Windows 2008におけるイベントログ監視について
いつもお世話になっております。
Windowsのイベントログ監視について伺いたいことがあります。
[バージョン]
ZABBIX-1.4.4
[監視対象OS]
Windows Server 2003 R2
Windows Server 2008 RC1
過去のログを参照し、以下の設定でイベントログ監視を設定しました。
タイプ: ZABBIX Agent(Active)
キー: eventlog[<イベントログ名>]
データ型: Log
上記の設定で、2003及び2008共に設定することができました。
しかし、Windows Server 2008 RC1においてMonitoring>LastDataのValueの値が以下のようにおかしくなっているように思います。
例:EventID [1073748860],Windows Modules Installer,
EventIDの部分がWindowsのイベントビューアですとイベントIDが7036ですが、ZABBIXの取得したデータは1073748860となっております。イベントIDが変わってしまう理由はなにかあるのでしょうか?
Windows Server 2008はそもそもサポートされてないOSである認識はあるのですが、もし情報があればご教示願いと思います。
以上、宜しくお願い致します。
shige - 投稿数: 32
ZABBIXでeventlogを監視して取得できる情報は、イベントビューアの
説明の部分だけのようなので、正常に動いているようです。
お騒がせしました。
tsuzuki - 投稿数: 78
古い投稿への返答になりますが、この現象はWindows Vista以降(Windows Vista、Windows 2008、Windows 7)で発生します。
Windows Vista以降において、新しいイベントログの仕組みが採用されたため、新しいイベントログの仕組みを利用した一部のイベントログのメッセージが取得できず、代わりにEventIDを表示しています。(一部のログのみが影響を受けます。)
メッセージが取得できない理由は、ZabbixがWindows Vista以降の新しいイベントログの仕組みに対応していないためです。現時点の最新の Zabbix 1.6.x および 1.8.x においても対応されていません。
現在以下のBUGとして登録してパッチも投稿していますが、優先度が低いためか、進展がないため、zabbix-jpのパッケージで対応してバイナリを作成することも考えています。
https://support.zabbix.com/browse/ZBX-2008?page=com.atlassian.jira.plugin.system.issuetabpanels:all-tabpanel