イベントログの役割と設定
0.改定履歴
- 1998.04.02 初版
1.はじめに
このドキュメントは,WindowsNTの情報収集窓口となるイベントログの仕組みに付いて説明する. このドキュメントの画像はWindows3.51ベースであるが,見た目が違うだけでWindowsNT4.0でも適用できる.
2.イベントログとは?
イベントログとは,その名が示すとおり,NT上で稼働するものが何かしら管理者に伝えたいことをロギングするための仕組みである.
このログは,NTでは3つに別れている.
このイベントログを見るためのプログラムとして,“イベントビューア”というGUIアプリケーションが,“管理ツール”の中にはいっている.これを起動し,ログメニューを開くと,次のようになる.
ログメニューにある3つのログの役割を以下に説明する.
- システム
- NTのOSが出すログ. ハードウェアエラーやサービスの起動エラー,ハングアップなどが記述される.
- セキュリティ
- セキュリティ関連のログが記述される. たとえば,特権ログオンや監査で設定したオブジェクトへのアクセスなど. このログに何か記述されるからと行って,稼働運用上,(セキュリティホールという意味以外で)問題があることは少ない.
- アプリケーション
- 各アプリケーションがログを書き込む場所. NTに付属しているアプリケーションであっても,ここに記述される. それはOSでは無いからだ.
3.どのようなアプリケーションがログを出すのか?
NTで稼働している,サードパーティ製のアプリケーションが,全てこのイベントログを書き出すようにはなっていない.
たとえば,代表的なのはLotus Notesサーバで,このサーバソフトがハングアップしても何もイベントログに書き出さない.
それは,このLotus Notesがイベントログ対応していないためである. ここでいう“対応”というのは,「なにかエラーでも発生したらイベントビューアのAPIを使ってイベントログに書き出すような仕組みを組み込んでない」ということである.
※ちなみに,Notes Domino(Ver 4.5以降)は,“イベントログに対応している”と,説明者は言っていた.
4.こんな使い方〜再起動を知る〜
NTが再起動した時,一番最初にロギングされるのがEvent Logサービスである. それは,当然,Event Logサービスが起動しなければイベントログが記録できないからである.
イベントビューアで表示するときに,フィルタリング機能を使うことで,特定のイベントのみを表示させることが出来る. これで,EventLogのみをフィルタリングすると,再起動した回数がわかるという事だ.
5.イベントログのエラー
NTをインストールしたあと,何も触ってないと,次のようなエラーが出ることがある.
これはイベントログにも記述されているはずだ.
どういうことかというと,これはイベントログを記録するのファイルサイズがオーバしているということである.
つまり,ログの記録サイズを広げれば解決する.
イベントビューアのメニューから“イベントログの設定”を選択し,次のようなダイアログを開く.
これで最大ログサイズを広げるか,イベントログを上書きする(とっておく)日を設定する.
大半の障害の場合,エラーがロギングされ初めてしばらくしてから異常に気付くので,ログを保存する期間を短くするのではなく,ログサイズを大きくすればよい.
どれくらい大きくすればよいかというと,それはエラーが出る頻度によって必要な容量は変わるのだが,サーバマシンであれば10Mや20Mのログファイルを持っていても問題ない設定になっていると思われるので,それは独自で判断してもらいたい.
ちなみに,このログサイズは3つのイベント毎に設定できる.
