Systemwalker Centric Manager 使用手引書 監視機能編 - UNIX共通 - - Microsoft(R) Windows NT(R)/Microsoft(R) Windows(R) 2000/Microsoft(R) Windows Server(TM) 2003 -

目次 索引

第2章 監視する

2.1 イベントを監視するためのシステム環境設定

2.1.3 イベント監視の条件を定義する

2.1.3.3 監視するメッセージを定義する

Systemwalker Centric Managerの監視するメッセージを特定する条件を設定します。設定方法は“イベント監視の定義例”を参照してください。

■呼び出し方法

1. Systemwalkerコンソールの[ツリー選択]ボックスから、環境定義を行う対象が存在するツリー(ノード一覧、ノード管理、業務管理)を選択します。
2. ノード管理ツリーまたは業務管理ツリーを選択した場合は、[ファイル]メニューから[監視ツリーの選択]を選択し、[監視ツリーの選択]ダイアログボックスに表示されるツリーの中から目的のツリーを選択します。
3. 選択したツリーの中から環境定義を行う対象のフォルダまたはノードを選択した後、[ポリシー]メニューから[ポリシーの定義]-[イベント]-[フォルダ]または[ノード]を選択し、[イベント監視の条件定義]ウィンドウを表示します。
4. [イベント監視の条件定義]ウィンドウで[イベント]メニューから[イベントの追加]を選択し、[イベント定義]ダイアログボックスを表示します。

■ラベル、エラー種別、メッセージテキストについて

[入力支援]ダイアログボックスを使用すると、ラベル、エラー種別、メッセージテキストを容易に特定できます。

1. [イベント定義]ダイアログボックスの[入力支援]ボタンをクリックします。
2. [入力支援]ダイアログボックスで、監視するメッセージの情報を入力します。
   1. Systemwalkerコンソールの監視イベント一覧、メッセージ一覧に表示される形式、またはsyslogに出力される形式でメッセージを設定する場合には、[監視メッセージ形式で入力する]オプションボタンをチェックします。

      syslogを元に監視メッセージ形式で設定する場合、ホスト名より後ろのテキストを設定してください。監視イベント一覧およびメッセージ一覧を元に監視メッセージ形式で設定する場合、メッセージ表示域に表示されているテキストを設定してください。

   2. Windowsのイベントログに出力される形式でメッセージを設定する場合には、[Windowsイベントログ形式で入力する] オプションボタンをチェックします。特定されるメッセージは、“Windowsイベントログの組合せ”を参照してください。
3. [OK]ボタンをクリックすると、[イベント定義]ダイアログボックスの以下の項目が、自動で設定されます。
   • エラー種別
   • ラベル
   • メッセージテキスト

Windowsイベントログの組合せ

Windowsイベントログ形式でログ(イベントログ種別)とソースの組み合わせにより、イベント定義のラベルの特定には、以下のように反映されます。

Windowsイベントログ形式でイベントID、分類、説明の組み合わせにより、イベント定義のメッセージテキストの特定には、以下のように反映されます。

Windowsのイベントログのうちセキュリティイベントログを監視対象からはずす

Systemwalkerインストールディレクトリ配下のファイルやフォルダへのアクセスに対して監査を設定している場合、イベントログに大量にイベントが出力されSystemwalkerのCPUの負荷が高くなることがあります。

セキュリティイベントログ監視設定ファイルに定義を行うことで、セキュリティイベントログを監視対象とするかどうかを変更することができます。セキュリティイベントログの監視を行なわない場合は、セキュリティイベントログ監視設定ファイルに以下の設定を行います。

セキュリティイベントログ監視設定ファイル：

<Systemwalker Centric Managerインストールディレクトリ>\mpwalker.dm\mpopagt\etc\opaevt

MPOP_EVTLOG_SEC OFF

定義の詳細は“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。定義ファイルに定義を実施した後、Systemwalkerを再起動することで定義が有効となります。本定義で監視状態を変更した場合、Systemwalkerの停止から起動までの間に発生したイベントは監視を行いません

注意事項／制限事項

• 本定義を実施しSystemwalkerを再起動した場合、全てのイベントログ（アプリケーション、システム等）は、Systemwalker停止中のイベントログの監視は行いません。起動時より監視を開始します。
• セキュリティイベントログ監視設定ファイルの定義がない、定義の内容が無効である場合はセキュリティイベントログの監視を行います。
• Systemwalkerインストール時（デフォルト）はセキュリティイベントログの監視を行います。
• 本定義ファイルはバックアップリストア、移行の対象です。

Windows NT(R)、Windows(R) 2000、Windows Server(TM) 2003、Windows(R) XPで発生したメッセージ

Windows NT(R)、Windows(R) 2000、Windows Server(TM) 2003またはWindows(R) XPで発生したメッセージは、ラベル、エラー種別、メッセージテキストをイベントログのイベントログ種別、ソース名、種類などから自動設定します。

• ラベルは、“イベントログ種別:ソース名”の形式で設定されます。

  イベントログ種別には、以下のものが設定されます。

  
  
  

  “SY”	システムログ、DNS Server、Directory Service、ファイル複写サービス
  “AP”	アプリケーションログ
  “SE”	セキュリティログ

• エラー種別は、イベントログの種類と次のような対応で設定されます。

  イベントログの種類	エラー種別
  情報 警告 エラー 成功の監査 失敗の監査 なし	情報 警告 エラー 情報 エラー エラー

• メッセージテキストは、“イベントID:[分類:]説明”の形式で設定されます。

  分類がない場合は、設定されません。

  イベントにデータがある時は、説明の後ろに改行されて、そのデータが設定されます。形式は、“データ:”が続き、その後にデータ領域の内容が16進数表現の文字列ダンプとして続きます。ただし、メッセージテキスト全体が2キロバイトを超える場合は、切り捨てられます。

UNIXで発生したメッセージ

UNIXで発生したメッセージは、以下の形式のメッセージを標準として、ラベル、エラー種別、メッセージテキストを自動設定しています。

• ラベルやエラー種別の区切りはコロン+空白(“: ”)です。
• エラー種別は以下のどれかの文字列でなければなりません。

  ・“情報”、“INFO”または“Information”

  ・“警告”、“WARNING”または“Warning”

  ・“エラー”、“ERROR”または“Error”

  ・“停止”、“HALT”または“Stop”

• ラベルの長さが257バイト以上の場合、エラー種別およびラベルのないメッセージと認識します。
• UNIXの場合、ラベルがないメッセージまたはエラー種別がないメッセージがあります。

Linux(UTF-8環境)で発生したメッセージについて

UTF-8コードはSJIS/EUCコードよりも、1文字に使用するバイト数が多いため、SJIS/EUC環境では、ラベル名が256バイト以下であっても、UTF-8環境では、ラベル名が256バイト以上になる場合があります。この場合、UTF-8環境ではメッセージ全体をメッセージテキストとして扱うため、ラベル名でメッセージを特定することができません。ラベル名以外でメッセージを特定するように、定義を見直してください。

Solaris OE、Linuxで発生したメッセージについて

Solaris OE、Linuxで出力されるsyslogのメッセージテキストの中で、システムが付加する以下の文字列はフィルタリングの対象外となります。

• “[ID nnnnn facility.priority]”形式の文字列

  nnnnn : 可変の数字

• エラー種別の前部分に付加される“daemon[nnnnn]”形式の文字列

  daemon : デーモン名

  nnnnn : プロセスID

ログファイルに出力されたメッセージ

ログファイルに出力されたメッセージについては、“イベント監視の定義例”を参照して下さい。SNMPトラップイベントについては、“SNMPトラップを発行する”を参照して下さい。

なお、“監視イベント種別”および“通報番号”は、被監視システム側で設定した場合だけ、設定されて通知されます。

メッセージを監視する際、大文字と小文字、全角文字と半角文字は区別します。また、空白の数の違いも区別します。

目次 索引