イベント ログ サブスクリプションを実装する
イベント ログ サブスクリプションを使うと、1 つのサーバーで複数のシステムからイベントのコピーを収集できます。 Windows リモート管理 (WinRM) と Windows イベント コレクター サービス (Wecsvc) を使ってイベントを一元管理されているサーバーのイベント ログに収集し、同じ中央のサーバーに収集されている他のコンピューターのイベント ログと合わせて分析することができます。
サブスクリプションの種類
次の表に示すように、サブスクリプションにはコレクターによる開始型とソース コンピューターによる開始型があります。
サブスクリプションの種類 | 説明 |
---|---|
コレクターによる開始 | コレクターによる開始型サブスクリプション (プル サブスクリプション) の場合、コレクターがイベントを受信するすべてのコンピューターを特定し、通常はこれらのコンピューターからイベントをプルします。 コレクターによる開始型サブスクリプションでは、サブスクリプション定義はコレクター コンピューターに格納され、保持されます。 プル サブスクリプションを使うのは、同じ種類のイベントを中央の場所に転送するように多数のコンピューターを構成する必要がある場合です。 この方法では、グループ内のすべてのコンピューターに適用するサブスクリプション定義を 1 つだけ定義して指定する必要があります。 |
ソース コンピューターによる開始 | ソース コンピューターによる開始型サブスクリプション (プッシュ サブスクリプション) の場合、ソース コンピューターからコレクターにイベントをプッシュします。 ソース コンピューターによる開始型サブスクリプションでは、ソース コンピューター (中央のソースにイベントを送信するコンピューター) 上でサブスクリプション定義を作成して管理します。 これらのサブスクリプションは、手動またはグループ ポリシーを使って定義できます。 プッシュ サブスクリプションを作成するのは、各サーバーが他のサーバーとは異なるイベントを転送する場合や、イベント転送プロセスをソース コンピューターで制御する必要がある場合です。 たとえば、サブスクリプションを頻繁に変更する必要がある場合などです。 |
サブスクリプションを有効にする
イベント ログ サブスクリプションを使うには、転送コンピューターと収集コンピューターを構成する必要があります。 イベント収集機能は、WinRM サービスと Wecsvc に依存しています。 これらのサービスの両方が、転送と収集の処理に参加するコンピューターで実行されている必要があります。
サブスクリプションを有効にするには、次のタスクを実行します。
各ソース コンピューター上で、管理者特権でのコマンド プロンプトから次のコマンドを実行し、WinRM を有効にします。
- winrm quickconfig
ヒント
Windows Server コンピューターでは既に Windows リモート管理が有効なので、この手順は必要ない場合があります。
コレクター コンピューター上で、管理者特権でのコマンド プロンプトから次のコマンドを入力し、Wecsvc を有効にします。
- wecutil qc
それぞれのソース コンピューターで、ローカルの Event Log Readers グループにコレクター コンピューターのコンピューター アカウントを追加します。
ヒント
また、イベント モニター コンソールとグループ ポリシーを使い、イベント サブスクリプションを有効にして構成することもできます。