イベントログのサブスクリプションを利用するためには、クライアントおよびコレクターの両方でWindows リモート管理(WinRM)サービスを構成した後、コレクターでWindowsイベントコレクターサービス(Wecsvc)を構成する必要があります。クライアントおよびコレクターのWinRMサービスを有効化するには、ドメインアカウントでログオンし、管理者権限モードで起動したコマンドプロンプト上で、以下のコマンドを実行します(質問にはyを入力します)。
winrm quickconfig
winrm quickconfigコマンドを実行すると、WinRMサービスが起動し、WinRMのリスナー(デフォルトではTCP/5985)が構成され、Windowsファイアウォールの「Windowsリモート管理(HTTP受信)」が有効になります。
誤ってローカルの管理者アカウントでログオンし、上記コマンドを実行した場合、以下のようなエラーが表示されます。この場合、WinRMのリスナーとWindowsファイアウォールの構成を手動で設定する必要があります。
続けて、コレクターでのみ以下のコマンドを実行します。
wecutil qc
これにより、コレクターでWindowsイベントコレクターサービスが起動します。
次に、クライアントのAdministratorsグループに、コレクターのコンピューターアカウントを追加します。追加する方法には、「管理ツール」にある「コンピューターの管理」―「ローカルユーザーとグループ」から行う方法と、コマンドプロンプトを使用する方法があります。
「ローカルユーザーとグループ」から追加する場合は、デフォルトではディレクトリの検索を行っても、コンピューターアカウントが一覧に表示されません。下図のように、検索するオブジェクトにコンピューターを追加する必要があります。
コマンドプロンプトから追加する場合は、管理者権限モードで起動したコマンドプロンプトで以下のコマンドを実行します。以下のコマンド実行例では、ローカルのAdministratorsグループに“DC2012R2”というコンピューターアカウントを追加しています。
net localgroup administrators <ドメイン名>\<コレクターのコンピューターアカウント>$ /add
コレクター上でイベントログビューアーを起動します。イベントビューアーの左側に表示されている「コンソールツリー」の「サブスクリプション」を右クリックし、「サブスクリプションの作成」を選択します。すると、「サブスクリプションのプロパティ」が表示されます。
この画面では、以下の設定を行います。
・収集するイベント:取得したいイベントログの種類を選択します。XPathクエリによる入力も可能です。LAPSのログのみを収集する場合、「イベントログ」は“Application”を選択し、「イベントソース」は“AdmPwd”を選択します
設定後、しばらく経つと(デフォルトでは15分)、宛先ログで設定したログに、クライアントのイベントログが転送されます
Copyright © ITmedia, Inc. All Rights Reserved.