2008年08月01日

PC未解決事1-イベントログ

◆イベントログ(特にWinXPシステムログが多い)をエラーだけにする方法はないだろうか?
◆Event Logサービスを無効停止すると出ないが、Windows Updateが出来なくなる
◆下記レジストリのMaxSizeを8(KB)にしたが実質減らなかった
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\System
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System--自動追従
----------------------------------
◆WinXPシステムログを減らす方法発見
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Systemを削除。必要なものは復元されるみたい。
◆WinXPproのセキュリティログは[成功の監査]1つなのにhomeでは山ほど出てくる。いろいろ試みたが未解決
-----------------------------------------------
◆方法1---イベントログを壊す
例えばC:\WINDOWS\system32\configのAppevent.evt,Secevent.evt,Sysevent.evtを[読み取り専用]にするとイベントログは書き込まれない。
手動Updateは問題なさそう。
Windows XP Home Edition : 壊れたイベント ログ ファイルの修正
http://www.microsoft.com/japan/windowsxp/home/using/tips/maintain/logfilesbad.mspx
 壊れているログ ファイル群−−Appevent.evt、Secevent.evt、および Sysevent.evt−−を %SystemRoot%\System32\Config (またはこれらのファイルの格納場所) から削除します。
イベント ログ サービスを実行中は、ログ ファイルの削除や名前の変更を行えません。
-------------------------------------------------
◆方法2---サービス[IPSEC Services]を無効にする
イベントログが少し減る。
IPSec トラブルシューティング ツール
http://technet2.microsoft.com/WindowsServer/ja/Library/ebcbc96d-b236-401d-a98b-91c965a3d18f1041.mspx?mfr=true
 Windows XP Home Edition を実行しているコンピュータで監査ポリシーを構成することはできません。ただし、ローカル コンピュータのログオン イベントの監査の監査ポリシーとポリシーの変更の監査の監査ポリシーに対する成功の監査と失敗の監査は既定により有効になっています。
セキュリティ ログ内の監査またはシステム ログ内の IPSec ドライバ診断を有効にすると、ログがイベントですぐにいっぱいになってしまう場合があります。
-------------------------------------------------------
◆方法3---サービス[Event Log]を無効にしても手動Updateはできた。
自動Updateは未確認(自動で出来なくとも支障はない)
自動更新では下記を選択した時のみ通知されるが、ダウンロードは出来ない様である。
[更新を通知するのみで、自動的なダウンロードまたはインストールを実行しない]
07/04/04の緊急パッチでは、なぜか自動Updateできた。
07/04/11の修正パッチでも、なぜか自動Updateできた。
注)eventlogを無効停止するとupdate出来ないと思っていたができた。
但し、無効にすると起動が遅くなる
-------------------------------------------------------
◆方法4--2008/03でのベスト
Appevent.evt,Sysevent.evtを[読み取り専用]にする。Secevent.evtは何もしない。
(このパターンの記録が一番少ない、下記5件@XPpr)
但しPrefetchディスクレイアウト、起動高速化BootVisは出来ない
8:42:43 Tcpip 4201 (ネットワーク アダプタ上での通常の運用が開始
8:42:23 Tcpip6 3100 (IPv6 を実行するコンピュータが起動
8:42:32 EventLog 6005 (起動時に、Event Log サービスがスタート
8:42:32 EventLog 6009 (ブート時ごとに記録され、システム情報を示す
1:35:40 EventLog 6006 (正常なシャットダウン
成功の監査 --- Security

追記)WinXPhomeの場合
Appevent.evt,Secevent.evt,Sysevent.evt全てを[読み取り専用]にする。
アプリケーション 2個、セキュリティ 49個、システム 12個、計63個が
アプリケーション、セキュリティ、システムとも共通で60個になる。余り減らない。
イベント消去は何れでも良い。
-----------------------------------------------------
◆方法5--2010/04でのベスト
デフォルトで使い、イベントログの自動クリアを作る。詳細は下記
イベントログの自動クリア http://tamba-yu.269g.net/article/15350542.html
-----------------------------------------------------

Syslog談話室 イベントログ説明
http://www.jtc-i.co.jp/syslogroom/sr100-eventlog.htm
@IT BOOK:サーバー管理者のためのイベントログ運用の基本 第3章 イベントログとは?
http://www.atmarkit.co.jp/fwin2k/bookpreview/eventlog01/eventlog01_01.html
@IT BOOK:サーバー管理者のためのイベントログ運用の基本 第7章 OS関連のイベント
http://www.atmarkit.co.jp/fwin2k/bookpreview/eventlog02/eventlog02_01.html

[PC未解決事1]---rev2008/08 rev2010/04
調べても解決出来なかった事をメモ書きします。
わかる方はコメントお願いします。
posted by 丹波yu at 00:00 | PC未解決事 | このブログの読者になる | 更新情報をチェックする
×

この広告は180日以上新しい記事の投稿がないブログに表示されております。