概要
Windowsイベントログ監視をする中で、どの警告・エラーは除外でいいの?ってことありませんか?
私はあります、いやきっと皆さんもあるはずだしあって欲しいし。
そんなの構築しているシステム体系によるじゃん、除外してもいいエラー/警告なんかないでしょなんか起きてるんだし。
…。
結局は一定の期間を設け、イベントログに出力されるエラーを見て監視 or 除外を判断していかないといけない…わかってます。
でもログをローテーションしていく中で複数の.evtxファイルを1つずつ開いてフィルターしてってやるのとっても辛くないですか…。
なんかWindowsイベントログのレスポンスもとっても悪いし、10ファイルとか串刺しでみるといくら時間があっても足りない!
ということで複数のevtxファイルをcsvに出力してExcelでフィルタリングしちゃおう!
というのがこの記事の目的です。
もっと他にもこうしたらいいよ、こっちの方が良いよってのがあったらご教示ください。
使うもの
LogParser
ダウンロードはこちらから。
Log Parser 2.2 日本語版 - Microsoft
SQL文でクエリを発行できるツールなので、SQL詳しいぜなんでもできちゃうぜの神様みたいな方は、
もっと素敵に後のcsv結果を構成することができるかと思います。
(僕はもう少し勉強しないとな。。。)
インストール方法
基本的には、次へ次へでこまることはないかと思います。
1.次へをクリックして。
2.仕様許諾契約書に同意して。
3.とりあえず今回は完全でよくて。
4.インストールをクリックして。
5.そうするとスタートメニューに登録されます。
わずか5ステップで、
よしイベントログを解析しよう!となるわけです。
起動するとこんな感じ
さてとここから
ここからの操作は「evtxファイルがあって、それをcsvにする。」という操作を前提に記載しています。
logparserにくわせることができるファイル形式は本当はevtx以外にも、IISW3CとかXMLとかたくさんあるのですが、それはまたの機会に。
1つのevtxをcsvにする場合
logparser -i:evt -o:csv "SELECT * INTO csvファイルを保存する先のパス\csvの名前.csv FROM 読み込ませたいevtxファイルの保存場所\読み込ませたいevtxファイル名.evtx"
-iオプションで、Importするファイル形式を指定し、-oオプションでOutputするファイル形式を指定しているわけです。
複数のevtxをcsvにする場合
logparser -i:evt -o:csv "SELECT * INTO csvファイルを保存する先のパス\csvの名前.csv FROM 読み込ませたいevtxファイルの保存場所\*"
基本オプションは1つのevtxをcsvにする場合と変わりませんが、違うところとして、
複数ファイルをImportするために" * "でフォルダ配下すべてのファイルを対象としています。
ここまできたら
ここまでくりゃもうあとはcsvファイルなので、Excelでファイルを開いて煮るなり焼くなりです!