Windows Server 2019のイベントログサブスクリプション構成へ、設定をひと手間加えないとダメなんだなぁ。

Windows Server 2022とAzure Stack HCI OSからイベントログ転送を確認したくて、Windows Server 2019でイベントログサブスクリプションを構成しました。が、一向にイベントログが飛んでこない。

イベントログサブスクリプションのランタイム状態を確認したらエラー。。。
※接続テストは、通っていたのに。。。

上記ダイアログにnetsh httpの記載があったので、確認してみました。まずイベントログサブスクリプションを構成したサーバー（通称コレクター）のイベントログを見てみたところ、エラーが発生していました。。。

netsh http show urlaclを実行してみました。

この情報と、イベントソース：Windows Remote Management、イベントID：10129を基に検索してみたところ、以下の情報を見つけました。

Events are not forwarded if the collector is running Windows Server

上記情報に、下記のような文面がありましたので引用します。（日本語がちょっとあれなので英文）。

The services function differently in Windows Server 2019. If a Windows Server 2019 computer has more than 3.5 GB of RAM, separate svchost processes run WinRM and WecSvc. Because of this change, event forwarding may not function correctly in the default configuration.

ということで、「WSMANに対してセキュリティ強化されている」と理解しました。よって、

 Events are not forwarded if the collector is running Windows Server

の[Resolution]項にある下記のコマンドを実行すればよいと判断しました。

netsh http delete urlacl url=http://+:5985/wsman/

netsh http add urlacl url=http://+:5985/wsman/ sddl=D:(A;;GX;;;S-1-5-80-569256582-2953403351-2909559716-1301513147-412116970)(A;;GX;;;S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517)

S-1-5-80-4059739203-877974739-1245631912-527174227-2996563517 がWecSvcのSIDと理解してます。で実行してみました。

netsh http show urlaclを再実行したところ、権限が付与されました。

サブスクリプションの[再試行]をクリックします。

イベントログサブスクリプションのランタイム状態を確認したら、エラーからアクティブに変わりました。これで無事にイベントログが収集できましたよー

以上、おそらくWindows Server 2022でイベントログサブスクリプションを構成する際にも同じことが起きそうな気がするので、勉強になりました。

追伸

イベントログサブスクリプションは、下記記事で復習しました。

イベントサブスクリプションに関して