イベント ログが最大ログ サイズに達する前に、イベントの出力が停止する

重要 : この資料には、レジストリの編集方法が記載されています。万一に備えて、編集の前には必ずレジストリをバックアップし、レジストリの復元方法を理解しておいてください。バックアップ、復元、および編集方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
256986 Microsoft Windows レジストリの説明
現象
"イベントを上書きしない" オプションを有効にした場合、[最大ログ サイズ] に指定したサイズに達する前に、イベント ログ サービスがイベントの出力を停止することがあります。これにより、イベントが失われる可能性があります。通常、ログのサイズが約 200 ~ 600 MB に達すると、イベント ログ サービスは新しいイベントの出力を停止します。
原因
最大ログ サイズに達する前に、イベント ログ サービスにより、イベント ログがサイズの上限に達し、イベントの出力を停止したことが報告される場合があります。コンピュータで "セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする" というグループ ポリシー設定を使用している場合、予期されるよりも早い段階で、コンピュータがイベントの監査を停止し、応答を停止 (ハング) することがあります。
解決方法

Service Pack の情報

この問題を解決するには、Microsoft Windows 2000 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法

修正プログラムの情報

マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、修正プログラムはこの資料に記載された問題のみを修正することを目的としており、障害があったコンピュータに対してのみ適用することを推奨します。この修正プログラムは、今後さらにテストを行う場合があります。この問題で深刻な影響を受けていない場合は、この修正プログラムが含まれる次の Windows 2000 Service Pack がリリースされるまで待つことを推奨します。

この問題を直ちに解決するには、Microsoft Customer Support Services にお問い合わせのうえ、修正プログラムを入手してください。Microsoft Customer Support Services の電話番号一覧およびサポート料金については、次のマイクロソフト Web ページを参照してください。 : Microsoft Support 担当者が、特定の更新プログラムを適用することにより問題が解決されると判断した場合、まれに通常サポート依頼にかかる料金が免除されることがあります。ただし、特定の更新プログラムの対象とならない追加の質問および問題については、通常のサポート料金が適用されます。
   日付           時刻     バージョン          サイズ    ファイル名     ------------------------------------------------------------   2002/07/25  14:18  5.0.2195.5722     45,328  eventlog.dll 

この修正プログラムをインストールすると、レジストリ キーを使用することにより、現在のイベント ログを拡張できない場合に自動バックアップ処理が実行されるようにすることができます。各イベント ログに対応するレジストリ キーを追加して、イベント ログが最大サイズに達するまでの時間、またはコンピュータがハングするまでの時間を長くすることができます。ただし、イベント ログのサイズは、コンピュータ上の使用可能なリソース (仮想メモリやディスクの空き容量など) によって制限されます。
状況
マイクロソフトでは、この問題をこの資料の対象製品として記載されているマイクロソフト製品の問題として認識しています。この問題は、Microsoft Windows 2000 Service Pack 4 で修正済みです。
詳細
警告 : レジストリ エディタの使い方を誤ると、深刻な問題が発生することがあります。最悪の場合、オペレーティング システムの再インストールが必要になることがあります。マイクロソフトは、レジストリ エディタの誤用により発生した問題に関しては、一切責任を負わないものとします。レジストリ エディタは、自己の責任においてご使用ください。

この修正プログラムを適用した後、新しい自動バックアップの機能を利用するには、レジストリ キーを追加する必要があります。追加するキーの例を以下に示します。

キー :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\Application
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\System
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\DNS Server
値 : AutoBackupLogFiles
種類 : DWORD
値のデータ : 値が存在しないか 0 (ゼロ) の場合は、無効です (デフォルトでは無効です)。0 以外の値の場合は、有効です。
: 新しい動作を有効にするには、コンピュータを再起動するか、対応するイベント ログを消去する必要があります。"セキュリティ監査のログを記録できない場合は直ちにシステムをシャットダウンする" というポリシー (CrashOnAuditFail) を使用していて、Security レジストリ値に 1 を設定した後セキュリティ ログを消去していない場合、監査が失敗するとコンピュータがハングします。

AutoBackupLogFiles レジストリ エントリについて

このエントリを使用すると、イベント ログ サービスにより、自動的に、最大サイズに達したイベント ログが消去され、ログ ファイルのバックアップが作成されます。CrashOnAuditFail ポリシーが有効になっているコンピュータでは、現在のログ ファイルが自動的にバックアップされると、監査の失敗によりハングすることなく、イベントのログ出力が継続して実行されます。デフォルトでは、イベント ログは %SystemRoot%\System32\Config フォルダに保存されます。このレジストリ値を有効にすると、最大サイズに達したログ ファイルは自動的に %SystemRoot%\System32\Config フォルダにバックアップされ、ログ ファイルが消去され、イベント ログ出力処理が再開されます。

このレジストリ値を有効にした場合、System ボリュームからバックアップ ログ ファイルを移動するか、削除する必要があります。移動または削除を行わないと、ボリュームの空き領域が枯渇する可能性があります。バックアップ ログ ファイルによって、System ボリューム上の領域がすべて消費されることがないように、手動または自動でバックアップ ログ ファイルの移動または削除を実行することをお勧めします。このレジストリ値を有効にしていて、"ディスクがいっぱいです" というメッセージが表示された場合は、直ちに対処してください。

ログ ファイルのバックアップが正常に実行されると、セキュリティ イベント ログ ファイルに、ソースが SECURITY のイベント 524 が出力されます。出力されるイベントの例を以下に示します。
イベント ログ 自動バックアップ
ログ: Security
ファイル: Archive-Security-2002-02-05-22-48-40-042.evt
エラー: 0x0
バックアップ ファイルの名前は、ログ ファイルの名前に日時をつなげたものです。この日時は、世界協定時刻 (UTC) の形式です。名前には、以下の形式が使用されます。
ログの名前-年-月-日-時-分-秒-ミリ秒.evt
ログ ファイルのバックアップの名前には、次の形式が使用されます。
ログの名前-年-月-日-時-分-秒-ミリ秒.evt
このレジストリ値の有効/無効の設定を変更すると、すべてのログ ファイルに影響が及びます。コンピュータを再起動するか、イベント ログを消去すると、変更した設定内容が有効になります。

Windows 2000 Datacenter Server 用の修正プログラムの入手方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
265173 Windows Datacenter プログラムおよび Windows 2000 Datacenter Server
複数の修正プログラムのインストールを 1 回の再起動のみで行う方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
296861 複数の Windows 更新プログラムまたは修正プログラムを同時にインストールし、再起動を 1 回で済ませる方法
プロパティ

文書番号:312571 - 最終更新日: 11/19/2007 03:59:00 - リビジョン: 6.1

Microsoft Windows 2000 Service Pack 1, Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Service Pack 1, Microsoft Windows 2000 Service Pack 2

  • kbbug kbfix kbwin2000presp4fix kbqfe kbdirservices kbwin2ksp4fix kbhotfixserver KB312571
フィードバック