簡易チェックツールの起動後、イベント監視の条件定義を確認する方法について説明します。
1. 確認するイベント監視の条件定義を設定する
簡易チェックツールを使用して確認する[イベント監視の条件定義]を設定します。簡易チェックツールの起動時、および、[簡易チェックツール(イベント監視の条件定義)]画面より[ファイル]メニューの[定義ファイルの設定]を選択した場合に、[定義ファイルの設定]ダイアログボックスが表示されます。
他システムのイベント監視の条件定義を確認する場合は、“他システムのイベント監視の条件定義を確認する場合”を参照してください。
[簡易チェックツール(イベント監視の条件定義)]画面では、簡易チェックツールの操作およびチェック結果の確認、アクション実行条件およびアクションの表示を行います。
イベント定義の表示
一覧には、イベント監視の条件定義に設定されている監視するメッセージの条件が表示されます。一覧の各列には、イベント監視の条件定義画面のイベント定義において設定された情報が表示されます。イベントの情報を特定しない場合は、“*”が表示されます。
アクション実行条件およびアクションの表示
読み込んだイベント監視の条件定義に設定されているアクション実行条件およびアクションを表示します。これにより、イベントと一致する行を見つけた場合に、そのイベントによってどのようなアクションが実行されるか、また、[監視イベント一覧]に表示されるかなどを簡易チェックツールで確認することができます。
アクション実行条件およびアクションは、[簡易チェックツール(イベント監視の条件定義)]画面の初回起動時には表示されません。表示するには、[表示]メニューより[列の選択]を選択し、[列の選択]ダイアログから必要な情報を選択します。表示している列の情報は、次回の簡易チェックツール起動時に引き継がれます。
[アクション条件]、[メッセージ監視]およびアクションは、[イベント監視の条件定義]の一覧と同じ形式で表示されます。ただし、簡易チェックツールでは、上位優先/常時実行で色をわけません。
2. 確認したいメッセージを設定しイベント定義をチェックする
イベント監視の条件と比較するメッセージを設定します。メッセージの設定は、以下の方法で行います。
手入力でメッセージを指定する。
メッセージデータを読み込み、データの中にあるメッセージを選択します。
Windows(R)のイベントログに出力されるイベントで種類([エラー]、[警告]、[情報])が設定されていないものに対して、[エラー種別]および[重要度]を設定します。
[簡易チェックツール(イベント監視の条件定義)]画面で、[設定]-[動作設定]を選択します。
→[動作設定]ダイアログボックスが表示されます。
[エラー種別(重要度)]を選択します。
イベント監視の条件とメッセージの比較は、空白の数や文字の大文字/小文字、半角/全角の違いも比較されます。これらの違いの入力ミスを防ぐため、コピー&貼り付けの機能を使用して設定してください。
[手入力でメッセージを指定する場合]
Windows(R)イベントログに出力される形式でメッセージを設定する場合
[簡易チェックツール(イベント監視の条件定義)]画面で、[操作]-[メッセージの設定]-[Windowsイベントログ]メニューを選択します。
→[メッセージの設定-Windowsイベントログ]ダイアログボックスが表示されます。
イベントログの形式で情報を設定します。
下位システムの[イベント監視の条件定義]のメッセージ監視において、イベントの属性を変更している場合は、[イベントの属性の設定]ダイアログボックスより、[イベントの属性一覧]に表示されている情報を変更してください。
[チェック]ボタンをクリックし、メッセージの比較を行います。
UNIXのシスログ、または[Systemwalkerコンソール]の[監視イベント一覧]および[メッセージ一覧]に表示される形式で設定する場合
[簡易チェックツール(イベント監視の条件定義)]画面で、[操作]-[メッセージの設定]-[監視メッセージ]メニューを選択します。
→[メッセージの設定- 監視メッセージ]ダイアログボックスが表示されます。
比較するメッセージを設定します。
下位システムの[イベント監視の条件定義]のメッセージ監視において、イベントの属性を変更している場合は、[イベントの属性の設定]ダイアログボックスより、[イベントの属性一覧]に表示されている情報を変更してください。
[チェック]ボタンをクリックし、メッセージの比較を行います。
[メッセージデータを読み込んで設定する場合]
メッセージを読み込むデータとして指定できる種類を以下に示します。
Windows(R)イベントログ
Windows(R)イベントログをテキスト(CSV形式)で出力したファイル
UNIXのシスログ
監視ログファイル
opamsgrev(メッセージ検索コマンド)で出力したファイル
opmtrcsv(監視イベント履歴CSV出力コマンド)で出力したファイル
なお、読み込むデータとして指定できる文字コードはSJISコードです。
異なる文字コードのファイルの場合は、SJISコードに変換したファイルを指定してください。
Windows(R)イベントログをテキスト(CSV形式)で出力したファイルは、イベントビューアの[操作]-[ログファイルの名前を付けて保存]により、出力したCSVファイルを選択してください。
[簡易チェックツール(イベント監視の条件定義)]画面で、[操作]-[メッセージの読み込み]メニューを選択します。
→[メッセージの読み込み]ダイアログボックスが表示されます。
メッセージを読み込むデータの種類およびファイルを指定し、[OK]をクリックします。
[メッセージの選択]ダイアログボックスで比較するメッセージを選択します。
[絞り込み]ボタンをクリックすると、[メッセージ一覧]に表示されているメッセージの絞り込み、または、絞り込む条件を変更することができます。
下位システムの[イベント監視の条件定義]のメッセージ監視において、イベントの属性を変更している場合は、[イベントの属性の設定]ダイアログボックスより、[イベントの属性一覧]に表示されている情報を変更してください。
[チェック]ボタンをクリックし、メッセージの比較を行います。
[Windowsイベントログをテキスト(CSV形式)で出力したファイル]を確認する場合
“~に関する説明が見つかりません”と表示されるメッセージは、CSVファイルへの出力時に該当イベントのメッセージ用DLLが存在しない場合に、Windowsが設定する文字列です。Systemwalkerはメッセージ用DLLが存在しない場合、説明に何も設定しません。そのため、このメッセージを選択し、比較処理を行っても、比較結果は実際に動作する場合と異なります。
UNIXのシステムログを確認する場合
以下の場合、システムログにメッセージが出力されていても、Systemwalkerでは監視の対象外となります。そのため、イベント監視の条件定義に設定されているアクションも実行されません。
他システムから出力されたメッセージ
syslog.confまたはrsyslog.confの設定により、Systemwalkerに通知されないメッセージ
Red Hat Enterprise Linux 6 のシスログを使用する場合
Red Hat Enterprise Linux 6 のシスログに出力されているメッセージを読み込ませて使用する場合、以下の手順で行います。
インストール型エージェントで監視しているシステムのシスログを使用する場合
Systemwalker Centric Manager で監視するメッセージと同じ形式のメッセージを、システムの標準のシスログとは別のファイルに出力します。このファイルを簡易チェックツールに読み込ませて使用します。
メッセージの出力は、“/etc/rsyslog.conf”で設定します。
“/etc/rsyslog.conf”の設定方法については“Systemwalker Centric Manager 導入手引書”を参照してください。
インストールレス型エージェントで監視しているシステムのシスログを使用する場合
[動作設定]で監視対象として設定したシステムログを、簡易チェックツールに読み込ませて使用します。
インストールレス型エージェント監視の詳細については、“インストールレス型エージェント監視”を参照してください。
Windowsのイベントログを確認する場合
以下の場合、イベントログにメッセージが出力されていても、Systemwalkerでは監視の対象外となります。そのため、イベント監視の条件定義に設定されているアクションも実行されません。
他システムから出力されたメッセージ
[opamsgrev(メッセージ検索コマンド)で出力したファイル]または[opmtrcsv(監視イベント履歴CSV出力コマンド)で出力したファイル]を確認する場合
GSシステムから発生したマルチラインメッセージを選択し、比較処理を行った場合、比較結果が実際の動作と異なる場合があります。
opmtrcsv(監視イベント履歴CSV出力コマンド)で出力したファイルを確認する場合
表示される[監視イベント種別]および[重要度]は、すでに[イベント監視の条件定義]の[メッセージ監視]により変更されています。イベントの発生時に設定されている[監視イベント種別]および[重要度]については、“[Systemwalkerコンソール]にメッセージを通知する”の“メッセージ監視の詳細を設定しない場合”を参照してください。
opmtrcsvで出力したメッセージテキスト中の改行コードは空白に置き換えられているため、チェック結果が異なる場合があります。メッセージテキスト中に改行が含まれていないか確認してください。
改行の確認は、opamsgrev の -c オプションで可能です。詳細は“Systemwalker Centric Managerリファレンスマニュアル”を参照してください。
注意
監視の対象外となる場合の注意事項
以下の場合、シスログ/イベントログにメッセージが出力されていても、Systemwalkerでは監視の対象外となります。そのため、イベント監視の条件定義に設定されているアクションも実行されません。
他システムから出力されたメッセージ
syslog.confまたはrsyslog.confの設定により、Systemwalkerに通知されないメッセージ(シスログの場合)
イベントログ監視設定ファイルにて、Systemwalkerに通知しないよう定義されたメッセージ(イベントログの場合)
イベントログ監視設定ファイルの詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
3. メッセージの比較結果を確認する
[メッセージの設定]ダイアログボックスで比較するメッセージを入力した後、[チェック]ボタンをクリックすると、イベント監視の条件定義との比較結果が表示されます。確認するメッセージの情報、およびイベント監視の条件定義の設定内容により、比較結果は以下の背景色で表示されます。また、条件のすべての項目が一致した場合は、行番号が青色表示されます。アクション実行条件が設定されている場合には、条件のすべての項目が一致すると行番号が緑色表示されます。
発生するメッセージの情報 | イベント監視の条件定義 | |
|---|---|---|
特定しない | 特定する | |
指定あり | 青 | 青または背景色なし |
指定なし(分からない) | 青 | 黄 |
背景色(青): 一致した項目
背景色(黄): 一致するか不明な項目
背景色(なし): 一致しない項目
背景色(緑): すべての条件に一致し、アクション実行条件が設定されている項目(行番号およびアクションのみ)
背景色(灰): 以下のどれかの状態
定義が無効状態
テンプレートの開始を示す行
テンプレートの終了を示す行
アクション条件が設定されているイベント監視の条件定義を確認する場合
アクション実行条件に対して、チェックはできません。
アクション条件の時間帯は、イベントの発生時刻ではなく、イベント発生を認識してアクションの実行を依頼する時間帯です。そのため、イベントの発生時刻が実行条件に一致していても、アクションが実行されない場合や、他のアクション条件に一致する場合があります。
アクションを実行する時間帯は日変わり時刻を意識しません。日変わり時刻の指定に関係なく、1日の単位は0:00から23:59です。アクションを実行する条件としてカレンダの運用日/休日を指定した場合、アクションを実行する時間帯は、運用日または休日の0:00から23:59までです。
ログファイルの形式
ログファイルには以下の形式で出力されます。
形式
(1) | LINE,FILTER,LABEL,ERRTYPE,MSGTEXT,HOST,CATEGORY,DISPLAYMODE,MSGTYPE,NUMBER |
(2) | MSG,-,ラベル,エラー種別,メッセージ,ホスト名,監視イベント種別,重要度,メッセージタイプ,通報番号 |
(3) | 行番号,o,o,o,o,o,o,o,o,o |
説明
(1)タイトル
各列のタイトルを出力します。
LINE | 行番号 |
FILTER | 1行単位での比較結果 |
LABEL | ラベル名およびラベルの比較結果 |
ERRTYPE | エラー種別およびエラー種別の比較結果 |
MSGTEXT | メッセージテキストおよびメッセージテキストの比較結果 |
HOST | ホスト名およびホスト名の比較結果 |
CATEGORY | 監視イベント種別および監視イベント種別の比較結果 |
DISPLAYMODE | 重要度および重要度の比較結果 |
MSGTYPE | メッセージタイプおよびメッセージタイプの比較結果 |
NUMBER | 通報番号および通報番号の比較結果 |
(2)比較対象のメッセージの情報
比較を行ったメッセージを分割した形式で出力します。設定されていない項目は、“?”で出力します。
項目 | 出力文字列 | 意味 |
|---|---|---|
LABEL | “ラベル” | |
空白 | ラベルなし | |
ERRTYPE | Information | 情報 |
Warning | 警告 | |
Error | エラー | |
Stop | 停止 | |
空白 | エラー種別なし | |
MSGTEXT | “メッセージテキスト” | |
空白 | メッセージテキストなし | |
HOST | “ホスト名(LocalHost) ” | 自システム |
“ホスト名(Any host) ” | 他システム | |
“?” | 指定なし | |
CATEGORY | “監視イベント種別” | |
空白 | 監視イベント種別なし | |
“?” | 指定なし | |
DISPLAYMODE | SPEMG | 重要度 |
EMG | 重要 | |
WARN | 警告 | |
NOTICE | 通知 | |
NORM | 一般 | |
“?” | 指定なし | |
MSGTYPE | REPLY | 返答要求メッセージ |
REDMG | 高輝度メッセージ | |
NORM | 一般メッセージ | |
“?” | 指定なし | |
NUMBER | “通報番号” | |
“?” | 指定なし |
(3)比較結果
定義項目ごとに比較結果を出力します。
“o” | メッセージが条件と一致します。 | (一致) |
“S” | すべての条件が一致しますが、アクション実行条件が設定されています。 | |
“?” | [受信メッセージ設定]ダイアログボックスで、追加情報が設定されていないため、条件と一致するかは不明です。 | (不明) |
“x” | メッセージは条件と一致しません。 | (不一致) |
無効設定されている条件については、すべての項目が“x”になります。
4. イベント監視の条件が正しくない場合
メッセージの比較結果をチェックし、一致させたい条件の行とメッセージが一意しているかを確認します。“比較結果の検証”および“メッセージと条件の比較結果について”を参照してください。イベント監視の条件が正しくない場合、イベント監視の条件定義を変更します。
[イベント監視の条件定義]画面を使用して、[イベント監視の条件定義]を変更した場合、[ファイル]-[定義ファイルの再読込み]メニューを選択し、新しいイベント監視の条件定義を読み込みます。再度メッセージを入力して、イベント監視の条件が意図したとおりに設定されているかを確認します。
5. [3-4]を繰り返し、確認したいメッセージをチェックします
6. 簡易チェックツールを終了する
[簡易チェックツール(イベント監視の条件定義)]画面で、[ファイル]-[終了]メニューを選択し、簡易チェックツールを終了します。
比較結果の検証
メッセージを一致させたい条件の行番号が“不一致”になっている場合
“不一致”になっている項目について、以下のことを見直します。
正規表現が正しく記述されているか
大文字/小文字の違いはないか
スペルミスはないか
全角/半角の違いはないか
空白の数は同じか
メッセージが一致する条件の行を調べる
行番号を調べ、最初に“一致”する行を調べます。
この行より上に“不明”の条件がないかを調べます。行番号が“不明”となっている行がない場合は、a.の行が最初に一致する条件になります。
行番号が“不明”となっている行がある場合、[イベントの属性の設定]ダイアログボックスで不明の項目を設定し、再度、条件と比較します。この操作により、行番号が“一致”に変わった場合は、この行が最初に一致する条件になります。
メッセージを一致させたい条件と2.で調べた行が一致する場合
[イベント監視の条件定義]は正しく設定されています。
メッセージを一致させたい条件が2.で調べた行より下にある場合
メッセージを一致させたい条件に設定されている[メッセージ監視]アクション、および[実行方法]の指定に[上位優先]が指定されているアクションは実行されません。これらのアクションを実行させるためには、2.で調べた行より上に、メッセージを一致させたい条件の行を移動します。
メッセージと条件の比較結果について
メッセージと条件を比較する際のホスト名の扱いについては、以下のようになります。
条件定義の設定 | [イベントの属性の設定] | 比較結果 |
|---|---|---|
特定しない | * | 一致 |
自システム | 分からない | 不明 |
自システム | 設定する(自システム) | 一致 |
自システム | 設定する(他システム) | 不一致 |
全ての他システム | 分からない | 不明 |
全ての他システム | 設定する(自システム) | 不一致 |
全ての他システム | 設定する(他システム) | 一致 |
ホスト名指定 | 分からない | 不明 |
ホスト名指定 | 設定する(自システム) | 一致または不一致 |
ホスト名指定 | 設定する(他システム) | 一致または不一致 |
他システムのイベント監視の条件定義を確認する場合
他システムのイベント監視の条件定義を確認する場合、以下の作業を行います。
他システムのホスト上で、イベント監視の条件定義をCSV形式のファイルに出力します。
イベント監視の条件定義のCSV出力コマンド(aoseacsv)を使用します。
1.で出力したイベント監視条件のCSVファイルを、簡易チェックツールを起動するコンピュータ上の任意のディレクトリにコピーします。
コピーしたCSVファイルを使用して、簡易チェックツールを実行します。
イベント監視のポリシー設定を行っている運用管理サーバが他システムの場合、イベント監視の条件のポリシー移出コマンド(poout)により出力したデータを、簡易チェックツールを起動するコンピュータの任意のディレクトリに格納します。
注意
他システムのデータを読み込む場合は、データを採取後、簡易チェックツールを起動するコンピュータの任意のディレクトリに格納します。また、UNIXで採取したファイル内にEUCコードが含まれる場合は、SJISコードに変更する必要があります。
読み込めるデータのサイズは簡易チェックツールを起動した後のシステムの残りのメモリ量に依存し、最大でファイルサイズ×3のメモリを必要とします。読み込むデータが大きい場合は、ファイルを編集し、1度に確認するメッセージの量を減らしてください。
SystemWalker/CentricMGR V5.0L10 以降および SystemWalker/CentricMGR 5.0 以降で採取した opamsgrev(メッセージ検索コマンド)、および opmtrcsv(監視イベント履歴CSV出力コマンド)の出力結果のみ指定可能です。
確認結果をログファイルに出力する
メッセージの比較結果を、ログファイルに出力することができます。ログファイルの形式は、以下のとおりです
[出力例]
LINE,FILTER,LABEL,ERRTYPE,MSGTEXT,HOST,CATEGORY,SEVERITY,MSGTYPE,NUMBER |
(1)LINE,FILTER,LABEL,ERRTYPE,MSGTEXT,HOST,CATEGORY,SEVERITY,MSGTYPE,NUMBER
(2)MSG,-,ラベル,エラー種別,メッセージ,ホスト名,監視イベント種別,重要度,メッセージタイプ,通報番号
(3)行番号,o,o,o,o,o,o,o,o,o
各項目の意味を説明します。
(1) | タイトル行 |
|
(2) | 条件との比較対象のメッセージ | 比較を行ったメッセージが、分割した形式で出力されます。不明な項目は、“?”で表示されます。 |
(3) | 比較結果 | 定義項目ごとに比較結果を出力します。
|
ログ出力の方法
確認結果をログファイルに出力する内容を設定します。
[簡易チェックツール(イベント監視の条件定義)]画面で、[設定]-[ログ]メニューを選択します。
[ログ出力設定]ダイアログボックスが表示されます。
[結果をログファイルに出力する]チェックボックスをチェックし、ログを出力するファイル名を指定します。
ログファイルに出力する内容を選択し、[OK]ボタンをクリックします。
[エラー種類未設定イベントの扱い]の設定方法
Windowsのイベントログに出力されたイベントで、種類が設定されていないものに対して、[エラー種別(重要度)]を設定します。
[簡易チェックツール(イベント監視の条件定義)]画面で、[設定]-[動作設定]メニューを選択します。
→[動作設定]ダイアログボックスが表示されます。
[エラー種別(重要度)]のリストボックスから、エラー種別と重要度を選択します。
[OK]ボタンをクリックします。
ここで設定したエラー種別、重要度は、[メッセージの設定-Windowsイベントログ]ダイアログボックスで、種類に「(なし)」を設定した場合に、[イベントの属性]の[設定]ボタンをクリックして表示される[イベントの属性の設定]ダイアログボックスに反映されます。
