2.4.9 Windowsのイベントログを変換する
WindowsのイベントログをJP1イベントに変換してイベントDBに登録する流れを次の図に示します。
イベントログトラップを使用するには,イベントログトラップ動作定義ファイル(ntevent.conf)を作成し,JP1イベントに変換したいログデータの条件を指定します。イベントサービス,イベントログトラップサービスの順番でサービスが起動すると,イベントログトラップが生成され,イベントログを監視します。監視条件に一致するイベントログがあると,JP1イベントに変換してイベントDBに登録します。変換されたJP1イベントのイベントIDは,00003A71です。重大度は,変換前のイベントログの種類に対応しています。
イベントサービスは,システムの起動時に自動的に起動するように初期設定されていますが,イベントログトラップサービスは自動で起動しません。イベントログトラップサービスを自動起動および自動終了したい場合は,起動管理を使用して,イベントサービスが起動したあとにイベントログトラップサービスが起動するように設定してください。
イベントログトラップでは,JP1イベントとして登録できるメッセージは1,023バイトまでです。JP1イベントに変換するメッセージが1,023バイトを超えた場合,1,023バイト以降のメッセージを切り捨てます。JP1イベントの属性については,「17.3.1(25) イベントID:00003A71の詳細」を参照してください。