eventlogadm — Samba のイベントログ格納領域にレコードを書き込む
eventlogadm
[-d
] [-h
] -o
addsource
EVENTLOG
SOURCENAME
MSGFILE
eventlogadm
[-d
] [-h
] -o
write
EVENTLOG
このツールは samba(1) の一部として提供されている。
eventlogadm
は特定の形式に従ったイベントログのレコードを標準入力から読み込み、それらを Samba のイベントログ格納領域に書き込む。こうすることで、Windows クライアントから通常の管理ツールを使ってこれらのレコードを操作できるようになる。
-d
-d
オプションを指定すると、 eventlogadm
はデバッグ情報を出力する。
-o
addsource
EVENTLOG
SOURCENAME
MSGFILE
-o addsource
オプションは、新しいイベントログのソースを生成する。
-o
write
EVENTLOG
-o write
はイベントログのレコードを標準入力から読み込み、それらを EVENTLOG で指定された名前の Samba のイベントログ格納領域に書き込む。
-h
使用法を表示する
書き込みの際、eventlogadm
は標準入力から書式に従ったレコードが読み込めることを期待している。これらのレコードは、レコードキーとデータがコロン(:)で区切られた行の並びである。各レコードは、少なくとも1個以上の空行で区切られている必要がある。
イベントログのフィールドは以下の通り:
LEN
- eventlogadm
はこのフィールドの値を自動計算するので、このフィールドには 0 をセットする。
RS1
- 1699505740 という値をセットする。
RCN
- 0 をセットする。
TMG
-イベントログが生成された時刻。00:00:00 January 1, 1970, UTC からの 累積秒数をセットする。
TMW
-イベントログが書き込まれた時刻。00:00:00 January 1, 1970, UTC からの 累積秒数をセットする。
EID
- イベントログ ID
ETP
- イベントログのタイプで、以下のいずれか: "INFO", "ERROR", "WARNING", "AUDIT SUCCESS" or "AUDIT FAILURE".
ECT
-イベントカテゴリ:これはマシンファイルに依存する。主にイベントビューワ-におけるフィルタ条件として使われる。
RS2
- 0 をセットする。
CRN
- 0 をセットする。
USL
- 0 をセットする。
SRC
-このフィールドはイベントログに関連付けられるソースを指定する。イベントログとしてメッセージファイルが指定された場合、メッセージファイルの DLL に対してこのソース名が関連付けられたレジストリーエントリーがあるはずである。
SRN
-イベントログが生成されたマシンの名前。これは通常ホスト名となる。
STR
- イベントログに関連付けられたテキスト。1つのレコードに複数の文字列を持つこともできる。
DAT
- このフィールドはセットしないようにする。
eventlogadm
で認識できるレコードフォーマットの例:
LEN: 0 RS1: 1699505740 RCN: 0 TMG: 112863.3.11 TMW: 112863.3.11 EID: 1000 ETP: INFO ECT: 0 RS2: 0 CRN: 0 USL: 0 SRC: cron SRN: dmlinux STR: (root) CMD ( rm -f /var/spool/cron/lastrun/cron.hourly) DAT:
メッセージファイルの DLL を指定して、イベントログのソースをセットする:
eventlogadm -o addsource Application MyApplication | \\ %SystemRoot%/system32/MyApplication.dll
システムログからのフィルターメッセージをイベントログとして指定する:
tail -f /var/log/messages | \\ 入力をパースしてイベントログのレコードにするプログラム | \\ eventlogadm SystemLogEvents