TEMTECOMAI ORTHOSTATIC HYPOTENSION

元ダメプログラマで現ダメ中間管理職の駄文

January 2011

まぁひょんな事から各種ログの監視をせにゃならなくなったわけです。
イベントログを分析するなら Log Parser ちう便利なツールがあるわけですが、セキュリティのイベントは流れが速いため、Windows に直接問いかけても間に合わないわけです。
てことで、Windows Server 側の設定でイベントログを外部ファイルに定期保存するように設定し、evtx ファイルを外部ツールでゴニョゴニョしようじゃないかって事になりました。
ちなみにゴニョゴニョする外部ツールってのは、Windows Server 2008 64bit か、Windows 7 64bit 上で稼働させる SQL Server 2008 でございます。

ここで重要なことがひとつ。
Windows Server 2003 や Windows XP までは、イベントログを外部保存しようとすると *.evt てファイルだったんですが、Windows Server 2008, Vista, 7 からは *.evtx ていうファイルになります。
ログを吐き出す側は新旧サーバーが混在しているので、集まってくるファイルは evt も evtx もあります。
イベントログ飛ばしをして 1つのサーバーから吐き出せば統一できるんでしょうが、今回はそこまではしません。このまま何とかします。

[evt やら evtx ファイル] → [Windows 7 上の LogParser で Windows 7 上の SQL Server にインポート] てなことがやりたい。
LogParser 2.2 は Windows 7 でもちゃんとインストールでき、稼働テストも OK でした。
ところが Windows 7 上で動かした LogParser は *.evt ファイルを読み込めないみたいなんですわ。
逆に *.evtx ファイルなら読み込める。
つーことで *.evt ファイルは *.evtx ファイルに変換しなきゃならないわけです。
これには wevtutil というツールを使います。
ここの情報によるとコマンドラインで
wevtutil epl e:\hoge.evt e:\hoge.evtx /lf:true
とかやるとのこと。
これで無事に *.evtx ファイルが生成された。

次にこの *.evtx ファイルを SQL Server にインポートする。

とりあえず SQL Server 上に適当な DB を作成する。
テーブルを作っていない状態でコマンドラインから
logparser "SELECT * INTO tabelName FROM e:\hoge.evtx" -i:evt -o:sql -driver:"SQL SERVER" -server:serverName -database:dbName -username:username -password:password -createtable:true
と打ちます。
e:\hoge.evtx ファイルをイベントログ形式で読み込み、指定したサーバーの指定した DB の、SQL 内で指定したテーブルに、指定したユーザーとパスワードでログインしてインポートします。
当然ながらこの時点でテーブルは存在しませんが、-createTabel:True とすることで自動的にテーブルを作成してくれます。

まぁ毎回これを打ち込むのは面倒でしょうから DSN を作っておくと良いかと思います。
DSN の設定で、DB へのログイン方法は Windows 統合認証にしておくと更に楽になる。ただし実際に Windows ユーザーが DB にログオンできるよう、DB 側でログオン ユーザーを作成し、Windows ユーザー アカウントやグループ アカウントをマッピングしておく必要があります。
DSN を作る際にもうひとつ重要な注意点。
64bit Windows には 64bit版と 32bit版の ODBC データ ソース アドミニストレーターがあり、管理ツールから呼び出すのは 64bit版です。
64bit版で作った DSN は logparser で使用できないので、SysWOW64 フォルダにある odbcad32.exe を使って DSN を作る必要があります。
Access の DB に接続するツールを作るときなんかも注意が必要ですね。

んでコマンドラインがこんな感じにシンプルになります。
logparser "SELECT * INTO tabelName FROM e:\hoge.evtx" -i:evt -o:sql -dsn:"LogDB"

あとは必要な evtx ファイルを読み込んで、別に作成したフロント ツールからデータを分析すれば OK って感じです。

ソフトバンクからアンケートの電話がかかってきて、その数日後に fon Wi-Fi ルーターが送られてきた。
んで iPhone から使えるようにとセットアップをしているんだが、いっこうにつながらない。
my place の設定はできたんだが、FON_FREE_INTERNET ちうアクセスポイントを選択してもログイン画面が一向に出てこない。
もう何度りせっとしたことか。
fon ルーターってぶん投げるのにちょうどいい握り具合だなと思った。

↑このページのトップヘ