TWWINLOG: Windowsイベントログの集計方法に再び悩む

涼しくて元気を取り戻した猫は、夜中の２時から１時間毎に私を起こしにきました。もうろうとしながらご飯をあげましたが、どうやら違う要望があったようです。朝５時に庭に出して大好きな雨水を舐めさせたら、やっと騒ぎがおさまりました。今は満足して寝ています。

TWWINLOGの情報からTWSNMP　FCでレポートを表示する機能を作っていて、どうにも集計方法がよくないと思いました。ここで修正しないと取り返しがつかないと思い、かなり後戻りになりますが大幅に修正することにしました。修正についてポイントだけメモしておきます。

＊TWWINLOGを起動してからの累計情報は廃止する
＊Windowの内部的なIDの利用はやめる
＊集計の単位を管理者の指定で有益なものにする

１つ目の累計情報は、TWWLOGを起動してからのログインの総回数のような情報で送信する方法にしていましが、これだとsyslogを受信したTWSNNP　FC側で集計するのが難しくなることがわかりました。TWWINLOGが再起動したことを検知して集計に反映させるような複雑な処理が発生するからです。なので、シンプルに送信周期の単位の合計だけ送信するようにしました。受信した側では単に足せばよいだけなので処理がシンプルになります。
２つ目のWindowsの内部的なIDはS-1-5-21-3457937927-2839227994-823803824-1104のようなものです。syslogで送信して関連するユーザーやサービスを厳密に特定できるように送信するようにしていました。でも、この情報がなくても管理者に有益な情報がわかるので送るのはやめることにしました。送信すると逆に混乱のもとになりそうな気がします。
３つ目は集計する単位を良く考えてログの量を増やさずに有益な情報を得られるようにしたいということです。例えばアカウントの変更は、変更した人、変更されたアカウト、変更を要求した場所（IPアドレス）の単位で集計するようなことを考えています。
沢山考えることがあるので、今週一杯続きそうです。
明日に続く