イベントログ取得の自働化

こういった日々の定型作業を自動化できるPOLESTAR Automationの活用方法についてご紹介します。POLESTAR Automationには、最適化されたジョブ作成用のジョブウィザードが９種類用意されており、簡単にジョブを作成することができます。

今回はWindowsサーバーのイベントログを１日単位で取得し、別のサーバーに保存するイベントログ取得の自動化について説明します。利用するジョブウィザードは、標準機能で装備している「ファイル収集ジョブ」「スクリプトジョブ」「バッチジョブ」です。

１．イメージ

POLESTAR Automationからジョブを実行し、一括で対象サーバーからイベントログを取得し、別サーバーのディスクに保存するイメージです。

２．要件

対象サーバー：POLESTAR管理下のWindowsサーバー
対象イベントログ：system
イベントログ取得の対象期間：POLESTARジョブ実行日時の24時間前から取得（１日分）
イベントログ取得タイミング：毎日AM1：00
イベントログの保存先サーバー：POLESTAR管理下のWindowsサーバー
イベントログのローテーション：60日前に作成したログを削除

3．イベントログ取得のフロー

POLESTAR Automationで利用するジョブ機能をマッピングしたフローは下記になります。
「ファイル収集ジョブ」、「スクリプトジョブ」、「バッチジョブ」の機能を利用して実現します。

4．ファイル収集ジョブ

「ファイル収集ジョブ」では対象サーバーからイベントログのファイルを収集することができ、ファイルを収集する前と後にスクリプト投入が可能で、この機能を利用して①～④の処理を行います。

保存先サーバー設定

ジョブウィザードの設定画面で、デバイス一覧から保存先サーバーを選択し、保存先ディレクトリーのパスを入力します。

イベントログ取得する対象サーバー設定

ジョブウィザードの「対象デバイス」設定画面で、デバイス一覧からイベントログを取得するサーバーを選択します。

前処理：①と②

取得するイベントログを一時的に保存するテンポラリーディレクトリーを収集対象サーバーに作成し、“Get-EventLog”でイベントログを取得し、テンポラリーディレクトリーに保存します。また、スクリプトでファイル名形式を指定し、下記形式で保存します。

ファイル名形式：HOSTNAME_Eventlog_System.csv

イベントログファイルの収集：③

収集ファイルは、テンポラリーディレクトリーにある取得したイベントログのファイルを設定します。このファイルが保存先サーバーの指定ディレクトリーに収集されます。

後処理：④

前処理で作成したテンポラリーディレクトリーを削除します。

5．スクリプトジョブA：⑤

スクリプトジョブAは、保存先サーバーに対し実行します。
保存先サーバーの\Agent_eventlog のディレクトリーの下に、ジョブ実行日時を”yyyyMMdd_HHmm” の名前としてディレクトリーを新規作成し、ファイル収集ジョブで取得した各対象サーバーのイベントログのファイル名の形式を “yyyyMMdd_HHmmss_HOSTNAME_Eventlog_System.csv” に変更し、”yyyyMMdd_HHmm” のディレクトリーに移動させます。

6．スクリプトジョブB：⑥

スクリプトジョブBは、保存先サーバーに対し実行します。
保存先サーバーに保存しているイベントログをジョブ実行の日時を基準にし、60日前に作成されたログファイルを削除します。

7．バッチジョブ

作成した「ファイル収集ジョブ」、「スクリプトジョブA」、「スクリプトジョブB」をバッチジョブの中に組み込みし、スケジュール設定します。

以上で、イベントログ取得の自動化の設定は終了です。

実際に取得したイベントログの結果は下記のようになります。
保存先サーバーのAgent_eventlogディレクトリーの下にジョブ実行した日付のディレクトリーが新規作成され（図９）、日付ディレクトリー内に各サーバーのイベントログが取得されてます。（図10）

POLESTAR Automationには、最適化されたジョブ作成用のジョブウィザードが９種類用意されており、簡単にジョブ作成が可能で、日々の定型作業を自働化することができます。
９種類のジョブウィザードはこちらを参照ください。