佐藤システム設計事務所 Win-EventLogTool: Windows イベントログ・ツール
[Top]
構成と動作フロー
仕様と動作環境
ダウンロードとインストール
[表示プログラムの操作マニュアル]
監査ポリシーとフォルダの共有設定
ライセンス・レジストキーの購入申込

 「Win-EventLogTool はファイル・サーバとして使用している Windows パソコン(サーバ・パソコン) のイベントログ(ログオン/オフ と ファイル・アクセス)を取得・集計・表示する ツール・プログラム です。
 Windows のイベントログは、Windows の標準ツールの 「イベントビューア」 によって見ることができますが、多量のイベントログが 発生するため、必要なイベントログを抽出・集計して分かりやすく表示することは難しく、それを日常の管理業務で行うことは困難です。
 「Win-EventLogTool」 は簡単な操作で ログオン/オフ と ファイル・アクセス の状況をわかりやすく表示することができますので、 日常の管理業務やトラブル発生時の調査に役立てることができます。  「Win-EventLogTool」 は設定コマンドを実行するスクリプト(バッチ処理)と マイクロソフトのデータベース Access 2010 で作成された アプリケーション・ソフトウェアです。 サーバ・パソコンにインストールして使用します。 このインストール時に、動作に必要なソフトウェア (Access 2010 ランタイムなど)も同時にインストールされます。

 イベントログの取得には、マイクロソフトから提供されているツール 「LogParser 2.2」 を使用しています。 「LogParser 2.2」 によって出力されたイベント・ファイル(CSV形式のファイル)を変換して Access 2010 のデータベースに取込み、集計・表示を行います。  イベントログの取得・集計を実行するスクリプトは 「タスク・スケジューラ」 にセットされます。 それが 毎日夜間の所定時刻に実行され、 1日分のイベントログが Access 2010 データベースに書き込まれます。

 「Win-EventLogTool」 は、このページからダウンロードしてインストールすることができます。 インストールした直後は 「評価版」 の状態になっており、集計処理できるユーザ数は 5人までに制限されています。 ライセンスを購入していただき、レジストキーを登録することによって この制限を解除することができます。


[構成と動作フロー]
 「Win-EventLogTool」 は 「イベントログ取得・集計スクリプト」 と 「イベントログ表示プログラム」 および 「イベントログ・データ」 より構成されています。 「イベントログ取得・集計スクリプト」 は タスクスケジューラ に設定され、毎日夜間の所定時刻(2:00)に自動的に 実行されます。 イベントログ取得・集計が終了すると セキュリティ・イベントログ は消去されます。
 集計されるイベントの種類(イベント ID)は、 ログオン/オフ(ID:4624/4634)、ファイル・オープン(ID:4656)、ファイル・アクセス(ID:4663)、 ファイル・コピー(ID:4690)、ファイル・削除(ID:4660) です。
 CSV形式のファイルに出力された 1日分のイベントログは、Access 2010 に取り込まれて集計処理され、データベースに書き込まれます。 この集計処理では、ログをイベントの種類毎に年月日時分秒の順に並べ、同じ時刻(秒)内に発生したログは 先頭のログを残して削除する 等の処理を行います。 その結果、ログ件数は 1/10 〜 1/100 に減少します。

 「イベントログ表示プログラム」 はアプリケーション・ソフトとしてインストールされますので、デスクトップまたはスタートメニューのアイコン をクリックして起動します。

・イベント・ログ表示プログラム
 起動すると最初にメイン・メニュー画面が開きます。 表示するイベントログの年月日範囲と表示するユーザを指定して、表示したい イベントログのボタンをクリックすると、イベントログを表示する画面が開きます。





 表示されている項目を右クリックしてプルダウンメニューを開くと、ログデータの並び替え・絞り込みの設定をすることができます。 ユーザ名・ファイル名などで絞り込むことにより、表示件数が少なくなり、ログの内容を調べ易くなります。
 画面のプレビューを印刷することもできます。

Top


[仕様と動作環境]
対応OS Windows 7
Windows Server 2008 R2
Windows Server 2012
Windows Server 2012 R2
必要なソフトウェア Access 2010 ランタイム(SP2)
.NET Framework 4.0
LogParser 2.2
インストール先フォルダ ユーザ・プロファイル・フォルダにインストールされる
  C:\Users\ユーザ名\AppData\Local\Win-EventLogTool
  C:\Users\ユーザ名\AppData\Local\Win-EventLogTool_client
ハードディスク容量 イベントログ・データのための容量: 120GB
    月毎にデータ用のデータベースが作成される。  1個のデータベースは最大 2GB
     5年分のデータベースを保管すると  2GB × 12月 × 5年 = 120GB
最大ログ集計件数 各イベント(ログオン/オフ、ファイル・オープン、アクセス、コピー、削除) 毎の 1日分の最大集計件数は 約 10万件

  * Windows 7、Windows Server 2008 R2 では コピーイベント(ID:4690) は取得できません。
Top


[ダウンロードとインストール]
 サーバ・パソコンにインストールする 「Win-EventLogTool」 はこちらからダウンロードしてください。
         Win-EventLogTool_表示.zip (350MB) のダウンロード
ダウンロードしたファイルを展開して、展開先のフォルダ内の 「setup.exe」 を実行するとインストールが開始されます。 インストールの途中で 「Access 2010 ランタイム」 および 「サービスパック SP2」 がインストールされます。
「Win-EventLogTool」 を実行できるのは、インストールを実行したユーザのみです。

 インストール後に最初に起動すると 「管理者として実行してください」 と表示されますので、一度終了して、アイコンを右クリックして 「管理者として実行」 を選択して実行してください。 画面に [初期設定] ボタンが表示されますので、これをクリックして初期設定画面 を開いてください。
 「タスクスケジューラのタスク登録」 は 「イベントログ取得・集計スクリプト」 が毎日実行される時刻を設定します。 「タスク実行に使うユーザ名」 は現在ログオンしているユーザ名が表示されます。 管理者権限を持つユーザを指定する必要があります。 「パスワード」 は正確に入力してください。
「イベントビューアのセキュリティログの最大サイズ」 は 1日分のセキュリティログを収容できるサイズを設定します。
「LogParser 2.2」 がまだインストールされていなければ、インストールされます。
「.NET Framework 4.0」 がまだインストールされていなければ、インストールされます。
各項目に入力して [実行] してください。 各設定は Windows のコマンドを使用していますので、実行中はコマンド・プロンプトの画面 (背景が黒いウィンドウ) が数回開閉を繰り返します。

 「Win-EventLogTool」 はサーバ・パソコンにインストールしますが、サーバ・パソコンに接続してログオンするクライアント・パソコンに、 イベントログを表示するプログラム 「Win-EventLogTool_client」 をインストールすることができます。 こちらからダウンロードしてください。
         Win-EventLogTool_client.zip (300MB) のダウンロード
ダウンロードしたファイルを展開して、展開先のフォルダ内の 「setup.exe」 を実行するとインストールが開始されます。 インストールの途中で 「Access 2010 ランタイム」 および 「サービスパック SP2」 がインストールされます。
「Win-EventLogTool_client」 を実行できるのは、インストールを実行したユーザのみです。
Top


[監査ポリシーとフォルダ共有・監査の設定]
 Windows でイベントログを取得するための準備として、取得するイベントについて 「監査ポリシー」 で設定を行います。 また、イベントログ を取得するフォルダをファイル・サーバとして公開するために 「フォルダの共有・監査」 の設定が必要となります。
 これらの設定は 「Win-EventLogTool」 の インストール と 初期設定 ではできないので、ユーザ様に設定作業をしていただく必要があります。 管理者権限を持つユーザでサーバ・パソコンにログオンして、以下の手順で設定してください。
 なお、これらの設定はユーザ様によって異なると思いますので、ここで説明する設定方法はひとつの例としてください。
 クライアント・パソコンからログオンするユーザを管理するためのユーザーグループが作成されているとします。

・「監査ポリシー」の設定
 [スタートメニュー] → [プログラムとファイルの検索] または [ファイル名を指定して実行] → 「secpol.msc」 と入力する → 「ローカル セキュリティ ポリシー」 が開く → 「監査ポリシーの詳細な構成」 → 「システム監査ポリシー」 →
ログオン/ログオフ ログオフの監査 : 成功および失敗
ログオンの監査 : 成功および失敗
オブジェクト アクセス 詳細なファイル共有の監査 : 成功および失敗
ファイル共有の監査 : 成功および失敗
ファイルシステムの監査 : 成功および失敗
ハンドル操作の監査 : 成功および失敗

・「フォルダ共有」の設定
 [エクスプローラ] → 共有するフォルダを選択して右クリック → 「プロパティ」 →
   「共有」 → 「共有(S)」 → 作成したグループを追加して 「アクセス許可のレベル」 を 「読み取り/書込み」 に設定する
   「詳細な共有」 → 「アクセス許可」 → 作成したグループを追加して 「アクセス許可」 を 「フルコントロール」 に設定する
   「セキュリティ」 → 「編集」 → 作成したグループを追加して 「許可」 を 「フルコントロール」 に設定する

・「フォルダ監査」の設定
 [エクスプローラ] → 共有するフォルダを選択して右クリック → 「プロパティ」 →
   「セキュリティ」 → 「詳細設定」 → 「監査」 → 「続行」 → 「追加」 → 「プリンシパルの選択」 → 「詳細設定」 →
   監査の対象となるユーザーグループに 作成したグループを追加する → 追加したグループを選択して 「編集」 をクリック →
   「種類」 を 「すべて」 とする → 「高度なアクセス許可を表示する」 → 「高度なアクセス許可」 の以下の項目をチェックする
         フォルダの一覧/データの読み取り、    ファイルの作成/データの書き込み
         フォルダの作成/データの追加、    サブフォルダとファイルの削除、    削除
Top


[ライセンス・レジストキーの購入]
「Win-EventLogTool」 をインストールした直後は 「評価版」 の状態になっており、集計処理できるユーザ数は 5人までに制限されています。 ライセンスを購入していただき、レジストキーを登録することによって、この制限を解除することができます。

              [ ライセンス購入の申し込み ]

Top