none
イベントログのローテーションについて

    質問

  • はじめまして、Windows系サーバ運用管理者「たけちえ」です。

     

    レジストリautobackuplogfilesの設定をして、イベントログの自動ローテーションをしようとしています。

    レジストリ内の「AutobackupLogFiles」の値を0から1へ変更し、「File」をD:\Event-backup\AppEvent.Evt

    D:\Event-Backup\SysEvent.Evt D:\Event-Backup\SecEvent.Evtにそれぞれ変更しています。

     

    セキュリティログのみ、Archive-Security-2008-04-08-23-38-17-583.evtのようにキチンとローテーションされます。

    ですが、システム/アプリケーションログがローテーションされません。

    何処か他に、確認・設定等々しないといけない所が存在するのでしょうか?

     

    情報いただきたく、皆様どうぞよろしくお願いいたしますm(_ _)m

    2008年4月14日 2:23

回答

  • タケチエ さん、こんにちは。

    フォーラム オペレータの鈴木裕子です

     

    ご投稿の現象ですが、

    私の手元の環境で試してみたところ、

    セキュリティログだけでなく、

    アプリケーション、システムログとも、

    Archive-xxxxxx-2008-04-08-xx-xx-xx-xxx.evt」の形のファイルが作成されました。

    テストの時の手順を簡単に書いておきますね。

     

    環境:

    Windows Server 2003 R2 SP2

     

    手順1.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System

     

    上記のレジストリキーについて、下記のように変更を加えました

     

    : AutoBackupLogFiles

    値のデータを 1 に変更

     

    : Files

    c:\Event-Backup\SysEvent.Evt

    c:\Event-Backup\AppEvent.Evt

    c:\Event-Backup\SecEvent.Evt

     

    手順2.

    アプリケーション、セキュリティ、システムログファイルのプロファイルを開き、

    設定を「イベントを上書きしない」に変更しました。

     

    手順3.

    Windowsの再起動

     

    上記の手順で、

    アプリケーション、セキュリティ、システムログファイルとも

    最大ログサイズを超えると、

    Archive-xxxxxx-2008-04-08-xx-xx-xx-xxx.evt」の形でファイルが作成されました。

     

    タケチエ さんの方の設定の手順はいかがでしょうか?

     同じ手順でアーカイブが作成されない場合は、

    タケチエ さんの環境独自の現象の可能性が考えられると思います。

    その場合は、サポート窓口で調査をした方が解決が早いかもしれません。

    よろしければ、問い合わせしてみて下さい!

     

    製品別 お問い合わせ - 製品一覧

    http://support.microsoft.com/select/?target=assistance

     

    2008年4月21日 9:57
    モデレータ

すべての返信

  • タケチエ さん、こんにちは。

    フォーラム オペレータの鈴木裕子です

     

    ご投稿の現象ですが、

    私の手元の環境で試してみたところ、

    セキュリティログだけでなく、

    アプリケーション、システムログとも、

    Archive-xxxxxx-2008-04-08-xx-xx-xx-xxx.evt」の形のファイルが作成されました。

    テストの時の手順を簡単に書いておきますね。

     

    環境:

    Windows Server 2003 R2 SP2

     

    手順1.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System

     

    上記のレジストリキーについて、下記のように変更を加えました

     

    : AutoBackupLogFiles

    値のデータを 1 に変更

     

    : Files

    c:\Event-Backup\SysEvent.Evt

    c:\Event-Backup\AppEvent.Evt

    c:\Event-Backup\SecEvent.Evt

     

    手順2.

    アプリケーション、セキュリティ、システムログファイルのプロファイルを開き、

    設定を「イベントを上書きしない」に変更しました。

     

    手順3.

    Windowsの再起動

     

    上記の手順で、

    アプリケーション、セキュリティ、システムログファイルとも

    最大ログサイズを超えると、

    Archive-xxxxxx-2008-04-08-xx-xx-xx-xxx.evt」の形でファイルが作成されました。

     

    タケチエ さんの方の設定の手順はいかがでしょうか?

     同じ手順でアーカイブが作成されない場合は、

    タケチエ さんの環境独自の現象の可能性が考えられると思います。

    その場合は、サポート窓口で調査をした方が解決が早いかもしれません。

    よろしければ、問い合わせしてみて下さい!

     

    製品別 お問い合わせ - 製品一覧

    http://support.microsoft.com/select/?target=assistance

     

    2008年4月21日 9:57
    モデレータ
  • 鈴木さん、調査/ご連絡ありがとうございます。

    以前の職場で同じようにローテーションの設定を行ったときは問題なくローテーションされました。

    ただ、プロパテで「イベントを上書きしない」に設定はしてなくても出来ていました。

     

    鈴木さんの行われた手順にて再度やり直してみましたが、やはりセキュリティログしかローテーションされないです。

     

    今回、職場が変わりましたが、OS/Verは同じなのでなぜこのような現象がでるのかわかりません。

    環境独自と言われてますが、特にこれといった設定等はOSに対して行っていません。

     

    非常に情けないのですが、今の職場では問い合わせが出来る環境がありません。(有償には対応できない)

    一応問い合わせができる部署からの問い合わせのお願いをしています。

    他に何か要因がないかどうか調査の程、よろしくお願いいたします。

    もちろんこちらでも色々と確認しています。

    2008年4月22日 0:55
  • タケチエ さん、こんにちは。
    フォーラム オペレータの鈴木裕子です

     

    「イベントを上書きしない」に設定しても、
    バックアップファイルが作成されませんでしたか・・・
    私の方もテスト環境ですので、
    何も特別な設定はしていないんです。。。

     

    そのような現象について、何か情報がないか調べてみましたが、
    残念ながら見つかりませんでした。
    お力になれずごめんなさい!!

     

    別部署を通じてとのことでご面倒になりますが、
    やはり調査が必要な感じがしますので、
    サポート窓口に問い合わせいただくのが良いのではと。

     

    もちろん、
    どなたか、タケチエ さんと同じ現象の経験のある方、
    いらっしゃいましたら、コメントいただけるとありがたいです。
    ぜひ情報をお寄せ下さい!

    2008年4月25日 9:36
    モデレータ
  • 鈴木 様

     

    お世話になっております。

    原因が判明しました。

     

    間抜けというか・・・なんというか・・・管理者失格状態でして・・・

     

    指定したファイルサイズに達した時に、ローテーションされるわけですが、windowsのファイルの詳細にて確認出来るファイルサイズと実際のファイルサイズは多少誤差がある為、ファイルの詳細で確認出来るファイルサイズがローテーションされる指定サイズと同じであっても即ローテーションはされない事が確認できました。イベントログへ書き込みされるイベントが沢山発生している場合は

    すぐにローテーションされます。

     

    テストで強制的にイベントを大量発生させた場合、システムもアプリケーションも即時ローテーションされました。

     

    大変おさわがせしました。

    ありがとうございました。

    2008年5月19日 2:11
  • タケチエ さん、こんにちは。
    フォーラム オペレータ鈴木です

     

    疑問が解決されたようで、

    そして、障害ではなかったということで、本当によかったです!

     

    また何かありましたら、フォーラムをご利用ください!

    それでは。
    2008年5月21日 5:57
    モデレータ
  • こんにちは、フォーラム オペレータ大久保です。

     

    タケチエさん、フォーラムのご利用ありがとうございます。

    問題が解決したとのことでなによりです。

     

    さて、タケチエさんの経験を他の多くの皆様に共有していただくため、大変恐縮なのですが、弊社鈴木の回答に「回答済み」チェックをつけさせていただきました。

    有償のサポートのご利用が難しいとのことですが、フォーラムは24時間無料でご利用になれますので、お困りの時はぜひご利用ください。

    お待ちしてます!

     

    2008年6月17日 4:45
  • はじめましてうぃん管理者と申します。

    上記のやりとりの中で質問があるのですが

    値 : File
    c:\Event-Backup\SysEvent.Evt
    c:\Event-Backup\AppEvent.Evt
    c:\Event-Backup\SecEvent.Evt

    の所なんですが私の検証環境(XP)では何度行っても指定したパスにイベントログが
    出力されません。私は以下のレジストリで行っています。

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security
    の右側に表示される「File」に「c:\Event-Backup\SecEvent.Evt」をいれ
    それと同じディレクトリも作成済みですが出ません。イベントビューアで
    セキュリティのプロパティを見るとサイズが0.0バイトで、どこにも.evtファイルが出力されません。

    パスがデフォルトの「%SystemRoot%\System32\config\SecEvent.Evt」であるときは
    Archive-Security-2008-04-08-23-38-17-583.evtのようにその時のファイルが
    出力されるのは確認済みです。

    なにか解決策をご存知でしたらよろしくお願いします。

    2009年5月19日 8:07
  • うぃん管理者さん、こんにちは。

    私も同じような現象が出ましたが、イベントログの消去後、サーバーを再起動したら
    期待どおり動作するようになりました。

    外していたらごめんなさい。

    2009年6月12日 5:59