エージェントを使用したログ収集に関するトラブルシューティング
作成日:2018年8月30日 | 更新日:2020年5月21日
エージェントを使用したログ収集に失敗する場合は、以下のフローチャートからトラブルシューティングを行ってください。
≪ フローチャート ≫ *太枠箇所はクリック可能です。
エージェントの管理画面でステータスが「稼働中」である: No の場合
- エージェントのサービスを再起動
再起動後もエラーが表示されている場合は、エラー内容を明記の上、技術サポートへお問い合わせください。
【 製品導入前のユーザー向け 】【 製品導入後のユーザー向け 】
エージェントサーバー側のブラウザからELAに接続できる: No の場合
- ファイアウォールの設定を確認
エージェントをインストールしたOS上のブラウザから、"http://[ELAサーバーのIPアドレス]:[ポート番号]"と指定して、EventLog AnalyzerのWeb画面に接続できることをご確認ください。接続に失敗する場合は、Webサーバーで使用しているポート(デフォルトは8400)がファイアウォールでブロックされていないことをご確認ください。
EventLog Analyzerとエージェントは、Webサーバーのポートを使用して通信を行います。
必要な監査ポリシーが設定されている: No の場合
- 監査ポリシーの設定を確認
EventLog Analyzerは、イベントログ監視・ファイル監視のいずれにおいても、イベントビューア上に対象となるログが表示されている必要があります。ファイル監視の場合は、以下の監査ポリシーを有効にする必要があります。
設定場所 | ポリシー名 | ポリシー設定 |
---|---|---|
[コンピューターの構成] > [ポリシー] > [Windowsの設定] > [セキュリティの設定] > [ローカルポリシー] > [監査ポリシー] | オブジェクト アクセスの監査 ※Windows Server 2003およびWindows Server 2008をご使用の場合のみ、有効化を行なってください |
成功、失敗 |
[コンピューターの構成] > [ポリシー] > [Windowsの設定] > [セキュリティの設定] > [監査ポリシーの詳細な構成] > [オブジェクト アクセス] | 詳細なファイル共有の監査 | 成功、失敗 |
ファイル共有の監査 | 成功、失敗 | |
ファイル システムの監査 | 成功、失敗 | |
ハンドル操作の監査 | 成功、失敗 |
監視対象フォルダに対してSACL設定が行われている: No の場合
- SACLの設定を確認
監査対象フォルダに対して、こちらに記載のSACL設定が行われていることをご確認ください。
イベントログの最大ログサイズが十分に確保されている: No の場合
- イベントログの設定を確認
イベントログの最大ログサイズが足りない状態で、かつ「セキュリティ」のイベントログに対して「必要に応じてイベントを上書きする(もっとも古いイベントから)」と設定していた場合、EventLog Analyzerがログを収集する前にイベントログデータが消えてしまう可能性があります。
この問題を解決するためには、イベントログの最大サイズを十分に確保してください。(デフォルトである128MB以上の数値を推奨しています。)
< イベントログのログサイズを確認する方法 >
1.[管理ツール]から[コンピューターの管理]をクリックします。
2.[イベントビューアー] > [Windows ログ]を展開します。
3.設定を行うイベントログ種別を右クリックして、プロパティを開きます。
4.最大ログサイズが表示されます。
以上です。