イベントログファイルの最大サイズを拡大する【Windows OS】：Tech TIPS

連載目次

イベントログとは

　Windows NT／2000／XPでは、OSの動作に関する記録を「イベントログ」と呼ばれる独自形式のログに記録するようになっている。UNIX系OSのログ（syslog）はテキスト形式だが、Windowsのイベントログはバイナリ形式で、「イベントビューア」と呼ばれる専用の管理ツールを使用しなければ、内容を見ることができない。「イベントビューア」は、コントロールパネルの管理ツール内に独立したツールとして含まれているほか、Windows 2000以降では、「コンピュータの管理」ツールの中にも同等のイベント参照機能が追加された。

　イベントビューアでは、カテゴリ別にイベントログが記録される。カテゴリとしては、アプリケーションソフトウェアの動作に関するログを記録する「アプリケーション」、監査ログを記録する「セキュリティ」、OS自身の動作に関するログを記録する「システム」がデフォルトで存在する。さらに、Active Directoryのドメインコントローラでは「Directory Service」と「ファイル複製サービス」が、DNSサーバが動作しているコンピュータでは「DNS Server」が追加される。

イベントビューアの画面例
これは、Windows 2000 Serverのイベントビューア。ドメインコントローラで、かつDNSサーバも動作しているため、基本となる「アプリケーション」「セキュリティ」「システム」の3種類以外に「Directory Service」「ファイル複製サービス」「DNS Server」が存在する。それぞれの分野ごとに、「情報」「警告」「エラー」とカテゴリ分けされてイベントが記録される。
　 （1）イベントの種類は、ここにツリー構造で表示される。基本は3種類だが、場合によっては、このように種類が増えることもある。
　 （2）ツリーで選択したカテゴリーのイベントログが、右側に表示される。特に、［種類］が［警告］あるいは［エラー］となっているイベントには注意を払うべきだ。
　 （3）［ソース］として表示されるのは、イベントの発生源となったサービスの名前。ここを見ると、どこでイベントの原因になる事象が発生したか、見当を付けやすい。
　 （4）特定のユーザーアカウントにかかわるイベントの場合、ここにユーザー名が表示される。
　 （5）イベントビューアでは、ネットワーク経由でほかのコンピュータのイベントログを表示させることもできる。このため、イベントが発生したコンピュータ名の情報がここに表示される。

　「システム」や「アプリケーション」は、OSやアプリケーションソフトの動作に関するイベントが記録される場所なので、システムが正常に機能している限りにおいては、それほど神経質になる必要はない。何か動作に問題があったときにイベントログを確認し、原因追及の参考にすればよいだろう。

　これらに対し、「セキュリティ」ログでは、外部からの不正侵入やアタックの有無などを検出するために使えるので、正しく設定して、日ごろからログの内容に注目すべきだ。デフォルトでは、「セキュリティ」ログには何も記録されないので、明示的に設定を行う。具体的には、システム管理権限を持つユーザーアカウントのログオンイベントの監査について「失敗」のイベントを監査する（管理者アカウントへのブルートフォース攻撃などを検出可能）、 「オブジェクトアクセスの監査」を有効にして、重要な個人情報への監査を行う、といったものが一般的である（「オブジェクトアクセスの監査」では、ファイルやフォルダ、Active Directoryドメインオブジェクトへのアクセスを監査できる）。

イベントログのデフォルト設定の問題点

　システム管理では重要なイベントログ情報だが、初期設定では、ログが大量に記録されてログファイルのサイズ上限である512KBに達した後は、7日間が経過するか、記録済みのイベントを消去するまで、新しいイベントの記録が行われないようになっている。その間に何か重要なイベントが発生しても、イベントログに記録されないので、これはシステム管理の面から見て好ましいとはいえない。古いイベントと新しいイベントのどちらが大事かといえば、より直近の方が重要度が高いであろうから、デフォルト設定を変更しておきたい。

　なお、記録されたイベントログを消去するには、ツリー部分でカテゴリーをごとに、右クリックして、表示されるショートカットメニューの［すべてのイベントを消去］を実行する。このとき、すでに記録されているイベントを保存するかどうかが問い合わせられる（保存を指示すると、拡張子evtというバイナリファイルが出力される）。また、消去を行わない場合でも、右クリックメニューの［ログファイルの名前を付けて保存］を選択すれば、同様にイベントログの保存が可能だ。

イベントログファイルの最大サイズを拡大する

　イベントログの記録条件に関する設定を変更するには、［コントロールパネル］−［管理ツール］にあるイベントビューアを起動し、ツリー画面で、設定を変更したいログのカテゴリを右クリックし、表示されるショートカットメニューの［プロパティ］を実行する。すると次のダイアログが表示される。

イベントログのプロパティ設定ダイアログ
ログの最大サイズや、ログサイズが最大値になった場合の処理を指定する。
　 （1）イベントログの現在のサイズ。記録されているイベントの発生期間とログのサイズを比較すれば、平常時にどの程度のペースでログが発生するかを把握できる。
　 （2）イベントログの最大サイズを指定する。既定値は512KB。
　 （3）イベントサイズが最大値に達した場合の上書き方法を選択する。
　 （4）WAN経由で別のコンピュータのイベントログを表示させている場合には、このチェックボックスをオンにする。
　 （5）ここをクリックすると、現時点で記録されているイベントを消去ができる。消去前に保存するかどうかが問い合わせられるのは、右クリックメニューの場合と同様。

　イベントログのサイズが最大値に達した場合の処理には、以下の3種類の選択肢がある。

　なお、日数、あるいはサイズの制限からイベントの記録ができなくなった場合でも、その時点で記録されているイベントログを消去すると、再びイベントログの記録が可能になる。また、現在の値よりもサイズを小さく変更することも可能だが、その場合、設定変更の時点で記録されているイベントログをすべて消去しなければ、記録は再開されない。

　イベントログのサイズの上限を拡大すれば、記録可能なイベントの数が増えるので、新しいイベントが古いイベントを勝手に上書きしたり、ログがいっぱいになって記録が停止したりする可能性は低下する。しかし、予想外に速いペースでイベントが発生した場合（特に不正アクセスを検出するために実施するログオンイベントの監査では、その可能性が高い）、増加させたサイズ上限も簡単にいっぱいになってしまう可能性があるので、ログのサイズだけでなく、上書きの設定にも注意を払う必要がある。

　イベントログにはシステムの履歴が記録されているので、可能ならばなるべく長く保存しておきたいが、重要性の高い直近のイベントが（ログがフルになって）記録に残らないというのは避けたいところである。

　そこで、イベントログファイルのサイズを実用上困らない程度に拡大しておき、常に上書きモードで運用する、という方法が（現状では）望ましいだろう。具体的なサイズとしては、クライアント用途なら、最低でも8MB程度、サーバ用途なら16MB以上にはしておきたいところだ。参考までに述べると、手元のWindows 2000 Serverシステムの場合では、16MBのログサイズでは7〜8万件ほどのイベントが記録可能なようである。それぞれのニーズに合わせてサイズを決めていただきたい（特にセキュリティログでは、どこまで監査を行うかによって記録される件数が大きく変わる）。

「Tech TIPS」