コレクターが Windows Server を実行している場合、イベントは転送されません
この記事は、ソースによって開始されたイベント転送を使用して Microsoft Windows Server イベント コレクターにイベントを送信するときに発生する問題を解決するのに役立ちます。
適用対象:Windows Server 2019、Windows Server 2016
元の KB 番号: 4494462
現象
Windows Server 2019 または Windows Server 2016 コンピューターをイベント コレクターとして構成します。 また、ソースによって開始されたサブスクリプション (および関連する グループ ポリシー オブジェクト) をイベント転送用に構成します。 ただし、イベントは転送されず、イベント ソース コンピューターは次のようなイベント メッセージをログに記録します。
Log Name: Microsoft-Windows-Forwarding/Operational
Event ID: 105
Task Category: None
User: NETWORK SERVICE
Description:
The forwarder is having a problem communicating with subscription manager at address http://W19SRV.contoso.com:5985/wsman/SubscriptionManager/WEC. Error code is 2150859027 and Error Message is The WinRM client sent a request to an HTTP server and got a response saying the requested HTTP URL was not available. This is usually returned by a HTTP server that does not support the WS-Management protocol. </f:Message></f:WSManFault>.
原因
この動作は、次の URL に対して構成されているアクセス許可によって発生します。
http://+:5985/wsman/http://+:5986/wsman/
イベント コレクター コンピューターでは、Windows イベント コレクター サービス (WecSvc) と Windows リモート管理サービス (WinRM) の両方でこれらの URL が使用されます。 ただし、これらの URL の既定のアクセス制御リスト (ACL) では、WinRM を実行する svchost プロセスにのみアクセスできます。 Windows Server 2016の既定の構成では、1 つの svchost プロセスで WinRM と WecSvc の両方が実行されます。 プロセスにはアクセス権があるため、両方のサービスが正しく機能します。 ただし、サービスが個別のホスト プロセスで実行されるように構成を変更した場合、WecSvc はアクセス権を持たなくなり、イベント転送は機能しなくなります。
Windows Server 2019 では、サービスの機能が異なります。 Windows Server 2019 コンピューターに 3.5 GB を超える RAM がある場合、個別の svchost プロセスで WinRM と WecSvc が実行されます。 この変更により、既定の構成でイベント転送が正しく機能しない可能性があります。 サービスの変更の詳細については、「Windows 10でのサービス ホスト グループの変更」を参照してください。
解決方法
URL のアクセス許可を表示するには、管理者特権のコマンド プロンプト ウィンドウを開き、 コマンド を実行します netsh http show urlacl。
URL のアクセス許可を修正するには、管理者特権のコマンド プロンプト ウィンドウを使用し、次のコマンドを実行します。
netsh http delete urlacl url=http://+:5985/wsman/
netsh http add urlacl url=http://+:5985/wsman/ sddl=D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)
netsh http delete urlacl url=https://+:5986/wsman/
netsh http add urlacl url=https://+:5986/wsman/ sddl=D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)
Windows Server 2019 および Windows Server 2016 で使用される既定の URL アクセス許可
予約済み URL:
http://+:5985/wsman/
ユーザー: NT SERVICE\WinRM
リッスン: はい
デリゲート: いいえ
SDDL: D:(A;;Gx;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)予約済み URL:
https://+:5986/wsman/
ユーザー: NT SERVICE\WinRM
リッスン: はい
デリゲート: SDDL なし: D:(A;;Gx;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)
Windows Server 2012 R2 で使用される既定の URL アクセス許可
予約済み URL:
http://+:5985/wsman/
ユーザー: NT SERVICE\WinRM
リッスン: はい
デリゲート: いいえ
ユーザー: NT SERVICE\Wecsvc
リッスン: はい
デリゲート: いいえ
SDDL: D:(A;;Gx;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970(A;;Gx;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)予約済み URL:
https://+:5986/wsman/
ユーザー: NT SERVICE\WinRM
リッスン: はい
デリゲート: いいえ
ユーザー: NT SERVICE\Wecsvc
リッスン: はい
デリゲート: いいえ
SDDL: D:(A;;Gx;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970(A;;Gx;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示