Windows Server でのイベントサブスクリプションは、市販のほとんどの参考書では以下を行え、と書いています。

• ソースコンピュータで winrm quickconfig
• コレクタコンピュータでwecutil qc
• ソースコンピュータのローカルAdministratorsグループのメンバとしてコレクタコンピュータを追加

理屈ではわかってはいたものの、サブスクリプションされた結果を確認する必要があり、実際にやってみてはまりました。

上記３つの設定作業は特に問題もなく終了。しかし、例えばログイン/ログオフしたセキュリティイベントが飛ばない。理由がまったくわからない。

そのうち、作成したサブスクリプションの接続テストでエラーになることを発見。コレクタコンピュータからソースコンピュータへの接続テストに失敗？同じドメインにいるぞ？pingも通るし。念のためにファイアウオールをオフにしても状況は変わらない。それにエラーも「指定されたログオン セッションは存在しません」という意味不明のもの。

どうやらWindows Server2003では同様のエラーに対してService Packがある模様。しかし、2008に対しては不明。正確に言うと、私は2008R2を使っている。2008R2 の SP1 は出ているのでSP1を当ててどうなるか見てみようとSP1をダウンロードしてインストールすると、ディスクスペースが足りないよ、というエラー。正確な数字は覚えていないが、9GBくらい必要だ、と言っている。9GB？そんなに要るの？時代も変わったものだ。SPを当てるのに、そんなにディスクがいるのか。

まぁ、自宅での勉強用の環境であり、作り直すのは全然問題無いのですが時間がもったいない。というところで、金曜日の深夜、というか土曜日の早朝となり、一時中断。

さて、ひと眠りして、仕方ない。では、SP1を入れるのではなく、2008R1 SP1もリリースされているので、スクラッチから2008R2 SP1をインストしようとそいつのお試し版をダウンロードしてインストしようとしたら、ドライバが無いとかそんなエラーで進まない。おそらくPCに直接インストすると入るような気がするのですが、CentOS+XenへのVMとしてインストしているのでそんなエラーになるのかなぁ？今後のこともあるので確認してみたいけど、イベントサブスクリプションの環境ではWindowsが２つ必要。従って１台で頑張っている私としては仮想化環境が必要。ということで、2008R2 SP1をインストするのではなく、2008R2を入れてそこにSP1を当てるという方針に変更。

やれやれ。厄介なことだ。ベースキャンプにたどり着く前に、自宅のパッキングでトラブっているようなもの。とはいえ、やるしかない。ということで、2008R2を入れて、別途、ダウンロードしていたSP1を当てたところこれはOK。しかし、SP1の適用にはかなり時間がかかった。実際のファイルコピーやらが始まった時に１時間くらいかかることがあります、とメッセージが表示されてはいたのだが、確かにそうだった。途中、ハングしているのか？と心配するくらい動きが止まっているように思えたことがありましたが、ここはじっと我慢。１つ、2008R2 SP1の環境が出来たので、こいつをコピーして１つづつ立ちあげて個別に設定を替えて、合計３つ、2008R2 SP1のVMを作成(ホントは２つでいいのだけど、後々のために３つ作成)。コピーで済むところが仮想環境のいいところ。３つ、2008R2をインストしてそれにSP1を当てろ、と言われたらそれはさすがにごめんなさい。

３つの2008R2 SP1のうち、１つにADを入れてドメイン環境を作り、残り２つの2008R2 SP1をそのドメインのメンバとして加える。そのメンバの間でイベントサブスクリプションを行う。

そして最初に戻り、３つの設定を実施。今度は接続テストは成功。やはりSP1で直していたのか。よしよし。とにかく前に進んだのだからよしとしよう。し、しかし、やはりサブスクリプション出来ない。うーーーむ。インターネットを検索したが、いいヒントが出て来ない。この時点で、土曜日の深夜、というか、日曜の早朝２時を過ぎている。仕方ない、息子からの朝練リクエストを受諾していたので寝るしかない。

朝、やはり息子がバドミントンの練習をしよう、というので６時に起きて朝練。眠い。。。やっていることが上手く言っているのであればまだいいのだが、さすがに精神的疲労が大きいし肉体的疲労も大きい。朝練して朝食を食べて、またイベントサブスクリプションとの闘いを再開。といても、恐らく手順的には問題無いと思っているので、インターネットを検索することくらいしかやることが思い浮かばない。しばし検索。夜は涼しくなってきたとはいえ、昼は今日も暑い。疲労困憊の中、何度もあきらめかけたが、こんな簡単なこと、出来ないわけはない！と思い直し、検索続行。

やっといいネタにたどり着いた。どうやらセキュリティイベントの場合だけは、もう１つ手順が必要だ、ということ。ソースコンピュータのローカルEvent Log Readersグループに、NETWORK SERVICEを追加しないといけない、というもの。そんなの、参考書(といっても、私が持っているのは試験対策用の２冊だけだが)には書いてないぞ。セキュリティイベントもその手順を行うことで飛ぶことを確認。どういう場面でイベントサブスクリプションを使うのかはよくわかりませんが、どうせやるのであればセキュリティイベントはその対象になると思うのだが・・・

そうそう、ソースコンピュータのローカルAdministratorsグループにコレクタコンピュータアカウントを入れるというのも必須ではないじゃないか。サブスクリプションの作成で、特定アカウントを使用、というオプションもあることが判明。コレクタコンピュータアカウントを使うのがデフォルトだからこれも冗長になるのでそう言い切っているのでしょうけど、もうちょっと補足説明があってもいいかな。

ここにたどり着いたとは、夕食を食べてサザエさんが終わった後。まるまる２日、かかった。かかったけど、ゴールにたどり着いたのでまずは満足。今夜はゆっくり眠れそう。でも、明日は子供と遊んでやらんといかんなぁ。