6    イベントの監視

イベントとは,システム (またはアプリケーション) で発生し,ユーザに通知される必要がある重要なできごとのことです。重大なイベントは,画面にメッセージを表示することによってユーザに通知されます。一方,すぐにユーザに知らせなくてもよいイベントは,イベント・ログ・ファイルの監査エントリに記録されます。監査エントリには,発生したアクティビティ,処理を行ったユーザ,およびアクティビティの発生日時が入っています。成功した操作も失敗した操作も監査できます。監査証跡では,ネットワークで誰が実際に操作を行い,誰が許可されていない操作を実行しようとしたかが示されます。

イベント・ログの中の情報を使用すると,ハードウェアおよびソフトウェアのさまざまな問題に対処したり,ASU サーバのセキュリティ・イベントを監視したりすることができます。次の方法でイベント・ログを表示できます。

この章では,イベント ビューアを使用してイベントを監視および表示する方法について説明します。elfread コマンドについての詳細は, elfread(8) を参照してください。

この章では,次のトピックについて解説します。

6.1    イベント ビューアの概要

ASU サーバは,次の 3 種類のログにイベントと監査エントリを記録します。

システム・ログとアプリケーション・ログは,すべてのユーザが見ることができますが,セキュリティ・ログは,システム管理者しか見ることができません。

6.2    監査の有効化

イベントのロギングは,ASU サーバが起動すると自動的に開始します。ただし,省略時の設定では,イベントは監査されません。管理者はドメイン ユーザー マネージャを使用して,監査の原則を指定できます。監査の原則では,ログに記録するイベントの量と種類を決定します。イベント・ログにはサイズに制限があるため,ログに使用するディスク・スペースについて検討し,監査するイベントを注意深く選択してください。セキュリティ・ログの最大サイズは,イベント ビューアで指定します。

ファイルまたはフォルダを監査しているときは,それらのファイルまたはフォルダが一定の方法でアクセスされるたびにセキュリティ・ログにエントリが記録されます。管理者は,どのファイルとフォルダを監査するか,およびどんな操作を監査するかを決定します。

ファイルまたはフォルダを監査するには,ドメイン ユーザー マネージャを使用して,[ファイルとオブジェクトへのアクセス] の監査を有効にします。次に,エクスプローラを使用して,監査するファイルと,監査するファイル・アクセス・イベントの種類を指定します。表 6-1 では,監査できるディレクトリとファイルに対する操作について説明します。

表 6-1:  ディレクトリとファイルの監査

ディレクトリの監査 ファイルの監査
ディレクトリ内のファイル名の表示 ファイル・データの表示
ディレクトリの属性の表示 ファイルの属性の表示
ディレクトリの属性の変更 ファイルの所有者とアクセス権の表示
サブディレクトリとファイルの作成 ファイルの変更
ディレクトリ内のサブディレクトリへの移動 ファイルの属性の変更
ディレクトリの所有者とアクセス権の表示 ファイルの実行
ディレクトリの削除 ファイルの削除
ディレクトリのアクセス権の変更 ファイルのアクセス権の変更
ディレクトリの所有権の変更 ファイルの所有権の変更

6.3    イベントのログ・オプション

イベント・ログがいっぱいになり,既存のイベントに上書きできなくなると,ロギングは中止されます。これは,手動でログを消去するように設定してあるか,またはログの中の最初のイベントがあまり古くないためです。ログがいっぱいになったときは,それを消去すれば再び使用することができます。

[ログ] メニューの [ログの設定] コマンドを使用して,各種のログに対するロギング・パラメータを定義してください。ログの最大サイズの設定,イベントの上書きまたは一定期間保存の指定ができます。最大ログ・サイズを (ディスクとメモリの容量の範囲内で) 増やしたり減らしたりできますが,各ログ・ファイルには 512 KB という省略時の最大サイズが指定されています。ログのサイズを減らす前に,ログを消去する必要があります。

[イベント ログの設定] オプションを使用すると,[設定の変更] ダイアログ・ボックスで選択したログにイベントを保存する方法を定義できます。省略時のロギングの原則では,7 日間よりも古いログを上書きするように設定されています。このオプションはそれぞれのログについてカスタマイズできます。表 6-2 では,イベントのログ・オプションについて説明しています。

表 6-2:  イベントのログ・オプション

オプション 保存方法
必要に応じてイベントを上書きする ログがいっぱいになっても,引き続き新しいイベントを記録する。新しいイベントが記録されるたびに,ログの最も古いイベントが消去される。このオプションは,保守が少ないシステムに適している。
指定日数経過後にイベントを上書きする 指定した日数が経過するまでログを保存し,その後はイベントを上書きする。このオプションは,週ごとにログ・ファイルを保存する場合に最も適している。この方法を使用すると,重要なログ・エントリを失う可能性を最小限に抑えられるだけでなく,ログを妥当なサイズで維持することもできる。
イベントを上書きしない ログを手動で消去し,自動的には消去しない。このオプションは,イベントを失うことが許されない場合にだけ選択する。たとえば,セキュリティが非常に重要なサイトのセキュリティ・ログなどに適している。

監査の原則を設定する方法については,ドメイン ユーザー マネージャのヘルプの「監査の原則を管理するには」を参照してください。

6.4    イベントの解釈

イベント・ログは,ヘッダ,イベントの説明 (イベントの種類に基づく),およびオプションとして付加される追加のデータからなります。ほとんどのセキュリティ・ログのエントリは,ヘッダと説明で構成されます。

イベント ビューアでは,イベントはログの種類別に表示されます。1 つのイベントの情報は 1 行に表示され,日付,時刻,ソース,イベントの分類,イベント ID,ユーザ・アカウント,およびコンピュータ名が含まれます。

6.4.1    イベントのヘッダ

表 6-3 は,イベントのヘッダの内容について説明しています。

表 6-3:  イベントのヘッダ

フィールド 表示
日付 イベントが発生した日付。
時刻 イベントが発生した時刻。
ユーザー イベントを発生させたユーザの名前。イベントがユーザによってログされていない場合は,ロギング・エンティティのセキュリティ ID が表示される。
コンピュータ イベントが発生したコンピュータの名前。
イベント ID 特定のイベントの種類を示す番号。通常,イベントの種類の名前は,説明の 1 行目に表示される。たとえば,6005 という番号は,イベント・ログ・サービスの開始時に発生するイベントの ID であり,このイベントの説明の 1 行目には,「イベント ログ サービスが開始されました。」と表示される。イベント ID とソースは,システムの問題解決のために,製品サポート担当者が使用する場合がある。
ソース イベントのログを取ったソフトウェア・モジュール。アプリケーション名,またはサービス名など,システムや大きなアプリケーションの構成要素。
種類 イベントの重大度による分類。システム・ログとアプリケーション・ログでは,[エラー],[情報],[警告] のいずれかが表示される。セキュリティ・ログでは,[成功の監査] または [失敗の監査] のいずれかが表示される。イベント ビューアの通常のリスト表示では,これらはアイコンで表される。
分類 イベントのソース別分類。この情報は,主にセキュリティ・ログで使用される。たとえば,セキュリティ監査では,この分類は,ドメイン ユーザー マネージャの [監査の原則] ダイアログ・ボックスで設定されるイベントの種類の 1 つに対応する。このダイアログ・ボックスでは,イベントの種類ごとに,成功と失敗を監査するように設定できる。

6.4.2    イベントの説明

イベントの説明の形式や内容は,イベントの種類ごとに異なります。ほとんどの場合,この説明は何が起きたのかを調べたり,そのイベントの重大度を判断したりするために最も役立つ情報となります。

表 6-4 は,イベントの種類を示しています。

表 6-4:  イベントの種類

イベントの種類 意味

エラー

データの損失や機能の停止などの重大な問題。たとえば,ASU サーバの起動時に ASU サービスが開始しなかった場合に,エラー・イベントが記録される。

警告

必ずしも重大ではないが,後になって問題が生じる可能性があることを示すイベント。たとえば,ASU サーバの重要な資源が少なくなった場合に,警告イベントが記録される。

情報

主要な ASU サーバ・サービスが正常に行われていることを示すもので,通常はあまり重要ではないイベントである。たとえば,ASU サービスが正常に起動した場合に情報イベントが記録される。

成功の監査

監査されていたセキュリティ・アクセスの成功した試行。たとえば,ユーザが正常にシステムへのログオンができた場合に,成功の監査のイベントが記録される。

失敗の監査

監査されていたセキュリティ・アクセスの失敗した試行。たとえば,ユーザがネットワーク・ドライブにアクセスしようとして失敗した場合に,失敗の監査のイベントが記録される。

オプションのデータ・フィールド (使用されている場合) には,バイナリ・データがバイト単位またはワード単位で表示されます。この情報は,イベント・レコードのソースであるアプリケーションによって生成されます。このデータは 16 進形式で表示されるため,その意味はソース・アプリケーションに精通している技術者にしか解釈できません。

6.5    イベント ビューアの使用

イベント・ログを表示するときは,システム,セキュリティおよびアプリケーションの各ログを切り替えて選択します。イベント ビューアを使用すると,他のコンピュータ上のログを表示させることもできます。

6.5.1    ログの選択

イベント ビューアを初めて起動したときは,ローカル・コンピュータのシステム・ログが表示されますが,セキュリティ・ログまたはアプリケーション・ログに切り替えることができます。[ログ] メニューを使用して,表示するログを選択します。

6.5.2    コンピュータの選択

イベント ビューアを起動すると,最初はローカル・コンピュータのイベントが表示されます。

他のコンピュータのイベントを表示するには,[ログ] メニューの [コンピュータの選択] をクリックします。選択できるのは,Windows NT ワークステーション,ASU サーバ,Windows NT サーバ,または LAN Manager 2.x サーバのいずれかです。

選択したコンピュータが伝送速度の遅いリンクを経由している場合は,[低速回線接続] を選択します。このオプションを選択すると,ASU サーバは省略時のドメイン内にあるすべてのコンピュータをリスト表示しなくなるので,リンクを経由するネットワーク・トラフィックを最小限に抑えることができます。伝送速度の遅いリンクを利用することが多い場合は,[オプション] メニューの [低速回線接続] をクリックします。

LAN Manager 2.x サーバを選択した場合,イベント ビューアはそのサーバのエラー・ログ (システム・ログ) と監査ログ (セキュリティ・ログ) を表示できます。

イベントを表示するコンピュータを選択する方法については,イベント ビューアのヘルプの「別のコンピュータのイベント ログを選択するには」を参照してください。

6.5.3    表示の更新

ログ・ファイルを開くと,イベント ビューアによりそのログの現在の情報が表示されます。この情報は,自動的には更新されません。最新のイベントを表示し,上書きされたエントリを削除するには,[最新の情報に更新] コマンドを選択します。

詳細は,イベント ビューアのヘルプの「ログを最新の表示にする」を参照してください。

6.5.4    フォントの変更

イベント ビューアで使用しているフォントを変更することができます。フォントが変更されるのは,メインの [イベント ビューア] ウィンドウにあるイベントのリスト表示だけです。

詳細については,イベント ビューアのヘルプ の「イベント一覧で使うフォントを更新するには」を参照してください。

6.5.5    ログ・ファイルの保存

ログ・ファイル形式でイベント・ログを保存すると,後でイベント ビューアで再表示することができます。ログはテキスト形式またはコンマ区切りテキスト形式で保存すると,その情報を他のアプリケーションで使用することができます。

たとえば,セキュリティ・ログを保存しておくと,一定期間にわたってセキュリティ・イベントを監視できます。また,アプリケーション・ログを保存しておくと,特定のアプリケーションで発生した警告イベントとエラー・イベントを追跡できます。

ログ・ファイルを保存すると,イベント ビューアで指定したイベントだけを表示していた場合でも,ログ全体が保存されます。イベント ビューアでソート順序を変更していた場合,テキスト・ファイルまたはコンマ区切りテキスト形式で保存すると,イベント・レコードは表示されている順序と同じ順序で保存されます。

ログ・ファイルは次の形式で保存できます。

バイナリ・イベント・データは,ログ・ファイル形式で保存した場合には保存されますが,テキスト・ファイル形式またはコンマ区切りテキスト・ファイル形式で保存した場合には破棄されます。イベントの説明は,どの形式でログを保存した場合にでも保存されます。

ソート済みログを保存する場合,イベント・レコードの順序は,テキスト・ファイル形式またはコンマ区切りテキスト・ファイル形式では,ソートした順序になります。ただし,ログ・ファイル形式で保存されたログのイベント・レコードの順序はソートした順序の影響を受けません。どの形式で保存した場合でも,各イベント・レコード内のデータ・シーケンスは次の順序で保存されます。

ログ・ファイルを保存しても,現在使用中のログの内容には影響を与えません。 もとのログを消去するには,[ログ] メニューの [すべてのイベントを消去] を選択する必要があります。保存されたログ・ファイルの削除方法は,他の種類のファイルを削除する場合と同じです。

イベント・ログ・ファイル形式で保存した場合に限り,保存されたファイルをイベント ビューアで表示することができます。[最新の情報に更新] コマンドまたは [すべてのイベントを消去] コマンドをクリックしても,表示の更新,保存されているログの消去はできません。

注意

ログの種類 (アプリケーション,セキュリティ,またはシステム) を正しく指定しなければ,[イベントの詳細] ダイアログ・ボックスの [説明] に保存されたログに対する正しい説明が表示されません。

6.5.6    特定のイベントの表示

イベント ビューアで表示するイベントを選択した後,次の操作を行うことができます。

6.5.6.1    イベントの詳しい情報の表示

ほとんどのイベントについて,そのイベントをダブルクリックすると,イベント ビューアに表示されているよりも詳しい情報を表示させることができます。

[イベントの詳細] ダイアログ・ボックスには,選択したイベントを説明するテキストと,そのイベントのバイナリ・データ (含まれている場合) が表示されます。バイナリ・データは,イベント・レコードのソースであるアプリケーションによって生成されます。このデータは 16 進形式で表示されるため,具体的な意味は,ソースのアプリケーションに精通している技術者でなければ解釈できません。また,バイナリ・データは,すべてのイベントで生成されるわけではありません。

6.5.6.2    イベントのソート

イベント ビューアで表示されるイベントは,省略時の設定では,発生の日時に基づいて,新しいイベントから順番に表示されます。古いイベントから順番に表示するには,[表示] メニューの [古いイベント順] をクリックします。イベント ビューアの終了時に [オプション] メニューの [終了時の状態を保存] コマンドにチェック・マークを付けると,現在のソート順序が次回イベント ビューアを起動するときにも適用されます。

ログを保存するとき,イベント・レコードをテキスト形式またはコンマ区切りテキスト形式で保存すると,ソート順序はイベント・レコードの順序に影響します。一方,ログ・ファイル形式で保存すると,イベント・レコードの順序には影響しません。

6.5.6.3    イベントの選別

イベント ビューアは,省略時の設定では,選択したログに記録されているすべてのイベントを一覧表示します。特定の特性を持つイベントだけを表示するには,[表示] メニューの [イベントのフィルタ] をクリックします。フィルタ処理がオンになっている場合は,[表示] メニューの [フィルタ] コマンドにチェック・マークが付き,タイトル・バーには (フィルタ) と表示されます。イベント ビューアの終了時に,[オプション] メニューの [終了時の状態を保存] にチェック・マークを付けると,イベント ビューアを次回起動する際にもフィルタ処理が適用されます。

フィルタは,表示のしかたを変更するだけで,ログの実際の内容には影響しません。フィルタ処理の有無にかかわらず,ログにはすべてのイベントが引き続き記録されます。フィルタ表示した状態でログを保存する場合,ファイル形式がテキスト形式またはコンマ区切りテキスト形式にかかわらず,すべてのレコードが保存されます。

表 6-5 は,[フィルタ] ダイアログ・ボックスで使用できるオプションについて説明しています。

表 6-5:  イベント・フィルタ

オプション 説明
表示の先頭 特定の日付と時刻以降に発生したイベント。省略時の設定では,ログ・ファイルの最初のイベントの日付が設定されている。
表示の末尾 特定の日付と時刻以前に発生したイベント。省略時の設定では,ログ・ファイルの最後のイベントの日付が設定されている。
情報 主要なサーバ・サービスの操作が正常に行われたことを示す,あまり重要ではないイベント。たとえば,サービスが正常に開始した場合に,情報イベントが記録される。
警告 必ずしも重大ではないが,後になって問題が発生する可能性があることを示すイベント。たとえば,サーバの重要な資源が少なくなった場合に,警告イベントが記録される。
エラー データの損失や機能の停止などの重大な問題。たとえば,ASU サーバの起動時に ASU サービスが開始しなかった場合に,エラー・イベントが記録される。
成功の監査 監査されていたセキュリティ・アクセスの成功した試行。たとえば,ユーザがシステムに正常にログオンできた場合に,成功の監査のイベントが記録される。
失敗の監査 監査されていたセキュリティ・アクセスの失敗した試行。たとえば,ユーザがネットワーク・ドライブにアクセスしようとして失敗した場合に,失敗の監査のイベントが記録される。
ソース アプリケーション,システム構成要素,サービスなど,イベントを記録するソース。
分類 ソースによって定義されるイベントの分類。たとえば,セキュリティ・イベントの分類には,[ログオン/ログオフ],[原則の変更],[特権の使用],[システム イベント],[オブジェクト アクセス],[詳細追跡],および [アカウント管理] がある。
ユーザー 実際のユーザ名と一致する特定のユーザ名。このオプションでは,大文字と小文字は区別されない。
コンピュータ 実際のコンピュータ名と一致する特定のコンピュータ。このオプションでは,大文字と小文字は区別されない。
イベント ID 実際のイベントに対応する特定の番号。

6.5.6.4    イベントの検索

イベントの種類,ソース,分類を指定して,条件に一致するイベントを検索するには,[表示] メニューで [検索] をクリックします。検索は,多数のログを表示している場合に便利です。たとえば,特定のアプリケーションに関連するすべての警告イベントを検索したり,すべてのソースのすべてのエラー・イベントを検索したりできます。

[検索] ダイアログ・ボックスで指定した設定内容は,現在のセッションを終了するまで保持されます。イベント ビューアの終了時に,[オプション] メニューの [終了時の状態を保存] にチェック・マークを付けると,現在の検索の設定は,次回イベント ビューアを起動する際にも適用されます。

6.6    イベント・ログによる問題解決

イベント・ログを注意深く監視すると,問題の発生を予測したり,問題の原因の特定に役立てることができます。また,ログを調べることによって,アプリケーション・ソフトウェアの問題も確認できます。たとえば,アプリケーションがクラッシュした場合は,アプリケーション・イベント・ログを調べると,クラッシュが起きるまでの動作の記録を確認できます。

イベント・ログを使用して問題を診断する場合は,次のガイドラインを参考にしてください。