none
イベントログ 統合管理(サブスクリプション)での問題 RRS feed

  • 質問

  • はじめまして。井上と申します。

    windows2008SE を コレクタ。windows2008R2SEをソースとしてイベントログの集約を使用していますが、

    下記サイトを参照して実施したところ、うまくコレクタからソースへ接続できないようです。

    「ソースマシン名] - エラー - 最後の再試行時間: 2011/06/22 20:05:40. コード (0x80338012): WS-Management は、指定された接続先 (ソースマシン名:80) に接続できませんでした。   次の再試行時間: 2011/06/22 20:15:40. 」

    ソース側のサーバで「netstat -a」を実行しましたが、80ポートのリッスンがないようでした。

    ソース側のサーバでIIS等の設定が必要でしょうか。IISはインストール済みですが、FTPのみ使用しているため、webは未設定です。

     

    調査方法、解決方法など情報ありましたら、ご教示いただけますと助かります。

     

     

    2011年6月22日 11:27

回答

すべての返信

  • こんにちは、フォーラムオペレーターの三沢健二です。

    下記の情報を見ますと、WinRM 1.1 と WinRM 2.0 で既定のポートが違うようです。

    - 参考情報
    What is WinRM?
    http://clintboessen.blogspot.com/2010/01/what-is-winrm.html


    もし追加のご質問がある場合には、操作手順などをもう少し詳細にお知らせいただければと思います。


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年6月29日 2:12
    モデレータ
  • イベントを転送して収集するようコンピューターを構成する
    http://technet.microsoft.com/ja-jp/library/cc748890.aspx

    こちらにもあるように、ソースコンピューター上で「winrm quickconfig」、コレクター側で「wecutil qc」を実行する必要があります。

    再度こちらを試してみてはいかがでしょうか?

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年6月29日 7:27
    モデレータ
  • 三沢様

    ABENAOKI様

     

    情報ありがとうございます。

    2008と2008R2で使用されるバージョンが異なるということなので、一旦2008R2同士で実施してみました。

    切り分けをいろいろおこなったのですが、収集したいカテゴリが「セキュリティ」だったのですが、これ以外であれば収集できました。

     

    「セキュリティ」カテゴリは選択できるようなので、収集できるのかと思っていましたが、特別な権限に追加もしくは収集に使用するユーザは

    ローカルユーザでなければならないなどありそうでしょうか。。

     

    もし情報ございましたら、ご教示いただけますと幸いです。

    2011年6月29日 13:03
  • 権限の話で言うと、コレクタ側の接続にはソースのadministrator権限が必要なはずです。

    ですので、ソースのadministratorsに、コレクタのコンピューターオブジェクトを入れるか、もしくはソースのadministrator権限を持っているユーザー(Domain Admins)などを使用して接続するはずです。

    私はコンピューターオブジェクトをコレクタ側にいれるのはめんどくさいので、ユーザーを使用しています。

    以上、参考になれば幸いです。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年6月29日 23:48
    モデレータ
  • ABENAOKI様

     

    いつもお世話になります。

    アドバイスありがとうございます。

    ソースのadministratorsグループに所属しているドメインユーザアカウントでコレクタから接続するようにしているのですが、

    セキュリティ のイベントログについてはエラーが出るようです。

     

    目的はwindowsのログイン、ログアウトの証跡を一元管理したいというのが目的です。

     

    お手数をおかけいたしますが、情報いただけるとたすかります

     

    2011年6月30日 1:02
  • >目的はwindowsのログイン、ログアウトの証跡を一元管理したいというのが目的です。

    ということであれば、イベントサブスクリプションは必要ないのではないでしょうか?(複数台のDCがある場合はやはり必要かな)

    必要な情報は、アカウントログオンイベントになると思われます。これは、アカウントを認証するシステムによって登録されますのでドメインアカウントの場合はDCのみに発生します。

    ちなみにログオンイベントはユーザーがログオンを行うマシンによって登録されます。

    ですので、DCのイベントログ(セキュリティ)を見ればいいのではないでしょうか?

    >セキュリティ のイベントログについてはエラーが出るようです。

    このエラーとは、ソース側にはログが吐き出されていて、コレクタ側に転送されないということですか?いまいちよくわからないのですが・・・私が思うに他のイベントログが転送されているなら同様に転送されると思うのですが・・・

    以上、参考になれば幸いです。

     


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年6月30日 1:19
    モデレータ
  • こんにちは。

    > 2008と2008R2で使用されるバージョンが異なるということなので、一旦2008R2同士で実施してみました。

    こちらですが、既定のポートが違うだけなので、双方でポートを合わせれば "2008" と "2008 R2" 間でも取得可能と思われます。
    (詳細設定などで使用するポートの変更ができます)


    セキュリティのログに関しては、追加でアクセス権の設定が必要なようです。
    (エラーメッセージで検索してもらえると色々と情報が出ると思います)

    ソースコンピュータの "Event Log Readers" グループに "NETWORK SERVICE" グループを追加して再起動してください。
    他にも設定方法があるようなので、下記の情報なども参考にしてみて下さい。

    - 参考情報
    How to collect security logs using event forwarding?
    http://www.networksteve.com/forum/topic.php/How_to_collect_security_logs_using_event_forwarding/?TopicId=11264&Posts=4

    Can you create an Event Subscription to pull security log events from another computer or domain controller?
    http://social.technet.microsoft.com/Forums/en-US/winserverManagement/thread/ea801311-09ea-4996-8ca9-be551aa0284c/

    Windows Server 2003 のイベント ログのセキュリティをローカルまたはグループ ポリシーで設定する方法
    http://support.microsoft.com/kb/323076


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    日本マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    2011年6月30日 2:24
    モデレータ
  • なるほど~、セキュリティだけは要件が追加されるようですね!

    Forwarding Security Events from Windows XP, Server 2003, and Vista/Server 2008
    http://blogs.technet.com/b/otto/archive/2009/06/22/forwarding-security-events-from-windows-xp-server-2003-and-vista-server-2008.aspx

    >ソースコンピュータの "Event Log Readers" グループに "NETWORK SERVICE" グループを追加して再起動してください

    これは知らなかったです。

    ちなみに

    http://social.technet.microsoft.com/Forums/en/winservergen/thread/8434ffb3-1621-4bc5-8311-66d88b215886

    がまさに回答になりますね。


    MVP:Virtual Machine Blog:MCTの憂鬱 http://naonao71.wordpress.com/
    2011年6月30日 3:32
    モデレータ
  • 三沢様 ABE NAOKI 様 お世話になります。 詳細な情報ありがとうございます。 大変おそくなりましたが、本日テストを実施して問題なくイベント収集が できることを確認いたしました。 ありがとうございました。
    2011年7月22日 9:08