Windowsのイベントビュアーを監視する

windowsserver

systemmanagemant

Linuxでログをリアルタイムに監視する簡単な方法といえばswatch^*1あたりを使うというのがすぐに思いつきますが、ちょっとわけあってWindowsイベントビュアーのエントリをリアルタイム監視する必要があったので、いろいろと調べてみました。

† 最も低レベルな方法はeventtriggers？

「＠IT：Security Tips イベントログの自動監視とコマンドの自動実行」によると、eventtriggersというコマンドを使えば、イベントビュアーに特定のイベントがあった場合に任意のスクリプトを実行することができるようなのですが、ちょっと機能がなさすぎで、通知部分をすべて自分で作らなくてはならないので、これを使うことはやめました。

† どうやらツールはいろいろあるらしい

いろいろ調べてみるとイベントビュアーの変化をフックして、通知を行ってくれるツールはたくさん存在するようです。今回はHealthMonitorというツールを使って通知することにしました。ちょっとよくわかりませんが、Ver.3 まではSource Forgeでオープンソースによる開発が行われていたようです。今回使ったVer. 5はソースがクローズドになっている商用のプロダクトになっているようです。

インストール自体はインストーラーで一撃でインストールできます。後はメールサーバーの設定と、イベントログの監視方法をセットすればOKです。（このあたりは後で詳しく書くかもしれません。）

† イベントビュアーに任意のイベントを追加するには

本当に監視が行われているかどうかの確認をするには擬似的にイベントを起こす必要があります。

「＠IT：Windows TIPS -- Tips：イベント・ログに任意の文字列を出力する」によるとWindows XP, Windows Server2003以降ではeventcreateというコマンドを使うことに任意のイベントを登録することが出来るようです。

eventcreate /ID 100 /L system /SO Cmd /T Information /D "テストメッセージ"

今回は運悪く対象のマシンがWindows2000だったので、eventcreate存在していなかったので、Eventloggerというツールでしのぎました。こちらはGUIベースのツールなので簡単にイベントを追加することができます。

今回はメールがちゃんと飛ぶようになったので、簡易的な監視としては十分です。