2.4.9 Windowsのイベントログを変換する
WindowsのイベントログをJP1イベントに変換してイベントDBに登録する流れを次の図に示します。
|
|
![[図データ]](GRAPHICS/ZU011700.GIF)
イベントログトラップを使用するには,イベントログトラップ動作定義ファイル(ntevent.conf)を作成し,JP1イベントに変換したいログデータの条件を指定します。イベントサービス,イベントログトラップサービスの順番でサービスが起動すると,イベントログトラップが生成され,イベントログを監視します。監視条件に一致するイベントログがあると,JP1イベントに変換してイベントDBに登録します。
イベントログトラップによるJP1イベント変換時に,監視条件ごとにイベントIDと監視名を指定できます。イベントIDや監視名を指定することで,どの監視条件に一致して変換されたJP1イベントなのか判別できます。
変換されたJP1イベントの重大度は,変換前のイベントログの種類に対応しています。
イベントサービスは,システムの起動時に自動的に起動するように初期設定されていますが,イベントログトラップサービスは自動で起動しません。イベントログトラップサービスを自動起動および自動終了したい場合は,起動管理を使用して,イベントサービスが起動したあとにイベントログトラップサービスが起動するように設定してください。
イベントログトラップでは,JP1イベントとして登録できるメッセージは1,023バイトまでです。JP1イベントに変換するメッセージが1,023バイトを超えた場合,1,023バイト以降のメッセージを切り捨てます。JP1イベントの属性については,「17.3.1(26) イベントID:00003A71またはイベントログトラップ動作定義ファイルのフィルターで指定されたイベントIDの詳細」を参照してください。