イベントログを監視する

| | コメント(0) | トラックバック(0)

Windowsについている「イベントビューア」でも監視可能。
「イベントビューア」>ログ名を「右クリック」>「プロパティ」>「フィルタ」タブ

ですが、効率よくするには・・・。

「WMIC NTEVEMT」「WMIC NTEVEMTLOG」

WindowsXP以降?
WMIC (Windows Management Insturmentation コマンド ライン) を使います。
WMICっていろんな事できるみたいだけど、ここではイベントログ関係のみ。

# 「NTEVEMT」インスタンスの簡単なヘルプ
C:\> WMIC NTEVENT /?
# 「NTEVEMTLOG」インスタンスの簡単なヘルプ
C:\> WMIC NTEVENTLOG /?
# ログの一覧を表示?
C:\> WMIC NTEVENTLOG

WQL(WMI Query Language)クエリのWHERE句が使えるらしい(よく分からない)。

(例)

# INFORMATION以外のアプリケーションログを表示 (属性のデータとメタデータ)
C:\> WMIC NTEVENT WHERE "(LogFile='Application' AND Type!='INFORMATION')" GET
# セキュリティログのログオン失敗レコード(529)を表示 (値)
C:\> WMIC NTEVENT WHERE "(LogFile='Security' AND EventCode='529')" GET /VALUE
# システムログのエラーをHTMLテーブルの形式で出力
C:\> WMIC NTEVENT WHERE "(LogFile='System' AND Type='ERROR')" GET /FORMAT:htable.xsl > systemerror.html
# システムログのエラーをCVSの形式で出力(フィールド(?)を指定)
C:\> WMIC NTEVENT WHERE "(LogFile='System' AND Type='ERROR')" GET Message, TimeGenerated /FORMAT:csv.xsl > systemerror.csv

指定可能なフィールドはこんな感じ。

Category = カテゴリ
CategoryString = カテゴリ文字列
ComputerName = コンピュータ
EventCode = イベント
EventIdentifier
EventType
LogFile = ログ ファイル
Message = メッセージ
RecordNumber = レコード番号
SourceName = ソース
TimeGenerated = 生成時刻
TimeWritten
Type = タイプ
User = ユーザー

Dump Event Log ツール (Dumpel.exe)

・Dumpel.exe: Dump Event Log
http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/dumpel-o.asp
コマンドラインツール。
システム、アプリケーション、セキュリティのログファイルからのみ検索できます。

# ヘルプの表示
C:\> dumpel.exe /?
# ログオンイベントの失敗
# 529 539だけでいい?
C:\> dumpel.exe -l security -m security -d 1 -e 529 530 531 532 533 534 535 536 537

EventLogDump

・ EventLogDump
http://lina.mithril.jp/Tool/Ctl_Tool01.html
NT のイベントログの内容を標準出力へ掃き出すコンソールアプリケーション。
説明などが全て日本語なので分かりやすい。

# 昨日のアプリケーションログで「エラー」か「警告」のものを表示する
C:\> EventLogDump.exe -L:AP -TD:1 -E:ERR -E:WAR -W:0
# 簡易表示モードで
C:\> EventLogDump.exe -L:AP -TD:1 -E:ERR -E:WAR -W:0 -H
# 昨日のセキュリティログで「監査失敗」のものを表示する
C:\> EventLogDump.exe -L:SEC -TD:1 -E:FAI -W:0

「アプリケーションログ」「セキュリティログ」「システムログ」をテキストに落とすバッチファイルを紹介してるサイトがありました。(正確には「ファイル名に日付を指定できるようにするWSH」の紹介)

FOR %%I IN (AP SEC SYS) DO EventLogDump.exe -L:%%I -TD:1 > c:\temp\%%I.txt
sanaki's Freesoft part44(EventLogDump の補佐的スクリプト)

環境変数「%DATE%」は、以下の様になってるようです。

# Windwos 2000
C:\> echo %DATE%
日 2004/03/21
# WindowsXP
# Windows 2003
C:\> echo %DATE%
2004/03/21

日付を付けるためにこんなバッチファイルにするのはどうでしょう?

REM Windwos 2000用
SET dt=%DATE:/=%
SET dt=%dt:~2,8%
FOR %%I IN (AP SEC SYS) DO EventLogDump.exe -L:%%I -TD:1 -W:0 > c:\temp\%%I_%dt%.txt
REM WindowsXP, 2003用
FOR %%I IN (AP SEC SYS) DO EventLogDump.exe -L:%%I -TD:1 -W:0 > c:\temp\%%I_%DATE:/=%.txt 

いつの間に「%DATE%」ってセットされてるんだろう?
置換とかsubstr関数みたいな機能って知らなかったなぁ。

Eventquery.pl
動かしてません・・・。

これは、Perl スクリプトで、Windows 2000 を実行しているローカルおよびリモート コンピュータ上のイベント ビューア ログからイベントを表示し、特定のイベントの検索に役立つ幅広い設定が可能なフィルタを提供します。
第 6 章 - 監査と侵入検知 (Windows 2000 Server セキュリティ運用ガイド)

EventCombMT
動かしてません・・・。

EventCombMT は、マルチスレッド ツールで、複数のサーバーにあるイベント ログを同時に解析します。検索条件に含まれるサーバーごとに、別の実行スレッドを生成します。
第 6 章 - 監査と侵入検知 (Windows 2000 Server セキュリティ運用ガイド)

Eventcreate.exe

管理者が指定されたイベント ログにカスタム イベントを作成します。
WindowsXP以降?(c:\windows\system32\にありました)

・Eventcreate (Microsoft TechNet)
http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/standard/eventcreate.asp

Eventquery.vbs
イベント ログにあるイベントおよびイベントのプロパティを一覧表示します。
WindowsXP以降?(c:\windows\system32\にありました)

・Eventquery.vbs (Microsoft TechNet)
http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/standard/eventquery.asp

Eventtriggers.exe
特定のイベントが発生したときにプログラムを実行するイベント トリガを作成します。
WindowsXP以降?(c:\windows\system32\にありました)

・Eventtriggers (Microsoft TechNet)
http://www.microsoft.com/japan/technet/prodtechnol/windowsserver2003/proddocs/standard/eventtriggers.asp

Log Parser

個人的には好きです。

SEE:
IIS 6.0 Resource Kit Tools (このblogより)
いつか、まとめ直したい。

Event Log Explorer (2006/06/26 追記)

・Event Log XP - Windows event log viewing, monitoring and analyzing software
http://www.eventlogxp.com/

・インフラ管理者の独り言(はなずきん@酒好テム管理者)
http://d.hatena.ne.jp/hanazukin/20060609#1149838060
お勧めらしい。

エベント ビューアーが使いやすくなった感じの操作性?

リンク

・第 6 章 - 監査と侵入検知 (Windows 2000 Server セキュリティ運用ガイド )
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/prodtech/windows/windows2000/staysecure/secops06.asp?frame=true
監査関係のイベント一般的なイベント IDの表があります。

表 6.1 イベント ログに記録されるログオン イベント
表 6.2 イベント ログに記録されるアカウント ログオン イベント
表 6.3 イベント ログに記録されるアカウント管理イベント
表 6.4 イベント ログに記録されるオブジェクト アクセス イベント
表 6.6 イベント ログに記録される特権使用イベント
表 6.7 イベント ログに記録されるプロセス追跡のイベント
表 6.8 イベント ログに記録されるシステム イベント
表 6.9 イベント ログに記録されるポリシー変更イベント

・Windows 2000 Event & Error Messages
http://www.microsoft.com/windows2000/techinfo/reskit/ErrorandEventMessages/default.asp
CSVファイル(英文)
イベントログに書かれるメッセージの一覧。
「Message」「Event Log」「Event ID」「Event Source」「Event Type」
日本語が欲しいなぁ。

・ エラーとイベントログ メッセージ - Windows Server 2003
http://support.microsoft.com/default.aspx?scid=/isapi/gomscom.asp?target=/japan/support/eventerror/default.aspx

何も入力されていなければ全イベント ID が検索されます。
「 エラーとイベントログ メッセージ - Windows Server 2003」のソース

「イベントID」を「""(空)」、「イベントソース」を「全てのイベントソース」にして検索すると、100件ヒット。
各「イベントソース」毎に実行して和をとると100件。
100件しか登録されてないんですか?
イベントIDか何かでソートして欲しかった。

・ツール群いろいろ (はてなダイアリー - やまにょん@サーバー管理者日誌)
http://d.hatena.ne.jp/yamanyon/20040311#1078994156
自分で調べる前に見つけたかった・・・。
よくまとまってます。

トラックバック(0)

このブログ記事を参照しているブログ一覧: イベントログを監視する

このブログ記事に対するトラックバックURL: http://kinshachi.ddo.jp/mt/mt-tb.cgi/231

コメントする


画像の中に見える文字を入力してください。

このブログ記事について

このページは、ikeが2004年3月21日 12:29に書いたブログ記事です。

ひとつ前のブログ記事は「PortQry」です。

次のブログ記事は「ddでハードディスクのイメージをとっておく」です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。

最近のコメント

Powered by Movable Type 4.261