labunixのラボゆにっくす

Debian [ Lenny | squueze | kfreebsd ] amd64


テーマ:
■Windows2008R2のイベントログをローテーションする

 仮想マシンにRDP経由でコピペを取るのは面倒なので、
 sshポート転送によるtelnet経由でコマンド実行を行う手順を考えます。

 参考URL:イベント・ログを自動アーカイブで長期間保存する
 http://www.atmarkit.co.jp/fwin2k/win2ktips/1194evtarchive/evtarchive.html

■ドメインコントローラの対象イベントの確認(Windows2008/x86)

> systeminfo | find "システムの種類"
システムの種類:              X86-based PC

> systeminfo | find "OS"
OS 名:                       MicrosoftR Windows ServerR 2008 Enterprise
OS バージョン:               6.0.6002 Service Pack 2 ビルド 6002
OS 製造元:                   Microsoft Corporation
OS 構成:                     プライマリ ドメイン コントローラ
OS ビルドの種類:             Multiprocessor Free
BIOS バージョン:             Phoenix Technologies LTD 6.00, 2011/06/02

> dir /b c:\Windows\System32\winevt\Logs\*.evtx | find /V "Microsoft-Windows"
Application.evtx
DFS Replication.evtx
Directory Service.evtx
DNS Server.evtx
File Replication Service.evtx
HardwareEvents.evtx
Internet Explorer.evtx
Key Management Service.evtx
Security.evtx
Setup.evtx
System.evtx
Windows PowerShell.evtx

■Exchangeサーバの対象イベントを確認(Windows2008R2/x64)

> systeminfo | find "システムの種類"
システムの種類:         x64-based PC

> systeminfo | find "OS"
OS 名:                  Microsoft Windows Server 2008 R2 Enterprise
OS バージョン:          6.1.7601 Service Pack 1 ビルド 7601
OS 製造元:              Microsoft Corporation
OS 構成:                メンバー サーバー
OS ビルドの種類:        Multiprocessor Free
BIOS バージョン:        Phoenix Technologies LTD 6.00, 2011/06/02

> dir /b c:\Windows\System32\winevt\Logs\*.evtx | find /V "Microsoft-Windows"
Application.evtx
HardwareEvents.evtx
Internet Explorer.evtx
Key Management Service.evtx
Microsoft-Exchange-HighAvailability%4BlockReplication.evtx
Microsoft-Exchange-HighAvailability%4Debug.evtx
Microsoft-Exchange-HighAvailability%4Operational.evtx
Microsoft-Exchange-HighAvailability%4TruncationDebug.evtx
Microsoft-Exchange-MailboxDatabaseFailureItems%4Debug.evtx
Microsoft-Exchange-MailboxDatabaseFailureItems%4Operational.evtx
microsoft-windows-RemoteDesktopServices-RemoteDesktopSessionManager%4Admin.evtx
MSExchange Management.evtx
OAlerts.evtx
Operational.evtx
Security.evtx
Setup.evtx
System.evtx
Windows PowerShell.evtx

■主要なイベントログを分離、保存する

 参考URL:Windows 7, Vista, Server 2008, R2 の新しいイベントログにスクリプトからアクセスする方法
 http://mcaf.ee/maryx ※長いので短縮URL

 参考URL:イベント ログをアーカイブする
 http://technet.microsoft.com/ja-jp/library/cc749339(WS.10).aspx

 参考URL:ログの保持ポリシーを設定する
 http://technet.microsoft.com/ja-jp/library/cc721981(WS.10).aspx

 参考URL:バッチ・ファイル中で日付をファイル名に使用する
 http://www.atmarkit.co.jp/fwin2k/win2ktips/419batchdate/batchdate.html

 参考URL:Vim 7.3.372 (2011/12/09版) 配信
 http://www.kaoriya.net/news/20111209

 参考URL:シンプルなWindows用Linuxコマンド集「Gow」
 http://www.moongift.jp/2010/07/gow/

■ログの最大値を超えた際にアーカイブする

> wevtutil sl /? | find "/rt"
/rt:VALUE (retention)
retention (/rt オプションで指定) も true に指定する必要があります。

> wevtutil sl /? | find "/ab"
/ab:VALUE (autobackup)

> vim.exe evt_logrotate_enable.bat
wevtutil gl System 
wevtutil gl Application
wevtutil gl Security

wevtutil sl System /rt:true /ab:true
wevtutil sl Application /rt:true /ab:true
wevtutil sl Security /rt:true /ab:true

wevtutil gl System  | find "true"
wevtutil gl Application  | find "true"
wevtutil gl Security  | find "true"

> evt_logrotate_enable.bat 1> evt_logrotate_enable.log

■ログを別のファイルにバックアップする

> vim.exe evt_backup.bat
set LOGDIR=%date:~-10,4%%date:~-5,2%
set LOGDATE=%date:~-10,4%%date:~-5,2%%date:~-2,2%
IF NOT EXIST c:\%LOGDIR% mkdir c:\%LOGDIR%

%SystemRoot%\System32\Wevtutil.exe epl System c:\%LOGDIR%\%LOGDATE%System.evtx
%SystemRoot%\System32\Wevtutil.exe epl Application c:\%LOGDIR%\%LOGDATE%Application.evtx
%SystemRoot%\System32\Wevtutil.exe epl Security c:\%LOGDIR%\%LOGDATE%Security.evtx

IF EXIST c:\%LOGDIR%\%LOGDATE%System.evtx echo OK: System backup
IF EXIST c:\%LOGDIR%\%LOGDATE%Application.evtx echo OK: Application backup
IF EXIST c:\%LOGDIR%\%LOGDATE%Security.evtx echo OK: Security backup

■タスクに登録する

 参考URL:リモート コンピューター上でタスクを管理または作成する
 http://technet.microsoft.com/ja-jp/library/cc766266.aspx

> SCHTASKS /Create /TR "C:\evt_backup.bat" /SC DAILY /ST 00:05:00 /TN 001
> SCHTASKS /Query | find "001"
001                                      2011/12/12 0:05:00     準備完了
> SCHTASKS /Run /TN 001
成功: スケジュール タスク "001" の実行が試行されました。
> SCHTASKS /Query /V /TN 001 /FO LIST > task_setting.txt
>find "無効" task_setting.txt

---------- TASK_SETTING.TXT
アイドル時間:                                   無効
繰り返し: 間隔:                                 無効
繰り返し: 終了時刻:                             無効
繰り返し: 期間:                                 無効
繰り返し: 実行中の場合は停止:                   無効

■タスクスケジューラのイベントログを保存する

 参考URL:Wevtutil
 http://technet.microsoft.com/en-us/library/cc732848(WS.10).aspx

> wevtutil ep | find /i "task"
Group Policy Scheduled Tasks
Microsoft-Windows-TaskScheduler

> wevtutil el | find /i "task"
Microsoft-Windows-TaskScheduler/Debug
Microsoft-Windows-TaskScheduler/Diagnostic
Microsoft-Windows-TaskScheduler/Operational

> vim task_eventlog.bat
Wevtutil.exe epl Microsoft-Windows-TaskScheduler/Debug c:\Task_Debug.evtx
Wevtutil.exe epl Microsoft-Windows-TaskScheduler/Diagnostic c:\Task_Diagnostic.evtx
Wevtutil.exe epl Microsoft-Windows-TaskScheduler/Operational c:\Task_Operational.evtx

■タスクスケジューラのイベントログの確認方法

> wevtutil  /ge:true /gm:true gp Microsoft-Windows-TaskScheduler

> wevtutil qe /f:text /rd /lf c:\Task_Operational.evtx
> wevtutil qe /f:text /rd /lf c:\Task_Diagnostic.evtx
> wevtutil qe /f:text /rd /lf c:\Task_Debug.evtx

> vim.exe check_tasklog.bat
wevtutil qe /f:text /rd /lf c:\Task_Operational.evtx
wevtutil qe /f:text /rd /lf c:\Task_Diagnostic.evtx
wevtutil qe /f:text /rd /lf c:\Task_Debug.evtx

■以下のようにするか、
c:\>check_tasklog.bat | find "001" | more

c:\>wevtutil qe /f:text /rd /lf c:\Task_Operational.evtx /q:Event /c:1
Event[0]:
  Log Name: Microsoft-Windows-TaskScheduler/Operational
  Source: Microsoft-Windows-TaskScheduler
  Date: 2011-12-11T01:46:49.156
  Event ID: 318
  Task: タスク エンジンを正常にシャットダウンしました
  Level: 情報
  Opcode: 停止
  Keyword: N/A
  User: S-1-5-18
  User Name: NT AUTHORITY\SYSTEM
  Computer: VMPDC.labunix.net
  Description:
タスク スケジューラは、タスク エンジン "S-1-5-19:NT AUTHORITY\LocalService:Servi
:" プロセスをシャットダウンします。

AD
いいね!した人  |  コメント(0)

[PR]気になるキーワード