CiAのファイルアクセス一覧画面で、システムログは表示されますが、イベントログが表示されないのですが?
回答
CiAで取得しているログには「イベントログ」と「システムログ」の2種類があり、特性が異なります。
・イベントログ・・・ファイルアクセス一覧の結果画面で初期表示されるログ。
CiAではWindowsセキュリティログを基に反映。
システムログより情報量が多いが、システムにおいてWindowsイベントログが正常に取得できている必要がある。
アクセス種別では「管理者による操作」及び「リモート」が該当。
・システムログ・・・ファイルアクセス一覧の「システムログを表示する」にチェックを入れた場合に表示されるログ。
CiAエージェントにより独自に取得。
イベントログに比べ情報量は減るが、何らかの要因でWindowsイベントログが取得できない状況でもログが記録されるため補完的な役割を担う。
アクセス種別は「システムログ」と表示される。
上記の特性から、イベントログが表示されないケースではWindowsセキュリティログから情報を反映できていないことが考えらます。
監査対象ファイルサーバで以下をご確認ください。
1.監査対象フォルダに監査エントリがあることを確認:
対象フォルダに監査エントリ(OSによる設定)が正しく存在しない場合、ファイル操作がWindowsイベントログとして上がりません。
≪手順≫
監査対象フォルダをエクスプローラ上で右クリック →プロパティ →セキュリティタブ-詳細設定 →監査タブで「Everyone/特殊/継承なし」の監査エントリが存在することを確認します。
2.Windowsイベントログの設定を確認:
CiAで反映元とするWindowsセキュリティログ(OS上でのログ)の設定に問題がないかを確認します。
≪手順≫
監査対象サーバで コントロールパネル →管理ツール →イベントビューアから、「セキュリティ」を右クリックしてプロパティ内のログサイズ設定を確認します。
・最大ログサイズの値を大きく設定します。
※ログサイズが小さい設定になった状態で多量のログが短時間で上がった場合、CiAに反映される前に上書きされてしまう可能性があります。(ログ漏れ)
・「必要に応じてイベントを上書きする」を指定します。
※ログサイズが一杯になった際に、上書きが許可されていないとそれ以上のログ取得が行えません。(ログ追記不可)
3.ログの消去およびCiAエージェントの再起動(V1.2以前の場合):
一度動作をリフレッシュするためにエージェントサービスを再起動します。
≪手順≫
前述2.のプロパティ画面で「ログの消去」をクリックして、一度全てのログを削除した後、CiAエージェントのサービスを再起動します。
※ログは必要に応じて削除前にバックアップを行ってください。
サービス再起動は、コントロールパネル →管理ツール →サービス →「CiA Agent Service」を右クリック →再起動 で行えます。
その後、イベントログが取得できるかご確認ください。
