SolarWinds Event Log Forwarder for Windows v1.2.0の説明

2015 年 8 月 5 日
SolarWinds Event Log Forwarder for Windows v1.2.0 の説明
このツールは、Windows イベントログを Syslog に変換して転送するフリーツールです。
Ver.1.2.0 より日本語表示のまま Windows イベントログの転送が可能になり、Kiwi Syslog Server v9.4.2 と同時にリ
リースされました。
Event Log Forwarder は、フリーツールのため、サポート対象外です。
●V1.2.0 リリースノート
1）日本語ログ対応（Snare Format）
2）ログ解析ツール Log & Event Manager（有償版）にアップグレード可能
Log & Event Manager メーカーサイト（英語）：
http://www.solarwinds.com/log-event-manager.aspx?CMP=PRD-TAD-SWI-ELFW_FT-LEM-DL-X
1/6
●マニュアル（英文）
SolarWinds Event Log Forwarder for Windows v1.2 マニュアル：
http://www.kiwicattools.com/downloads/logforwarder/LogForwarder.pdf
システム要件やインストーラーと設定方法についてはこちらのマニュアルをご参照ください。
●「SolarWinds Event Log Forwarder for Windows」のインストーラーの入手方法
インストーラーは、弊社のソフトウェアダウンロード
https://www.jtc-i.co.jp/support/download/index.php
の Kiwi Syslog Server フリーウェア版または、評価版の.zip ファイルに同梱されています。
●既知の問題とトラブルシューティング
1. イベント転送設定での不具合
【問題詳細】SolarWinds Event Log Forwarder で、イベント転送設定に、Keywords として Audit Success または、
Audit Failure を選択（図 1）し、設定を保存すると、イベントログが転送されなくなります。
また、マシンを再起動すると、SolarWinds Event Log Forwarder for Windows のサービスが自動開始しなくなりま
す。サービスの画面から「サービスの開始」を選択しても、（図 2）のメッセージが表示されて、サービスを開始で
きません。
（図 1）
2/6
（図 2）
また、
<インストールフォルダ>¥SolarWinds¥SolarWinds Event Log Forwarder for Windows 下の
LogForwarderService.log に以下のログが出力されます。
----------------------------------------------------------------------2015/08/03 16:22:48 - Unable to setup Windows Event Log subscribers.
Subscribe failed with error
15001, ??????????????.
2015/08/03 16:22:48 - Server Initialization Failed.
See previous event messages for reason.
2015/08/03 16:22:48 - SolarWinds Event Log Forwarder for Windows; Service Stopped.
----------------------------------------------------------------------注意：日本語 OS の場合、「??????????????」と表示されますが、英語 OS の場合「The specified query is invalid」と表
示されます。
【回避手順】
<インストールフォルダ>¥SolarWinds¥SolarWinds Event Log Forwarder for Windows 下の
LogForwarderSettings.cfg ファイル内の記述を以下のように編集します。
編集前：
<keywords>
<string>Audit Success</string>
<string>Audit Failure</string>
</keywords>
編集後：
<keywords>
<string>0x20000000000000</string>
<string>0x10000000000000</string>
</keywords>
注意：
①Keywords として All を選択した場合にも Audit Success と Audit Failure にが入るため同じ現象が発生します。
②Keywords の他の設定にを入れて同様の現象が発生した場合は、どれにもを付けないデフォルトの状態
3/6
にして使用してください。
参考情報：Thwack community of Solarwinds
https://thwack.solarwinds.com/thread/76101
EVENT LOG FORWARDER - WHERE IS THE AUDIT FAILURE TYPE?
2. Kiwi Log Viewer でログを閲覧する場合の表示の不具合
【問題詳細】 SolarWinds Event Log Forwarder で Kiwi Syslog Server へ転送したログを保存し、Kiwi Log Viewer
v2.0.26 で開くとログに改行文字が含まれるため、正しいフィールド（列項目）に表示されない場合があります。
例：
【回避手順】
Kiwi Syslog Server で Windows イベントログを保存するための「Action: Log to file」の上位に、イベントログ内の
改行コードをスペースへ置換するための Script 実行する「Action: Run Script」設定を追加します。
①改行コードをスペースへ置換するためのスクリプトを作成
< インストールフォルダ>¥Syslogd¥Scripts にある Script_ReplaceText.txt を任意のフォルダにコピーして、
Script_ReplaceText_space.txt（任意）のようにリネームします。
ファイルをエディタで開き、4 行目の
Fields.VarCleanMessageText = Replace(Fields.VarCleanMessageText, "cat", "dog")
を以下のように編集します。
Fields.VarCleanMessageText = Replace(Fields.VarCleanMessageText, vbCrLf, " ")
編集後：
-----------------------------------------------------------------------------------------Function Main()
' Replace cat with dog within the message text field
Fields.VarCleanMessageText = Replace(Fields.VarCleanMessageText, vbCrLf, " ")
4/6
' Return OK to tell syslog that the script ran correctly.
Main = "OK"
End Function
------------------------------------------------------------------------------------------② 「Action: Log to file」を持つルールに、「Action: Run Script」を追加し、マウス右クリック>Move up を実行して、
「Action : Log to file」よりも上位に移動します。
③ Script file name: 工程①で作成した改行コードをスペースへ置換するためのスクリプトファイル（例：
Script_ReplaceText_space.txt）を指定します。
④ スクリプトにおいて、VarCleanMessageText を置換するので、
Field Read/Write permissions 項目で、
Common Fields: Write にを追加します。
Apply をクリックし設定を適用します。
Kiwi Log Viewer でログを読み込むと、メッセージ内容が以下のように列に分かれて表示されます。
5/6
例：
注意：
Kiwi Log Viewer は日本語をサポートしていないため、一部日本語部分に文字化けが発生する場合があります。
発行日 2015年8月5日
ジュピターテクノロジー株式会社技術グループ
Copyright © 2015 ジュピターテクノロジー株式会社 All Rights Reserved
6/6

Download Report