Windows イベントコレクター 設定 - ソース開始サブスクリプション -
概要
Windowsには、イベントコレクターと呼ばれるリモートコンピューターのログ収集機能があります。イベントコレクターは、WS-Management(Web Services-Management)を利用しています。コレクター コンピューターにサブスクリプションを設定し、イベントログをソース コンピューターからコレクター コンピューターに転送することが可能です。
イベント収集方式は、コレクター コンピューターによって開始されるサブスクリプションと、ソース コンピューターによって開始されるサブスクリプションの2通りがあります。
ここでは、ソース コンピューターによって開始されるサブスクリプションの設定について記述します。
前提条件
本記事では、コレクター コンピューター、ソース コンピューターともに、同一ドメインに参加している前提で記載しています。
ソース コンピューターの設定
WinRMリモート管理設定
ソース コンピューターで、管理者権限で以下のコマンドを実行します。
1winrm qc -q
上記コマンドは以下の操作を実行します。
Windows Remote Management (WS-Management)サービスの開始Windows Remote Management (WS-Management)サービスの種類を自動開始に設定- リスナーを作成して任意のIPアドレスの要求を受け付け
- WS-Managementトラフィックのファイアウォール例外の有効(HTTPのみ)
サブスクリプションマネージャーの指定
ローカルグループポリシーエディターを開いて、サブスクリプションマネージャー(コレクター コンピューター)を指定します。
コンピュータの構成\管理用テンプレート\Windows コンポーネント\イベント転送 からターゲット サブスクリプション マネージャーを構成するを開きます。有効を選択し表示をクリックします。
値に以下の形式で入力します。
Server=http://<FQDN of the Event Collector server>:5986/wsman/SubscriptionManager/WEC,Refresh=<Refresh interval in seconds>
例:
Server=http://collector.example.com:5985/wsman/SubscriptionManager/WEC,Refresh=600
Refreshは、ソース コンピューターからコレクター コンピューターにサブスクリプション設定(後述)の確認を行う時間間隔です。
セキュリティログの転送
セキュリティログの転送を行う場合、Event Log ReadersグループにNETWORK SERVICEアカウントを 追加する必要があります。管理者権限で以下のコマンドを実行します。
1net localgroup "Event Log Readers" "Network Service" /add
ソース コンピューターの設定(GPO)
ソース コンピューターが複数ある場合、GPOによる設定が効果的です。
WinRMリモート管理の許可
コンピュータの構成\ポリシー\管理用テンプレート\Windows コンポーネント\Windows リモート管理(WinRM)\WinRM サービス からWinRM によるリモート サーバー管理を許可するを開きます。有効を選択します。
例を参考にIPv4 フィルター IPv6 フィルターに適切な値を入力します。すべてのIPアドレスからアクセス許可する場合は、*(アスタリスク)を入力します。
WinRMサービスの開始設定
コンピュータの構成\基本設定\コントロール パネルの設定\サービス からサービスの新規作成を行います。
- スタートアップ:
自動(遅延開始) - サービス名:
Windows Remote Management(WS-Management)/WinRM - サービス操作:
サービスを開始する - サービスのロック時のタイムアウト待機時間:
30秒間 - ログオン:
変更なし
ファイアウォール設定
コンピュータの構成\ポリシー\Windows の設定\セキュリティの設定\セキュリティが強化された Windows Defenderファイアウォール\セキュリティが強化された Windows Defenderファイアウォール\受信の規則から新しい規則を作成します。
- 規則の種類:事前定義 -
Windows リモート管理 - 事前定義された規則:任意の規則を選択
- 操作:
接続を許可する
サブスクリプションマネージャーの指定
コンピュータの構成\ポリシー\管理用テンプレート\Windows コンポーネント\イベント転送 からターゲット サブスクリプション マネージャーを構成するを開きます。有効を選択し表示をクリックします。
値に以下の形式で入力します。
Server=http://<FQDN of the Event Collector server>:5986/wsman/SubscriptionManager/WEC,Refresh=<Refresh interval in seconds>
例:
Server=http://collector.example.com:5985/wsman/SubscriptionManager/WEC,Refresh=600
Refreshは、ソース コンピューターからコレクター コンピューターにあるサブスクリプションの設定(後述)を確認しにいく時間間隔です。
セキュリティログの転送
コンピュータの構成\ポリシー\基本設定\コントロール パネルの設定\ローカル ユーザーとグループ から新規作成 ローカル グループを開きます。
- 操作:
更新 - グループ名:
Event Log Readers
追加をクリックします。
NETWORK SERVICEを追加
コレクター コンピューターの設定
WinRMリモート管理設定
ソース コンピューターと同様に、コレクター コンピューターでも管理者権限で以下のコマンドを実行します。
1winrm qc -q
Windows Event Collectorサービス開始設定
続いて、管理者権限で以下のコマンドを実行します。
1wecutil qc /q
上記コマンドは以下の操作を実行します。
- ForwardedEvents チャネルが無効になっている場合は有効にする
Windows Event Collectorサービスの遅延開始を設定(Vista および以降のバージョンのみ)Windows Event Collectorサービスの開始
サブスクリプションの作成
イベントビューアーを開いてサブスクリプションを作成します。サブスクリプションを右クリックして、サブスクリプションの作成をクリックします。
- サブスクリプション名:任意の値を入力
- 説明:任意の値を入力
- 宛先ログ:
Forwarded Eventsを選択 - サブスクリプションの種類とソース コンピューター:
ソース コンピューターによる開始 - コンピューター グループの選択:任意のコンピューター/グループを選択
- イベントの選択:収集したいイベントの条件を指定
動作確認
サブスクリプションで指定した条件に合致するイベントが、コレクター コンピューターのForwarded Eventsに記録されます。
