| Systemwalker Centric Manager 使用手引書 監視機能編 - UNIX共通 - - Microsoft(R) Windows NT(R)/ Microsoft(R) Windows(R) 2000/ Microsoft(R) Windows Server(TM) 2003 - |
|
目次
索引
|
| 第3章 監視する | > 3.1 イベント監視の設定をする | > 3.1.3 イベント監視の条件を定義する |
Systemwalker Centric Managerの監視するメッセージを特定する条件を設定します。設定方法は“イベント監視の定義例”を参照してください。
→[監視ツリーの選択]ダイアログボックスが表示されます。
→[イベント監視の条件定義]ウィンドウが表示されます。
→[イベント定義]ダイアログボックスが表示されます。
[入力支援]ダイアログボックスを使用すると、ラベル、エラー種別、メッセージテキストを容易に特定できます。
→[入力支援]ダイアログボックスが表示されます。
syslogを元に監視メッセージ形式で設定する場合、ホスト名より後ろのテキストを設定してください。監視イベント一覧およびメッセージ一覧を元に監視メッセージ形式で設定する場合、メッセージ表示域に表示されているテキストを設定してください。
→[イベント定義]ダイアログボックスの以下の項目が、自動で設定されます。
Windows(R)イベントログ形式でログ(イベントログ種別)とソースの組み合わせにより、イベント定義のラベルの特定には、以下のように反映されます。
|
ログ |
ソース |
ラベルの特定 |
|
(指定なし) |
(指定なし) |
特定しない |
|
システムログ |
(指定なし) |
^SY: |
|
アプリケーションログ |
(指定なし) |
^AP: |
|
セキュリティログ |
(指定なし) |
^SE: |
|
(指定なし) |
ソース名 |
ソース名$ |
|
(指定あり) |
ソース名 |
^ログ:ソース名$ (例: ^AP:MpAosfB$) |
Windows(R)イベントログ形式でイベントID、分類、説明の組み合わせにより、イベント定義のメッセージテキストの特定には、以下のように反映されます。
|
イベントID |
分類 |
説明 |
メッセージテキストの特定 |
|
(指定なし) |
(指定なし) |
(指定なし) |
特定しない |
|
イベントID |
(指定なし) |
(指定なし) |
^イベントID: (例: ^9999:) |
|
(指定なし) |
分類 |
(指定なし) |
:分類 |
|
(指定なし) |
(指定なし) |
説明 |
説明 |
|
イベントID |
(指定なし) |
説明 |
^イベントID:.*説明 |
|
イベントID |
分類 |
説明 |
^イベントID:分類.*説明 |
Windows(R)のイベントログのうちセキュリティイベントログを監視対象からはずす
Systemwalkerインストールディレクトリ配下のファイルやフォルダへのアクセスに対して監査を設定している場合、イベントログに大量にイベントが出力されSystemwalkerのCPUの負荷が高くなることがあります。
セキュリティイベントログ監視設定ファイルに定義を行うことで、セキュリティイベントログを監視対象とするかどうかを変更することができます。セキュリティイベントログの監視を行わない場合は、セキュリティイベントログ監視設定ファイルに以下の設定を行います。
セキュリティイベントログ監視設定ファイル:Systemwalkerインストールディレクトリ\mpwalker.dm\mpopagt\etc\opaevt
MPOP_EVTLOG_SEC OFF
セキュリティイベントログ監視設定ファイルの詳細は“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。定義ファイルに定義を実施した後、Systemwalkerを再起動することで定義が有効となります。本定義で監視状態を変更した場合、Systemwalkerの停止から起動までの間に発生したイベントは監視を行いません
注意事項/制限事項
Windows NT(R)、Windows(R) 2000、Windows Server(TM) 2003またはWindows(R) XPで発生したメッセージは、ラベル、エラー種別、メッセージテキストをイベントログのイベントログ種別、ソース名、種類などから自動設定します。
イベントログ種別には、以下のものが設定されます。
|
“SY” |
システムログ、DNS Server、Directory Service、ファイル複写サービス |
|
“AP” |
アプリケーションログ |
|
“SE” |
セキュリティログ |
|
イベントログの種類 |
エラー種別 |
|
情報 |
情報 |
(注)種類が設定されていないイベントは、エラー種別を“情報”として処理されます。“情報”を他の種別に変更する場合は、“動作設定の詳細を設定する”を参照してください。
分類がない場合は、設定されません。
イベントにデータがある時は、説明の後ろに改行されて、そのデータが設定されます。形式は、“データ:”が続き、その後にデータ領域の内容が16進数表現の文字列ダンプとして続きます。ただし、メッセージテキスト全体が2キロバイトを超える場合は、切り捨てられます。
UNIXで発生したメッセージは、以下の形式のメッセージを標準として、ラベル、エラー種別、メッセージテキストを自動設定しています。
・“情報”、“INFO”または“Information”
・“警告”、“WARNING”または“Warning”
・“エラー”、“ERROR”または“Error”
・“停止”、“HALT”または“Stop”
UTF-8コードはSJIS/EUCコードよりも、1文字に使用するバイト数が多いため、SJIS/EUC環境では、ラベル名が256バイト以下であっても、UTF-8環境では、ラベル名が256バイト以上になる場合があります。この場合、UTF-8環境ではメッセージ全体をメッセージテキストとして扱うため、ラベル名でメッセージを特定することができません。ラベル名以外でメッセージを特定するように、定義を見直してください。
運用管理サーバに通知されたメッセージにUTF-8固有文字が含まれる場合は、UTF-8固有文字が代替文字「_(アンダースコア)」に置き換えられ、Systemwalkerコンソールに表示されます。代替文字を含んだメッセージに対し、“監視対象からはずす”や“アクションの追加”を行った場合、代替文字を含んだ文字列でイベント定義が作成されますが、イベント監視の機能に影響はありません。
Solaris OE、Linuxで出力されるsyslogのメッセージテキストの中で、システムが付加する以下の文字列はフィルタリングの対象外となります。
nnnnn : 可変の数字
daemon : デーモン名
nnnnn : プロセスID
ログファイルに出力されたメッセージについては、“イベント監視の定義例”を参照してください。SNMPトラップイベントについては、“SNMPトラップを発行する”を参照してください。
なお、“監視イベント種別”および“通報番号”は、被監視システム側で設定した場合だけ、設定されて通知されます。
メッセージを監視する際、大文字と小文字、全角文字と半角文字は区別します。また、空白の数の違いも区別します。
メッセージタイプには、以下の3種類があります。発生したメッセージには、以下のどれかのタイプが付加されています。
システムにより、発生するメッセージタイプが異なります。
一般メッセージのみ発生します。返答要求メッセージおよび高輝度メッセージは発生しません。
一般メッセージまたは、返答要求メッセージが発生します。高輝度メッセージは発生しません。
一般メッセージ、返答要求メッセージ、および高輝度メッセージが発生します。
※下位サーバに12.0以降のSystemwalker Centric Managerが存在する場合、上位送信によって、返答要求メッセージを受信する場合があります。
|
目次
索引
|