『サーバー管理者のためのイベントログ運用の基本』感想&まとめ

養老 利紀 平松 健太郎 高橋 明 相場 宏二

毎日コミュニケーションズ

売り上げランキング: 112365

あちらこちらのBlogで紹介されているイベントログに関する本です。

(前略) 著者が「新人向け」と書いてるだけあって記述の表現が硬くなく、分かりやすく記述されていますので、読みやすいのではないかと思います。とはいえ、内容はかなりディープです。熟練者の方も一度目を通したほうが良いかもしれません。

(中略) 具体的なイベントログの情報は特に、よく見かけるものについては一通り記載されていますので、運用初心者はイベントログ運用の勉強用に、熟練者はイベントログリファレンス本として、本書を活用してみてはいかがでしょうか。 (後略)

SQL Server ユーザーグループ > コミュニケーション > 会員レポート > ブックレビュー

さらに、こんな紹介のされ方もしています。

養老さんのサーバ管理者のためのイベントログ運用の基本が絶版状態だそうです。

====引用先の引用=====

私の書いた本ではありませんが、おすすめです。

ただし、版元在庫わずか、増刷予定なし、という、事実上の絶版状態です。

こういう良書が消えていくのは残念です。

====引用先の引用=====

千年Windows(情報元のブックマーク数) – まっちゃだいふくの日記★とれんどふりーく★

すごく気になる紹介です。

しかも、いつでも手に入れることが出来るものであれば、今度の機会にっとでも済ませてしまうのですが、絶版で手に入らないと言われる急にどうしても見たくなってしまうのが人間の性です。

上記、引用の記事を見てすぐ探し始めたのですが時すでに遅し。どこにも見あたらず購入する術は無さそうです。

取り次ぎ系では在庫を抱えていないようで、あるとすれば版元なんでしょうが版元の毎日コミュニケーションズのサイトでも品切れ(MYCOM BOOKS – サーバー管理者のためのイベントログ運用の基本)なので無理のようです。

一部、Amazonなどで定価の3倍の破格なお値段では購入できることは出来るのですが。。。

今から、この本を読むには?

破格なお値段を出さないことを前提に考えると残っているのは庶民の味方、図書館ですね。公共系の図書館と大学系の図書館と企業系の図書館があります。

今回は、所属企業運営の図書館が所蔵していたので、お世話になり無事読むことが出来ました。

所属先で所蔵していない場合は、公共系の図書館となります。

都内の公立図書館では以下の所で所蔵しているようです。

まぁ一部は、中央区のものを取り寄せる形で貸し出し可能になっているようです。

肝心の内容は?

イベントログって今までに触れたのはトラブル対応時、SQL Server2005の資格取得勉強時に見た程度で普段から触ったり考えたりするものじゃないのです。

なのでいつも、必要に迫られてGoogle先生に聞いたり、表示されている文章から勘と想像力を働かせていたのですが、そこにある程度体系だった知識を提供してくれるのが、この本です。

内容としては、体系的説明3割、便利ツール紹介1割、リファレンス的内容6割で、いざというときに手元に置いておきたくなる本です。

まとめ(以下は本の内容から抜粋。)

■イベントログの保存形式

イベントログの保存方法は大きく分けて2種類あります。

フォーマットごとの長所と短所

種類長所短所
CSV/テキスト方式Excelなどに取り込んで作業、追記、編集が出来る。不要なファイルを削除してファイルサイズを小さくすることも出来る。バイナリデータが出力されない。

説明文の中に改行があるとExcelで読み込んだときに崩れる
イベントログフォーマット方式イベントビュアーで見ることが出来るイベントログフォーマットのファイルは編集できないため、ファイルサイズを小さくできない

「送られてきたイベントログを開いているコンピューター上に存在しないイベントソース」に関するイベントの説明文が正しく表示されない。「説明文が正しく見つかりません」っと言うエラーが出ます。

CSVが崩れる問題に関しては、WindowsXP・2003に付属しているeventqueryというコマンドで対応可能。eventqueryの実態はEventquery.vbs。(参考:eventquery – ウェブ検索)

eventqueryを使えば、2008年8月に発生したイベントだけと日付を指定しての出力や、特定のソースイベントを削除して・・・と言った使い方もできるようです。詳細は、「Eventquery.vbs」で確認してください。

他にも便利なスクリプトがありますので、見てみるとラッキーなこともあるかも?(参考:スクリプト一覧 : ログ)

■独自開発のアプリケーションでのイベントログ

言語ごとによるイベントログの記録方法

言語方法
C/C++

C#
Win32API

Eventlog関数
C#

VB

VBScript

.NETFramework Eventlogクラス

WMI Event Log Provider
バッチコマンド

Eventcreate(WinXP,2003)
SQL ServerRAISERRORステートメント

xp_logeventプロシージャ

■イベントログの「ログサイズ」の設定について

ログサイズが最大に達した時の操作は必ず「必要に応じてイベントを上書きする」に設定してください。

イベントログのサイズが最大値に達して新たにイベントが書き込めなくなった状態では<イベントログにイベントを記録するプログラム>が挙動不審を起こすことがあるからです。

最大ログサイズの注意点

まず、書籍ではマイクロソフトの技術資料「脅威とその対策第 6 章 : イベントログ」を紹介している。

このような制限があるため、メモリ マップ ファイルの理論上の制限とは異なり、また、イベント ビューアとグループ ポリシー オブジェクト エディタの UI では 1 つのログ当たり 4 GB まで指定できるにもかかわらず、ほとんどのサーバーにおける実質的な制限は約 300 MB であることが実証されています。つまり、すべてのイベントログの合計の制限が 300 MB となります。Windows XP、メンバ サーバー、およびスタンドアロン サーバー上では、アプリケーション、セキュリティ、およびシステム イベントログを組み合わせたサイズが 300 MB を超えてはなりません。ドメイン コントローラ上では、これら 3 つのログを組み合わせたサイズに、Active Directory® ディレクトリ サービス、DNS、およびレプリケーション ログを追加したものが、300 MB を超えることはできません。

第 6 章 : イベントログ

合計で300MBを越えるようなイベントログサイズの指定は意味がないと言うことですね。

イベントログのサービスでは少なくとも[各ログの現在のサイズの合計]のメモリを消費するということです。実際に蓄積されたログサイズの合計が100MBとすると、100MBのメモリを消費するアプリケーションが動いていることとほぼ同じ事になります。

感想

すごく読みやすい文章で、リファレンス部分を除くと2時間ぐらいで読めたと思います。今まで、ほとんど無かったイベントログへの理解が深まったように思います。本当、貴重でわかりやすい書籍だと思います。何とか再版されて、自分の手元に置けるようにならないものでしょうか。引き出しとかに入れておいて、いざっと言う時に開きたい。

また作者が、「はじめに 本書の狙いとする読者」の中で以下の用に記述している

イメージとしては、『中堅のWindows技術者が新人や新しくWindowsに取り組む技術者に、「まずは、この本読んどいて」と言って渡せる』、かつ、『Windows技術者の机の上の一冊』的な存在を目指しました

このイメージにぴったりなイベントログ本になっていると思います。

とりあえず職場の周囲の人間や社内Blogなどでお勧めして読者を広げていこうと思います。周囲の人間が賛同してくれ再版して欲しいなぁの声が重なればきっと・・・。