【不具合】Windowsイベントログが収集できない
作成日:2016年11月9日 | 更新日:2020年5月21日
対象ビルド
11003/11005
事象
ホストの状態が"開始"となっているが、Windowsイベントログが収集されない
≪考えられる原因≫
1.プロセス"SysEvtCol.exe"のメモリ消費量が高くなったことが原因で停止した場合
*メモリ消費量が600MB前後になると停止する可能性があります。
2.レジストリサービスが応答しないことが原因で接続できない場合
※EventLog Analyzerではイベントログを収集する際にWMIを使用しますが、その際クエリに必要なログタイプの情報をレジストリサービスから取得します。そのためレジストリサービスに接続できない場合はクエリを実行することが出来ず、ログの収集が行えなくなります。
回避策
下記にあるパッチを適用することにより、以下の点が修正されます。
- ログタイプの取得をレジストリサービスではなくWMIから行うように変更
- ログコレクタのパフォーマンス向上
≪手順≫
1.EventLog Analyzerのサービスを停止します。
2.こちらから修正パッチをダウンロード後、解凍します。
3."<ELA_Home>\bin"に移動後、"SysEvtCol.exe"を差し替えます。
4.EventLog Analyzerのサービスを起動します。
現在(2016/11/17時点)上記ダウンロードリンクの"SysEvtCol.exe"ファイルが、ウイルス対策ソフトによりウイルスとして検出される現象の発生を確認しております。
( ※ビルド11003/11005に元々保存されているSysEvtCol.exeにつきましては、ウイルスとして検出されません。)
なお、これまで現象が確認されたウイルス対策ソフトは以下の通りです。
本パッチファイルのSysEvtCol.exeのみウイルスとして検出される原因について、現在開発元で調査を行っております。
恐れ入りますがもうしばらくお時間をいただきますようお願い申し上げます。
なお11/21時点の調査では、本パッチを適用することで"SysEvtCol.exe"から大量の解析エラーログが出力されることにより、Symantec側にウイルスと判断されている可能性が大変高いとの調査結果が出ています。
※"大量の解析エラーログ"というのは、収集ログのうち定義済みレポートに関連づいたログが存在しないことを示すログであり、デバッグを目的としています。そのためログの解析処理自体に対して、大量のエラーが発生しているということではありません。