EventReporterに関するご質問

よくあるご質問

EventReporterに関するよくあるご質問です。
お問合せ前にこちらの内容をご確認ください。

1. ご購入前のお問い合わせ

Q1-1:ライセンス数はいくつ必要ですか?

A1-1:EventReporter は、インストールする(ご利用になる)マシンの台数、さらにリモートで監視を行うシステムの台数の合計が必要ライセンス数となります。
弊社ではEventReporter Professional エディションのみ販売しており、Basicエディションの取り扱いはございません。

Q1-2:サポート対応 OS について教えてください。

A1-2:EventReporterのサポートOS(システム要件)については、ジュピターテクノロジーの製品サイトをご参照ください。

 ◆ ワークステーション、サーバーを問いません。 64bit版 OSでも利用できます。
 ◆ SP やR2、Standard などのエディションに関わらずご利用頂けます。

Q1-3:評価版はどこで入手できますか?

A1-3:ジュピターテクノロジーのダウンロードサイトより入手してください。

EventReporterは、セットアップしてから評価版として 30日間は無料でお使いいただけます。
評価版では、全てのエディションの機能をご利用頂けるようになっております。
※ライセンスをご購入頂き、ライセンス情報を設定クライアントで登録することで製品版に切り替わります。

EventReporterは、30日を経過しますと、サービスが起動できなくなります。
(アプリケーションログにエラーが記録されます。下図参照)

▲アプリケーションログに記録された試用期間終了を通知するエラー

この場合、ライセンスをご購入頂き、ライセンス情報を設定クライアントで登録して頂けば製品版に切り替わり、その直後からサービスを開始できるようになります。 その際、EventReporterを再インストールする必要はありません。 ライセンス情報の登録方法につきましては、こちら をご参照下さい。

※製品の性質上、発行後のライセンスのキャンセルや変更はお受けできませんので、購入に値する製品かどうか十分にご評価くださいますようお願いいたします。

Q1-4:EventReporterは、店頭販売されていないのでしょうか?

A1-4:Adiscon製品は、店頭販売はされておりません。

インストーラーは、こちら の弊社ダウンロードサイトからダウンロードしてください。
インストール後30日間は試用版として、ライセンス登録を行わなくても稼動します。

Q1-5:EventReporterのライセンスを第三者に提供することはできますか?

A1-5:できません。メーカーで許可されていません。

2. ライセンスに関するお問い合わせ

Q2-1:ライセンスキーの入手方法を教えてください。

A2-1:ライセンスキーは、製品ご購入後、メールにてお届けしております。
以下は、ライセンスキーのサンプルです。
--------------------------------------------------------------------
Product: EventReporter Professional
Version: 15
Licensee Name: "XXX Corp." (without the quotes)
License Key(s): 11111-22222-333333-444444-555555
Licensed Copies: 5
--------------------------------------------------------------------
ライセンスキーは、ユーザー登録名(Licensee Name)とユーザー登録番号(License Key)で構成されます。
ユーザー登録名は、ご注文時に「エンドユーザーライセンス申請フォーム」に記載して頂いたものです。
その登録名に固有のユーザー登録番号が Adiscon社 から発行されます。
Licensed Copies: の数は、イベントログを収集するマシンの数を表しています。上記例では、リモートマシンも含め計5台のマシンのイベントログを収集できます。

Q2-2:ライセンスの登録方法を教えてください。

A2-2:ライセンスキーをご登録頂くには、設定クライアントを起動し、ライセンス設定画面にて発行されたユーザー登録名・ユーザー登録番号を入力し「ライセンスを確認」をクリックして登録してください。
ユーザー登録番号は、ペーストすることもできます。クリップボードへコピーし、「クリップボードから貼り付け」のクリックで、番号がペーストされます。


▲ライセンス登録画面

※バージョン情報は、ヘルプ>About EventReporterをクリックすると表示されます。
例:


※発行されましたライセンス情報は、お問い合わせの際などに必要となりますので、保存しておいてください。

Q2-3:ライセンス登録が正しく行われたかを確認したいのですが?

A2-3:ライセンス情報が正しく登録されていると、下部Statusバーに以下の様に表示されます。



また、ライセンス登録後は、EventReporterのサービス再起動時、イベントビューア-「アプリケーション ログ」 に下図のようなイベントが出力されるようになります。


▲製品モード(ライセンス登録済み)であることを示すイベント

参考までに、試用期間中は、EventReporterのサービス起動の度、イベントビューア-「アプリケーション ログ」 に下図のようなイベントが出力されます。


▲試用モード(上図の場合は残り8日)であることを示すイベント

3. バージョンアップに関するお問合せ

Q3-1:バージョンアップの際、既存のバージョンをアンインストールしなければなりませんか?

A3-1:アンインストールの必要はありません。
以下の手順にて、バージョンアップを実行して下さい。

1) インストーラーをダウンロード
インストーラーは、こちら の弊社ダウンロードサイトからダウンロードしてください。
2) EventReporter のサービスを停止
3) インストールを実行(設定情報は基本的に引継がれます)(*1)
4) クライアントを起動し、設定内容を確認
5) 新バージョンのライセンス情報を入力・保存(*2) ・・・メジャーバージョンアップの場合
6) サービスを開始

設定情報は、レジストリキーに保存されております。
※ 設定情報を保存してからバージョンアップを行うようにしてください
設定クライアントで、ファイル> 設定をエクスポート> Adiscon Configフォーマット の実行で設定情報が保存されます。



*1 メジャーバージョンアップ等、大幅な変更(機能追加)がある場合や2つ以上バージョンを上げる場合、一部設定が引き継がれないことがございます。メジャーバージョンアップ、マイナーバージョンアップに限らず、バージョンアップ後は設定内容をご確認ください。

*2 メジャーバージョンアップの場合、新バージョン対応の「ユーザー登録番号」を設定クライアントの「ライセンス」 登録画面で入力する必要があります。

 新バージョン用のライセンスキーはそれ以前のバージョンにも適用できます。

バージョンアップ後に何らかの問題が発生した(エラーが出力される等)場合には、一旦アンインストールしてから再度インストールを行ってください。
アンインストールを実行しても問題が解消されない場合には、弊社カスタマーポータルからお問い合わせください。
設定情報を保存されている場合には、「ファイル」>「設定をインポート」> 「Adiscon Configフォーマット」 を選択して、設定を元に戻す(インポートする)ことができます。
または、レジストリとして保存したレジストリファイルをダブルクリックします。

Q3-2:Adiscon製品のバージョンアップと保守更新について教えてください。

A3-2:Adiscon製品のバージョンアップには、マイナーバージョンアップとメジャーバージョンアップがあります。

マイナーバージョンアップとは、バージョン表記の小数点以下の数値が大きくなることを言います。
(例:EventReporter v14.1→v14.2)
メジャーバージョンアップとは、バージョン表記の小数点よりも左側の数値が大きくなることを言います。
(例:EventReporter v14.x→v15.x)

※マイナーバージョンアップ(EventReporter v14.1→v14.2)は、無償で実施できますが、メジャーバージョンアップ(v14.x→v15.x)は、新しいバージョン用のライセンスキーが必要となります。

保守ご契約中のお客様には、保守更新時にバージョンアップライセンスキーを発行します。

■保守更新の際に発行されるものについて
更新時、前回のご注文以降に製品のメジャーバージョン(v14.x→v15.x)がリリースされている場合は、新しいバージョンに適用できるライセンスキーを送付します。
保守サポート期間については、ライセンス証書に記載されていますので、そちらをご確認ください。

※ジュピターテクノロジーではUpgradeInsurance情報(ID)は発行しません。
(有)イハラのユーザー様には発行されているので、お問い合わせの際は"UpgradeInsuranceID"情報もご提供ください。

※保守サポートを受ける際は、管理番号(例:ER201x-xxxx)が必要となります。

■保守契約期間中にメジャーバージョンアップが実施された場合
次回更新日以前に、バージョンアップをご希望のお客様には、新バージョンに適用できるライセンスキーを先出しで送付します。

Q3-3:Adiscon製品のEOLについて教えてください。

A3-3:原則的には改修(修正プログラムリリース)は、最新バージョンが対象となり、旧バージョンへの機能追加や不具合修正プログラムの提供はありません。セキュリティフィックスについても同様です。
一般的なサポート支援(技術的なお問い合わせ)については、全バージョンについて対応いたします。

4. 機能についての質問(WinSyslog/EventReporter共通)

Q4-1:ログファイルに書き込まれる内容は何ですか?

A4-1:「ファイルログ」アクションを設定することで、受信した Syslog (WinSyslog)や収集したイベントログ(EventReporter)を ログファイルへ保存することができます。

「ファイルログ」アクションの「ファイルフォーマット」項目で出力される内容を設定します。
デフォルトで、Adiscon が選択されており、チェックの入ったデータ(以下画面の青枠内)が書き込まれます。
カスタムフォーマットを選択すると、出力するプロパティの順序や区切り文字をカスタマイズすることができます。

例) SyslogファシリティとSyslogプライオリティ(Severity)を数ではなく文字で出力したい場合:
「挿入」>Syslog>ファシリティタイプ(%syslogfacility_text%)、プライオリティテキスト(%syslogpriority_text%)を選択すると、%syslogfacility_text%, %syslogpriority_text%は、Local6, Informational のように出力されます。
「メッセージ内容(フォーマット)を変更できますか?」もご参照ください。

▲ファイルログ アクション 設定画面

デフォルトでは、上図のように「日付と時間を出力」、「Syslogファシリティを出力」、「Syslogプライオリティを出力」、「日付と時間(デバイスのタイムスタンプ)を出力」、「ソースを出力」、「メッセージを出力」 が有効になっています。

以下は、ファイルログの設定項目と記載されるデータの対応表です:


EventReporter ver.15.0 以前では、
「ファイルログ」 アクションの設定内容を変更した場合は、「保存」ボタンを押して変更を保存し、「再起動」を実行します。続けて他の部分の変更をする場合は、各設定画面の「確認」ボタンでも一時保存できます。
EventReporter ver.15.1~ 「保存」ボタンを押すだけで即時に設定を反映させるオプションが追加となりました。

Q4-2:ログローテーションの機能はありますか?

A4-2:「ファイルログ」アクションには、「ローテーションを有効にする」オプションがあります。
こちらを有効にすると、「ログファイルの数」で指定した本数分、「ファイルサイズの最大値(KB)」で指定したファイルサイズに達する毎にログファイルが作成され、ローテーションします。

EventReporter のログファイルを別のアプリケーションで監視している場合などファイル自体の削除を避けたい場合は、「ログファイルのデータを消去(ファイル自体は削除されません)」を有効にすることで、ファイルがローテーションする際、元のファイルは削除されず、その中身(データ)だけが消去されるようになります。


▲「ファイルログ」アクション一部抜粋

デフォルト(上図)の設定では、サイズが 4096KB のファイルが10本(EventReporter1.log、EventReporter2.log ・・・ EventReporter10.log まで)作成されると、1本目(EventReporter1.log)に戻るようになります。

Q4-3:「ローテーションを有効にする」場合のローテーション方式は?

A4-3:デフォルトでは、ローテーションする(ファイルを切替える)際は、内部では「ログファイルを一旦削除した後、同名のファイルを作成し、新たに書き込む」という処理が行われます。
EventReporter 11.2、EventReporter 12.2 で追加された「ログファイルのデータを消去」オプションを有効にすると、ログファイルのローテーション時、既存のファイル自体は削除されず、中身(データ)のみ消去されるようになります(下図参照)


▲「ファイルログ」アクション一部抜粋


Q4-4:メッセージ内容(フォーマット)を変更できますか?

A4-4:プロパティを挿入することにより変更することが可能です。
「ファイルログ」アクションでは、「カスタムフォーマット」を選択して、「Syslog 転送」アクション、「メール送信」アクションではそれぞれ該当するオプションで編集が可能です。
「挿入」をクリックすると補助メニューが表示されますので、そこから入力するプロパティを選択してください。
このフィールドでは、プロパティの他、通常のテキストも直接入力することができます。

「ファイルログ」アクション:


「ファイルフォーマット」を「カスタムフォーマット」にすることで、「出力メッセージ」欄に、内容を入力・編集できるようになります。

以下は、Retrospectiveで閲覧およびSawmillで解析するためのカスタムフォーマットサンプルです。
カスタムフォーマットサンプル:
%timereported:::localtime%,%source%,%channel%,%id%,%user%,%sourceraw%,%NTEventLogType%,
%severity%,%catname%,%level%,%msg:::spacecc,compressspace%%$CRLF%

上記フォーマットでの出力されるプロパティ名:
イベント作成時刻(ローカルタイム),ソース,イベントチャンネル,イベントID,イベントユーザー,イベントRawソース,イベントログタイプ,イベント重要度,カテゴリ名,レベル,メッセージ(スペース切り捨て)改行

上記プロパティ名の英語表記:
Time Reported(TimeStamp),Source,Event Channel,Event ID,Event User,Event Raw Source,Event Type,
Event Severity,Event Categoryname,Event Level,message


「Syslog転送」アクション:

「Syslog メッセージ オプション」タブで、送信メッセージを編集することができます。

「メール送信」アクション:

「メールフォーマット オプション」タブで送信内容を変更することが可能です。

挿入できるプロパティにつきましては、下記をご参照ください。
◆ WinSyslog で利用できるプロパティ値について
◆ EventReporter で利用できるプロパティ値について

設定変更後は、「保存」ボタンを押して変更を保存し、「再起動」を実行して変更内容を反映させてください。
(EventReporter ver.15.1~は「保存」ボタンのみで設定が反映されるオプションが追加となりました)

Q4-5:カスタムフォーマット使用時にローカルタイムを表示する方法は?

A4-5:カスタムフォーマットにおいて、「挿入」>「一般」>「作成時刻」(プロパティ値:%timegenerated%)、「報告時刻」(プロパティ値:%timereported%)を利用する場合、UTC時刻表示 となります。
ローカルタイムで記録したい場合には、下記の値を使用します。
%timegenerated:::localtime%, %timereported:::localtime%



設定変更後は、「保存」ボタンを押して変更を保存し、「再起動」を実行して変更内容を反映させてください。
(EventReporter ver.15.1~は「保存」ボタンのみで設定が反映されるオプションが追加となりました)

Q4-6:アクションやフィルタの条件等の内容を変更したのに、反映されていない。

A4-6: EventReporter ver.15.0以前のバージョンでは、ルールの設定を変更した場合は、その設定情報を反映させるために、①保存、②再起動 が必要です。
設定画面にある「確認」ボタンでも保存して他の部分の設定に移行できます。また、「リセット」で変更を元に戻すことができます。


▲ クライアント画面例

Ver.15.1~ 保存ボタンのみで設定変更が反映されるオプションが追加となりました。(一般>全体)

Q4-7:ルールセットの設定だけをエクスポートする方法はありますか。

A4-7:WinSyslog・EventReporter とも、旧設定クライアント(レガシー)には、設定情報全てではなく、特定のルールセットのみXMLファイルとしてエクスポートするメニューがありましたが、新クライアントにはありません。

新クライアントをご利用の場合は、全ての設定をエクスポートできる以下のメニューをご利用ください。
トップメニュー 「ファイル」>「設定をエクスポート」> 「Adiscon Config フォーマット」



ファイル名を指定する画面が表示されますので、任意の保存先へ移動し、ファイル名を指定します。拡張子 .cfg で保存されます。
※「Adiscon Config フォーマット」は、v14.0以降のコマンドです。
設定情報のエクスポートの詳細につきましては、基本設定解説『設定のエクスポートとインポート』をご参照下さい。


参考:旧設定クライアント(レガシー)で、特定のルールセットのみXMLファイルとしてエクスポートする方法
旧設定クライアントの場合、WinSyslog・EventReporter とも、設定情報全てではなく、特定のルールセットのみXMLファイルとしてエクスポートすることができます。
この機能は、複数のライセンスをお持ちで、各マシンの設定を全てでなく、一部移行したい場合などに役立ちます。


▲ (旧設定クライアント)Default RuleSet を右クリック

エクスポートしたいルールセットを右クリックし、補助メニューを開きます。
ここで、「XMLファイルのエクスポート」を選択します。



上図のような画面が現れますので、ファイルを保存する場所を選択し、ファイル名を入力し、保存します。
保存した設定ファイルをインポートするには、ルールセットを右クリックし、補助メニューから「XMLファイルのインポート」を選択します。(下図)



次に現れる画面で、ファイルの場所・ファイルを選択し、「開く」をクリックします。
同じ名前のルールセットが存在する場合には、別の名前を入力するよう促されます。
旧設定クライアント(レガシー)の場合、同様にサービスもXMLファイルとしてエクスポート・インポートすることができます。
※設定全体を保存される場合には、基本設定解説『設定のエクスポートとインポート』をご参照下さい。

Q4-8:月毎にログファイルを作成する方法はありますか。

A4-8:WinSyslog、および EventReporter の「ファイルログ」アクションで作成されるファイルは、デフォルトでは1日毎に新たに作成されます。(下図のように、ローテーションが無効で、ファイル名に日付を出力するため)



1日毎でなく1ヶ月毎にログファイルを作成したい場合には、EventReporter 設定クライアントを起動し、「ファイルログ」アクション設定で、以下のように設定してください。
なお、「ファイルログ」アクションの追加方法は、基本設定解説「標準ログサーバー設定」の 「4 ルールセットの内容確認とファイル保存のアクションを追加」をご参照下さい。



1) 「ファイル名にプロパティ(変数)を使用」をチェックします。
2) ファイルベース名を [WinSyslog-%timegenerated:1:7:localtime%]とします。
%timegenerated%は、作成時刻のプロパティ値です。
%timegenerated:1:7:localtime%とすると、作成時刻の1文字目から7文字目までの表記となり、localtimeの付与で、ローカルタイムとなります。
この設定で、(例) WinSyslog-2017-02.log という名のログファイルが作成され、月ごとにログファイルが作成されるようになります。
%timegenerated%(作成時刻) は、UTCタイムが基準になっておりますので、ローカルタイムを利用される場合は必ず「localtime」を指定してください。
報告時刻の%timereported%も同様にUTCタイム基準です。
例)日本時間 2017-01-30 15:18:00に作成した場合
%timegenerated% ⇒ 2017-01-30 06:18:00
%timegenerated:::localtime% ⇒2017-01-30 15:18:00

3) 「ファイル名に日付を出力」のチェックを外します。
4) 設定変更後は、「確認」ボタンを押し、「保存」ボタンを押して変更を保存し、「再起動」を実行して変更内容を反映させてください。

参考:
(localtimeを付与しない)%timegenerated%を利用した場合、UTCタイム基準のため、日本時間(UTC+9)の午前9時(GMT 0:00 UTC+0)に切り替わることになります。
例えば、ファイルベース名を[WinSyslog-%timegenerated:1:7:%]としてlocaltime指定が無い場合、WinSyslog-2017-01.logのログファイルには、日本時間の2017年1月1日午前9:00 から 2月1日の午前8:59:59 までのログが記録されます。

5. 機能についての質問(EventReporter)

Q5-1:イベントログのタイプ別に Syslog ファシリティ値を設定したいのですが?

A5-1: デフォルトでは、全てのイベントログタイプのファシリティ値は、LOCAL 0 に設定されています。
この値をタイプ別に変更する場合には、サービスの「イベント チャンネル」タブで変更します。


▲サービス「Event Log Monitor V2」>「イベント チャンネル」タブ 設定画面

①サービス名をクリックし、右ペインで「イベント チャンネル」タブを表示します。
②ファシリティを変更したいイベントログ チャンネルを選択します。
(上図では、Application(アプリケーション)のイベントログが選択されています)
③「ファシリティ」のプルダウンから、値を選択します。



参考:「イベントログの監視 V1」の画面では、「Syslogファシリティ」項目にて、値をプルダウンリストより選択して下さい。

Q5-2:Syslog メッセージにイベントIDを追加したいのですが?

A5-2: 「Syslog転送」(ForwardSyslog)アクションでイベントログを Syslog サーバーへ転送する場合、必要に応じてその内容を変更できます。
送信するメッセージは、「Syslogメッセージ オプション」タブの「送信メッセージ」で変更することが可能です。
Action「Syslog転送」の場合のデフォルトは、%msg:::spacecc,compresspace% となっています。
このプロパティは、「挿入」>「一般」>「メッセージ(圧縮された)」で、追加されるプロパティです。改行コードや連続したスペースを圧縮して出力します。
(既存のアクション「ForwardSyslog」の場合は、%msg% のみで、このプロパティではメッセージは圧縮されません)


▲「Syslog 転送」 アクションの設定画面

メッセージの内容は、「挿入」でプロパティ値を追加することで、変更可能です。
例えば、イベントID をメッセージに挿入する場合には、テキストボックス内で、プロパティを挿入したい位置にカーソルを置き、「挿入」>「イベントログの監視 V2」>「イベントID」を選択します。
すると、「送信メッセージ」のテキストボックス内に %id% という値が追加されます。
EventReporter で使用できるプロパティ値の詳細につきましては、こちら をご参照下さい。

Q5-3:イベントの重要度は、それぞれどの Syslog プライオリティ に割り当てられますか?

A5-3:1) イベントログの監視V1のデフォルトでは、イベントの重要度は、以下のようにマッピングされます:


2) イベントログの監視V2のデフォルトでは、イベントの重要度は、以下のようにマッピングされます:


参照:BSD syslogプロトコル 表2 syslogメッセージのSeverity;http://www.amris.co.jp/netdocs/rfc3164_j.html

この値は、イベントログの監視サービスのイベントチャンネルタブで、上記のようにプルダウンより選択して変更することができます。

Q5-4:収集したイベントを出力するフォーマットを変更したい

A5-4:カスタムフォーマットを選択し、出力したいプロパティや出力構成を設定できます。
1) ファイルログアクションの作成
ルールの下のAction上で右クリック>アクションを作成>ファイルログ


ログファイルを保存するファイルパスを「参照」ボタンから指定し、任意のファイル名を入力します。
ファイル名に日付やソース(イベントホスト)情報を付加したい場合は該当する項目にチェックします。


2) Adisconフォーマット:デフォルト
デフォルトのフォーマットはAdisconフォーマットで、以下のように出力されます。(メッセージ部分が複数行で出力)
2017-05-19,14:25:42,2017-04-28,18:36:14,hostname,16,06,TCP/IP トランスポート インターフェイスが削除されました。
名前: Teredo Tunneling Pseudo-Interface
インターフェイス インデックス: 0x8
ガイダンス:
(以下省略)


3) カスタムフォーマット :挿入ボタンより出力したいプロパティが選択できます。


ここでは、以下のプロパティを選択し、区切り文字カンマで区切る場合の出力例を紹介します。
報告時刻(ローカルタイム),ソース,イベントチャンネル,イベントID,イベントユーザー,イベントRawソース,イベントログタイプ,イベント重要度,カテゴリ名,レベル,メッセージ(圧縮された)改行
※カスタムフォーマットボックスに表示される表記:
%timereported:::localtime%,%source%,%channel%,%id%,%user%,%sourceraw%,%NTEventLogType%,
%severity%,%catname%,%level%,%msg:::spacecc,compressspace%%$CRLF%

注記:%timerported%はUTCタイムで表示されますので、%timereported:::localtime%に書き換えています。

以下のように、改行コードや重複スペースが削除された状態で出力されます。
2017-04-28 18:25:44,hostname,Connectivity,30810,NT AUTHORITY\SYSTEM,Microsoft-Windows-SMBClient,
Microsoft-Windows-SmbClient/Connectivity,[INF],,情報,TCP/IP トランスポート インターフェイスが追加されました。 名前: Teredo Tunneling Pseudo-Interface インターフェイス インデックス: 0x8 ガイダンス: (以下省略)

Q5-5:夜間に作成されたイベントログのみ抽出処理したい

A5-5:フィルタの条件を設定して頂くことで、指定の時間内に発生したイベントをログのみ抽出することができます。
以下の設定例では、営業時間外(19時~6時)に発生したイベントログに絞ってログファイルに保存するように設定を行います。

◆フィルタの条件の設定
・演算子の変更
「AND」をダブルクリックし、演算子を「OR」に変更します。
(時間が真夜中(0:00:00)を区切りに分かれているため、「OR」のオペレーションが適しています。)
・フィルタの作成
「OR」を右クリックし、「フィルタの追加」-「曜日/時間」-「時間」を選択します。


時間を指定するフィルタが作成され、このフィルタをクリックすると、設定画面の下に「詳細」が表示されます。「比較のオペレーション」で「>」を、「プロパティに値を設定」で「19:00:00」を指定します。(19-24時の時間枠指定)



もう一つフィルタを追加し、詳細で 「比較のオペレーション」を「<」、「プロパティに値を設定」にて時間「6:00:00」を指定して下さい。(0-6時の時間枠指定)
この二つのフィルタをORの下に設定することで、「19時~6時」の時間枠を指定できます。


Q5-6:特定のイベントIDのイベントログだけ除外したい

A5-6:ログを管理する上で不要なイベントログは、破棄アクションを利用することで無視することができます。

特定のイベントID を持つログを無視したい場合には、破棄のアクションを設定します。
まず、フィルタの条件でイベントIDのフィルタを作成し、値を入力します。



さらに、そのフィルタ条件の配下に「破棄」アクションを追加します。下の例では、ID=105のイベントを破棄します。フィルタの条件にマッチしたログは、無視され、その他のログは下位のルールに流れてゆきます。
下の例では、破棄を含むルール(Discard)の下に、ファイルログのアクションを含むルール(ファイルログ)がありますので、イベント ID が105以外の全てのイベントログが、ログファイルに記録されるようになります。


Q5-7:重大レベルのイベントログをフィルタリングしたい

A5-7:Windows Vista 以降のOSで新たに追加された「重大(Critical)」レベルのイベントログを絞り込み、処理させたい場合には、従来の「イベント重要度」フィルタではなく、「イベントログの監視V2」の項目内にある「イベントレベル」フィルタを使用します。(下図参照)



ドロップダウンリストから選択する「イベント重要度」フィルタとは違い、「イベントレベル」フィルタでは、「プロパティ値を設定」のボックスに直接文字列を入力しなければなりません。
上図のようにフィルタの条件を設定することで、レベルが重大であるイベントのみ処理の対象となり、そのフィルタの条件の下に設定されたアクションが実行されるようになります。



※※ ご注意 ※※
Windows Vista 以降の新しいイベントログを処理する場合には、特別な事情がない限り、従来の「イベントログの監視」サービスでなく、「イベントログの監視V2」サービスをご利用ください。
(従来のサービスでは、新たに追加された項目やイベントなど処理できない場合がございます)

その他のフィルタ設定については以下の手順書も合わせてご参照ください。
https://www.jtc-i.co.jp/support/documents/tips/eventrporter_filtersample.pdf

Q5-8:EventReporter でActiveDirectory認証失敗のイベントを監視し、メールで通知したい

A5-8:認証失敗の手がかりとなるイベントID4768, 4771, 4772などをORフィルタとして追加し、Eメール送信アクションを作成します。
Kerberos 認証サービスのログ:


セキュリティログにイベントを記録させるために、Windows側で設定を行う必要があります。
「コンピューターの構成」-「ポリシー」-「Windowsの設定」-「セキュリティの設定」- 「監査ポリシーの詳細な構成」-「監査ポリシー」 
※必要に応じて以下の監査を構成します。
・アカウント ログオン -> 資格情報の確認の監査, Kerberos 認証サービスの監査
・ログオン/ログオフ -> ログオフの監査, ログオンの監査, 特殊なログオンの監査



EventReporter でルールを作成し、フィルタの条件を設定し、その配下にメール送信アクションを作成・設定します。


参照: https://www.jtc-i.co.jp/support/documents/tips/winsyslog_E-mail_setting.pdf


EventReporter FAQトップへ↑