Azure VM(Windows Server)でWindowsイベントログを収集する方法として診断設定があります。
診断設定を利用することでWindowsイベントログをストレージアカウント(Azure Table Storage)に収集することができますが、デフォルトだとアプリケーション、セキュリティ、システムの3種類が対象となります。
上記3種類以外、具体的にはSetupイベントログを収集できないか試したので手順を残します。
診断設定を有効化する
-
対象の仮想マシンを選択し、左メニューより[監視]→[診断設定]の順に選択します
-
収集するストレージアカウントを選択し[ゲストレベルの監視を有効にする]をクリックします
-
しばらくすると仮想マシンにDiagnostics拡張機能がインストールされ、イベントログやパフォーマンスカウンターの収集が始まります(仮想マシンは起動状態である必要があります)
カスタムログを追加する
-
診断設定画面より[ログ]を選択します
-
デフォルトだと以下の状態になっており、アプリケーション、セキュリティ、システムが収集される設定となっています
-
カスタムログ欄にSetup!*と入力し[追加]を選択します
-
これでSetupの全てのレベルのログが収集されるようになりました
テスト
- 最後にイベントログの書き込みを行い、収集されるかテストします
- Windows ServerでPowerShellを管理者権限で開きます
- 以下コマンドを実行しSetupイベントログにテストログを書き込みます
$EventSource = "TestSource"
$EventLog = "Setup"
# イベントソースが存在しない場合は作成
if (-not [System.Diagnostics.EventLog]::SourceExists($EventSource)) {
New-EventLog -LogName $EventLog -Source $EventSource
}
# イベントを書き込む
Write-EventLog -LogName $EventLog -Source $EventSource -EntryType Information -EventId 1000 -Message "This is a test event for Setup log."
- Storage Explorer等でTable Storageにアクセスし、テストログが収集されていることを確認します
- 以下はAzure CLIでの確認例
az storage entity query --table-name WADWindowsEventLogsTable --account-name [Storage Account Name]
以上です