Remove From My Forums

WindowsServer2019へのイベントビューアー書き込みについて。

質問
0

サインインして投票

皆様、こんにちわ。

ADが2台（2012*1台、2008*1台)構築されている単一ドメインにて、2008サーバを2019サーバにリプレイスし、社内で利用しているスクリプトやアプリの動作に問題がないかどうか検証しています。

ドメインに参加しているクライアントPCのログオンとログオフの時間を2019サーバのイベントビューアーに書き込みたいので、以下のテスト.vbsを作成し実行してみました。

************************

Const EVENT_SUCCESS = 0
Set objShell = Wscript.CreateObject("Wscript.Shell")
objShell.LogEvent EVENT_SUCCESS, "起動しました。", "\\test-server-2019"

************************

上記.vbsをクライアントPC[PC010077]から実行すると、問題なくtest-server-2019のイベントビューアーのApplicationに書き込まれるのですが、イベントビューアーのコンピューター名には、何故か[PC010248]と記載されてしまいます。

上記に記載した.vbsを下記のように修正し、2012サーバのイベントビューアーに書き込むと、問題なくコンピューター名は[PC010077]と記録されます。

************************

Const EVENT_SUCCESS = 0
Set objShell = Wscript.CreateObject("Wscript.Shell")
objShell.LogEvent EVENT_SUCCESS, "起動しました。", "\\test-server-2012"

************************

[PC010248]は、当方が通常業務で利用しているWindows10-PCで、Server2019の構築を行うため、リモートデスクトップ等で頻繁に接続していましたが、イベントビューアーに書き込むさいの権限や情報が、何か残ってしまっているのでしょうか。

また、上記現象は[PC010077]のみではなく、他のPCからWindows2019に書き込むと、やはりイベントビューアーのコンピューター名には[PC010248]と記載されてしまいます。

何か情報をお持ちの方はいますでしょうか。

2020年9月10日 8:40

返信

|

引用

回答

0

サインインして投票
tominokoさま
上記の件、再現手順のご連絡ありがとうございます。いただいた情報をもとに私の環境で以下を試したところ、同様の事象が再現しました。

〇上述のVBSスクリプトをWin10_01→Win10_02の順番でWin2019に対して実行したとき
-> Win2019のイベントログ(Application)に、Win10_01のコンピュータ名が記載されたログが2つ記録

〇上述のVBSスクリプトをWin10_01→Win10_02の順番でWin2012/Win2016に対して実行したとき
-> Win2012/Win2016イベントログ(Application)に、Win10_01、Win10_02のコンピュータ名が記載されたログがそれぞれ記録

解決方法について探ってみたところ、Win2019のWindows Event Logサービスの再起動で事象が解消するようですが、その後再発することが確認できました(これ以上に有用な手順は見当たらずでした)。

上記の状況から、Win2019のイベントログの挙動が従来のOSから変わった可能性がありますので、MSへの問いあわせパスをお持ちであれば、直接確認するのが一つの対応案になります。

こちらが参考になれば幸いです。
- 編集済み Zaamasu 2020年9月14日 10:22
- 回答としてマーク tominoko 2020年9月16日 1:59
2020年9月14日 10:21

返信

|

引用

すべての返信

0

サインインして投票

はじめまして。

私の手元の環境で、質問に記載されたVBscriptをWin10上で、Win2012とWin2019に対し実行してみましたが(すべて同一ドメイン内のマシン)、ともにWin10のホスト名が記録され事象は再現しませんでした。こちらの事象を追う場合の1案としては、まずは再現タイミングの調査が必要かと思います。

ただ、質問文に記載された「ドメインに参加するクライアントPCのログオン/ログオフ時間を知りたい」が主目的であれば、監査ポリシーを用いるのが一般的な方法です。
ログオン日時のログをクライアントPC側で確認したい場合は「監査ポリシー」の「ログオン/ログオフ」、ドメコン側で確認したい場合は「監査ポリシー」の「アカウントログオン」からそれぞれ設定可能です。以下に詳細が記載されていますのでご参考まで。

https://www.atmarkit.co.jp/ait/articles/1507/21/news139.html

2020年9月13日 14:09

返信

|

引用
0

サインインして投票

Zaamasuさま

検証、ありがとうございました。

週末にWindowsServer2019を再起動し、[PC010077]から.vbsを実施したところ、WindowsServer2019のイベントビューアーのコンピューター名には[PC010077]が記載され、事象が修正されたように思ったのですが、やはり別のPC、例えば[PC010248]から同じ.vbsを実施したところ、コンピュータ名には[PC010077]が書き込まれてしまいます。

どうやら最初に書き込まれたコンピューター名がWindowsServer2019上に記録されてしまうようです。

監査ポリシーの件はその通りなのですが、全ユーザーのログオン＆ログオフ時間をイベントビューアーに書き込み、.csvで整形しエクスポートした上で外部の勤怠管理WebサーバにUploadしている関係上、メッセージ欄の情報を操作しやすい.vbsで書き込んでいます。

ADサーバをリプレイスしたSIerにも確認し、引き続き原因の特定を進めたいと思います。

2020年9月14日 2:04

返信

|

引用
0

サインインして投票
tominokoさま
上記の件、再現手順のご連絡ありがとうございます。いただいた情報をもとに私の環境で以下を試したところ、同様の事象が再現しました。

〇上述のVBSスクリプトをWin10_01→Win10_02の順番でWin2019に対して実行したとき
-> Win2019のイベントログ(Application)に、Win10_01のコンピュータ名が記載されたログが2つ記録

〇上述のVBSスクリプトをWin10_01→Win10_02の順番でWin2012/Win2016に対して実行したとき
-> Win2012/Win2016イベントログ(Application)に、Win10_01、Win10_02のコンピュータ名が記載されたログがそれぞれ記録

解決方法について探ってみたところ、Win2019のWindows Event Logサービスの再起動で事象が解消するようですが、その後再発することが確認できました(これ以上に有用な手順は見当たらずでした)。

上記の状況から、Win2019のイベントログの挙動が従来のOSから変わった可能性がありますので、MSへの問いあわせパスをお持ちであれば、直接確認するのが一つの対応案になります。

こちらが参考になれば幸いです。
- 編集済み Zaamasu 2020年9月14日 10:22
- 回答としてマーク tominoko 2020年9月16日 1:59
2020年9月14日 10:21

返信

|

引用
0

サインインして投票
Zammasu様

再現確認、ありがとうございました。
弊社環境だけの問題かと思っていたので、再現したということで、ある意味安堵（？）しました。

WindowsServer2019のイベントビューアー書き込みの仕様変更による影響のように感じますので、ServerをリプレイスしたSIer経由にて、Microsoftに本現象を改善可能かどうか、相談してみます。

ご協力、ありがとうございました。
- 編集済み tominoko 2020年9月15日 2:12
2020年9月15日 2:12

返信

|

引用

製品

Resources

Solutions

更新プログラム

評価版

関連サイト

トレーニング

認定資格

その他のリソース

製品別サポート

その他のサポート

IT 担当者以外の方へ

トップ回答者

WindowsServer2019へのイベントビューアー書き込みについて。

質問

回答

すべての返信