5.13.2 Windowsイベントログに出力される監査ログの収集をやめる
特定のWindowsイベントログの収集をやめる場合と,すべてのWindowsイベントログの収集をやめる場合に分けて,説明します。
(1) 特定のWindowsイベントログの収集をやめる場合
まず,監査ログ管理サーバで監査ログ収集対象を解除し,次に,監査ログ収集対象サーバでイベントログトラップ機能を解除します。
(a) 監査ログ管理サーバでの作業
監査ログ収集マネージャで,監査ログ収集対象を解除します。この作業の詳細については「5.13.1 ファイルに出力される監査ログの収集をやめる」を参照してください。
(b) 監査ログ収集対象サーバでの作業
イベントログトラップ機能を解除してください。手順を次に示します。
-
WindowsイベントログをJP1/Audit Management - Managerの監査ログとして出力するための設定を解除する。
「5.4.3(1) JP1/Audit Management - Managerの監査ログとして出力するための設定」を参照し,その作業で設定した内容を解除します。
-
JP1/Baseの転送設定ファイル(forward)を編集し,監査ログ専用イベントデータベースへの転送を解除する。
「5.4.3(4) イベントログトラップ機能の転送設定ファイル(forwardファイル)を編集する」を参照し,その作業で設定した内容から不要な定義を削除します。
-
設定を反映するため,転送設定ファイル(forward)をリロードする,または,JP1/Baseのイベントサービスを再起動する。
-
JP1/Baseの動作定義ファイル(ntevent.conf)を編集し,WindowsイベントログをJP1/Audit Management - Managerの監査ログとして収集する定義を削除する。
「5.4.3(2) JP1/Baseの動作定義ファイル(ntevent.conf)を編集する」を参照し,その作業で設定した内容から不要な定義を削除します。
-
設定を反映するため,動作定義ファイル(ntevent.conf)をリロードする,または,JP1/Baseのイベントログトラップサービスを再起動する。
(2) すべてのWindowsイベントログの収集をやめる場合
まず,監査ログ管理サーバで監査ログ収集対象を解除し,次に,監査ログ収集対象サーバでイベントログトラップ機能を解除します。監査ログ収集対象を解除する手順は「(1) 特定のWindowsイベントログの収集をやめる場合」と同様ですが,イベントログトラップ機能を解除する手順が異なります。
- 注意事項
-
この作業ではイベントサービスを再起動するため,その間イベントログトラップサービスを停止させる必要があります。作業中はイベントログトラップ機能を使用できません。
(a) 監査ログ管理サーバでの作業
監査ログ収集マネージャで,監査ログ収集対象を解除します。この作業の詳細については「5.13.1 ファイルに出力される監査ログの収集をやめる」を参照してください。
(b) 監査ログ収集対象サーバでの作業
イベントログトラップ機能を解除してください。手順を次に示します。
-
WindowsイベントログをJP1/Audit Management - Managerの監査ログとして出力するための設定を解除する。
「5.4.3(1) JP1/Audit Management - Managerの監査ログとして出力するための設定」を参照し,その作業で設定した内容を解除します。
-
JP1/Baseのイベントログトラップ機能が起動している場合は,この機能を停止させる。
-
JP1/Baseの動作定義ファイル(ntevent.conf)を編集し,イベントログトラップ機能の動作環境を解除する。
「5.4.3(2) JP1/Baseの動作定義ファイル(ntevent.conf)を編集する」を参照し,その作業で追加した定義を削除します。
-
JP1/Baseのイベントサーバ設定ファイル(conf)を編集し,監査ログ専用イベントサーバのremote-serverパラメーターを削除する。
「5.4.3(3) イベントログトラップ機能のイベントサーバ設定ファイル(confファイル)を編集する」を参照し,その作業で追加した定義を削除します。
-
JP1/Baseの転送設定ファイル(forward)を編集し,監査ログ専用イベントデータベースへの転送を解除する。
「5.4.3(4) イベントログトラップ機能の転送設定ファイル(forwardファイル)を編集する」を参照し,その作業で設定した内容から不要な定義を削除します。
-
設定を反映するため,イベントサービスを再起動する。
JP1/Base Eventサービスを再起動します。
-
イベントログトラップ機能を引き続き使用する場合は,JP1/Baseのイベントログトラップサービスを再起動する。イベントログトラップ機能を使用しない場合は,起動順序定義ファイルを編集し,自動的に起動しないように設定する。