Logstorage EventLogCollector(ELC) NetAppコレクタで発生するログ収集障害および制限に関するお知らせ

(公開) 2023年 6月 9日

インフォサイエンス株式会社
プロダクト事業部

 平素は弊社製品 Logstorage をご利用いただきまして、誠にありがとうございます。弊社が提供するログ収集製品EventLogCollector(以降「ELC」と略称表記)において、同製品をWindows Server 2022にインストールした場合に限り、下記の事象が発生することが判明しました。

  • NetAppクラスタコレクタを用いてログソースとしてNetApp ONTAPが出力するイベントログ(evtx形式)の収集を実行すると、ELCが収集結果として出力するログファイル(既定ではELCインストールディレクトリ直下のoutputフォルダに出力)内に改行が欠落したものが出力される
  • これにより、evtx内の複数のバイナリイベントが1つのテキストログとして収集されてしまい、後続のイベント解析に影響が出る(正しく解析されない)

本事象に関する原因、対応について以降に記載します。

・原因

 NetAppコレクタは1回の収集でONTAPのevtxファイル内に出力された複数のバイナリ形式のイベントログを、Windows Server OSに標準同梱されているコマンド(wevtutil.exe)を用いてテキストに変換します。
 ELCでは従来1ログの判別として改行を想定していましたが、Windows Server 2022にELCをインストールした場合に限り、wevtutil.exeが改行を削除したテキストを返す挙動となっていたため、ELCは複数イベントを1ログとして収集していました。

 本事象の発生条件について改めて次に掲載します。

  • ELCをWindows Server 2022にインストールしていること(*1)
  • NetAppコレクタでNetApp ONTAPのevtx形式の監査ログを収集していること(*2)
  • Windows Server 2022に正式対応したELCバージョン2.10.0のみが対象(*3)

・根本対応

 ELC3.0.0(リリース時期2023年8月~9月で調整中)において、wevtutil.exeコマンド結果の改行有無にかかわらず、1ログを正しく判定できるよう改修を行います。
 本事象の発生条件の1つである、リリース済ELCバージョン2.10.0への改修は本書公開時点で予定はしていません。

・ワークアラウンド

 NetApp ONTAP側の設定を変更し、監査ログ出力の形式をevtxからxmlに変更することで本事象の回避が可能です(*4)。
 また、ELCをインストールするWindows Serverのバージョンが2022以外であれば本事象は発生しませんので、それらのOSでログ収集することも回避策にはなり得ます。

以上


*1 Windows Server 2022以外のELCサポート対応中OS(2012R無/2012R2/2016/2019)では発生しません。
*2 NetApp ONTAP 側で監査ログ出力の形式をxmlにしていた場合は発生しません。
*3 ELCバージョン2.9.1A(を含む)それ以前では、Windows Server 2022をサポートしていないため、事象としては発生し得るものですが、実運用環境としてサポート対象外となるためです。
*4 ONTAPのデフォルトはevtx形式です

TOP