none
Windows Serverイベントログの 一部分を抜き出して長期保管(別ファイルへ出力等)したい RRS feed

  • 質問

  • SQL Serverの Windows Server イベントログが、出力量が多く数日で過去の記録が消えてしまいます。

    特定の文字列が含まれたログだけをフィルターで絞り込んで長期保管することは可能でしょうか。

    (例えば、別ファイルに出力するようなバッチファイルで毎日実行するなどで可能な場合、
     イベントログの絞り込みは SQLで可能でしょうか?
     その際のテーブル名やフィールド指定に必要な情報も教えていただければ助かります。)

    SQL Server のエラーログにアカウント名かPC名を追加して出力できるなら、そちらでもかまいません。

    どうぞよろしくお願いいたします。
    2018年7月9日 0:56

回答

  • kumi-maruさん

    監査が目的であれば、専用のソリューションが用意されているようなので、こちらを確認されてはいかがでしょうか。

    ↓無制限にファイルを保存できるようです。

    https://docs.microsoft.com/ja-jp/sql/relational-databases/security/auditing/create-a-server-audit-and-server-audit-specification?view=sql-server-2017

    ↓selectなども監査として記録できるようです。

    https://docs.microsoft.com/ja-jp/sql/relational-databases/security/auditing/sql-server-audit-action-groups-and-actions?view=sql-server-2017

    • 回答としてマーク kumi-maru 2018年7月9日 2:13
    2018年7月9日 2:00

すべての返信

  • イベントログはそもそも拡張子.evtxのXMLファイルです。別ファイルに出力という意味が分かりません。更にSQL Serverが絡む意味もさっぱりわかりません。

    (イベントビューアなどで)イベントログの設定を変更し、古いログを上書きしないようにするだけのことではありませんか?

    参考: Windowsのイベントログを自動アーカイブで長期間保存する

    • 編集済み 佐祐理 2018年7月9日 1:15
    2018年7月9日 1:13
  • 佐祐理さん

    ご返信ありがとうございます!


    監査目的で、クエリの出力内容をログにも出力したいと思いまして、
    SQLserverのトレースフラグ3605と4032を ON にしたところ、(他にも短期的に見たいフラグをONにしたところ)
    http://nishio.hateblo.jp/entry/20120906/1346945058
    エラーログの方ですが数日で 10GBを超えてしまいました。
    そのため、全てのログを上書きせず長期間(2年)保管し続けるのは厳しいと思っております。


    そこで、上の設定で追記したユーザーテーブルに関するログのみ長期保管し、
    その他のログは短期で破棄(上書きOK)できればと考えておりました。
    そのようなケースで参考になりそうなリンク等、教えていただけばとても嬉しいです。

    (エラーログの方は、保管が 99世代までのようで長期保管できないのと、過去のログのユーザーを特定するのも大変そうで、
     監査目的ではイベントログの方を使おうと考えておりました。#SQLServerを 2ヶ月前に触り始めた初心者です。すみません)

    • 編集済み kumi-maru 2018年7月9日 1:58
    2018年7月9日 1:38
  • kumi-maruさん

    監査が目的であれば、専用のソリューションが用意されているようなので、こちらを確認されてはいかがでしょうか。

    ↓無制限にファイルを保存できるようです。

    https://docs.microsoft.com/ja-jp/sql/relational-databases/security/auditing/create-a-server-audit-and-server-audit-specification?view=sql-server-2017

    ↓selectなども監査として記録できるようです。

    https://docs.microsoft.com/ja-jp/sql/relational-databases/security/auditing/sql-server-audit-action-groups-and-actions?view=sql-server-2017

    • 回答としてマーク kumi-maru 2018年7月9日 2:13
    2018年7月9日 2:00
  • maaaaaaaa8 さん

    ありがとうございます。試してみます!!

    2018年7月9日 2:20