イベントログをネットワークからリモートで参照する方法

Windows全般
スポンサーリンク

Windows Serverの正常性確認やトラブル調査で、「イベントビューアー」を使ってイベントログを参照するケースが多いと思います。このとき、リモートデスクトップなどでコンピューターにサインインして参照することもできます。ですが、ネットワーク越しに直接参照する方法もあります。OSにサインインせずにイベントログを参照できるので、手間を減らしたり、セキュリティ管理がしやすくなります。今回はその方法を紹介します。

なお、ここではデフォルト設定のWindows Server 2019を想定していますが、他のバージョンやWindows 10などでも、基本的には同様の操作方法となります。

事前準備(参照先)

イベントログ参照先(参照される側)のサーバーで、ファイアウォールの例外設定が必要です。スタートメニューから[Windows 管理ツール] → [セキュリティが強化された Windows Defender ファイアウォール] を選択。

開いた画面から、①左ペイン「受信の規則」を開き、②名前「リモート イベントのログ管理(RPC)」を右クリックし、③「規則の有効化」をクリックします。該当項目に緑の盾マークが表示されればOKです。

この例では、似た名前の項目「リモート イベントのログ管理 (RPC-EPMAP)」、「リモート イベントのログ管理 (NP 受信)」は、有効化せずそのままにしておきました。上図のものだけで、うまく動きますが、環境によってはこれらも有効にしたほうが良いかもしれません。

リモートでイベントログを参照する操作方法

同じネットワーク上の任意のコンピューター(参照元)で、「イベントビューアー」を起動します。左ペインのルート「イベントビューアー(ローカル)」を右クリックし、「別コンピューターへ接続」を選択します。

ダイアログで、下図のように参照したいコンピューターを指定します(例:「192.168.50.101」「server1」「server1.contoso.com」など)。「別のユーザーとして接続する」にチェックを入れて「ユーザーの設定」ボタンをクリックします。

参照先のコンピューターの資格情報を入力します。適切な権限を持つユーザー(AdministratorsもしくはEvent Log Readersグループのユーザー)を指定します。下図の例のように、{参照先コンピューター名もしくはドメイン名}\{ユーザー名}とすると良いようです。この例だと「administrator」と指定したくなります。それで通るなら良いですが、環境によっては「アクセスが拒否されました」となったりします。

下図のような指定になるので、「OK」ボタンをクリックします。

対象のイベントログが表示されます。ぱっと見分かりにくいですが、下図の赤枠の部分がリモートコンピューターの名前になっています。後は、通常と同じようにイベントを参照します。

以上で解説は終わりです。

おまけ:イベントログ参照用のユーザーを作る

上の例では、資格情報にadministratorを指定しました。しかし、もし限られた権限のみを持つ運用オペレーターが操作するシーンでは適切ではないでしょう。

その場合は、イベントログ参照用のユーザーを用意しておくとよいと思います。具体的な例として、参照される側のサーバーに「operator1」というローカルユーザーを作成し、所属グループは「Users」と「Event Log Readers」のみにします。運用オペレーターが操作するときは、このユーザーを使うようにします。こうすることで、運用オペレーターにサーバーの管理権限を持たせずに、イベントログの参照をさせることができます。

(実機にサインインさせたくない場合は、ローカルポリシーエディターで「ローカルでログオンを拒否する」にoperator1を指定します)

フィードバック

コメント

タイトルとURLをコピーしました