントログ名>]かと思うのですが
上記のログを指定するログ名が分かりませんでした。
代わりにキーlog[<ファイルパス>]を使用してみたのですが、
.evtxだとログの形式が対応していないのか必要な情報が拾えませんでした。
(部分的な情報のみがヒストリに表示されます)
「アプリケーション」「システム」「セキュリティ」や「Windows PowerShell」等の
基本的なログ情報の収集には成功しております。
キーeventlog[<イベントログ名>]で<イベントログ名>の項目を指定する方法については、下記の記事を参考にさせて頂きました。
http://www.zabbix.jp/modules/newbb/viewtopic.php?topic_id=272&forum=6
何かご存知の方いらっしゃいましたら、お知恵を拝借できると幸いです。
kodai - 投稿数: 1341
分からない、というのはどういう状況なのでしょう?
レジストエディタからたどって行っても、該当するイベントログ名が存在しないということでしょうか?
tsuzuki - 投稿数: 78
kodaiさん
[url=http://twitpic.com/6czn3b]http://twitpic.com/6czn3b[/url]
↑のような感じで、WindowsのVistaまでの既存のイベントログとは異なる形式のものを取ろうとされているようです。
まだ詳細確認していませんが、記憶の中では「アプリケーションとサービスログ」を監視するような仕組みはZabbixには実装されていなかったはずです。
おそらく以前、2008対応のために私が手を入れたのが唯一新しいイベントログに関係しているコードだったはず。
その頃は「アプリケーションとサービスログ」に関してはスルーしてたので、今も特に対応はされていないかと思います。
shirosakiさん
Vista以降(Vista、7、2008)ではイベントログの仕組みが変わったのですが、Zabbixまだほとんど新しいイベントログの仕組みに対応していない状態です。
あとでコードをもう一度確認してみますが、現状では「Windowsログ」のイベントログにのみ対応していると考えた方がよいかと思います。
shirosaki - 投稿数: 2
kodaiさん
返信が遅くなってしまいすみません。
仰るとおり、レジストエディタから辿っていっても、
対象のイベントログ名を見つけられませんでした。
レジストリエディタにて/HKEY_LOCALMACHINE/SYSTEM/CurrentControlSet/Services/EventLogと開いていくと
その直下にあるのは、[Application][HardwareEvents][InternetExplorer]
[Key Management Service][Security][System][Windows PowerShell]の7つです。
これらは問題なくキーeventlog[]で情報収集ができております。
tsuzukiさんがアップして下さった画像の通り、
今回、監視の相談をさせて頂いたのはイベント・ビューアから見て
[アプリケーションとサービスログ]>[Microsoft]>[Windows]という階層にあるログの内の1つになります。
この階層にあるログの名前をレジストリエディタの上記の場所では見つけ切れませんでした。
この[サービスとアプリケーションログ]というのは、
従来の[アプリケーション]ログや[システム]ログを含む[Windowsログ]ではなく、
WindowsVista以降からイベントログが拡張されてできた項目になります。
【参考】http://technet.microsoft.com/ja-jp/library/cc722404%28WS.10%29.aspx
※「アプリケーションとサービスログ」の一番上の階層のログには
レジストリエディタに名前の記載が有るものも存在します。
現状の説明が不足しており、すみませんでした。
tsuzukiさん
返信と解説、ありがとうございます。
監視を行いたいWindowsServer2008のログについて、仰るとおりです。
やはりzabbixでは、「サービスとアプリケーションログ」中の
細かい項目に対応しきれていない可能性が高いのですね。
レジストリエディタの[EventLog]項目直下にログ名のある
イベントログ監視は問題なく行えるだけに諦め切れませんでした。
OS側のコマンドやタスクと一緒に上手いこと監視できないか模索してみます。
また、何か成果が出ましたら報告に上がります。
ご回答ありがとうございます。
kodai - 投稿数: 1341
情報ありがとうございます。内容理解できました。
現時点ではサポートされておらず、おそらくは2.0以降の機能追加要望になるかと思います。
Zabbix SIAにも改善要望としてタスク登録しておきました。
https://support.zabbix.com/browse/ZBXNEXT-934