イベントログのローテーションについて

すべての返信

• 

  

  0

  サインインして投票

  タケチエ さん、こんにちは。

  フォーラム オペレータの鈴木裕子です

   

  ご投稿の現象ですが、

  私の手元の環境で試してみたところ、

  セキュリティログだけでなく、

  アプリケーション、システムログとも、

  「Archive-xxxxxx-2008-04-08-xx-xx-xx-xxx.evt」の形のファイルが作成されました。

  テストの時の手順を簡単に書いておきますね。

   

  環境：

  Windows Server 2003 R2 SP2

   

  手順1.

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System

   

  上記のレジストリキーについて、下記のように変更を加えました

   

  値 : AutoBackupLogFiles

  値のデータを 1 に変更

   

  値 : Files

  c:\Event-Backup\SysEvent.Evt

  c:\Event-Backup\AppEvent.Evt

  c:\Event-Backup\SecEvent.Evt

   

  手順2.

  アプリケーション、セキュリティ、システムログファイルのプロファイルを開き、

  設定を「イベントを上書きしない」に変更しました。

   

  手順3.

  Windowsの再起動

   

  上記の手順で、

  アプリケーション、セキュリティ、システムログファイルとも

  最大ログサイズを超えると、

  「Archive-xxxxxx-2008-04-08-xx-xx-xx-xxx.evt」の形でファイルが作成されました。

   

  タケチエ さんの方の設定の手順はいかがでしょうか？

   同じ手順でアーカイブが作成されない場合は、

  タケチエ さんの環境独自の現象の可能性が考えられると思います。

  その場合は、サポート窓口で調査をした方が解決が早いかもしれません。

  よろしければ、問い合わせしてみて下さい！

   

  製品別 お問い合わせ - 製品一覧

  http://support.microsoft.com/select/?target=assistance

   

  2008年4月21日 9:57

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  鈴木さん、調査/ご連絡ありがとうございます。

  以前の職場で同じようにローテーションの設定を行ったときは問題なくローテーションされました。

  ただ、プロパテで「イベントを上書きしない」に設定はしてなくても出来ていました。

   

  鈴木さんの行われた手順にて再度やり直してみましたが、やはりセキュリティログしかローテーションされないです。

   

  今回、職場が変わりましたが、OS/Verは同じなのでなぜこのような現象がでるのかわかりません。

  環境独自と言われてますが、特にこれといった設定等はOSに対して行っていません。

   

  非常に情けないのですが、今の職場では問い合わせが出来る環境がありません。（有償には対応できない）

  一応問い合わせができる部署からの問い合わせのお願いをしています。

  他に何か要因がないかどうか調査の程、よろしくお願いいたします。

  もちろんこちらでも色々と確認しています。

  2008年4月22日 0:55

  返信

  |

  引用
• 

  

  0

  サインインして投票

  タケチエ さん、こんにちは。
  フォーラム オペレータの鈴木裕子です

   

  「イベントを上書きしない」に設定しても、
  バックアップファイルが作成されませんでしたか・・・
  私の方もテスト環境ですので、
  何も特別な設定はしていないんです。。。

   

  そのような現象について、何か情報がないか調べてみましたが、
  残念ながら見つかりませんでした。
  お力になれずごめんなさい！！

   

  別部署を通じてとのことでご面倒になりますが、
  やはり調査が必要な感じがしますので、
  サポート窓口に問い合わせいただくのが良いのではと。

   

  もちろん、
  どなたか、タケチエ さんと同じ現象の経験のある方、
  いらっしゃいましたら、コメントいただけるとありがたいです。
  ぜひ情報をお寄せ下さい！

  2008年4月25日 9:36

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  鈴木　様

   

  お世話になっております。

  原因が判明しました。

   

  間抜けというか・・・なんというか・・・管理者失格状態でして・・・

   

  指定したファイルサイズに達した時に、ローテーションされるわけですが、windowsのファイルの詳細にて確認出来るファイルサイズと実際のファイルサイズは多少誤差がある為、ファイルの詳細で確認出来るファイルサイズがローテーションされる指定サイズと同じであっても即ローテーションはされない事が確認できました。イベントログへ書き込みされるイベントが沢山発生している場合は

  すぐにローテーションされます。

   

  テストで強制的にイベントを大量発生させた場合、システムもアプリケーションも即時ローテーションされました。

   

  大変おさわがせしました。

  ありがとうございました。

  2008年5月19日 2:11

  返信

  |

  引用
• 

  

  0

  サインインして投票

  タケチエ さん、こんにちは。
  フォーラム オペレータ鈴木です

   

  疑問が解決されたようで、

  そして、障害ではなかったということで、本当によかったです！

   

  また何かありましたら、フォーラムをご利用ください！

  それでは。

  2008年5月21日 5:57

  返信

  |

  引用

  モデレータ
• 

  

  0

  サインインして投票

  こんにちは、フォーラム オペレータ大久保です。

   

  タケチエさん、フォーラムのご利用ありがとうございます。

  問題が解決したとのことでなによりです。

   

  さて、タケチエさんの経験を他の多くの皆様に共有していただくため、大変恐縮なのですが、弊社鈴木の回答に「回答済み」チェックをつけさせていただきました。

  有償のサポートのご利用が難しいとのことですが、フォーラムは24時間無料でご利用になれますので、お困りの時はぜひご利用ください。

  お待ちしてます！

   

  2008年6月17日 4:45

  返信

  |

  引用
• 

  

  0

  サインインして投票

  はじめましてうぃん管理者と申します。

  上記のやりとりの中で質問があるのですが

  値 : File
  c:\Event-Backup\SysEvent.Evt
  c:\Event-Backup\AppEvent.Evt
  c:\Event-Backup\SecEvent.Evt

  の所なんですが私の検証環境(XP)では何度行っても指定したパスにイベントログが
  出力されません。私は以下のレジストリで行っています。

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security
  の右側に表示される「File」に「c:\Event-Backup\SecEvent.Evt」をいれ
  それと同じディレクトリも作成済みですが出ません。イベントビューアで
  セキュリティのプロパティを見るとサイズが0.0バイトで、どこにも.evtファイルが出力されません。

  パスがデフォルトの「%SystemRoot%\System32\config\SecEvent.Evt」であるときは
  Archive-Security-2008-04-08-23-38-17-583.evtのようにその時のファイルが
  出力されるのは確認済みです。

  なにか解決策をご存知でしたらよろしくお願いします。

  2009年5月19日 8:07

  返信

  |

  引用
• 

  

  0

  サインインして投票

  うぃん管理者さん、こんにちは。
  
  私も同じような現象が出ましたが、イベントログの消去後、サーバーを再起動したら
  期待どおり動作するようになりました。
  
  外していたらごめんなさい。

  2009年6月12日 5:59

  返信

  |

  引用