私は SuperUser でこの質問をしましたが、あまりうまくいかなかったので、誰かが助けてくれるかどうかを知るためにここに投稿します。
中央 syslog サーバーがあり、Windows ホストからのイベント ログ イベントをキャプチャしたいと考えています。特に、サービスの開始/停止イベントのログに記録することに関心があります。これらの Windows ホストに「Eventlog to Syslog」をインストールしましたが、XP ホストではすべて正常に動作します (イベントはサービス コントロール マネージャーから取得されます)。ただし、Win2k ホストでは問題が発生しています。何らかの理由で、サービスの開始/停止イベントが Win2k ホストのイベント ログに記録されません。別の会社の別の友人に Win2k ホストでテストしてもらったところ、開始/停止イベントは取得できました。有効にする必要があるローカル監査ポリシーを検索しましたが、あまりうまくいきませんでした。何かアイデアはありますか?
前もって感謝します。
答え1
syslogAgent で試す (http://syslogserver.com/syslogagent.html) 特別な設定は必要ありません (イベントログを試したことがないのでわかりません)。
再度失敗する場合は、監査デーモンが無効になっている可能性があります。そうでない場合は、イベントログの設定に問題があります。(おそらく、http://www.windowsecurity.com/articles/Windows-Active-Directory-Auditing.html)
答え2
まず最初に疑うのは、W2K サーバーで COM+ や SENS サービスが無効になっているか壊れているのではないかということです。これらのサービスが問題の原因かどうかはわかりませんが、まずはそこから調べるのがよいでしょう。影響を受けたシステムでまだログオン/ログオフ イベントが発生している場合は、これらのサービスのいずれかに問題があれば無効になるため、これが原因である可能性は低いでしょう。「標準」のリストを調べてみる価値はあるかもしれません。Windows 2000 サービスはこちら無効になっているか、起動に失敗している重要なものがあるかどうかを確認します。
使用できますSysInternals プロセス モニターいくつかのサービスを開始/停止するときに失敗しているものを特定してみてください。 この場合は役に立たないかもしれませんが、エラーやアクセス権の問題でイベントが記録されない場合は、サービスを開始/停止するたびに Process Monitor がそのことを報告してくれる可能性が高いです。
停止\開始イベント自体でイベントを生成する方法がわからない場合でも、機能する可能性のある別の方法は、サービスの監査を有効にすることです。サービス自体に実際のサービス アカウントを使用している場合は、関連するサービスの開始\停止に関連付けられたアカウントのログオン\ログオフ イベントをトラップできるはずです。このTechnetリンクこれを試してみたい場合は、ここから始めるといいでしょう。