Elastic Compute Service (ECS) インスタンスが攻撃された場合やアプリケーションに障害が発生した場合、Windows イベントログは問題の特定、セキュリティインシデントの調査、および通常の運用の復旧に役立ちます。このトピックでは、Windows Server 2022 を例に説明します。
イベントビューアーを使用すると、次のことが可能です:
システム、アプリケーション、セキュリティ、およびアプリケーションとサービスのログを 1 か所で表示する
Microsoft サポート技術情報でイベント ID を検索してソリューションを見つける
保持要件に合わせてログの保存パスとサイズ制限を変更する
ログの種類
Windows イベントログは、次の 4 種類に分類されます:
| ログの種類 | 記録内容 | 使用シーン |
|---|---|---|
| システムログ | 起動時にドライバーのロードに失敗した場合など、Windows システムコンポーネントからのイベント。イベントの種類は Windows によって事前に定義されています。 | OS レベルの障害や予期せぬ再起動の調査 |
| アプリケーションログ | データベースプログラムがファイルエラーを記録した場合など、アプリケーションからのイベント | アプリケーションのクラッシュやエラーの診断 |
| セキュリティログ | 有効および無効なログオン試行、およびファイルの作成、オープン、削除などのリソース使用イベント。ログオン監査を有効にすると、ログオン試行がここに記録されます。 | アクセスの監査とセキュリティインシデントの調査 |
| アプリケーションとサービスログ | 新しい種類のイベントログ。システム全体のイベントではなく、単一のアプリケーションまたはコンポーネントからのイベント | 特定のサービスまたはアプリケーションコンポーネントのデバッグ |
イベントビューアーでのログの表示
Windows システムログはデフォルトで有効になっています。
前提条件
開始する前に、次のことを確認してください:
Windows インスタンスに接続済みであること。詳細については、「Workbench を使用した Windows インスタンスへの接続」をご参照ください。
イベントビューアーの起動とログの表示
[スタート] > [ファイル名を指定して実行] を選択します。[ファイル名を指定して実行] ダイアログボックスに
eventvwrと入力し、[OK] をクリックして [イベントビューアー] を開きます。ナビゲーションウィンドウで、確認したいログカテゴリを選択します:
[Windows ログ]:システムログ、アプリケーションログ、セキュリティログが含まれます。
[アプリケーションとサービス ログ]:アプリケーションごと、コンポーネントごとのログが含まれます。
ヒント:各ログエントリにはイベント ID が含まれています。Microsoft サポート技術情報でイベント ID を検索すると、推奨されるソリューションを見つけることができます。
ログパスの変更とログのバックアップ
デフォルトでは、ログはシステムディスクに保存され、最大サイズは 20,480 KB (20 MB) です。ログファイルがこの制限に達すると、古いエントリから上書きされます。より長い保持期間が必要な場合や、ログを別のディスクに保存したい場合は、これらの設定を調整してください。
[イベントビューアー] の左側のナビゲーションウィンドウで、[Windows ログ] をクリックします。
右側のリストでログ名を右クリックし、ショートカットメニューから [プロパティ] を選択します。
[ログのプロパティ] ダイアログボックスで、必要な設定を変更します:
パラメーター 説明 ログのパス ログが保存されるファイルパス。これを変更すると、ログを別のディスクやディレクトリに移動できます。 最大ログ サイズ (KB) ログファイルの最大サイズ。デフォルト:20480 (20 MB)。 最大ログ サイズに達したときの動作 ログファイルがいっぱいになったときの動作。デフォルトでは、古いエントリから上書きされます。