(公開) 2023年 6月 9日
インフォサイエンス株式会社
プロダクト事業部
平素は弊社製品 Logstorage をご利用いただきまして、誠にありがとうございます。弊社が提供するログ収集製品EventLogCollector(以降「ELC」と略称表記)において、同製品をWindows Server 2022にインストールした場合に限り、下記の事象が発生することが判明しました。
- NetAppクラスタコレクタを用いてログソースとしてNetApp ONTAPが出力するイベントログ(evtx形式)の収集を実行すると、ELCが収集結果として出力するログファイル(既定ではELCインストールディレクトリ直下のoutputフォルダに出力)内に改行が欠落したものが出力される
- これにより、evtx内の複数のバイナリイベントが1つのテキストログとして収集されてしまい、後続のイベント解析に影響が出る(正しく解析されない)
本事象に関する原因、対応について以降に記載します。
・原因
NetAppコレクタは1回の収集でONTAPのevtxファイル内に出力された複数のバイナリ形式のイベントログを、Windows Server OSに標準同梱されているコマンド(wevtutil.exe)を用いてテキストに変換します。
ELCでは従来1ログの判別として改行を想定していましたが、Windows Server 2022にELCをインストールした場合に限り、wevtutil.exeが改行を削除したテキストを返す挙動となっていたため、ELCは複数イベントを1ログとして収集していました。
本事象の発生条件について改めて次に掲載します。
- ELCをWindows Server 2022にインストールしていること(*1)
- NetAppコレクタでNetApp ONTAPのevtx形式の監査ログを収集していること(*2)
- Windows Server 2022に正式対応したELCバージョン2.10.0のみが対象(*3)
・根本対応
ELC3.0.0(リリース時期2023年8月~9月で調整中)において、wevtutil.exeコマンド結果の改行有無にかかわらず、1ログを正しく判定できるよう改修を行います。
本事象の発生条件の1つである、リリース済ELCバージョン2.10.0への改修は本書公開時点で予定はしていません。
・ワークアラウンド
NetApp ONTAP側の設定を変更し、監査ログ出力の形式をevtxからxmlに変更することで本事象の回避が可能です(*4)。
また、ELCをインストールするWindows Serverのバージョンが2022以外であれば本事象は発生しませんので、それらのOSでログ収集することも回避策にはなり得ます。
以上
*1 Windows Server 2022以外のELCサポート対応中OS(2012R無/2012R2/2016/2019)では発生しません。
*2 NetApp ONTAP 側で監査ログ出力の形式をxmlにしていた場合は発生しません。
*3 ELCバージョン2.9.1A(を含む)それ以前では、Windows Server 2022をサポートしていないため、事象としては発生し得るものですが、実運用環境としてサポート対象外となるためです。
*4 ONTAPのデフォルトはevtx形式です
