• 締切済み

Windowsのイベントをsyslogサーバに転送

WindowsServer2022のイベントビューアのデータをLinuxのsyslogサーバに転送したいです。 以下の方法で実施しました。WindowsServer4台分のログを送付したいです。 1.NXlogをダウンロードし、インストール NXlogを公式サイトよりダウンロードし、WindowsServer2022にインストールしました。公式サイトは以下で、 https://nxlog.co/downloads/nxlog-ce#nxlog-community-edition ダウンロードしたものはこちらになります。 Windows x86-64nxlog-ce-3.2.2329.msi 2.nxlog.confの修正 以下のサイトを参考に、C:\Program Files (x86)\nxlog\conf\nxlog.confの内容を以下のIPの部分だけ修正しました。 XXXの部分はsyslogサーバのIPアドレスが入ります。 参考サイト:https://qiita.com/dan-go/items/d7d525ec44cff939c2d4 ------------------------------------------------------------ <Output out> Module om_udp Host XXX.XXX.XXX.XXX Port 514 </Output> ------------------------------------------------------------ 3.syslogサーバのフォルダ作成 syslogサーバの/data/log/配下にwindowsフォルダを作成しました。 4.Linuxサーバの/etc/rsyslog.confの追記 以下を追記しました。 ------------------------------------------------------------ ## Remote host logging :fromhost-ip, isequal, "XXX.XXX.XXX.XXX" /data/log/windows/event.log & stop ------------------------------------------------------------ →他に3台設定します。XXXは転送したいWindowsServerのIPアドレスが入ります。 5.WindowsServerのファイアウォールの送信の規則でTCPとUDPの514の許可をしました。 6.以下の様にWindowsServerのシステムを再起動しました。 C:\Users\Administrator>sc stop nxlog SERVICE_NAME: nxlog TYPE : 10 WIN32_OWN_PROCESS STATE : 1 STOPPED WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 C:\Users\Administrator>sc start nxlog SERVICE_NAME: nxlog TYPE : 10 WIN32_OWN_PROCESS STATE : 2 START_PENDING (NOT_STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x7d0 PID : 7772 FLAGS : 7.Linux上で以下のコマンドでシステムを再起動しました。 systemctl restart rsyslog この手順でA、B、C、Dサーバのうち、A、Bサーバは手順1でNXlogをC:\Program Files (x86)にインストールし、ログの転送が出来ました。 ただ、CサーバはなぜかC:\Program Filesにインストールしてログの転送ができてしまいました。 DサーバはC:\Program Files (x86)でも、C:\Program Filesにインストールしてもログの転送ができません。 元々デフォルトのままインストールするとC:\Program Filesにインストールされてしまい、インストールが上手くいったりいかなかったりで、Cサーバは何度かやり直して設定出来てしまいまった経緯があります。 この設定で良いのかと、Dサーバの設定で見直す箇所などがあれば教えてください。

みんなの回答

回答No.1

あなたのWindows ServerのイベントログをLinuxのsyslogサーバに転送するための手順は基本的に適切に実施されているようです。ただし、CサーバとDサーバに関して問題が生じていることから、いくつか点検すべきポイントがあります。 まず、Cサーバでインストールパスが異なる場合、NXLogが32ビット版か64ビット版かによってインストールディレクトリが異なることがあります。また、Windowsの設定によっては、特定のディレクトリに書き込むための権限が影響している可能性も考えられます。これが原因でインストール先が異なってしまうケースや正常に動作しないケースも考えられるので、権限の設定やアカウントの権限レベルを確認してみると良いでしょう。 Dサーバについては、以下のポイントをチェックしてみてください。 1. NXLogのログを確認: NXLog自体がログを出力していますので、その内容を確認し、送信に失敗している原因を突き止めます。通常、NXLogのログは「C:\Program Files\nxlog\data\nxlog.log」または「C:\Program Files (x86)\nxlog\data\nxlog.log」にあります。 2. 設定ファイルを確認: nxlog.confの設定が他のサーバと完全に一致しているか再度確認してください。特に入力部分<Input>の設定も重要です。 3. ファイアーウォールの設定を確認: Windows Serverのファイアウォール設定が他のサーバと差異がないか確認してください。また、Linuxサーバ側のファイアウォールやセキュリティグループも適切に設定されているかも確認する必要があります。 4. ネットワークの確認: Dサーバからsyslogサーバへのネットワーク経由で通信できるかテストしてみてください。たとえば、telnetやncコマンドでsyslogサーバの514ポートに接続できるかを試します。 5. NXLogの再インストール: インストールが不完全であったり、ファイルが破損している可能性もあります。NXLogをアンインストールし、クリーンな状態から再度インストールを試みると良いでしょう。 これらの点を確認しながら、トラブルシューティングを行ってみてください。そうすることで、問題が解決する可能性が高まります。それでも解決しない場合は、より詳細なエラーメッセージやログ出力を元に、NXLogのコミュニティサポートやフォーラムで助言を求めることも考えてみてください。 ------ こちらの回答はAIエージェント「あい」による自動投稿です。 OKWAVEのAIに対する取り組みについてはこちらをご確認ください。 https://staffblog.okwave.jp/2023/06/07/10415/

  1. カテゴリ
  2. [技術者向] コンピューター
  3. OS(技術者向け)
  4. Linux系OS

関連するQ&A

  • SYSLOGサーバーって

    小さいながらもネットワークにファイアオール(FW)があります。FWでログを管理したいのですが、メモリが小さいので10時間程度しか保存できません。そこでSYSLOGサーバーを構築してFWからサーバーへログを転送したいのですがSYSLOGサーバーはどのように作成したらよいのでしょうか?当方サーバーは2000と2003があります よろしくお願いします

  • syslogについて…

    初めて質問します。 簡単な事なのかもしれませんが、よく分からずに困っています。私自身が良く分かっていないため、質問内容が的を得ていないかもしれませんが、もしご存知であれば是非御回答いただけたらと思います。 現在、syslog-serverを使うようにclient-PC1台が設定されていています。 ここにclient-PC1台を増やしたいのですが、syslog.confの設定が良く分かりません。 今まで使っていたclient-PC側のsyslog.confには、user.xxxは@loghostに上げるように設定されており、syslog-server側のsyslog.confにはuser.xxxは/フォルダ/ファイルとされていました。 それで、もう一台client-PC1台を増やしたときに、両client-PCからのsyslogが同じファイルに保存される事になっては困るので、client-PC側のsyslog.confにあるuser.xxxの名前をuserooo.xxxと変更したところsyslogが上がらなくなってしまいました。(名前の変更はいろいろと試してみました…) 結局、私が質問したいのは次の一点です。 2台のclient-PCから上げられるsyslogをそれぞれのファイルに保存できるようにするにはどのように設定したらよいのでしょうか? ご回答のほどよろしくお願いします。

  • Solaris 10のsyslog転送

    Solaris 10のsyslogをSyslog監視サーバへ転送をおこなうために次の設定を施しました。 /etc/hostsに aaa.aaa.aaa.aaa serv00 svhost00 を追加 /etc/inet/ipnodesに aaa.aaa.aaa.aaa serv00 svhost00 /etc/syslog.confに *.* @serv00 を追加し、 syslogdを再起動しました。 svcadm refresh system/system-log LinuxやWindows(NTsyslog)では正常にsyslog(イベントログ)がSyslog監視サーバへ 転送されていますが、Solarisだけはうまくいきません。  何卒宜しくお願い致します。

  • Syslogサーバ設定について

    複数のネットワーク機器のsyslogを一つのsyslogサーバで受信可能でしょうか? Syslogサーバ OS:CentOS 5.4 現在、一つのスイッチのsyslog転送先として正常に動作しています。 二つ目のスイッチを同じsyslogサーバに転送すると一つのsyslogファイルが 二つのスイッチのログが書き込まれてしまいます。 この現象を回避できる方法を探しています。 宜しくお願いします。

  • LINUXのsyslog.conf

    現在LINUXサーバーをログ収集サーバーとして運用をしようと しているのですが、うまく外部からのsyslogを受け取ってくれません (OSをFreeBSDにするとうまくいきます) なにかsyslog.confに追記しないといけないのでしょうか? よろしくお願いします。 サーバーOS:RedHatLinux7.0J クライアント側syslog.confに「*.debug @servername」と 記述しています。

  • Aixのsyslogログローテーションについて

    AIX ver5.3においてsyslogのログローテーションが1w(週)に設定されていたものを 1m(月)に変更しましたが、月が替わってもログローテーションが実行されません。 手順やsyslog.confの記述に問題があるのでしょうか。 手順は以下のとおりです。 (1)#stopsrc -s syslogd (2)/etc/syslog.conf の編集 <変更前> *.notice /var/adm/syslog/syslog.log rotate time 1w files 10 <変更後> *.notice /var/adm/syslog/syslog.log rotate time 1m files 12 (3)#startsrc -s syslogd (4)#lssrc -g ras Subsystem Group PID Status syslogd ras xxxxx 活動状態 (5)%su - root syslog にsu結果が追記された事を確認しsyslogdの動作はOK syslog.confの編集とsyslogdの再起動を11/26に行い、12/1にログローテーションが 行われなかったので12/1に #refresh -s syslogd にてリフレッシュをかけました。

  • LINUXのsyslog.conf2

    またまたお願いします。 RedHat7.0Jでサーバーを立てて ftpサーバーにしています。 (wu-ftpd) クライアントからサーバーに向けて15秒おきに ftpを行いファイルをアップロードしています。 その際にその都度/var/log/messagesにログがあがってきます。 /etc/syslog.confにどのような記述をすればfptdのsyslogだけ 止めれるのでしょうか?よろしくお願いします。 またLINUXの本でこれを見ればほとんどOKみたいな本もあれば かさねて教えてください。

  • SolarisからSyslogを転送する設定(初心者)

    質問1 514ポート(UDP)を使用して、全てのSyslogを転送する設定をしたいのですが、例えば転送先のIPアドレスを[192.168.123.123]とした場合、syslog.confにどのような形式で書き込めば良いのでしょうか 宜しくお願いします。 [syslog.conf 設定内容(後半)] user.err     /var/adm/messages user.alert     `root, operator' user.emerg     * ) *.emerg;*.info;*.err;*.warning;*.debug;*.crit;*.alert;*.notice @loghost auth.notice /var/log/authlog 質問2 上記の設定をする前に、/etc/hostsに[192.168.123.123 loghost]と指定する必要がありますが、 既に[192.168.234.234 loghost]と書き込まれています。 [192.168.123.123 loghost]を新たに追加しても問題はないでしょうか 宜しくお願いします。 ※参考にしたホームページ http://www.atmarkit.co.jp/fsecurity/rensai/unix_sec08/unix_sec01.html

  • Sys::Syslogモジュールでsyslogを出力したい

    以下の様なスクリプトでsyslogを出力したいのですが、出力することができません。どなたかご教授ください。 環境は vine2.6r4 perl5.6.1 で、/etc/syslog.confにlocal4.* /var/log/hoge.logを追加後、syslogdを再起動しました。 プログラムを実行するとhoge.logファイルは出力されます。 また、logger -p local4.err messageでhoge.logにmessageが出力されることも確認済みです。 ------------- #!/usr/bin/perl -w use strict; use Sys::Syslog qw(:DEFAULT setlogsock); # 実行ファイル名の取得 my ($prog_name) = $0; $prog_name =~ s/(.*)\/(.*)/$2/; # Sys::Syslogモジュールの引数 my($ident, $logopt, $facility); my($ident) = $prog_name; my($logopt) = 'ndelay'; my($facility) = 'local4'; # 処理開始 &put_syslog("info", "process start."); sub put_syslog { my($priority, $msg) = @_; openlog($ident, $logopt, $facility) || die "put_syslog: can't open syslog\n"; syslog($priority, $msg); closelog(); }

    • ベストアンサー
    • Perl
  • syslogからログが出力されなくなりました。

    こんにちは。 昨日よりログの出力が一切されなくなりました。 以下の状況です。 OS:Redhat ES4 カーネル:2.6.9-11 /etc/syslog.conf(デフォルトのまま) *.info;mail.none;・・・ /var/log/messages syslogデーモンの状況 psでの結果 syslogd -m 0 syslog以外のアプリケーションが出力しているログは 各ログに出力されています。 messages以外に、cron、secureなどsyslogが担当しているログが全て出力されません。 ログローテーションは使用しており、指定した日時に0バイトのままローテーションされています。 わかる方お願いします。

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する