ほかのコンピューターからイベントログを受け取る
以上でイベントビューアーに関する解説を終えますが、このままでは面白くありませんので、前述したサブスクリプション機能を用いる、ちょっとしたTipsを紹介しましょう。今回はワークグループを前提とした設定を行います。
まずは前準備として「winrm quickconfig」と実行しましょう。そもそもWindows OSには、リモートコンピューターを制御するために、WS-Managementプロトコルを実装し、制御する「Windows Remote Managemen(リモート管理)」機能が用意されています。同コマンドは、リモート管理機能を有効にするための準備ととらえてください(図31~32)。
 |
図31 管理者権限でコマンドプロントを起動します |
 |
図32 「winrm quickconfig」と入力して[Enter]キーを押します。確認をうながされたら[y]キー→[Enter]キーと押してください。これを出所側・収集側のコンピューターで実行します |
続いて「wecutil qc」と実行しましょう。こちらはWS-Managementプロトコルを用いてイベントログの転送や購読を管理するためのコマンドです。これらの操作をイベントログの提供側、および収集側のコンピューターで実行してください(図33)。
 |
図33 続いて「wecutil qc」と入力して[Enter]キーを押します。これを提供側・収集側のコンピューターで実行します |
なお、収集側のコンピューターでは、一手間必要です。WinRMによるイベントログの収集は、TrustedHostsという相手のコンピューターが信用できる状態でなければなりません。ドメインに参加していればサーバー側で処理される部分ですが、コンシューマー環境でドメインサーバーを立ち上げるのは一般的ではありませんので、事前に提供側コンピューターを「TrustedHosts」に登録する必要があります。
例えばコンピューター名が「eve」の場合、「winrm set winrm/config/client @{TrustedHosts="eve"}」と実行してください。うまく動作しないときは、IPアドレスを固定してからコンピューター名ではなくIPアドレスによる指定を試してみましょう(図34)。
 |
図34 収集側のコンピューターで、「winrm set winrm/config/client @{TrustedHosts="{コンピューター名}"}」と実行します |
続いて提供側コンピューターで、Event Log Readersグループに管理者権限を持つアカウントを追加しなければならないため、「lusrmgr.msc」を実行して「ローカルユーザーとグループ」を起動します。Event Log Readersグループを開き、自身など管理者権限を持つアカウントを追加しましょう(図35~39)。
 |
図35 提供側で[Win]+[R]キーを押して「ファイル名を指定して実行」を起動し、テキストボックスに「lusrmgr.msc」と入力して<OK>ボタンをクリックします |
 |
図36 一覧にある「Event Log Readers」グループをダブルクリックし、ダイアログの<追加>ボタンをクリックします |
 |
図37 ユーザーの選択ダイアログが起動したら、<詳細設定>ボタンをクリック。新たなダイアログの<検索>ボタンをクリックし、一覧から管理者権限を持つ自身のアカウントを選択して<OK>ボタンをクリックします |
 |
図38 画面のように管理者権限を持つユーザーが追加されたら<OK>ボタンをクリックします |
 |
図39 元のプロパティダイアログに戻ったら、<OK>ボタンをクリックします。これで提供側の設定は完了です |
今度は収集側のコンピューターで、新たなサブスクリプションを作成します。手順は前述したフィルター機能と同じですが、ここで大量のイベントログを選択するのは避けてください。すべてのイベントログを購読しますと、うまく転送されませんでした。ここで提供側コンピューターへの接続が正しく行えるかテストできますので、必ず確認してください。エラーになる場合は、コンピューター名やIPアドレスの確認、TrustedHostsの登録などを確認しましょう(図40~48)。
 |
図40 「サブスクリプション」を右クリックし、メニューの<サブスクリプションの作成>をクリックします |
 |
図41 これでダイアログが起動しました。まずは<コンピューターの選択>ボタンをクリックします |
 |
図42 <ドメインコンピューターの追加>ボタンをクリックします |
 |
図43 <検索>ボタンをクリックして、コンピューターの一覧を表示させたら、対象となるコンピューターを選択して<OK>ボタンをクリックします |
 |
図44 コンピューターの登録が完了しましたので、<OK>ボタンをクリックしてください /p> |
 |
図45 ここで接続が正しく行われた確認するため、<テスト>ボタンをクリックしてください |
 |
図46 何らかの問題がある場合は、画面のようなエラーダイアログが現れます。再度手順を確認してください |
 |
図47 設定が正しく終えている場合は、画面のように接続テストに成功します。<OK>ボタンをクリックしてダイアログを閉じ、図45の<OK>ボタンをクリックしてください |
 |
図48 図41の画面にある<イベントの選択>ボタンをクリックし、購読するイベントログの設定を行いましょう。ここでは「Windowsログ」の「情報」のみ選択しました |
また、購読に用いるアカウントは管理者権限を持つローカルアカウントを使用します。バックグラウンドで動作するため、同アカウントのパスワードも登録しておきましょう。これで一連の設定が完了し、「サブスクリプション」に新たなサブスクリプションが登録されます(図49~52)。
 |
図49 図41の画面にある<詳細設定>ボタンをクリックし、「ユーザーアカウント」セクションで<特定のユーザー>を選択します。自身の管理者権限アカウントであることを確認してください |
 |
図50 同ダイアログの<ユーザーとパスワード>ボタンをクリックし、パスワードを入力して<OK>ボタンをクリックします。続いて図49の画面にある<OK>ボタンをクリックしてください |
 |
図51 一連の設定を終えたら<OK>ボタンをクリックしてダイアログを閉じてください |
 |
図52 「サブスクリプション」に設定を終えた新たなサブスクリプションが登録されます |
15分ほど待ちますと、収集側コンピューターが購読処理を行い、提供側コンピューターで生成されたイベントログがイベントビューアーの「Forwarded Events」に表示されます。うまく動作しない場合は、サブスクリプションの<ランタイムの状態>を確認してみましょう。
 |
図53 サブスクリプションを選択し、操作ウィンドウの<ランタイムの状態>をクリックすると購読状態を確認できます |
 |
図54 10分ほどすると提供側で生成されたイベントログが「Forwarded Events」に表示されます |
阿久津良和(Cactus)
