OpManager ナレッジベース

イベントログ監視でサポートするイベントログの種類


概要

このナレッジでは、OpManagerのイベントログ監視を利用して監視できるイベントログの種類についてご説明します。

OpManagerではApplication、Security、Systemなどのイベントログは問題なく監視できますが、既存のイベントログルールでは監視できず、かつイベントログルールをどのようにカスタムしても監視できないイベントログが存在します。

解説

OpManagerイベントログ監視では、WMIの"Win32_NTLogEvent"クラスに存在するイベントログのみを取得します。
"Win32_NTLogEvent"クラスに属さないイベントログを監視することはできません。

サポートされるイベントログの確認方法

監視対象のイベントログがOpManagerで監視可能かどうかは、以下の方法で確認することができます。

  1. イベントログ監視の対象装置にて、コマンドプロンプトを管理者権限で実行します。
  2. wbemtest コマンドを実行します。
  3. 「接続」をクリックします。
  4. 新たなウインドウが開くので、設定変更を行わずそのまま「接続」をクリックします。
  5. 「クエリ」をクリックし、以下のクエリを実行します。

    SELECT * FROM Win32_NTLogEvent

※上記操作はリモートでも可能ですが、手順4にて別途認証設定が必要になります。
上記クエリの実行結果に表示されないイベントログは、OpManagerでは監視することはできず、サポートされません。

レジストリの編集による回避策

サポートされないイベントログの一部は、レジストリの編集により監視が可能になる場合があります。

レジストリの編集により監視できるログファイルの例
  • アプリケーションとサービス ログ\Microsoft\*(配下内すべて)
  • Windows ログ\*(配下内すべて)
  • カスタムビュー
レジストリの編集によっても監視できないログファイルの例
  • 保存されたログ
レジストリの編集方法

ここでは例として、Windows Defenderに関するイベントログの監視方法を記載します。

  1. 監視対象装置で[イベントビューアー]を開きます。
  2. 監視したいイベントログファイルをクリックします。
  3. 右側の[操作]→[セキュリティ]→[プロパティ]をクリックします。
  4. [フルネーム]および[ログのパス]をメモします。
  5. 監視対象装置で[レジストリエディター]を開きます。
  6. 以下のパスへ移動します。パス
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog
  7. "EventLog"でマウスの右クリック→[新規]→[キー]をクリックします。
  8. 手順4でメモした[フルネーム]と同じ名前を設定します。
  9. 手順4の[ログのパス]が"%SystemRoot%\System32\Winevt\Logs"の".evtx"ファイルを指しているか確認します。※"%SystemRoot%\System32\Winevt\Logs"でない場合、手順7で作成したキーの[(規定)]をクリックします。
    [値のデータ]に手順4でメモした[ログのパス]を貼り付けます。

  10. wbemtestを使用して当該装置へ接続します。
  11. [クエリ]から以下のクエリを実行します。

    Select * from Win32_NTLogEvent where LOGFILE='Microsoft-Windows-Windows Defender/Operational'

    "Microsoft-Windows-Windows Defender/Operational"部分は、監視したいログファイル名に置き換えて実行してください。

  12. 監視したいイベントログが取得できていることを確認します。
  13. OpManager GUIの[設定]→[監視]→[イベントログルール]へ移動します。
  14. [カスタムイベントログルールを追加]をクリックします。
  15. [装置名]に当該装置を選択し、[クエリ実行]をクリックします。
  16. [ログファイル名]のドロップダウンから[手動で追加]をクリックします。
  17. [ログファイル名]に手順8で設定した名前を入力して[保存]をクリックします。
  18. [追加]をクリックし、[ログファイル名]を手順19で作成したログファイル名を選択します。
  19. 任意の条件を設定して[保存]をクリックします。

★-----------------------------------------------------------------------------★
OpManager 製品紹介ページはこちら ↓
https://www.manageengine.jp/products/OpManager/
★-----------------------------------------------------------------------------★