サーバー管理者のためのイベントログ運用の基本

1　はじめに 　
　 　1.1　IT管理者を取り巻く状況は、苦労が耐えない
　 　1.2　イベントログの活用は、サーバー＆システム運用に必須
　 　1.3　情報が散在し、イベントログを学ぶのに多くの時間と努力が必要
　 　1.4　本書の狙いと対象とする読者
　 　1.5　この本を執筆するにあたって気をつけたこと
　 　1.6　執筆の分担について
　 　 　
2　サーバー運用におけるイベントログ 　
　 2.1 イベントログは、どんな場面（シーン）で使われるのか
　 2.2 「問題なく作業が終了したか？」を確認する
　 2.3 「障害の発生状況や発生原因」を探る
　 2.4 「ジョブが問題なく終了したかどうか」を確認する
　 2.5 「コンピュータまたは、アプリケーションに何らかの障害が発生していないか」を定期的に確認する
　 2.6 「ウィルスを発見したという内容のイベントが記録意されていないか」を確認する
　 2.7 「誰が、何をしたのか。侵入者はいないか」を確認する
　 　
3　イベントログとは？ 　
　 3.1 イベントログの基本的な仕組み
　 3.2 イベントログの種類
　 3.3 イベントソース
　 3.4 イベント
　 3.5 イベントログの設定
　 3.6 ネットワークを介した分散システムでの利用
　 3.7 イベントログのセキュリティ
　 3.8 イベントログとイベントビューア
　 　
4　イベントビューアの使い方 　
　 4.1 イベントビューアを起動する
　 4.2 イベントビューアの画面
　 4.3 イベントの説明を見る
　 4.4 イベントビューアをいろいろと使ってみる
　 　 4.4.1 イベントの一覧を最新の情報に更新する
　 　 4.4.2 イベントの一覧をソートする
　 　 4.4.3 イベントの一覧から特定のイベントを検索する
　 　 4.4.4 詳細情報表示領域だけ表示する
　 　 4.4.5 詳細情報領域の情報をファイルに出力する
　 　 4.4.6 イベントログの別のビューを追加する
　 　 4.4.7 イベントの一覧にフィルタ処理をかける
　 4.5 イベントログを管理する
　 　 4.5.1 イベントログを保存する
　 　 4.5.2 保存したイベントログファイルを開く
　 　 4.5.3 イベントを消去する
　 　 4.5.4 イベントログを設定する
　 4.6 ネットワークに接続された他のコンピュータのイベントログを見る
　 4.7 ［コンピュータの管理］ツールの中のイベントビューア
　 4.8 ビューやフィルタ、他のコンピュータへの接続の設定を保管する
　 　 4.8.1 何ができるの？
　 　 4.8.2 自分専用のイベントビューアの作り方
　 　 4.8.3 どんな仕掛けなの？
　 　
5　イベントログを使いこなす 　
　 5.1 イベントビューアのビューとフィルタを使いこなす
　 5.2 ベンダーサポートにイベントログを送る
　 5.3 イベントログのバックアップを考える
　 　 5.3.1 障害に備えてイベントログのバックアップを取る
　 　 5.3.2 イベントログを長期保存する
　 5.4 イベントの内容を詳しく調べる
　 5.5 複数のイベントや複数のコンピュータの因果関係を解析する
　 5.6 イベントログの監視を考える
　 5.7 独自開発したアプリケーションでのイベントログ
　 　 　5.7.1　うれしいこと、うれしくないこと
　 　 　5.7.2　どんなアプリケーションで使うとうれしいか？
　 　 　5.7.3　どんな開発言語から使えるか？
　 　
6　イベントログについて深く考える 　
　 6.1 イベントログの「ログサイズ」の設定について考えよう
　 　 6.1.1 デフォルトの設定はどうなっているか？
　 　 6.1.2 イベントログのサイズが最大値に到達したときの操作
　 　 6.1.3 「最大ログサイズ」を検討する前に．．．
　 　 6.1.4 「最大ログサイズ」を検討する
　 6.2 説明文やユーザー名が化ける
　 　 6.2.1 「説明文やユーザー名が化ける」のはなぜ起こるのか？
　 6.3 こんなことがあるからいやなんだ！
　 6.4 リモートコンピュータからのアクセス制限をかける
　 6.5 イベントログのレジストリ情報
　 　
7　OS関連のイベント
　 7.1 システムの停止、起動に関するイベント
　 7.2 サービスの起動・停止に関するイベント
　 　 7.2.1 「サービス」について
　 　 7.2.2 管理ツールとサービスコントロールマネージャ
　 　 7.2.3 サービスコントロールマネージャが記録するイベント
　 7.3 その他のシステムログに記録されるイベント
　 　
8　アプリケーション関連のイベント 　
　 8.1 バックアップソフトとイベントログ
　 8.2 バックアップソフトとイベント
　 8.3 OS標準添付のバックアップツールNTBackupとイベントログ
　 8.4 Veritas software社のBackup Exec 9.1とイベントログ
　 8.5 Computer Associates社のBrightStor ARCserve 11とイベントログ
　 8.6 バックアップデバイス（装置）とイベントログ
　 8.7 Trendmicro社ServerProtect5とイベントログ
　 8.8 McAfee社VirusScan Enterprise8.0とイベントログ
　 8.9 APC社PowerChute Business Edition Basic v7.0とイベントログ
　 　
9　サーバーのハードウェア管理ツールとイベントログ 　
　 9.1 サーバーのハードウェア管理ツール
　 9.2 NEC ESMPRO Server Agentとイベントログ
　 9.3 Dell OpenManage とイベントログ
　 9.4 HP Insight マネジメント エージェントとイベントログ
　 9.5 Fujitsu ServerViewとイベントログ
　 9.6 IBM Director Agent4.2とイベントログ
　 　
10　セキュリティの監査イベント 　
　 10.1 セキュリティの監査とその仕組み
　 10.2 セキュリティの監査ポリシー
　 10.3 セキュリティの監査イベントを活用する
　 　 10.3.1 ログオンとアカウントログオンの監査イベントを見てみましょう
　 　 10.3.2 ログオンとアカウントログオンイベントの監査のシナリオ
　 　 10.3.3 ログオンとアカウントログオンの”失敗の監査”を考える
　 　 10.3.4 アカウント情報の変更を監査する
　 　 10.3.5 ファイルへのアクセス履歴を残す
　 　 10.3.6 シャットダウン・起動とセキュリティログの消去を監査する
　 　 10.3.7 監査ポリシーの変更を監査する
　 　 10.3.8 ユーザーの権利の変更を監査する
　 　 10.3.9 その他の監査イベント
　 　 10.3.10 イベントログを護る
　 10.4 グループポリシーオブジェクト
　 10.5 デフォルトの監査のポリシーは？
　 10.6 OS標準添付のセキュリティテンプレートでの監査のポリシーは？
　 10.7 ログの保存方法についてのデフォルトとセキュリティテンプレート
　 10.8 他のセキュリティポリシーも忘れずに
　 10.9 セキュリティの監査ログの運用は真面目に考える
　 　
11　各種ツールの利用 　
　 11.1 イベントログ関連ツールの役割
　 11.2 イベントログ関連ツールの分類
　 　 11.2.1 リソースキットのツールを使用する上での注意点
　 　 11.2.2 TechNetスクリプトセンターについて
　 　 11.2.3 フリーウェアのツールを使用する上での注意点
　 11.3 イベントを記録するツール
　 　 11.3.1 Eventcreate.exeコマンド
　 　 11.3.2 Logevent.exeコマンド
　 　 11.3.3 ローカル イベント ログへのイベントの書き込み
　 　 11.3.4 リモート イベント ログへのイベントの書き込み
　 　 11.3.5 Eventlogger　version 0.02（作者：でんかさん）
　 　 11.3.6 イベントビューア書き込みツールWrEvent R1.2（作者：白狐さん）
　 11.4 イベントログを検索するツール
　 　 11.4.1 Eventquery.vbsスクリプト
　 　 11.4.2 WMIC.EXEコマンド
　 　 11.4.3 Elogdmp.exeコマンド
　 　 11.4.4 Eventquery.plスクリプト
　 　 11.4.5 イベントログからの 1 日分のイベントの取得
　 　 11.4.6 特定イベントログの照会
　 　 11.4.7 イベントログからの特定のイベントの取得
　 　 11.4.8 非同期イベント ログ クエリ
　 　 11.4.9 DumpEventLog Ver1.4（作者：とみたさん）
　 11.5 イベントログのバックアップをとるツール
　 　 11.5.1 イベントログのバックアップおよびクリア
　 　 11.5.2 大きいイベントログのバックアップおよびクリア
　 　 11.5.3 イベントログバックアップツールEvBak R4.0（作者：白狐さん）
　 11.6 複数のコンピュータのイベント検索するツール
　 　 11.6.1 Eventcombmt.exeコマンド
　 11.7 イベントを監視するツール
　 　 11.7.1 イベント　トラップ　トランスレータEvntwin.exe
　 　 11.7.2 Eventtriggers.exeコマンド
　 　 11.7.3 イベントログの監視
　 　 11.7.4 EventReport 1.2.4（作者：Yoshiさん）
　 　
12　イベントログ運用管理製品の活用 　
　 12.1 イベントログの運用を考える
　 12.2 運用管理製品選択への助言
　 　 12.2.1 機能の検討
　 　 12.2.2 性能、キャパシティの検討
　 　 12.2.3 仕組みの構築
　 　 12.2.4 導入作業
　 　 12.2.5 運用管理製品（システム）の運用
　 　 12.2.6 運用管理製品（システム）の保守
　 　 12.2.7 製品のポジショニング
　 　 12.2.8 製品の適用規模