[System Environment] | |||||||||||||||||
イベント・ログ・ファイルの最大サイズを拡大する
|
|||||||||||||||||
|
解説 |
Windows NT/2000/XPでは、OSの動作に関する記録を「イベント・ログ」と呼ばれる独自形式のログに記録するようになっている。UNIX系OSのログ(syslog)はテキスト形式だが、Windowsのイベント・ログはバイナリ形式で、「イベント・ビューア」と呼ばれる専用の管理ツールを使用しなければ、内容を見ることができない。「イベント・ビューア」は、コントロール・パネルの管理ツール内に独立したツールとして含まれているほか、Windows 2000以降では、「コンピュータの管理」ツールの中にも同等のイベント参照機能が追加された。
イベント・ビューアでは、カテゴリ別にイベント・ログが記録される。カテゴリとしては、アプリケーション・ソフトウェアの動作に関するログを記録する「アプリケーション」、監査ログを記録する「セキュリティ」、OS自身の動作に関するログを記録する「システム」がデフォルトで存在する。さらに、Active Directoryのドメイン・コントローラでは「Directory Service」と「ファイル複製サービス」が、DNSサーバが動作しているコンピュータでは「DNS Server」が追加される。
「システム」や「アプリケーション」は、OSやアプリケーション・ソフトの動作に関するイベントが記録される場所なので、システムが正常に機能している限りにおいては、それほど神経質になる必要はない。何か動作に問題があったときにイベント・ログを確認し、原因追及の参考にすればよいだろう。
これらに対し、「セキュリティ」ログでは、外部からの不正侵入やアタックの有無などを検出するために使えるので、正しく設定して、日ごろからログの内容に注目すべきだ。デフォルトでは、「セキュリティ」ログには何も記録されないので、明示的に設定を行う。具体的には、システム管理権限を持つユーザー・アカウントのログオン・イベントの監査について「失敗」のイベントを監査する(管理者アカウントへのブルートフォース攻撃などを検出可能)、 「オブジェクトアクセスの監査」を有効にして、重要な個人情報への監査を行う、といったものが一般的である(「オブジェクトアクセスの監査」では、ファイルやフォルダ、Active Directoryドメイン・オブジェクトへのアクセスを監査できる)。
システム管理では重要なイベント・ログ情報だが、初期設定では、ログが大量に記録されてログ・ファイルのサイズ上限である512Kbytesに達した後は、7日間が経過するか、記録済みのイベントを消去するまで、新しいイベントの記録が行われないようになっている。その間に何か重要なイベントが発生しても、イベント・ログに記録されないので、これはシステム管理の面から見て好ましいとはいえない。古いイベントと新しいイベントのどちらが大事かといえば、より直近の方が重要度が高いであろうから、デフォルト設定を変更しておきたい。
なお、記録されたイベント・ログを消去するには、ツリー部分でカテゴリーをごとに、右クリックして、表示されるショートカット・メニューの[すべてのイベントを消去]を実行する。このとき、すでに記録されているイベントを保存するかどうかが問い合わせられる(保存を指示すると、拡張子evtというバイナリ・ファイルが出力される)。また、消去を行わない場合でも、右クリック・メニューの[ログファイルの名前を付けて保存]を選択すれば、同様にイベントログの保存が可能だ。
設定方法 |
イベント・ログの記録条件に関する設定を変更するには、[コントロールパネル]−[管理ツール]にあるイベント・ビューアを起動し、ツリー画面で、設定を変更したいログのカテゴリを右クリックし、表示されるショートカット・メニューの[プロパティ]を実行する。すると次のダイアログが表示される。
![]() |
|||||||||||||||
イベント・ログのプロパティ設定ダイアログ | |||||||||||||||
ログの最大サイズや、ログ・サイズが最大値になった場合の処理を指定する。 | |||||||||||||||
|
イベント・ログのサイズが最大値に達した場合の処理には、以下の3種類の選択肢がある。
■必要に応じてイベントを上書きする
イベント・ログがいっぱいになった場合、自動的に最も古いイベントから順に消去され、新しいイベントと置き換えられる。古いイベント・ログは無条件で上書きされて消えてしまう。重要なもの(「エラー」)だけ残すなどの選択肢はない。
■イベントを上書きする(n日経過後)
デフォルトではこれが選択され、既定値で日数は7日となっている。ここで指定した日数の間は、イベントの上書きを行わない。もし、設定した日数が経過する前にイベント・ログがいっぱいになった場合は、それ以後に発生したイベントは、設定した日数が経過するまで記録されない。設定した日数が経過すると、古いものから順に上書きされる。この選択肢は、一定期間ごとにログをファイルに保存する場合に有用だが、突発的に大量のイベントが発生すると、ログを保存する前にファイルのサイズが上限に達して、記録が中断される可能性もある。
■イベントを上書きしない
日数に関係なく、イベント・ログがサイズ上限に達した時点で記録を中断する。その後は、記録されているイベントを手動で消去しなければ、新しいイベントは記録されない。これを選択した場合、いったん記録されたイベントが失われることはないが、ログがいっぱいになった場合に、その後で発生した重要なイベントを取りこぼす可能性がある。
なお、日数、あるいはサイズの制限からイベントの記録ができなくなった場合でも、その時点で記録されているイベント・ログを消去すると、再びイベントログの記録が可能になる。また、現在の値よりもサイズを小さく変更することも可能だが、その場合、設定変更の時点で記録されているイベント・ログをすべて消去しなければ、記録は再開されない。
イベント・ログのサイズの上限を拡大すれば、記録可能なイベントの数が増えるので、新しいイベントが古いイベントを勝手に上書きしたり、ログがいっぱいになって記録が停止したりする可能性は低下する。しかし、予想外に速いペースでイベントが発生した場合(特に不正アクセスを検出するために実施するログオン・イベントの監査では、その可能性が高い)、増加させたサイズ上限も簡単にいっぱいになってしまう可能性があるので、ログのサイズだけでなく、上書きの設定にも注意を払う必要がある。
イベント・ログにはシステムの履歴が記録されているので、可能ならばなるべく長く保存しておきたいが、重要性の高い直近のイベントが(ログがフルになって)記録に残らないというのは避けたいところである。
そこで、イベント・ログ・ファイルのサイズを実用上困らない程度に拡大しておき、常に上書きモードで運用する、という方法が(現状では)望ましいだろう。具体的なサイズとしては、クライアント用途なら、最低でも8Mbytes程度、サーバ用途なら16Mbytes以上にはしておきたいところだ。参考までに述べると、手元のWindows 2000 Serverシステムの場合では、16Mbytesのログ・サイズでは7〜8万件ほどのイベントが記録可能なようである。それぞれのニーズに合わせてサイズを決めていただきたい(特にセキュリティ・ログでは、どこまで監査を行うかによって記録される件数が大きく変わる)。
この記事と関連性の高い別の記事
- Windowsの「管理イベント」で重要なイベントを素早く確認する(TIPS)
- Windowsのイベントログを自動アーカイブで長期間保存する(TIPS)
- イベント・ログをトリガーにしてメールを送信する(基本編)(TIPS)
- コマンド・プロンプトでイベント・ログを表示する(TIPS)
- WSHコードで発生したエラー情報をイベント・ログに記録する(TIPS)
このリストは、デジタルアドバンテージが開発した自動関連記事探索システム Jigsaw(ジグソー) により自動抽出したものです。

![]() |
「Windows TIPS」 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
![]() |
|
|
|
![]() |