Windows イベント ログの取り込みに関するトラブルシューティング

最終更新日 - 25年2025月XNUMX日

Windows イベント ログを取り込むように LogSource または DataSource を構成すると、ログが適切に収集または表示されない問題が発生することがあります。

LogicMonitorポータルにログが表示されない

Windows Management Instrumentation (WMI) では、すべての Windows イベントを取得できるわけではありません。Windows イベント用の LogicMonitor ログモジュールは、イベントの取得に Win32_NTLogEvent 呼び出しを使用しているため、このクラスで取得できないログは表示されません。詳細については、以下を参照してください。 Win32_NTLogEvent クラス マイクロソフトから。

例えば、「アプリケーションとサービス ログ」はWin32_NTLogEvent呼び出しでは利用できません。ただし、Microsoftサブスクリプションを使用すると、「アプリケーションとサービス」フォルダから「アプリケーション」などの別のログフォルダにログをコピーできます。LogicMonitorで利用可能な場所にログをコピーしたら、LOGNAMEのフィルタータイプを追加する必要があります。 Windowsイベントログのフィルターの詳細については、以下を参照してください。 フィルタを含める.

LogicMonitorポータルにWindowsイベントログが表示されないことを確認するための要件

• Windows イベントの収集と転送は、LogSource または DataSource を使用して構成する必要があります。
• リソースを監視するコレクターのサービスアカウントには、監視対象サーバーのWin32_NTLogEventから読み取るための十分な権限が必要です。または、wmi.userプロパティとwmi.passプロパティを介して、十分な権限を持つ資格情報を渡すこともできます。
• リモート Windows マシンからログを取り込む場合は、Windows リモート管理 (WinRM) を有効にする必要があります。
• セキュリティイベントログからイベントを受信して​​いる場合は、アプリケーションに Seセキュリティ特権そうでない場合、アプリケーションに「アクセスが拒否されました」というエラーが返されます。

LogicMonitorポータルにWindowsイベントログが表示されないことを確認する

LogSource の設定を確認する

フィルタリング—LogSource に適用したフィルターによって、監視するログが除外されないことを確認します。

コレクターの権限を確認する

• コレクターアクセス—Windowsマシン上で、コレクターが適切な権限で実行されていることを確認してください。詳細については、 WindowsServerの監視と最小特権の原則.
• Windows Management Instrumentation (WM) の権限—コレクターを実行しているユーザーが、Windows イベント ログにアクセスするための適切な WMI 権限を持っているか、または WMI 資格情報が渡されていることを確認します。  

WMIへの接続をテストする

• WMIアクセシビリティ—Windowsマシン上でWMIが正しく構成され、アクセス可能であることを確認します。コレクターホストから次のPowerShellクエリを実行することでテストできます。

  Get-WMIObject -Computername COMPUTERNAME -Credential (Get-Credential) -Query {select * from Win32_NTLogEvent}

  コピー
  COMPUTERNAME を、ログを監視するホスト名に置き換えます。プロンプトが表示されたら、Collector サービスアカウントの資格情報、または wmi.user と wmi.pass 経由で渡された資格情報を入力します。
• ファイアウォールルール—ファイアウォール ルールによってコレクターと Windows マシン間の WMI 通信がブロックされていないかどうかを確認します。

Windows イベントが取得可能かどうかを確認する

1. 監視するWindowsデバイスでPowershellを介して次のクエリを実行することにより、Win32_NTLogEventを介してログファイルにアクセスできるかどうかを確認できます。

   Get-WmiObject -Query "Select TimeGenerated,Message,Logfile from Win32_NTLogEvent WHERE ( LogFile = '<LogFileName>' )" | select -First 1

   コピー
2. イベントが返されない場合は、このログ ファイルのイベントを利用できないことを意味します。 これらのイベントを Windows レジストリの WMI クラスに追加する必要があります。

Windows の重大なイベントが LogicMonitor ポータルでエラーとして表示される

一部の Windows イベントが LogicMonitor ポータルでエラーとして誤って表示され、次のエラー メッセージが表示されます。

The system has rebooted without cleanly shutting down first. This error could be caused if the system stopped responding, crashed, or lost power unexpectedly. 

これは既知の問題であり、LogSourceがMicrosoftがリストアップしたイベントタイプのみをサポートしており、その中には「重大」レベルが含まれていないために発生します。詳細については、 イベントの種類 マイクロソフトから。

Windowsの重大なイベントがエラーとして表示されることを確認する

1. LogicMonitor ポータルで、次のようなエラーが表示されているかどうかを確認します。
   [system] [Error] [41] The system has rebooted without cleanly shutting down first. This error could be caused if the system stopped responding, crashed, or lost power unexpectedly. 
2. Windows イベント ビューアーに移動し、イベント カテゴリ (たとえば、システム) とイベント ID (たとえば、41) が LogicMonitor ポータルのエラーと一致するかどうかを確認します。 
   
3. イベント カテゴリとイベント ID が LogicMonitor ポータルのエラーと一致する場合、LogSource が Microsoft によってリストされたイベント タイプのみをサポートしていることが原因となります。

Windows イベント ログの取り込みに関して引き続き問題が発生する場合は、サポートにお問い合わせください。