| Systemwalker Centric Manager 使用手引書 監視機能編 - UNIX/Windows(R)共通 - |
|
目次
索引
|
| 第2部 設定 | > 第4章 [監視ポリシー]の設定 | > 4.3 イベント監視 | > 4.3.1 イベント監視の監視条件を設定する |
イベント監視の条件定義は、システムで発生したイベントに対して、どのような処理を実施するかを特定するための条件のことです。
例えば、深夜に重要度の高いイベントが発生した場合は、音声通知によりオペレータに通報し、対処方法が判明しているイベントが発生した場合は、自動対処を行うアプリケーションを起動するよう定義します。
以下の項目を設定します。
|
設定する項目 |
内容 |
設定画面 |
|
[ホスト名の特定] |
イベントを特定するためにシステムやメッセージを指定します。 |
[イベント定義/アクション定義]の[イベントの特定]タブ |
|
[ホスト名の特定] |
イベントを特定するための監視イベント種別やエラー種別などを細かく指定します。 |
[イベント定義](詳細) |
→[イベント定義/アクション定義]画面が表示されます。
→[イベント定義(詳細)]画面が表示されます。
発生イベントを特定する条件を定義するとき、ラベル、エラー種別、メッセージテキストに分割して定義する方法と、ラベル、エラー種別、メッセージテキストに分割せずに定義する方法があります。以下に、分割して定義する場合について説明します。分割しない場合の定義方法については、“ラベル、エラー種別、メッセージテキストに分割しない場合”を参照してください。
[入力支援]ダイアログボックスを使用すると、ラベル、エラー種別、メッセージテキストを容易に特定できます。
→[イベント定義(詳細)]ダイアログボックスが表示されます。
→[入力支援]ダイアログボックスが表示されます。
シスログを元に監視メッセージ形式で設定する場合、ホスト名より後ろのテキストを設定してください。[監視イベント一覧]および[メッセージ一覧]を元に監視メッセージ形式で設定する場合、メッセージ表示域に表示されている[テキスト]を設定してください。
→[イベント定義(詳細)]ダイアログボックスの以下の項目が、自動で設定されます。
Windows(R)イベントログ形式でログ(イベントログ種別)とソースの組み合わせにより、[イベント定義(詳細)]の[ラベルの特定]には、以下のように反映されます。
|
ログ |
ソース |
[ラベルの特定] |
|
(指定なし) |
(指定なし) |
[特定しない] |
|
システムログ |
(指定なし) |
^SY: |
|
アプリケーションログ |
(指定なし) |
^AP: |
|
セキュリティログ |
(指定なし) |
^SE: |
|
(指定なし) |
ソース名 |
ソース名$ |
|
(指定あり) |
ソース名 |
^ログ:ソース名$ (例: ^AP:MpAosfB$) |
Windows(R)イベントログ形式でイベントID、分類、説明の組み合わせにより、[イベント定義(詳細)]の[メッセージテキストの特定]には、以下のように反映されます。
|
イベントID |
分類 |
説明 |
[メッセージテキストの特定] |
|
(指定なし) |
(指定なし) |
(指定なし) |
[特定しない] |
|
イベントID |
(指定なし) |
(指定なし) |
^イベントID: (例: ^9999:) |
|
(指定なし) |
分類 |
(指定なし) |
:分類 |
|
(指定なし) |
(指定なし) |
説明 |
説明 |
|
イベントID |
(指定なし) |
説明 |
^イベントID:.*説明 |
|
イベントID |
分類 |
説明 |
^イベントID:分類.*説明 |
Systemwalkerインストールディレクトリ配下のファイルやフォルダへのアクセスに対して監査を設定している場合、イベントログに大量にイベントが出力されSystemwalkerのCPUの負荷が高くなることがあります。
イベントログ監視設定ファイルに定義を行うことで、イベントログを監視対象とするかを変更することができます。イベントログ監視設定ファイルに以下の設定を行います。
|
イベントログ監視設定ファイル:Systemwalkerインストールディレクトリ(※)\MPWALKER.DM\mpopagt\etc\opaevt |
※)共有ディスク上のSystemwalkerインストールディレクトリ:運用管理サーバでクラスタ運用されている場合
セキュリティイベントログの監視を行わない場合は、イベントログ監視設定ファイルに以下の設定を行います。
|
MPOP_ENABLE_EVTLOG OFF |
イベントログの監視を行わない場合は、イベントログ監視設定ファイルに以下の設定を行います。
|
MPOP_DISABLE_EVTLOG OFF |
イベントログ監視設定ファイルの詳細については“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。定義ファイルに定義を実施した後、Systemwalkerを再起動することで定義が有効となります。本定義で監視状態を変更した場合、Systemwalkerの停止から起動までの間に発生したイベントは監視を行いません。
Windowsで発生したメッセージは、ラベル、エラー種別、メッセージテキストをイベントログのイベントログ種別、ソース名、種類から自動設定します。
イベントログ種別には、以下のものが設定されます。
|
“SY” |
システムログ、DNS Server、Directory Service、ファイル複写サービス、ハードウェア、DFSレプリケーション、Internet Explorer、Key Management Service、Media Center |
|
“AP” |
アプリケーションログ |
|
“SE” |
セキュリティログ |
|
イベントログの[種類] |
[エラー種別] |
|
[情報] |
[情報] |
(注)種類が設定されていないイベントは、エラー種別が[情報]として処理されます。[情報]をほかの種別に変更する場合は、“動作設定の詳細を設定する”を参照してください。
分類がない場合は、設定されません。
イベントにデータがあるときは、説明の後ろに改行されて、そのデータが設定されます。形式は、“データ:”が続き、その後にデータ領域の内容が16進数表現の文字列ダンプとして続きます。ただし、メッセージテキスト全体が2KBを超える場合は、切り捨てられます。
UNIXで発生したメッセージは、以下の形式のメッセージを標準として、ラベル、エラー種別、メッセージテキストを自動設定しています。
・“情報”、“INFO”または“Information”
・“警告”、“WARNING”または“Warning”
・“エラー”、“ERROR”または“Error”
・“停止”、“HALT”または“Stop”
UTF-8コードはSJIS/EUCコードよりも、1文字に使用するバイト数が多いため、SJIS/EUC環境では、ラベル名が256バイト以下であっても、UTF-8環境では、ラベル名が256バイト以上になる場合があります。この場合、UTF-8環境ではメッセージ全体をメッセージテキストとして扱うため、ラベル名でメッセージを特定することができません。ラベル名以外でメッセージを特定するように、定義を見直してください。
運用管理サーバに通知されたメッセージにUTF-8固有文字が含まれる場合は、UTF-8固有文字が代替文字「_(アンダースコア)」に置き換えられ、[Systemwalkerコンソール]に表示されます。代替文字を含んだメッセージに対し、“監視対象から除外”や“監視対象に追加”を行った場合、代替文字を含んだ文字列でイベント定義が作成されますが、イベント監視の機能に影響はありません。
Solaris、Linuxで出力されるシスログのメッセージテキストの中で、システムが付加する以下の文字列はフィルタリングの対象外です。
nnnnn : 可変の数字
xxxx : アプリケーションが指定する文字列
nnnnn : プロセスID
Windows上でも、上記の形式と同じ形式のメッセージが発生した場合も、フィルタリングの対象外となります。
イベントログは、自動的に監視メッセージ(Systemwalker Centric Managerで監視できるメッセージの形式)に変換されます。変換後のメッセージの形式は以下のとおりです。“エラー種別”および“メッセージテキスト”の前の“:”および空白は半角であることに注意してください。
ラベル: エラー種別: メッセージテキスト
“ラベル”は、以下の形式で設定されます。
|
イベントログ種別:ソース名 |
出力されたイベントログの種別が設定されます。設定される文字列とその意味は以下のとおりです。
|
AP |
: |
アプリケーションログ |
|
SE |
: |
セキュリティログ |
|
SY |
: |
システム ログ、Directory Service、DNS Server、ファイル複製サービス |
出力されたイベントログのソース名が設定されます。
“エラー種別”には、出力されたイベントログのエラー種別が設定されます。設定される文字列と出力されたイベントログのエラー種別の関係は以下のとおりです。
|
情報 |
: |
情報 |
|
警告 |
: |
警告 |
|
エラー |
: |
エラー |
|
情報 |
: |
成功の監査 |
|
エラー |
: |
失敗の監査 |
“メッセージテキスト”は、以下の形式で設定されます。
|
イベントID:[分類:]説明 |
出力されたイベントログに設定されているイベントIDが設定されます。
出力されたイベントログに設定されているイベントの分類が設定されます。イベントの分類がないときは設定されません。
出力されたイベントログに設定されているイベントの説明が設定されます。
イベントにデータがある場合は、説明の後に改行されて、そのデータが設定されます。形式は、“データ:”が続き、その後にデータ領域の内容が16進数表現の文字列ダンプとして続きます。ただし、監視メッセージ全体が2KBを超える場合は、切り捨てられます。
変換後のメッセージを利用すると、発生したイベントログに対するアクションを、Systemwalker Centric Managerを導入した上位システムでも実行することができます。この場合、定義は以下の手順で行います。
【イベントログを監視するシステムでの定義】
【アクションを実行する上位システムでの定義】
メッセージをラベル、エラー種別、メッセージテキストに分割しない形式で定義する場合は、[エラー種別、ラベル、テキストに分割せずにメッセージを特定する]のチェックボックスをチェックします。[メッセージテキスト]の欄に、発生イベントのメッセージをラベル、エラー種別、メッセージテキストに分割せずに設定します。本機能を“簡易イベント定義機能”といいます。
[イベント定義/アクション定義]-[イベント定義]ダイアログボックスで定義する場合は、メッセージをラベル、エラー種別、メッセージテキストに分割しない形式になります。
ポリシー配付先ノードがSystemwalker Centric Manager V13.0.0以前の場合、およびSystemwalker Centric Manager V13.0.0以前のサーバに接続して、イベント監視の条件定義を編集する場合、[エラー種別、ラベル、テキストに分割せずにメッセージを特定する]チェックボックスは使用できません。
ラベル、エラー種別、メッセージテキストに分割せずに定義する場合は、UNIXシステムで出力されるシスログのメッセージテキストの中で、システムが付加する以下の文字列も指定することができます。
nnnnn : 可変の数字
xxxx : アプリケーションが指定する文字列
nnnnn : プロセスID
[メッセージテキスト]に設定する文字列に、正規表現文字を一般文字として使用する場合、該当文字の前に“\”(円記号)を付けてください。[入力支援]ダイアログボックスを使用すると、正規表現文字の前に“\”(円記号)を自動的に付けます。
SNMPトラップイベントについては、“SNMPトラップを発行する”を参照してください。
なお、[監視イベント種別]および[通報番号]は、被監視システム側で設定した場合だけ、設定されて通知されます。
メッセージを監視する際、大文字と小文字、全角文字と半角文字は区別します。また、空白の数の違いも区別します。
メッセージタイプには、以下の3種類があります。発生したメッセージには、以下のどれかのタイプが付加されています。
システムにより、発生するメッセージタイプが異なります。
一般メッセージのみ発生します。返答要求メッセージおよび高輝度メッセージは発生しません。
一般メッセージまたは、返答要求メッセージが発生します。高輝度メッセージは発生しません。
一般メッセージ、返答要求メッセージ、および高輝度メッセージが発生します。
※下位サーバに12.0以降のSystemwalker Centric Managerが存在する場合、上位送信によって、返答要求メッセージを受信する場合があります。
|
目次
索引
|