5.13.2  Windowsイベントログに出力される監査ログの収集をやめる

特定のWindowsイベントログの収集をやめる場合と,すべてのWindowsイベントログの収集をやめる場合に分けて,説明します。

<この項の構成>
(1) 特定のWindowsイベントログの収集をやめる場合
(2) すべてのWindowsイベントログの収集をやめる場合

(1) 特定のWindowsイベントログの収集をやめる場合

まず,監査ログ管理サーバで監査ログ収集対象を削除し,次に,監査ログ収集対象サーバでイベントログトラップ機能を解除します。

(a) 監査ログ管理サーバでの作業

監査ログ収集マネージャで,監査ログ収集対象を削除します。この作業の詳細については「5.13.1 ファイルに出力される監査ログの収集をやめる」を参照してください。

(b) 監査ログ収集対象サーバでの作業

イベントログトラップ機能を解除してください。手順を次に示します。

  1. WindowsイベントログをJP1/NETM/Audit - Managerの監査ログとして出力するための設定を解除する。
    5.4.3(1) JP1/NETM/Audit - Managerの監査ログとして出力するための設定」を参照し,その作業で設定した内容を解除します。
  2. JP1/Baseの転送設定ファイル(forward)を編集し,監査ログ専用イベントデータベースへの転送を解除する。
    5.4.3(4) イベントログトラップ機能の転送設定ファイル(forwardファイル)を編集する」を参照し,その作業で設定した内容から不要な定義を削除します。
  3. 設定を反映するため,転送設定ファイル(forward)をリロードする,または,JP1/Baseのイベントサービスを再起動する。
  4. JP1/Baseの動作定義ファイル(ntevent.conf)を編集し,WindowsイベントログをJP1/NETM/Audit - Managerの監査ログとして収集する定義を削除する。
    5.4.3(2) JP1/Baseの動作定義ファイル(ntevent.conf)を編集する」を参照し,その作業で設定した内容から不要な定義を削除します。
  5. 設定を反映するため,動作定義ファイル(ntevent.conf)をリロードする,または,JP1/Baseのイベントログトラップサービスを再起動する。

(2) すべてのWindowsイベントログの収集をやめる場合

まず,監査ログ管理サーバで監査ログ収集対象を削除し,次に,監査ログ収集対象サーバでイベントログトラップ機能を解除します。監査ログ収集対象を削除する手順は「(1) 特定のWindowsイベントログの収集をやめる場合」と同様ですが,イベントログトラップ機能を解除する手順が異なります。

注意事項
この作業ではイベントサービスを再起動するため,その間イベントログトラップサービスを停止させる必要があります。作業中はイベントログトラップ機能を使用できません。

(a) 監査ログ管理サーバでの作業

監査ログ収集マネージャで,監査ログ収集対象を削除します。この作業の詳細については「5.13.1 ファイルに出力される監査ログの収集をやめる」を参照してください。

(b) 監査ログ収集対象サーバでの作業

イベントログトラップ機能を解除してください。手順を次に示します。

  1. WindowsイベントログをJP1/NETM/Audit - Managerの監査ログとして出力するための設定を解除する。
    5.4.3(1) JP1/NETM/Audit - Managerの監査ログとして出力するための設定」を参照し,その作業で設定した内容を解除します。
  2. JP1/Baseのイベントログトラップ機能が起動している場合は,この機能を停止させる。
  3. JP1/Baseの動作定義ファイル(ntevent.conf)を編集し,イベントログトラップ機能の動作環境を解除する。
    5.4.3(2) JP1/Baseの動作定義ファイル(ntevent.conf)を編集する」を参照し,その作業で追加した定義を削除します。
  4. JP1/Baseのイベントサーバ設定ファイル(conf)を編集し,監査ログ専用イベントサーバのremote-sererパラメータを削除する。
    5.4.3(3) イベントログトラップ機能のイベントサーバ設定ファイル(confファイル)を編集する」を参照し,その作業で追加した定義を削除します。
  5. JP1/Baseの転送設定ファイル(forward)を編集し,監査ログ専用イベントデータベースへの転送を解除する。
    5.4.3(4) イベントログトラップ機能の転送設定ファイル(forwardファイル)を編集する」を参照し,その作業で設定した内容から不要な定義を削除します。
  6. 設定を反映するため,イベントサービスを再起動する。
    「JP1/Base Event」サービスを再起動します。
  7. イベントログトラップ機能を引き続き使用する場合は,JP1/Baseのイベントログトラップサービスを再起動する。イベントログトラップ機能を使用しない場合は,起動順序定義ファイルを編集し,自動的に起動しないように設定する。