Windows イベント ビューア ログには、Windows のサービスとアプリケーションのステータスの分析、エラーのトラブルシューティング、およびセキュリティ イベントの監査に必要な有用な情報が保存されます。デフォルトでは、Windows のイベント ビューア ログのサイズは制限されており、ファイル サイズを超えると、新しいイベントが古いイベントを上書きし始めます。イベント ビューアに送信されるイベントが多すぎると、最後の数時間のイベントのみがログに記録される可能性があり、効率的な監視とログ分析には不十分になる可能性があります。
古いイベントが上書きされるのを防ぎ、十分な期間常にイベントを保持できるようにするには、イベント ビューア ログの最大サイズを増やすことができます。
もっと詳しく知る:イベント ビューアですべてのイベント ログをクリアする方法
コンテンツ:
- PowerShell を使用して Windows イベント ログのサイズを設定するにはどうすればよいですか?
- イベント ビューア コンソールからのイベント ログ ファイル サイズの調整
- GPO を使用して Windows イベント ログ ファイルのサイズを増やす
PowerShell を使用して Windows イベント ログのサイズを設定するにはどうすればよいですか?
Windows イベント ログ ファイルは次の場所に保存されます。%SystemRoot%System32WinevtLogsとしてのディレクトリ.EVTXファイル。ログごとに個別のファイルがあることに注意してください。したがって、必要な Windows ログのみの最大サイズを管理し、他のログについてはデフォルト設定のままにすることができます。
PowerShell を使用すると、Windows 上で有効になっているすべてのイベント ビューアー ログの現在の制限を表示できます。
Get-Eventlog -List
Get-WinEvent コマンドレットを使用すると、特定のイベント ログ ファイルのサイズを取得できます。たとえば、セキュリティ ログ ファイルの現在および最大サイズを取得する方法は次のとおりです。
Get-WinEvent -ListLog Security| Select MaximumSizeInBytes, FileSize, IsLogFull, OldestRecordNumber, IsEnabled, LogMode
PowerShell を使用して、イベント ログ ファイルが含まれるフォルダーの合計サイズを取得できます。"{0:N2} MB" -f ((gci c:windowsSystem32WinevtLogs| measure Length -s).sum / 1Mb)
ログの最大サイズを増やすには、wevtutulコマンド ライン ツール (新しいサイズはバイト単位で設定されます):
wevtutil sl "Application" /ms:200000000
または、PowerShell を使用して、新しい最大アプリケーション ログ ファイル サイズを設定することもできます。
Limit-Eventlog -Logname Application -MaximumSize 200MB -OverflowAction OverwriteOlder
イベント ビューア コンソールからのイベント ログ ファイル サイズの調整
最大ログ サイズを増やす最も簡単な方法は、イベント ビューア コンソールから直接行うことです。
- イベント ビューア MMC スナップインを開きます (
eventvwr.msc); - 必要なログ (セキュリティなど) を選択し、そのプロパティを開きます。
- 新しい制限を下に設定します最大ログ サイズ (KB)そして変更を保存します。
- ログ ファイルの最大サイズに達したときに実行するアクションを選択することもできます。必要に応じてイベントを上書きします (最も古いイベントから順に)。このモードはデフォルトで使用され、新しいイベントが古いイベントを単純に上書きすることを意味します。
ログがいっぱいになったらアーカイブし、イベントを上書きしないでください– 現在のイベント ログは次の場所にアーカイブされます。System32WinevtLogsフォルダーがいっぱいになると、新しいイベントが新しい EVTX ファイルに書き込まれます。イベント ビューアの [保存されたログを開く] メニューからアーカイブされたイベント ファイルにアクセスできます。
イベントを上書きしない(ログを手動でクリア)– 古いイベントが上書きされないようにするには、このオプションを有効にします。新しいイベントを書き込むには、ログを手動でクリアする必要があることに注意してください。
GPO を使用して Windows イベント ログ ファイルのサイズを増やす
グループ ポリシーを使用すると、Active Directory ドメイン内のコンピューターまたはサーバー上のイベント ログ ファイルのサイズを一元管理できます。
- グループ ポリシー管理スナップインを実行します (
gpmc.msc)、新しい GPO を作成し、イベント ビューアー設定を変更するコンピューターまたはサーバーを含む組織単位にリンクします (GPO をドメイン ルートにリンクすることもできます)。 - 次の GPO セクションに移動しますコンピュータの構成->ポリシー->管理用テンプレート->Windows コンポーネンnts ->イベントログサービス。このディレクトリには、基本的な Windows ログを管理するためのノードが含まれています。
Application Security Setup System
- ログの最大サイズを増やすには、最大ログ ファイル サイズ (KB) を指定します。オプションを選択して有効にし、必要なサイズを設定します
; - クライアントのグループ ポリシー設定を更新し、新しい最大ログ ファイルがログ プロパティで指定されていること、およびそれを変更できないことを確認します。別のサイズを設定しようとすると、エラーが表示されます。
Event Viewer The Maximum Log Size specified is not valid. It is too large or too small. The Maximum Log Size will be set to the following: 61440 KB
Active Directory ドメイン コントローラーの最大セキュリティ ログ サイズを増やすと、次のことが可能になります。
- ユーザーのドメイン ログイン履歴を保存し、特定の Windows ホストへのログオン試行の成功/失敗を表示します。
- AD でユーザー アカウント ロックアウトの原因を見つけます。
- AD でユーザーを作成したユーザーを特定し、ユーザーのパスワードをリセットしたり、特定のセキュリティ グループのメンバーシップを変更したりできます。
上記の GPO セクションには、他のイベント ログのオプションは含まれていません。アプリケーションとサービスのログ -> Microsoft。別のイベント ログ (標準イベント ログ以外) のサイズを増やす必要がある場合は、レジストリを使用して行うことができます。 Windows イベント ログ設定は、HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventLog に保存されます。<log_name>レジストリキー。最大ログ ファイル サイズは、最大サイズパラメータ(REG_DWORD型)。グループ ポリシーの基本設定を使用して、ドメイン コンピューター上のカスタム イベント ログの MaxSize パラメーターのレジストリ値を構成できます。
GPO を使用してレジストリ キーと設定を構成する方法について説明します。
この例では、ディレクトリサービスドメイン コントローラーにログオンします。このログの設定は、次のレジストリ キー HKLMSYSTEMCurrentControlSetServicesEventLogDirectory Service に保存されます。
- GPO を開いて、次の場所に移動します。コンピュータの構成->設定->Windowsの設定->レジストリ;
- 選択新しい->レジストリ項目;
- 次の設定で新しいレジストリ パラメータを作成します。
Hive: HKEY_LOCAL_MACHINE Key path: SYSTEMCurrentControlSetServicesEventLogDirectory Service Value name: MaxSize Value type: REG_DWORD Value data: 52428800 (the maximum file size is given in bytes. In our example it is 50 MB.)
たとえば、RDS ホストへのリモート デスクトップ接続の履歴を含むログを長期間保存したい場合は、ファイルのサイズを増やす必要があります。ターミナルサービス-RemoteConnectionManagerログ。
Windows イベント ログのサイズを増やすことにより、長期間にわたってより多くの情報を取得できます。たとえば、イベント ログを使用して Windows の再起動履歴を取得したり、共有ネットワーク フォルダーからファイルを削除したユーザーや NTFS アクセス許可を変更したユーザーを確認したりできます。
