Windows Serverの正常性確認やトラブル調査で、「イベントビューアー」を使ってイベントログを参照するケースが多いと思います。このとき、リモートデスクトップなどでコンピューターにサインインして参照することもできます。ですが、ネットワーク越しに直接参照する方法もあります。OSにサインインせずにイベントログを参照できるので、手間を減らしたり、セキュリティ管理がしやすくなります。今回はその方法を紹介します。
なお、ここではデフォルト設定のWindows Server 2019を想定していますが、他のバージョンやWindows 10などでも、基本的には同様の操作方法となります。
事前準備(参照先)
イベントログ参照先(参照される側)のサーバーで、ファイアウォールの例外設定が必要です。スタートメニューから[Windows 管理ツール] → [セキュリティが強化された Windows Defender ファイアウォール] を選択。
開いた画面から、①左ペイン「受信の規則」を開き、②名前「リモート イベントのログ管理(RPC)」を右クリックし、③「規則の有効化」をクリックします。該当項目に緑の盾マークが表示されればOKです。
この例では、似た名前の項目「リモート イベントのログ管理 (RPC-EPMAP)」、「リモート イベントのログ管理 (NP 受信)」は、有効化せずそのままにしておきました。上図のものだけで、うまく動きますが、環境によってはこれらも有効にしたほうが良いかもしれません。
リモートでイベントログを参照する操作方法
同じネットワーク上の任意のコンピューター(参照元)で、「イベントビューアー」を起動します。左ペインのルート「イベントビューアー(ローカル)」を右クリックし、「別コンピューターへ接続」を選択します。
ダイアログで、下図のように参照したいコンピューターを指定します(例:「192.168.50.101」「server1」「server1.contoso.com」など)。「別のユーザーとして接続する」にチェックを入れて「ユーザーの設定」ボタンをクリックします。
参照先のコンピューターの資格情報を入力します。適切な権限を持つユーザー(AdministratorsもしくはEvent Log Readersグループのユーザー)を指定します。下図の例のように、{参照先コンピューター名もしくはドメイン名}\{ユーザー名}とすると良いようです。この例だと「administrator」と指定したくなります。それで通るなら良いですが、環境によっては「アクセスが拒否されました」となったりします。
下図のような指定になるので、「OK」ボタンをクリックします。
対象のイベントログが表示されます。ぱっと見分かりにくいですが、下図の赤枠の部分がリモートコンピューターの名前になっています。後は、通常と同じようにイベントを参照します。
以上で解説は終わりです。
おまけ:イベントログ参照用のユーザーを作る
上の例では、資格情報にadministratorを指定しました。しかし、もし限られた権限のみを持つ運用オペレーターが操作するシーンでは適切ではないでしょう。
その場合は、イベントログ参照用のユーザーを用意しておくとよいと思います。具体的な例として、参照される側のサーバーに「operator1」というローカルユーザーを作成し、所属グループは「Users」と「Event Log Readers」のみにします。運用オペレーターが操作するときは、このユーザーを使うようにします。こうすることで、運用オペレーターにサーバーの管理権限を持たせずに、イベントログの参照をさせることができます。
(実機にサインインさせたくない場合は、ローカルポリシーエディターで「ローカルでログオンを拒否する」にoperator1を指定します)
おわりに
今回の記事は以上です。
当サイトでは、ITインフラ関連の知識やノウハウをメインに紹介しています。下の関連記事にも役立つ情報があるかもしれませんので、ぜひご覧下さい。
また、知識やノウハウを効率的に学ぶ方法として、Udemy の「ながらセミナー」もおすすめです。三日坊主にならず、普段の生活の中でスキルアップする方法です。これについては下の記事で紹介していますので、良ければご覧下さい。
最後まで読んでいただき、ありがとうございました。
フィードバック
あなたが抱えている疑問や悩みは解決できたでしょうか?当ブログではそれを最重視しています。今後もあなたの役に立つ情報を提供するために、ぜひ教えて下さい。
コメント