イベントビューアからグループポリシーのトラブルシューティングを行う (2)

 
資料をいろいろと整理していたら、
イベントビューアからグループポリシーのログを参照する話がみつけたのですが、
そこにこのようなタイトルがついているスライドを見つけました。
 
Making lemonade from logs
 
ログからレモネードを作るって、どういうことなのだろう?と思っていたら
 
When life gives you lemons, make lemonade.
 
という、ことわざを見つけました。
「不良品を使って、価値あるものを作り出せ」って事らしいのですが、
そういう意味でいうと、「Making lemonade from logs」ということは
イベントログは「不良品」ということなのでしょうか?
 
 
そんなわけで(?)、「不良品」であるイベントログから
グループポリシーのログを取り出す方法について考えてみたいと思います。
 
 
以前、イベントビューアのGroupPolicyログを使ってグループポリシーのアクティビティを追いかける話をしました。
(「イベントビューアからグループポリシーのトラブルシューティングを行う」参照)
グループポリシーのログは、Windowsログのシステムログにも、いくつか記録されるものがあります。
GroupPolicyログほど、詳細な情報はいらないので、とりあえず、うまく動いているかだけ確認したい!というときに
役立ちそうなログが用意されているようです。 
 
 

イベントID

説明

1085

 GPO設定の適用に失敗した

1109

使用しているコンピュータ(?)が別フォレストのため、
GPOが適用できない

1112

CSEが起動時またはログオン時に1つ以上のGPO設定を
適用できなかった

1126

ドメインコントローラと時刻の同期ができていないので、GPO設定を適用できなかった

1128

CSEが予測不能な出来事によってGPO適用を終了した
(再起動時までCSEは無効になる)

1500

コンピュータのポリシーを処理したが、変更が検出されなかった

1501

ユーザーのポリシーを処理したが、変更が検出されなかった

1502

コンピュータのポリシーを処理して、新しい設定を検出された

1503

ユーザーのポリシーを処理して、新しい設定を検出された

 
すべての現象を確認したわけではないのですが、以上のようなログが記録されるようです。
これを見ると、イベントIDが1085~1128のログを見かける場合は要注意だってことがわかりますね。
 
これらのログも以前に紹介した、XPathによるログのクエリを実行すると、きれいに 絞り込むことができると思います。