Windows Server 2008 R2 コレクタ1台
Windows Server 2008 R2 ソース10台
の構成でイベントログ収集の管理を行っています。
構築後1か月、順調に稼働していたのですが、
その後、下記のエラーログが発生し、全く収集されなくなりました。
-----エラーログ1-----
ネットワーク レイヤーから応答を受信しました。状態: 401 (HTTP_STATUS_DENIED)
- <System>
<Provider Name="Microsoft-Windows-WinRM" Guid="{A7975C8F-AC13-49F1-87DA-5A984A4AB417}" />
<EventID>129</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>10</Task>
<Opcode>1</Opcode>
<Keywords>0x4000000000000002</Keywords>
<TimeCreated SystemTime="2012-10-15T02:53:10.489482100Z" />
<EventRecordID>2987966</EventRecordID>
<Correlation ActivityID="{018B0A40-F800-0000-1889-445D58A0CD01}" />
<Execution ProcessID="984" ThreadID="4672" />
<Channel>Microsoft-Windows-WinRM/Operational</Channel>
<Computer>コレクタサーバ名</Computer>
<Security UserID="S-1-5-20" />
</System>
- <EventData>
<Data Name="status">401 (HTTP_STATUS_DENIED)</Data>
</EventData>
</Event>
-----------------------
-----エラーログ2-----
WSMan の操作 Subscription に失敗しました。エラー コード 995
- <System>
<Provider Name="Microsoft-Windows-WinRM" Guid="{A7975C8F-AC13-49F1-87DA-5A984A4AB417}" />
<EventID>142</EventID>
<Version>0</Version>
<Level>2</Level>
<Task>10</Task>
<Opcode>2</Opcode>
<Keywords>0x4000000000000002</Keywords>
<TimeCreated SystemTime="2012-10-15T02:48:24.936469600Z" />
<EventRecordID>2987948</EventRecordID>
<Correlation ActivityID="{018B0A48-F800-0001-AF53-445D58A0CD01}" />
<Execution ProcessID="984" ThreadID="996" />
<Channel>Microsoft-Windows-WinRM/Operational</Channel>
<Computer>コレクタサーバ名</Computer>
<Security UserID="S-1-5-20" />
</System>
- <EventData>
<Data Name="operationName">Subscription</Data>
<Data Name="errorCode">995</Data>
</EventData>
</Event>
-----------------------
イベントビューアを起動し、左ペインに表示されている「サブスクリプション」を選択すると
登録している10件のサブスクリプション情報も表示されず、強制終了を余儀なくされます。
同様の事象に遭遇された方、解決策、参考情報など
ございましたら、ご教授のほどお願いいたします。
2012/10/19 追記
イベントログ(Microsoft-Windows-Kernel-EventTracing)を確認していくと下記ログが発生していました。
-----Kernel-EventTracingログ-----
リアルタイム セッション "EventLog-ForwardedEvents" のバッキング ファイルが最大サイズに達しました。
このため、空き領域ができるまで、このセッションに新しいイベントは記録されません。
このエラーは、多くの場合、リアルタイム コンシューマーがない状態でトレース セッションをリアルタイム モードで開始した場合に発生します。
- <System>
<Provider Name="Microsoft-Windows-Kernel-EventTracing" Guid="{B675EC37-BDB6-4648-BC92-F3FDC74D3CA2}" />
<EventID>1</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>1</Task>
<Opcode>10</Opcode>
<Keywords>0x8000000000000010</Keywords>
<TimeCreated SystemTime="2012-09-19T05:11:49.645393800Z" />
<EventRecordID>1</EventRecordID>
<Correlation />
<Execution ProcessID="4" ThreadID="164" />
<Channel>Microsoft-Windows-Kernel-EventTracing/Admin</Channel>
<Computer>コレクタサーバ名</Computer>
<Security UserID="S-1-5-18" />
</System>
- <EventData>
<Data Name="SessionName">EventLog-ForwardedEvents</Data>
<Data Name="ErrorCode">3221225864</Data>
<Data Name="LoggingMode">285213056</Data>
</EventData>
-----------------------
このForwardedEventsのバッキング ファイル(?)の
空き領域を作る方法をご教授ください。
ちなみにForwardedEventsのログファイルをクリアしても
ファイル名を変更して新しいファイルを生成しても解決できませんでした。
気になる項目としては、レジストリ(HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\WMI\Autologger\)に
「EventLog-ForwardedEvents」という項目ができています。
※正常に動作しているもう1つの環境は、このキーは存在しません。
上記「EventLog-ForwardedEvents」にエラーが出力された後は、
「EventCollector」のイベントログにも下記ログが出力されます。
-----EventCollectorエラーログ-----
サブスクリプション "ソースサーバ名" にイベントの喪失があります。対象のコンピューター "ソースサーバ名" からのイベントが失われ、配信できませんでした。エラー コードは 8 です。 <System>
<Provider Name="Microsoft-Windows-EventCollector" Guid="{B977CF02-76F6-DF84-CC1A-6A4B232322B6}" />
<EventID>501</EventID>
<Version>0</Version>
<Level>3</Level>
<Task>0</Task>
<Opcode>0</Opcode>
<Keywords>0x800000000000000</Keywords>
<TimeCreated SystemTime="2012-10-17T05:10:38.057973700Z" />
<EventRecordID>462710</EventRecordID>
<Correlation ActivityID="{018B0A48-F800-0001-4258-445D58A0CD01}" />
<Execution ProcessID="984" ThreadID="2832" />
<Channel>Microsoft-Windows-EventCollector/Operational</Channel>
<Computer>コレクタサーバ名</Computer>
<Security UserID="S-1-5-20" />
</System>
-----------------------
