knowledge 「WMI」アクションでWindowsイベントログから特定のログを抽出するサンプル(システム担当者向け)

本記事では、「WMI」アクションを使用しWindowsイベントログからログのデータを抽出するサンプルを紹介します。
イベント ビューアーでは、「メッセージ」部分でログを絞り込むことが出来ませんが、WMIクエリならば実行可能です。

以下、一例です。
※なお、WMIクエリの設定値については、弊社のサポート範囲外となりお答え致しかねますのでご留意ください。
1. ローカルコンピューターから、「イベント日付:実行日の日本時間0時以降」「タイプ:エラー」「ログファイル:Application」かつメッセージに「アクセスが拒否」を含むログをデータセットに抽出

<AMWMI RESULTDATASET="ds_EventLogErrors" NAMESPACE="root\CIMV2">SELECT *
FROM Win32_NTLogEvent
WHERE Type = 'エラー'
AND logfile = 'Application'
AND timegenerated &gt;= '%Format(Date(), "yyyymmdd")%000000.0+540'
AND Message LIKE '%%アクセスが拒否%%'</AMWMI>

2. リモートコンピューター(例:192.168.0.0)から、「イベント日付:日本時間2020/3/10 0:00以降」「タイプ:情報」「ログファイル:Application」かつメッセージに「失われました」を含むログをデータセットに抽出
(ファイアウォールでブロックされる場合は成功しません)

<AMWMI RESULTDATASET="ds_EventLogErrors" NAMESPACE="root\CIMV2" HOST="192.168.0.0" USERNAME="administrator" PASSWORD="AM5FwpI+EyTMVE2YECKWrmZdw==aME">SELECT *
FROM Win32_NTLogEvent
WHERE Type = '情報'
AND logfile = 'Application'
AND timegenerated &gt;= '20200310000000.0+540'
AND Message LIKE '%%失われました%%'</AMWMI>