SE の雑記

SQL Server の情報をメインに Microsoft 製品の勉強内容を日々投稿

イベントログのサブスクリプションのイベント配信のカスタマイズ

leave a comment

以前、イベントサブスクリプションでイベントログを再送する という投稿を書きましたがこの続きのような感じで。

サブスクリプションの転送間隔等の設定ですが、デフォルトでは以下を選択することができます。
image

 

技術情報としては以下が参考になります。
サブスクリプションの詳細設定を構成する
イベントを転送して収集するようコンピューターを構成する
Setting Up Security Event Log Subscriptions with Windows Server 2003/2008
Wecutil
Centralizing Windows Events with Event Forwarding
Q: What are some simple tips for testing and troubleshooting Windows event forwarding and collection?

デフォルトでは、以下のような設定を使用することができます。

標準 DeliveryMode : Pull
HeartBeatInterval : 900,000
MaxLatencyTime : 900,000
帯域幅の最小化 DeliveryMode : Push
HeartBeatInterval : 21,600,000
MaxLatencyTime : 21,600,000
待ち時間の最小化 DeliveryMode : Push
HeartBeatInterval : 3,600,000
MaxLatencyTime : 30,000

# HeartbeatInterval / MaxLatencyTime は ms

上記以外の間隔でログの転送を行う場合は、カスタムを使用するかと思いますが、GUI からは設定ができないので wecutil を使用したコマンドベースでの設定となりそうです。

たとえば、[待ち時間の最小化] より短い間隔でプルでイベントログを転送する場合には以下のようなコマンドとなります。

wecutil ss "DataCollect" /dm:push /cm:custom /dmlt:15000 /hi:15000

 

これで [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionEventCollectorSubscriptions] の下の、指定したサブスクリプションのレジストリが変更され、カスタムの設定として登録が行われます。

ソース側のコンピューターが再起動された際などのハートビートの送信間隔や、リトライタイミングを調整するためには、[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionEventCollectorGlobals] の [RetryInterval][RetryIntervalStart] を調整するとよさそうでした。

# 設定変更後は [Windows Event Collector] サービスを再起動しておいたほうが良さそうですが。

image

頻繁にリトライを実施することで、ソースコンピューターが再起動され、接続が切断された場合の再接続のタイミングが早くなるかとは思いますが、この辺はネットワークトラフィックやサーバー負荷を見る必要もあるかと。

wecutil の retry-subscription を実行して、転送を再試行するのも手かもしれませんね。

Written by masayuki.ozawa

5月 9th, 2014 at 12:40 pm

Posted in Windows Server

Tagged with

Leave a Reply

*