BOOK Preview サーバー管理者のためのイベントログ運用の基本 第3章 イベントログとは？ 3.1 イベントログの基本的な仕組み 3.2 イベントログの種類 毎日コミュニケーションズの書籍紹介ページへ 書籍情報のページ 2005/08/24

本コーナーは、Windowsシステム管理者向けの書籍から、主要なチャプターをそのまま転載し、その内容を紹介するものです。 　今回ご紹介する『サーバー管理者のためのイベントログ運用の基本』は、Windowsサーバ管理では欠かすことのできないイベントログについて、基礎から実践的な活用方法までを1冊にまとめたものです。 　周知のとおりイベントログは、構成変更や障害発生、セキュリティ監査など、Windowsシステムで発生するさまざまな事象（＝イベント）を記録するしくみです。Windowsの日々の運用やトラブル発生時の対処、リソース増強計画など、システム管理者の主要な作業を支える貴重な情報源です。 　しかし、イベントログの内容から、管理者が目的とする情報を得るのは容易なことではありません。イベントログは、あくまでシステムで発生したさまざまな事象を発生順に記録しているだけで、システムで何が起こっているのかを知るためには、複数のイベントを組み合わせて読み解く必要があるなど、高度な経験とノウハウが必要になるからです。 　本書の最大の特徴は、単なるイベントログの解説や、個々のイベントの説明だけでなく、実際のWindowsシステム管理の経験に基づくさまざまなノウハウが収録されていることです。Windowsシステム管理者にとっては非常に心強い一冊でしょう。 　本稿では、この書籍『サーバー管理者のためのイベントログ運用の基本』より、イベントログの基礎を解説した第3章「イベントログとは？」、OS関連のイベントについて解説した第7章「OS関連のイベント」をそれぞれ2回に分けて転載します。 　なお、書籍の詳細については書籍情報のページをご覧ください。

ご注意：本記事は、書籍の内容を改訂することなく、そのまま転載したものです。このため用字用語の統一ルールなどは＠ITのそれとは一致しません。あらかじめご了承ください。

3．イベントログとは？

　ここでは、「イベントログとはなにか？」を原点に返って、説明したいと思います。

　イベントログは、Windows OS（オペレーティング・システム）が提供するログ（履歴）管理の仕組みである。別に言い方をすると、発生した事象（イベント：Event）を記録するものです。

注釈 Windows XP以前のディスクトップ系OS（Windows3.1、Windows95、Windows 98、Windows ME）では、イベントログの仕組みは提供されていない。イベントログの仕組みが提供されたのは、Windows NT 3.1が最初。

　イベントログは、Windows OSだけではなく、ハードウェア用のデバイスドライバや、Windows OS上で動作する各種アプリケーションもサポートしています。

　このようにイベントログは、そのコンピュータ上で管理対象となるハードウェア、OS、各種アプリケーションのログ管理の一元化を実現しているのです。

図3.1 イベントログで、ログ管理の一元化を実現している

　

コラム 他のOSでのログの仕組みは？ 　UnixやLinuxなどのOSでは、ログ管理の仕組みとしてsyslog（シスログと読みます）と呼ばれるものがあります。このsyslogは、OSやデバイスドライバ・ソフトウェアのログを対象にしています。 　これらのOS上で動作する各種アプリケーションのログは、アプリケーション毎に管理するログファイルに記録されるのが一般的です。つまり、コンピュータの管理者は、syslogに加えて、使用しているアプリケーション毎のログを参照する必要があります。

3.1 イベントログの基本的な仕組み

　イベントログの基本的な仕組みを、以下の図に示します。

図3.2 イベントログの基本的な仕組み

■事象（イベント）
　システムやアプリケーションで発生した重要な事象のことを指します。

■イベントを記録するプログラム
　イベントログをサポートしているWindows OSのコア部分や、各種コンポーネント、デバイスドライバ、各種アプリケーションなどを指しています。

注釈 マイクロソフト社が提供するデバイスドライバやコンポーネント、サーバー製品は全てこのイベントログをサポートしています。マイクロソフト社以外では、多くがイベントログをサポートしていますが、「クライアント用アプリケーション」や「業務系ソフトウェア」ではサポートしていないことが多いです。

■イベントログ（Event Logging）サービス
　イベントログの仕組みの中心となるサービスです。イベントログに情報を記録したり、読み出したり、イベントログを管理する機能を提供しています。

　Windows OSのサービスとして動作します。OS稼動中は、必ず動いています。

注釈 Windows OSで言う“サービス”は、マイクロソフト社が提唱する技法で開発された、バックグラウンドで動作するプログラムのことです。通常、ユーザーインターフェースを持ちません。コントロールパネルの管理ツールにある“サービス”で起動・停止などの操作ができます。UnixやLinuxのデーモンに相当します。

■イベントログ
　イベントログは、発生した事象（イベント）の記録を格納する倉庫にあたります。

　イベントログは、複数の種類のログをサポートしています。それぞれのイベントログは、ひとつのログファイルに格納されます。一般的にログファイルと言えばテキスト形式のファイルの場合が多いのですが、イベントログは独自のバイナリ形式のファイルです。

■イベントログを参照するプログラム
　Windows OSに標準的に提供されている「イベントビューア」（管理ツールにあります）が、通常、管理者の方が使用するもっともポピュラーなイベントログを参照するプログラムです。これ以外にもコマンドラインツールや、サードパーティ製品、フリーウェアなどのソフトウェアが存在します。

■メッセージファイル
　＜イベントログを参照するプログラム＞は、イベントログの情報だけでは事象（イベント）の説明などを表示することが出来ません。＜イベントログを参照するプログラム＞は、このメッセージファイルの内容を使用して、説明文の内容などを組み立てます。

　この仕組みは、多言語対応（英語版ＯＳや日本語ＯＳなどの複数の言語に対応すること）に、容易に対応できるように考えられたものです。

3.2 イベントログの種類

図3.3 複数存在するイベントログ

　イベントログには、以下の種類の標準ログがあります。

■アプリケーションログ
　アプリケーションソフトやサービスが出力する事象（イベント）の情報を格納します。

■システムログ
　WindowsOSのコア部分やコンポーネント、サービスの稼動状況、さらにデバイスドライバが出力する事象（イベント）の情報を格納します。

■セキュリティログ
　セキュリティの監査の事象（イベント）の記録を格納します。セキュリティの監査では、ファイルなどの作成、オープン、削除などのリソースの使用に関連する事象（イベント）のほかに、ログオンの記録などが含まれます。

　次の３つのログは、カスタムログと呼ばれるものです。カスタムログは、上記の標準ログ以外に、アプリケーションによって独自に作成されたイベントログのことを言います。このカスタムログは、WindowsNTの時代にはなく、Windows2000以降でサポートされました。

■DNSサーバーログ
　ＤＮＳサービスを構成しているコンピュータに存在します。DNSサービスの事象（イベント）の記録を格納します。

■ディレクトリサービス（Directory Service）ログ
　ドメインコントローラとなっているディレクトリサービスを構成しているコンピュータに存在します。ディレクトリサービスの事象（イベント）の記録を格納します。

■ファイルリプリケーション複製サービスログ
　ファイル複製サービスを構成しているコンピュータに存在します。ファイル複製ディレクトリサービスの事象（イベント）の記録を格納します。

INDEX
	サーバー管理者のためのイベントログ運用の基本
	第3章 イベントログとは？
	3.1 イベントログの基本的な仕組み／3.2 イベントログの種類
	3.3 イベントソース／3.4 イベント／3.5 イベントログの設定／3.6 ネットワークを介した分散システムでの利用／3.7 イベントログのセキュリティ／3.8 イベントログとイベントビューア

　

「BOOK Preview」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）