■Windows2008R2のイベントログをローテーションする
仮想マシンにRDP経由でコピペを取るのは面倒なので、
sshポート転送によるtelnet経由でコマンド実行を行う手順を考えます。
仮想マシンにRDP経由でコピペを取るのは面倒なので、
sshポート転送によるtelnet経由でコマンド実行を行う手順を考えます。
参考URL:イベント・ログを自動アーカイブで長期間保存する
http://www.atmarkit.co.jp/fwin2k/win2ktips/1194evtarchive/evtarchive.html
■ドメインコントローラの対象イベントの確認(Windows2008/x86)
> systeminfo | find "システムの種類"
システムの種類: X86-based PC
> systeminfo | find "OS"
OS 名: MicrosoftR Windows ServerR 2008 Enterprise
OS バージョン: 6.0.6002 Service Pack 2 ビルド 6002
OS 製造元: Microsoft Corporation
OS 構成: プライマリ ドメイン コントローラ
OS ビルドの種類: Multiprocessor Free
BIOS バージョン: Phoenix Technologies LTD 6.00, 2011/06/02
> dir /b c:\Windows\System32\winevt\Logs\*.evtx | find /V "Microsoft-Windows"
Application.evtx
DFS Replication.evtx
Directory Service.evtx
DNS Server.evtx
File Replication Service.evtx
HardwareEvents.evtx
Internet Explorer.evtx
Key Management Service.evtx
Security.evtx
Setup.evtx
System.evtx
Windows PowerShell.evtx
■Exchangeサーバの対象イベントを確認(Windows2008R2/x64)
> systeminfo | find "システムの種類"
システムの種類: x64-based PC
> systeminfo | find "OS"
OS 名: Microsoft Windows Server 2008 R2 Enterprise
OS バージョン: 6.1.7601 Service Pack 1 ビルド 7601
OS 製造元: Microsoft Corporation
OS 構成: メンバー サーバー
OS ビルドの種類: Multiprocessor Free
BIOS バージョン: Phoenix Technologies LTD 6.00, 2011/06/02
> dir /b c:\Windows\System32\winevt\Logs\*.evtx | find /V "Microsoft-Windows"
Application.evtx
HardwareEvents.evtx
Internet Explorer.evtx
Key Management Service.evtx
Microsoft-Exchange-HighAvailability%4BlockReplication.evtx
Microsoft-Exchange-HighAvailability%4Debug.evtx
Microsoft-Exchange-HighAvailability%4Operational.evtx
Microsoft-Exchange-HighAvailability%4TruncationDebug.evtx
Microsoft-Exchange-MailboxDatabaseFailureItems%4Debug.evtx
Microsoft-Exchange-MailboxDatabaseFailureItems%4Operational.evtx
microsoft-windows-RemoteDesktopServices-RemoteDesktopSessionManager%4Admin.evtx
MSExchange Management.evtx
OAlerts.evtx
Operational.evtx
Security.evtx
Setup.evtx
System.evtx
Windows PowerShell.evtx
■主要なイベントログを分離、保存する
参考URL:Windows 7, Vista, Server 2008, R2 の新しいイベントログにスクリプトからアクセスする方法
http://mcaf.ee/maryx ※長いので短縮URL
参考URL:イベント ログをアーカイブする
http://technet.microsoft.com/ja-jp/library/cc749339(WS.10).aspx
参考URL:ログの保持ポリシーを設定する
http://technet.microsoft.com/ja-jp/library/cc721981(WS.10).aspx
参考URL:バッチ・ファイル中で日付をファイル名に使用する
http://www.atmarkit.co.jp/fwin2k/win2ktips/419batchdate/batchdate.html
参考URL:Vim 7.3.372 (2011/12/09版) 配信
http://www.kaoriya.net/news/20111209
参考URL:シンプルなWindows用Linuxコマンド集「Gow」
http://www.moongift.jp/2010/07/gow/
■ログの最大値を超えた際にアーカイブする
> wevtutil sl /? | find "/rt"
/rt:VALUE (retention)
retention (/rt オプションで指定) も true に指定する必要があります。
> wevtutil sl /? | find "/ab"
/ab:VALUE (autobackup)
> vim.exe evt_logrotate_enable.bat
wevtutil gl System
wevtutil gl Application
wevtutil gl Security
wevtutil sl System /rt:true /ab:true
wevtutil sl Application /rt:true /ab:true
wevtutil sl Security /rt:true /ab:true
wevtutil gl System | find "true"
wevtutil gl Application | find "true"
wevtutil gl Security | find "true"
> evt_logrotate_enable.bat 1> evt_logrotate_enable.log
■ログを別のファイルにバックアップする
> vim.exe evt_backup.bat
set LOGDIR=%date:~-10,4%%date:~-5,2%
set LOGDATE=%date:~-10,4%%date:~-5,2%%date:~-2,2%
IF NOT EXIST c:\%LOGDIR% mkdir c:\%LOGDIR%
%SystemRoot%\System32\Wevtutil.exe epl System c:\%LOGDIR%\%LOGDATE%System.evtx
%SystemRoot%\System32\Wevtutil.exe epl Application c:\%LOGDIR%\%LOGDATE%Application.evtx
%SystemRoot%\System32\Wevtutil.exe epl Security c:\%LOGDIR%\%LOGDATE%Security.evtx
IF EXIST c:\%LOGDIR%\%LOGDATE%System.evtx echo OK: System backup
IF EXIST c:\%LOGDIR%\%LOGDATE%Application.evtx echo OK: Application backup
IF EXIST c:\%LOGDIR%\%LOGDATE%Security.evtx echo OK: Security backup
■タスクに登録する
参考URL:リモート コンピューター上でタスクを管理または作成する
http://technet.microsoft.com/ja-jp/library/cc766266.aspx
> SCHTASKS /Create /TR "C:\evt_backup.bat" /SC DAILY /ST 00:05:00 /TN 001
> SCHTASKS /Query | find "001"
001 2011/12/12 0:05:00 準備完了
> SCHTASKS /Run /TN 001
成功: スケジュール タスク "001" の実行が試行されました。
> SCHTASKS /Query /V /TN 001 /FO LIST > task_setting.txt
>find "無効" task_setting.txt
---------- TASK_SETTING.TXT
アイドル時間: 無効
繰り返し: 間隔: 無効
繰り返し: 終了時刻: 無効
繰り返し: 期間: 無効
繰り返し: 実行中の場合は停止: 無効
■タスクスケジューラのイベントログを保存する
参考URL:Wevtutil
http://technet.microsoft.com/en-us/library/cc732848(WS.10).aspx
> wevtutil ep | find /i "task"
Group Policy Scheduled Tasks
Microsoft-Windows-TaskScheduler
> wevtutil el | find /i "task"
Microsoft-Windows-TaskScheduler/Debug
Microsoft-Windows-TaskScheduler/Diagnostic
Microsoft-Windows-TaskScheduler/Operational
> vim task_eventlog.bat
Wevtutil.exe epl Microsoft-Windows-TaskScheduler/Debug c:\Task_Debug.evtx
Wevtutil.exe epl Microsoft-Windows-TaskScheduler/Diagnostic c:\Task_Diagnostic.evtx
Wevtutil.exe epl Microsoft-Windows-TaskScheduler/Operational c:\Task_Operational.evtx
■タスクスケジューラのイベントログの確認方法
> wevtutil /ge:true /gm:true gp Microsoft-Windows-TaskScheduler
> wevtutil qe /f:text /rd /lf c:\Task_Operational.evtx
> wevtutil qe /f:text /rd /lf c:\Task_Diagnostic.evtx
> wevtutil qe /f:text /rd /lf c:\Task_Debug.evtx
> vim.exe check_tasklog.bat
wevtutil qe /f:text /rd /lf c:\Task_Operational.evtx
wevtutil qe /f:text /rd /lf c:\Task_Diagnostic.evtx
wevtutil qe /f:text /rd /lf c:\Task_Debug.evtx
■以下のようにするか、
c:\>check_tasklog.bat | find "001" | more
c:\>wevtutil qe /f:text /rd /lf c:\Task_Operational.evtx /q:Event /c:1
Event[0]:
Log Name: Microsoft-Windows-TaskScheduler/Operational
Source: Microsoft-Windows-TaskScheduler
Date: 2011-12-11T01:46:49.156
Event ID: 318
Task: タスク エンジンを正常にシャットダウンしました
Level: 情報
Opcode: 停止
Keyword: N/A
User: S-1-5-18
User Name: NT AUTHORITY\SYSTEM
Computer: VMPDC.labunix.net
Description:
タスク スケジューラは、タスク エンジン "S-1-5-19:NT AUTHORITY\LocalService:Servi
:" プロセスをシャットダウンします。