Windows TIPS

［System Environment］

→ Windows TIPS TOPへ → Windows TIPS全リストへ → 内容別分類一覧へ イベント・ログ・ファイルの最大サイズを拡大する → 解説をスキップして設定方法を読む 井上孝司 2003/03/15 　 対象OS Windows NT Workstation Windows NT Server Windows 2000 Professional Windows 2000 Server Windows 2000 Advanced Server Windows 2000 Datacenter Server Windows XP Professional Windows XP Home

■ Windows NT系列のOSには、OSやアプリケーション・ソフトの動作を記録・表示する「イベント・ログ」という機能がある。 ■ デフォルトでは、ログ・サイズが初期設定の制限値（512Kbytes）より大きくなると、新たなログが記録されなくなる。現実的には、ログ・ファイルのサイズを大きくしておき、上書きモードで利用するのがよいだろう。

　

解説

　Windows NT／2000／XPでは、OSの動作に関する記録を「イベント・ログ」と呼ばれる独自形式のログに記録するようになっている。UNIX系OSのログ（syslog）はテキスト形式だが、Windowsのイベント・ログはバイナリ形式で、「イベント・ビューア」と呼ばれる専用の管理ツールを使用しなければ、内容を見ることができない。「イベント・ビューア」は、コントロール・パネルの管理ツール内に独立したツールとして含まれているほか、Windows 2000以降では、「コンピュータの管理」ツールの中にも同等のイベント参照機能が追加された。

　イベント・ビューアでは、カテゴリ別にイベント・ログが記録される。カテゴリとしては、アプリケーション・ソフトウェアの動作に関するログを記録する「アプリケーション」、監査ログを記録する「セキュリティ」、OS自身の動作に関するログを記録する「システム」がデフォルトで存在する。さらに、Active Directoryのドメイン・コントローラでは「Directory Service」と「ファイル複製サービス」が、DNSサーバが動作しているコンピュータでは「DNS Server」が追加される。

イベント・ビューアの画面例

これは、Windows 2000 Serverのイベント・ビューア。ドメイン・コントローラで、かつDNSサーバも動作しているため、基本となる「アプリケーション」「セキュリティ」「システム」の3種類以外に「Directory Service」「ファイル複製サービス」「DNS Server」が存在する。それぞれの分野ごとに、「情報」「警告」「エラー」とカテゴリ分けされてイベントが記録される。

イベントの種類は、ここにツリー構造で表示される。基本は3種類だが、場合によっては、このように種類が増えることもある。 　 ツリーで選択したカテゴリーのイベント・ログが、右側に表示される。特に、［種類］が［警告］あるいは［エラー］となっているイベントには注意を払うべきだ。 　 ［ソース］として表示されるのは、イベントの発生源となったサービスの名前。ここを見ると、どこでイベントの原因になる事象が発生したか、見当を付けやすい。 　 特定のユーザー・アカウントにかかわるイベントの場合、ここにユーザー名が表示される。 　 イベント・ビューアでは、ネットワーク経由でほかのコンピュータのイベント・ログを表示させることもできる。このため、イベントが発生したコンピュータ名の情報がここに表示される。

　「システム」や「アプリケーション」は、OSやアプリケーション・ソフトの動作に関するイベントが記録される場所なので、システムが正常に機能している限りにおいては、それほど神経質になる必要はない。何か動作に問題があったときにイベント・ログを確認し、原因追及の参考にすればよいだろう。

　これらに対し、「セキュリティ」ログでは、外部からの不正侵入やアタックの有無などを検出するために使えるので、正しく設定して、日ごろからログの内容に注目すべきだ。デフォルトでは、「セキュリティ」ログには何も記録されないので、明示的に設定を行う。具体的には、システム管理権限を持つユーザー・アカウントのログオン・イベントの監査について「失敗」のイベントを監査する（管理者アカウントへのブルートフォース攻撃などを検出可能）、 「オブジェクトアクセスの監査」を有効にして、重要な個人情報への監査を行う、といったものが一般的である（「オブジェクトアクセスの監査」では、ファイルやフォルダ、Active Directoryドメイン・オブジェクトへのアクセスを監査できる）。

　システム管理では重要なイベント・ログ情報だが、初期設定では、ログが大量に記録されてログ・ファイルのサイズ上限である512Kbytesに達した後は、7日間が経過するか、記録済みのイベントを消去するまで、新しいイベントの記録が行われないようになっている。その間に何か重要なイベントが発生しても、イベント・ログに記録されないので、これはシステム管理の面から見て好ましいとはいえない。古いイベントと新しいイベントのどちらが大事かといえば、より直近の方が重要度が高いであろうから、デフォルト設定を変更しておきたい。

　なお、記録されたイベント・ログを消去するには、ツリー部分でカテゴリーをごとに、右クリックして、表示されるショートカット・メニューの［すべてのイベントを消去］を実行する。このとき、すでに記録されているイベントを保存するかどうかが問い合わせられる（保存を指示すると、拡張子evtというバイナリ・ファイルが出力される）。また、消去を行わない場合でも、右クリック・メニューの［ログファイルの名前を付けて保存］を選択すれば、同様にイベントログの保存が可能だ。

設定方法

　イベント・ログの記録条件に関する設定を変更するには、［コントロールパネル］−［管理ツール］にあるイベント・ビューアを起動し、ツリー画面で、設定を変更したいログのカテゴリを右クリックし、表示されるショートカット・メニューの［プロパティ］を実行する。すると次のダイアログが表示される。

イベント・ログのプロパティ設定ダイアログ

ログの最大サイズや、ログ・サイズが最大値になった場合の処理を指定する。

イベント・ログの現在のサイズ。記録されているイベントの発生期間とログのサイズを比較すれば、平常時にどの程度のペースでログが発生するかを把握できる。 　 イベント・ログの最大サイズを指定する。既定値は512Kbytes。 　 イベント・サイズが最大値に達した場合の上書き方法を選択する。 　 WAN経由で別のコンピュータのイベント・ログを表示させている場合には、このチェック・ボックスをオンにする。 　 ここをクリックすると、現時点で記録されているイベントを消去ができる。消去前に保存するかどうかが問い合わせられるのは、右クリック・メニューの場合と同様。

　イベント・ログのサイズが最大値に達した場合の処理には、以下の3種類の選択肢がある。

■必要に応じてイベントを上書きする
　イベント・ログがいっぱいになった場合、自動的に最も古いイベントから順に消去され、新しいイベントと置き換えられる。古いイベント・ログは無条件で上書きされて消えてしまう。重要なもの（「エラー」）だけ残すなどの選択肢はない。

■イベントを上書きする（n日経過後）
　デフォルトではこれが選択され、既定値で日数は7日となっている。ここで指定した日数の間は、イベントの上書きを行わない。もし、設定した日数が経過する前にイベント・ログがいっぱいになった場合は、それ以後に発生したイベントは、設定した日数が経過するまで記録されない。設定した日数が経過すると、古いものから順に上書きされる。この選択肢は、一定期間ごとにログをファイルに保存する場合に有用だが、突発的に大量のイベントが発生すると、ログを保存する前にファイルのサイズが上限に達して、記録が中断される可能性もある。

■イベントを上書きしない
　日数に関係なく、イベント・ログがサイズ上限に達した時点で記録を中断する。その後は、記録されているイベントを手動で消去しなければ、新しいイベントは記録されない。これを選択した場合、いったん記録されたイベントが失われることはないが、ログがいっぱいになった場合に、その後で発生した重要なイベントを取りこぼす可能性がある。

　なお、日数、あるいはサイズの制限からイベントの記録ができなくなった場合でも、その時点で記録されているイベント・ログを消去すると、再びイベントログの記録が可能になる。また、現在の値よりもサイズを小さく変更することも可能だが、その場合、設定変更の時点で記録されているイベント・ログをすべて消去しなければ、記録は再開されない。

　イベント・ログのサイズの上限を拡大すれば、記録可能なイベントの数が増えるので、新しいイベントが古いイベントを勝手に上書きしたり、ログがいっぱいになって記録が停止したりする可能性は低下する。しかし、予想外に速いペースでイベントが発生した場合（特に不正アクセスを検出するために実施するログオン・イベントの監査では、その可能性が高い）、増加させたサイズ上限も簡単にいっぱいになってしまう可能性があるので、ログのサイズだけでなく、上書きの設定にも注意を払う必要がある。

　イベント・ログにはシステムの履歴が記録されているので、可能ならばなるべく長く保存しておきたいが、重要性の高い直近のイベントが（ログがフルになって）記録に残らないというのは避けたいところである。

　そこで、イベント・ログ・ファイルのサイズを実用上困らない程度に拡大しておき、常に上書きモードで運用する、という方法が（現状では）望ましいだろう。具体的なサイズとしては、クライアント用途なら、最低でも8Mbytes程度、サーバ用途なら16Mbytes以上にはしておきたいところだ。参考までに述べると、手元のWindows 2000 Serverシステムの場合では、16Mbytesのログ・サイズでは7〜8万件ほどのイベントが記録可能なようである。それぞれのニーズに合わせてサイズを決めていただきたい（特にセキュリティ・ログでは、どこまで監査を行うかによって記録される件数が大きく変わる）。

「Windows TIPS」

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）