whitefox HOME | イベントログ概要 | ログ監視 | ログ保存 | ログ管理 | ログ分析 | ファイル監査


イベントログ分析ツールのFAQ 34件

イベントログ分析 : 2009.09.12 Saturday
2013.09.07 販売終了しました。


  Q1 どのような時に使えますか?
  A1 ファイルサーバのログオン/ログオフ、ファイルアクセスを監査する場合などです。

  Q2 Windowsにログインしていない状態で使用できますか?
  A2 Windowsサービスプログラムで実装されていますので、コンピュータが起動していれば、Windowsにログインしていない状態でもイベントログの分析ができます。

  Q3 SMTPサーバーの認証は対応していますか?
  A3 SMTPサーバーのポート番号指定、ユーザー・パスワードによる基本認証機能はあります。

  Q4 イベントログ管理ツールとの違いは?
  A4 イベントログ管理ツール(WFEMN) は イベントログの監視とバックアップ/クリアのツールです。イベントログ分析ツールは、分析とバックアップ/クリアするツールです。イベントログ分析ツールを使用する場合、イベントログ管理ツールは必須ではありません。

  Q5 ライセンス料とインストール台数の関係は?
  A5 ライセンスは対象サーバー台数により異なりますが、イベントログ分析ツールをインストールするマシン台数には限定されません。

  Q6 保守サービスの内容と料金は?
  A6 保守サービスの内容は、電子メールによる質疑応答、アップデート版の提供、アップデート時の機能保証、アップデート時のコンバートツール提供です。
保守サービスは初年度はライセンス料に含まれています。
保守サービスの料金(年間保守料金)は、製品価格の20%です。

  Q7 対象サーバーのOSはWindows 2000、Window NT 4.0でも可能ですか?
  A7 可能です。

  Q8 別ワークグループのサーバーも監視できますか?
  A8 物理的にネットワークが接続されているのであれば、別ワークグループでも可能です。Windowsドメインの場合は「Windowsドメイン名¥ユーザー名」の形式ですが、ワークグループの場合は「コンピュータ名¥ユーザー名」でユーザーを指定して下さい。ただし、イベントログ分析ツールのサービスアカウントに指定する管理者アカウントは1つですので、同一のアカウントで管理できるかを確認してください。

  Q9 メール送信エラーとなり、送信ログに「送信エラー(コマンドは実装されていません。」と表示されます。
  A9 通知先で指定したSMTPサーバーがESMTPに対応していない場合、あるいはESMTP設定していない場合に発生します。ご利用のSMTPサーバーの仕様、設定を確認して下さい。

  Q10 SQL Server を使用する場合の注意点は?
  A10 SQL Server はネットワーク上への情報提供を「SQL Browser」という別のWindowsサービスが行っています。このサービスが開始されていないとイベントログ分析ツールのSQL Server一覧に表示されません。
また、イベントログ分析ツールでは  SQL Server の一覧表示(インスタンスの列挙)に SqlDataSourceEnumerator クラスを使用 していますが ブロードキャストパケットがルータを超えないケースやタイミング等によっては 列挙できないケースがあります。

  Q11 SQL Server のCALは いくつ必要ですか?
  A11 1台のPC(またはサーバー)に イベントログ分析ツールをインストールする場合、SQL Server への接続は 1クライアントです。SQL Serverを購入する場合は 最小限の5CAL付きで十分です。

  Q12 SQL Serverの、どのEditionで動作しますか?
  A12 すべてのEdition(Express, Workgroup, Standard, Enterprise)で 問題なく動作しますが、Editionによっては CPU数、SQL Serverのサービス機能に差異がありますので Microsoft社の「 SQL Server エディション別機能比較表」などで 導入するサーバーと適合しているかをご確認願います。

  Q13 体験版で制限されている機能は?
  A13 体験版は 試用期間は 30日間で 5台のWindowsサーバーの管理/監視ができますが、以下の機能は動作しません。
1) 通知設定はできますが メール送信は動作しません。
2) ジョブ設定はできますが ジョブ実行機能は動作しません。

  Q14 SQL Server のインストールで注意する点は?
  A14 (インストール コンポーネント)
・SQL Serverデータベースサービス
・Notification Services ※このサービスがないと 一覧表示されません。
・ワークステーションコンポーネント,Books Onlineおよび開発ツール

(ログイン情報)
・SQL Server認証モード(saなど)

1) SQL Server (MSSQLSERVER)は実行されていますか?
コンパネ・サービス、または SQL Server Configuration
Managerで 状態を確認し、停止している場合は
開始してください。

2) Microsoft SQL Server Management Studioで接続できますか?

  Q15 スタンドアロンPCで動作しますか?
  A15 スタンドアロンPCで動作します。DBMSに 無償のSQL Server Express Editionを使用されているユーザー様が多いです。

  Q16 共有ファイルへのアクセスはどのように識別されますか?
  A16 ファイルアクセスのレポートでは ファイル名、ユーザー名、日時、ファイル読込、ファイル変更、ファイル削除、アクセス権変更、所有者変更が表示されます。
「ファイル新規作成」は、「ファイル変更」として記録されます。
「ファイルコピー」は、コピー元ファイルの「ファイル読込み」とコピー先ファイルの「ファイル変更」として記録されます。
「ファイルリネーム」は、リネーム元ファイルの「ファイル読込み」「ファイル削除」とコピー先ファイルの「ファイル変更」として記録されます。

  Q17 いつ・誰が・どのファイルを・削除したかは解りますか?
  A17 「ファイルアクセスの監査レポート」で解ります。

  Q18 イベントビューアで出力したCSVファイルは使えますか?
  A18 イベントログ分析ツールでは データソースとして CSV,EVT,直接の3種類のイベントログソースが指定できますが、CSV形式ファイルは「イベントログ管理ツール」または「イベントログバックアップツール」で出力したファイルのみの対応です。
イベントビューアが出力するフィールド順序とイベントログ管理ツールが出力するフィールド順序は異なります。
イベントビューアが出力するCSVファイルは イベントログ説明などで処理に不具合があり 対応できないため、現在の仕様となっております。

  Q19 溜まっている過去のログは分析可能ですか?
  A19 イベントログ分析ツールでは データソースとして CSV,EVT,直接の3種類のイベントログソースが指定できます。
「溜まっている過去のログ」がバックアップしたEVT形式ファイルでも、現在稼動中のサーバーのイベントログでもログを読込み、分析できます。

  Q20 イベントログをリモート参照する場合、Windows ファイアウォールの例外は?
  A20 Windows XPの場合
使用するプロトコル(TCP,SMB,DCERPC,WINREG(Remote Registry Service))・
ポート(microsoft-ds(445))を例外に登録します。

Windows Vistaの場合
「リモートイベントのログ管理」を例外に登録します。

Windows ファイアウォールの設定操作については Windowsファイアウォール を参考にしてください。

  Q21 Windows Vistaにインストールするとエラーが表示されます。
  A21 Windows Vistaの標準設定ではユーザーアクセス制御(UAC)が有効になっています。
弊社製品に含まれるWindowsサービスプログラムが UAC有効の場合にはブロックされ、インストールが正しくおこなわれません。
弊社製品をインストールする場合、UACを無効にして、インストールしてください。
UACを無効にする方法は Vista UAC無効化 を参照してください。

  Q22 Windows XPのイベントログをリモート参照するとアカウント権限不足でエラーとなります。
  A22 Windows XPの標準設定では ネットワーク経由のアクセスをGuest扱いとします。
コントロールパネルのローカルセキュリティポリシーを開き、[セキュリティの設定]→[ローカルポリシー]→[セキュリティオプション]の「ネットワークアクセス:ローカルアカウントの共有とセキュリティモデル」を「Guestのみ − ローカルユーザーがGuestとして認証する。」から「クラシック − ローカルユーザーがローカルユーザーとして認証する。」に変更してください。

  Q23 監査ポリシーの設定方法は?
  A23 監査ポリシー設定のページ を参照してください。

  Q24 「その他エラー:インデックスxxxxが境界を越えています」というエラーがでます。
  A24 監視対象サーバーのイベントログで上書きが発生している場合や、WindowsUpdateを実施後に再起動をしていない場合などに発生するエラーです。
イベントログのバックアップ/クリア、または マシン再起動をすれば解消します。

  Q25 「その他エラー:指定されたチャネルは見つかりませんでした」というエラーがでます。
  A25 Windows Vista,Windows Server 2008などの新しいイベントログシステムで イベントビューアを一度も起動していない場合に発生するエラーです。
コントロールパネルの管理ツール イベントビューアを起動すれば 解消します。

 Q26リモートコンピュータへのアクセスでエラーとなります。
 A26 1) 指定したユーザーアカウント、パスワードが
それぞれのマシンで 正しいかを確認してください。

2) 管理ツールのサービスを起動し
「Remote Registry」をダブルクリックし
[開始]をクリックし、サービスを開始し、
スタートアップの種類を 自動にし、
[OK]をクリックしてください。

3) ローカルセキュリティポリシーを起動し
[ローカルポリシー]->[セキュリティオプション]の
「ネットワークアクセス: リモートからアクセスできるレジストリのパス」に
System¥CurrentControlSet¥Services¥Eventlog
を追加し、

「ネットワーク アクセス: リモートからアクセス可能なレジストリ パスおよびサブパス」に
System¥CurrentControlSet¥Services¥Eventlog
を追加してください。

4) Windows Firewallや ウィルス対策ソフトを一時停止して
リモートコンピュータにアクセスできるかを確認してみてください。


 Q27Windows Vistaのイベントログ・セキュリティに アクセスした覚えがないファイルアクセスが発生します。
 A27ログオンユーザーの権限で、Windowsデスクトップサーチ(SearchProtocolHost.exe)がインデックス作成のために、ファイルアクセスします。
既定では InternetExplorerの履歴、スタートメニューなど 多くのフォルダのインデックスを作成します。
[コントロールパネル]->[インデックスのオプション]で 不要なインデックス作成しないようにすれば ファイルアクセスが減り、イベントログへの登録も減ります。

 Q28 SQL Serverの Express Editionでデータベース接続エラーとなります。
 A28 SQL Serverの Express Editionは既定インスタンス名が「SQLEXPRESS」となります。
また、ネットワーク接続が既定では無効となり、SQL Browser Serviceが起動しないためデータベースサーバーの一覧に表示されません。
【参考】SQL Server 2005ネットワーク接続について

データベースサーバーには
「(コンピュータ名)¥SQLEXPRESS」と入力し、
ログイン、パスワードを入力し
[接続確認]をクリックしてください。

  Q29 「フォルダへの監査設定でエラーが発生しました。」と表示されます。
  A29 フォルダに対するアクセス権が不足している場合(システムフォルダなど)に発生するエラーです。ユーザーアクセス権、エラーの出たフォルダ名を確認してください。

  Q30 「その他エラー:指定されたパスが見つかりません。」と表示されます。
  A30 サーバー側の作業フォルダが存在しない場合などに発生するエラーです。基本設定画面の[サーバー]タブで [ユーザー設定]をクリックし、フォルダを設定してください。

 Q31SQL Server Express EditionでSQL認証にする方法は?
 A31 SQL認証を有効にする方法(混合モードへの切り替え)は以下の通りです。
1) [スタート]->[ファイル名を指定して実行]をクリック
2) regeditと入力し、[OK]をクリック
3) レジストリエディタの左側ツリー(レジストリHive)で以下のHiveを展開
[マイ コンピュータ]
+ [HKEY_LOCAL_MACHINE]
+ [SOFTWARE]
+ [Microsoft]
+ [Microsoft SQL Server]
+ [MSSQL.1]
+ [MSSQLServer]
4) [MSSQLServer]の配下にあるレジストリが 右側に表示されたら「LoginMode」をダブルクリック
5) DWORD値の編集ダイアログで 値のデータを「2」に変更して [OK]をクリック
6) レジストエディタの右上[×]をクリックして 終了


 Q32SQL Server Express EditionでSQLログイン saを有効にする方法は?
 A32 saを有効にする方法は 以下の通りです。
1) [スタート]->[すべてのプログラム]->[アクセサリ]->[コマンドプロンプト]をクリック
2) コマンドプロンプトで 以下のテキストを入力し、Enterキー
 sqlcmd -E -S .¥SQLEXPRESS

3) SQLCMDのプロンプト(1>)が表示されたら テキストを入力し、Enterキー
 ALTER LOGIN sa ENABLE

4) 3)と同様に
 GO
5) 3)と同様に
 ALTER LOGIN sa WITH PASSWORD='XXXXXXXX'
6) 3)と同様に
 GO
7) 3)と同様に
 QUIT


 Q33Windows Server 2008 R2でプログラムを実行すると 「データ不正、ライセンス切れのため終了します」と表示されます。
 A33 セキュリティの関係で プログラムが実行できない状態となっています。

ウィルス対策ソフトを一時的に停止して 実行できるかを確認してください。ウィルス対策ソフトの停止で プログラム実行できる場合、ウィルス対策ソフトの例外プログラムとして 登録してください。

ウィルス対策ソフトを停止しても プログラム実行できない場合、管理者権限が不足している可能性があります。
以下の手順で 管理者として実行できるように 設定後、プログラムを実行してください。

1) [スタート]メニューの[すべてのプログラム]、[SDK-LTD]で [WhiteFox EventLog Analyzer]を右クリックして、[プロパティ]をクリック
2) WhiteFox EventLog Analyzerのプロパティ画面で [互換性]タブをクリック
3) 特権レベルの「管理者としてこのプログラムを実行する」をチェックし、[OK]をクリック


 Q34ログの削除をおこないたいのですが...
 A34 WhiteFox EventLog Analyzerのデータが蓄積されるデータベースは、以下の手順で確認できます。
1) WhiteFox EventLog Analyzerを起動
2) [設定]メニューの[基本設定]をクリック
3) 基本設定画面で [データベース]タブを選択

データベース内のテーブルは 以下の通りです。
T11_Load: AnalyzerにEventLogをロードした情報
T12_Eventlog: EventLog 生データ
T21_SC: セキュリティ診断 結果
T31_LocalLogon: ローカルログオン
T32_RemoteLogon: リモートログオン
T33_FileAccess: ファイルアクセス
T34_FileOpen: ファイルオープン
T41_DC: ドメインコントローラ監査 結果



Googleブックマークに登録Googleブックマーク  Yahoo!ブックマークに登録Yahoo!ブックマーク 




お役立ちリンク
あなたのサーバー動いていますか? |  ログを採るだけで満足? |  イベントログ ツールズ |  Windows Vista/7/2008イベントログ |  SQL Server Express管理 | 
SharePoint 2010 Tips |  Windows Server サポート終了日

ライセンス購入・保守契約
製品購入 |  保守契約 |  FAQ |  お問合せ |  サイトマップ