Systemwalker Centric Managerの監視するメッセージを特定する条件を設定します。設定方法は“イベント監視の定義例”を参照してください。
設定ダイアログボックスの表示方法
[Systemwalkerコンソール[編集]]の[ツリー選択]コンボボックスから、環境定義を行う対象が存在するツリー([ノード一覧]、[ノード管理]、[業務管理])を選択します。
[ノード管理]ツリー、または[業務管理]ツリーを選択した場合は、[ファイル]メニューから[監視ツリーの選択]を選択します。
→[監視ツリーの選択]ダイアログボックスが表示されます。
[ツリー一覧]から目的のツリーを選択します。
選択したツリーの中から、環境定義を行う対象のフォルダ、またはノードを選択した後、[ポリシー]メニューから[ポリシーの定義]-[イベント]-[フォルダ]、または[ノード]を選択します。
→[イベント監視の条件定義]ウィンドウが表示されます。
[イベント]メニューから[イベントの追加]を選択します。
→[イベント定義/アクション定義]ダイアログボックスが表示されます。
[イベント定義/アクション定義]ダイアログボックスの[イベントの特定]では、[ホスト名の特定]、および[メッセージの特定]を設定します。その他の条件を定義する場合は、[詳細設定]ボタンをクリックし、[イベント定義(詳細)]ダイアログボックスを表示して設定します。
ラベル、エラー種別、メッセージテキストについて
発生イベントを特定する条件を定義するとき、ラベル、エラー種別、メッセージテキストに分割して定義する方法と、ラベル、エラー種別、メッセージテキストに分割せずに定義する方法があります。以下に、分割して定義する場合について説明します。分割しない場合の定義方法については、“ラベル、エラー種別、メッセージテキストに分割しない場合”を参照してください。
[入力支援]ダイアログボックスを使用すると、ラベル、エラー種別、メッセージテキストを容易に特定できます。
[イベント定義/アクション定義]ダイアログボックスの[イベント特定]タブ-[詳細設定]ボタンをクリックします。
→[イベント定義(詳細)]ダイアログボックスが表示されます。
[イベント定義(詳細)]ダイアログボックスの[入力支援]ボタンをクリックします。
→[入力支援]ダイアログボックスが表示されます。
監視するメッセージの情報を入力します。
[Systemwalkerコンソール]の[監視イベント一覧]、[メッセージ一覧]に表示される形式、またはシスログに出力される形式でメッセージを設定する場合には、[監視メッセージ形式で入力する]オプションボタンをチェックします。
シスログを元に監視メッセージ形式で設定する場合、ホスト名より後ろのテキストを設定してください。[監視イベント一覧]および[メッセージ一覧]を元に監視メッセージ形式で設定する場合、メッセージ表示域に表示されている[テキスト]を設定してください。
Windows(R)のイベントログに出力される形式でメッセージを設定する場合には、[Windowsイベントログの形式で入力する]オプションボタンをチェックします。特定されるメッセージは、“Windows(R)イベントログの組み合わせ”を参照してください。
[OK]ボタンをクリックします。
→[イベント定義(詳細)]ダイアログボックスの以下の項目が、自動で設定されます。
[エラー種別]
[ラベル名]
[メッセージテキスト]
Windows(R)イベントログの組み合わせ
Windows(R)イベントログ形式でログ(イベントログ種別)とソースの組み合わせにより、[イベント定義(詳細)]の[ラベルの特定]には、以下のように反映されます。
ログ | ソース | [ラベルの特定] |
|---|---|---|
(指定なし) | (指定なし) | [特定しない] |
システムログ | (指定なし) | ^SY: |
アプリケーションログ | (指定なし) | ^AP: |
セキュリティログ | (指定なし) | ^SE: |
(指定なし) | ソース名 | ソース名$ |
(指定あり) | ソース名 | ^ログ:ソース名$ (例: ^AP:MpAosfB$) |
Windows(R)イベントログ形式でイベントID、分類、説明の組み合わせにより、[イベント定義(詳細)]の[メッセージテキストの特定]には、以下のように反映されます。
なお、Windows Vista/Windows 7/Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Server 2008 for Itanium-Based Systems/Windows Server 2008 Foundation/Windows Server 2008 Server Core/Windows Server 2008 R2では、「分類」を「タスクのカテゴリ」と読み替えてください。
イベントID | 分類 | 説明 | [メッセージテキストの特定] |
|---|---|---|---|
(指定なし) | (指定なし) | (指定なし) | [特定しない] |
イベントID | (指定なし) | (指定なし) | ^イベントID: (例: ^9999:) |
(指定なし) | 分類 | (指定なし) | :分類 |
(指定なし) | (指定なし) | 説明 | 説明 |
イベントID | (指定なし) | 説明 | ^イベントID:.*説明 |
イベントID | 分類 | 説明 | ^イベントID:分類.*説明 |
ポイント
Windows(R)のイベントログのうちセキュリティイベントログを監視対象から外す
Systemwalkerインストールディレクトリ配下のファイルやフォルダへのアクセスに対して監査を設定している場合、イベントログに大量にイベントが出力されSystemwalkerのCPUの負荷が高くなったり、遅延が発生することがあります。
イベントログ監視設定ファイルに定義を行うことで、セキュリティイベントログを監視対象とするかどうかを変更することができます。セキュリティイベントログの監視を行わない場合は、イベントログ監視設定ファイルに以下の設定を行います。
イベントログ監視設定ファイル:
Systemwalkerインストールディレクトリ\MPWALKER.DM\mpopagt\etc\opaevt
ただし、運用管理サーバでクラスタ運用されている場合は以下になります。
共有ディスク上のSystemwalkerインストールディレクトリ\MPWALKER.DM\mpopagt\etc\opaevt
MPOP_EVTLOG_SEC OFF |
イベントログ監視設定ファイルの詳細については“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。定義ファイルに定義を実施した後、Systemwalkerを再起動することで定義が有効となります。本定義で監視状態を変更した場合、Systemwalkerの停止から起動までの間に発生したイベントは監視を行いません。
Windows(R)のイベントログを監視対象から外す
イベントログ監視設定ファイルに定義を行うことで、イベントログを監視対象とするかどうかを変更することができます。イベントログの監視を行わない場合は、イベントログ監視設定ファイルに以下の設定を行います。
イベントログ監視設定ファイル:
Systemwalkerインストールディレクトリ\MPWALKER.DM\mpopagt\etc\opaevt
ただし、運用管理サーバでクラスタ運用されている場合は以下になります。
共有ディスク上のSystemwalkerインストールディレクトリ\MPWALKER.DM\mpopagt\etc\opaevt
MPOP_ENABLE_EVTLOG OFF |
イベントログ監視設定ファイルの詳細については“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。定義ファイルに定義を実施した後、Systemwalkerを再起動することで定義が有効となります。本定義で監視状態を変更した場合、Systemwalkerの停止から起動までの間に発生したイベントは監視を行いません。
注意事項/制限事項
本定義を実施してSystemwalkerを再起動した場合、すべてのイベントログ(アプリケーション、システム等)は、Systemwalker停止中のイベントログの監視は行いません。起動時より監視を開始します。
イベントログ監視設定ファイルの定義がない、定義の内容が無効である場合はイベントログの監視を行います。
新規にSystemwalkerをインストールした場合は、下記設定となります。
イベントログの種類 | 設定 |
セキュリティイベントログ | 監視対象から外す |
セキュリティイベントログ以外のイベントログ | 監視対象とする |
本定義ファイルはバックアップリストア、移行の対象です。
V11.0L10より古いバージョンから移行された場合は、下記設定となります。
イベントログの種類 | 設定 |
セキュリティイベントログ | 監視対象とする |
セキュリティイベントログ以外のイベントログ | 監視対象とする |
Windowsで発生したメッセージ
Windowsで発生したメッセージは、ラベル、エラー種別、メッセージテキストをイベントログのイベントログ種別、ソース名、種類などから自動設定します。
Windows Server 2008 STD/Windows Server 2008 DTC/Windows Server 2008 EE/Windows Vistaの場合、「種類」を「レベル」に読み替えてください。
ラベルは、“イベントログ種別:ソース名”の形式で設定されます。
イベントログ種別には、以下のものが設定されます。
“SY” | システムログ、DNS Server、Directory Service、ファイル複写サービス、ハードウェア、DFSレプリケーション、Internet Explorer、Key Management Service、Media Center、Virtual Server、Microsoft-Windows-Hyper-V-Config-Admin、Microsoft-Windows-Hyper-V-Config-Operational、Microsoft-Windows-Hyper-V-High-Availability-Admin、Microsoft-Windows-Hyper-V-Hypervisor-Admin、Microsoft-Windows-Hyper-V-Hypervisor-Operational、Microsoft-Windows-Hyper-V-Image-Management-Service-Admin、Microsoft-Windows-Hyper-V-Image-Management-Service-Operational、Microsoft-Windows-Hyper-V-Integration-Admin、Microsoft-Windows-Hyper-V-Network-Admin、Microsoft-Windows-Hyper-V-Network-Operational、Microsoft-Windows-Hyper-V-SynthNic-Admin、Microsoft-Windows-Hyper-V-SynthStor-Admin、Microsoft-Windows-Hyper-V-SynthStor-Operational、Microsoft-Windows-Hyper-V-VMMS-Admin、Microsoft-Windows-Hyper-V-Worker-Admin |
“AP” | アプリケーションログ |
“SE” | セキュリティログ |
上記以外のカスタムイベントログも監視することができます。カスタムイベントログを監視する場合、イベントログ種別を指定できます。詳細は“カスタムイベントログを監視する”を参照してください。
エラー種別は、イベントログの種類と次のような対応で設定されます。
イベントログの[種類] | [エラー種別] |
|---|---|
[情報] | [情報] |
(注)種類が設定されていないイベントは、エラー種別を[情報]として処理されます。[情報]を他の種別に変更する場合は、“動作設定の詳細を設定する”を参照してください。
メッセージテキストは、“イベントID:[分類:]説明”の形式で設定されます。
分類がない場合は、設定されません。
イベントにデータがあるときは、説明の後ろに改行されて、そのデータが設定されます。形式は、“データ:”が続き、その後にデータ領域の内容が16進数表現の文字列ダンプとして続きます。ただし、メッセージテキスト全体が2キロバイトを超える場合は、切り捨てられます。
UNIXで発生したメッセージ
UNIXで発生したメッセージは、以下の形式のメッセージを標準として、ラベル、エラー種別、メッセージテキストを自動設定しています。
ラベルの区切りはコロン+空白(“: ”)です。
エラー種別は以下のどれかの文字列でなければなりません。
“情報”、“INFO”または“Information”
“警告”、“WARNING”または“Warning”
“エラー”、“ERROR”または“Error”
“停止”、“HALT”または“Stop”
ラベルの長さが257バイト以上の場合、エラー種別およびラベルのないメッセージと認識します。
UNIXの場合、ラベルがないメッセージまたはエラー種別がないメッセージがあります。
UTF-8環境(UNIXシステム)で発生したメッセージについて
UTF-8コードはSJIS/EUCコードよりも、1文字に使用するバイト数が多いため、SJIS/EUC環境では、ラベル名が256バイト以下であっても、UTF-8環境では、ラベル名が256バイト以上になる場合があります。この場合、UTF-8環境ではメッセージ全体をメッセージテキストとして扱うため、ラベル名でメッセージを特定することができません。ラベル名以外でメッセージを特定するように、定義を見直してください。
運用管理サーバに通知されたメッセージにUTF-8固有文字が含まれる場合は、UTF-8固有文字が代替文字「_(アンダースコア)」に置き換えられ、[Systemwalkerコンソール]に表示されます。代替文字を含んだメッセージに対し、“監視対象から除外”や“監視対象に追加”を行った場合、代替文字を含んだ文字列でイベント定義が作成されますが、イベント監視の機能に影響はありません。
システムが付加したメッセージについて
Solaris、Linuxで出力されるシスログのメッセージテキストの中で、システムが付加する以下の文字列はフィルタリングの対象外となります。
“[ID nnnnn facility.priority]”形式の文字列
nnnnn : 可変の数字
エラー種別の前部分に付加される“xxxx[nnnnn]”形式の文字列
xxxx : アプリケーションが指定する文字列
nnnnn : プロセスID
注意
Windows上でも、上記の形式と同じ形式のメッセージが発生した場合、同様にフィルタリングの対象外となります。
イベントログのメッセージの形式
イベントログは、自動的に監視メッセージ(Systemwalker Centric Managerで監視できるメッセージの形式)に変換されます。変換後のメッセージの形式は以下のとおりです。“エラー種別”および“メッセージテキスト”の前の“:”および空白は半角であることに注意してください。
ラベル: エラー種別: メッセージテキスト
“ラベル”は、以下の形式で設定されます。
イベントログ種別:ソース名 |
イベントログ種別
出力されたイベントログの種別が設定されます。設定される文字列とその意味は以下のとおりです。
AP | アプリケーションログ |
SE | セキュリティログ |
SY | システム ログ、Directory Service、DNS Server、ファイル複製サービス |
ソース名
出力されたイベントログのソース名が設定されます。
“エラー種別”には、出力されたイベントログのエラー種別が設定されます。設定される文字列と出力されたイベントログのエラー種別の関係は以下のとおりです。
情報 | 情報 |
警告 | 警告 |
エラー | エラー |
情報 | 成功の監査 |
エラー | 失敗の監査 |
“メッセージテキスト”は、以下の形式で設定されます。
イベントID:[分類:]説明 |
イベントID
出力されたイベントログに設定されているイベントIDが設定されます。
分類
出力されたイベントログに設定されているイベントの分類が設定されます。イベントの分類がないときは設定されません。
説明
出力されたイベントログに設定されているイベントの説明が設定されます。
イベントにデータがある場合は、説明の後に改行されて、そのデータが設定されます。形式は、“データ:”が続き、その後にデータ領域の内容が16進数表現の文字列ダンプとして続きます。ただし、監視メッセージ全体が2キロバイトを超える場合は、切り捨てられます。
変換後のメッセージを利用すると、発生したイベントログに対するアクションを、Systemwalker Centric Managerを導入した上位システムでも実行することができます。この場合、定義は以下の手順で行います。
【イベントログを監視するシステムでの定義】
監視するイベントログを、[イベント定義[イベントログ]]ダイアログボックスで定義します。
発生したイベントに対するアクションとして、変換後のメッセージを上位システムに送信します。定義は、[イベント定義/アクション定義]-[メッセージ監視アクション]ダイアログボックスで行います。
【アクションを実行する上位システムでの定義】
変換後のメッセージを、監視するイベントとして定義します。定義は、[イベント定義[監視メッセージ]]ダイアログボックスで行います。
監視メッセージに対するアクションを定義します。定義は[イベント定義/アクション定義]-[メッセージ監視アクション]ダイアログボックスで行います。
ラベル、エラー種別、メッセージテキストに分割しない場合
メッセージをラベル、エラー種別、メッセージテキストに分割しない形式で定義する場合は、[エラー種別、ラベル、テキストに分割せずにメッセージを特定する]のチェックボックスをチェックします。[メッセージテキスト]の欄に、発生イベントのメッセージをラベル、エラー種別、メッセージテキストに分割せずに設定します。本機能を“簡易イベント定義機能”といいます。
[イベント定義/アクション定義]-[イベント定義]ダイアログボックスで[エラー種別、ラベル、テキストに分割せずにメッセージを特定する]チェックボックスをチェックした場合だけ、分割しない設定になります。
注意
UNIXシステムで発生したメッセージについて
ラベル、エラー種別、メッセージテキストに分割せずに定義する場合は、UNIXシステムで出力されるシスログのメッセージテキストの中で、システムが付加する以下の文字列も指定することができます。
“[ID nnnnn facility.priority]”形式の文字列
nnnnn : 可変の数字
エラー種別の前部分に付加される“xxxx[nnnnn]”形式の文字列
xxxx : アプリケーションが指定する文字列
nnnnn : プロセスID
[メッセージテキスト]に設定する文字列に、正規表現文字を一般文字として使用する場合、該当文字の前に“\”(円記号)を付ける必要があります。
[入力支援]ダイアログボックスを使用すると、正規表現文字の前に“\”(円記号)を自動的に付けます。
ポリシー配付先ノードが、Systemwalker Centric Manager V13.0.0以前の場合、[エラー種別、ラベル、テキストに分割せずにメッセージを特定する]チェックボックスは使用できません。
Systemwalker Centric Manager V13.0.0以前のサーバに接続して、イベント監視の条件定義を編集する場合は、[エラー種別、ラベル、テキストに分割せずにメッセージを特定する]チェックボックスは使用できません。
ログファイルに出力されたメッセージ
ログファイルに出力されたメッセージについては、“イベント監視の定義例”を参照してください。SNMPトラップイベントについては、“SNMPトラップを発行する”を参照してください。
なお、[監視イベント種別]および[通報番号]は、被監視システム側で設定した場合だけ、設定されて通知されます。
注意
メッセージを監視する際、大文字と小文字、全角文字と半角文字は区別します。また、空白の数の違いも区別します。
メッセージタイプについて
メッセージタイプには、以下の3種類があります。発生したメッセージには、以下のどれかのタイプが付加されています。
[一般メッセージ]
[返答要求メッセージ]
[高輝度メッセージ]
システムにより、発生するメッセージタイプが異なります。
Systemwalker Centric Manager V12.0L10 SE/EE 以前
Systemwalker Centric Manager 11.0 SE/EE 以前
Systemwalker Event Agent V12.0L10/12.0 以前
一般メッセージのみ発生します。返答要求メッセージおよび高輝度メッセージは発生しません。
Systemwalker Centric Manager 12.0 SE/EE 以前
一般メッセージまたは、返答要求メッセージが発生します。高輝度メッセージは発生しません。
Systemwalker Centric Manager GEE
一般メッセージ、返答要求メッセージ、および高輝度メッセージが発生します。
※下位サーバに12.0以降のSystemwalker Centric Managerが存在する場合、上位送信によって、返答要求メッセージを受信する場合があります。
フィルタリングを行うサーバについて
以下のメッセージは、運用管理サーバのイベント監視の条件定義でのみフィルタリングを行います。※
業務サーバ側のイベント監視の条件定義ではフィルタリングを行いません。
インストールレス型エージェント監視機能を用いて取得したメッセージ
Systemwalker Centric Manager が出力する以下のメッセージ
MpPmonC: ERROR: 106: Systemwalker Centric Manager のプロセス'%1 が正常に動作しているか確認してください。%2
MpTrfAgt: 警告: 901: サービスレベル監視において、監視項目(%1)が、しきい値(%2)を上回りました。現在値=%3 インタフェース番号=%4
MpTrfAgt: 警告: 902: サービスレベル監視において、監視項目(%1)が、しきい値(%2)を下回りました。現在値=%3 インタフェース番号=%4
MpTrfAgt: 警告: 903: ベースライン監視において、監視項目(%1)が、通常値を上回りました。基準化変量=%2 有意水準=%3 有効統計数=%4 現在値=%5 インタフェース番号=%6
MpTrfAgt: 警告: 904: ベースライン監視において、監視項目(%1)が、通常値を下回りました。基準化変量=%2 有意水準=%3 有効統計数=%4 現在値=%5 インタフェース番号=%6
MpTrfAgt: 警告: 905: サービスレベル監視において、監視項目(%1)が、しきい値(%2)を上回りました。現在値=%3 対象識別子=%4
MpTrfAgt: 警告: 906: サービスレベル監視において、監視項目(%1)が、しきい値(%2)を下回りました。現在値=%3 対象識別子=%4
MpTrfAgt: 警告: 907: ベースライン監視において、監視項目(%1)が、通常値を上回りました。基準化変量=%2 有意水準=%3 有効統計数=%4 現在値=%5 対象識別子=%6
MpTrfAgt: 警告: 908: ベースライン監視において、監視項目(%1)が、通常値を下回りました。基準化変量=%2 有意水準=%3 有効統計数=%4 現在値=%5 対象識別子=%6
MpNsagtMain: ERROR: 2001: サービス稼動監視で %1 サービスが停止しました。 (監視元:%2, 監視先:%3, エラーコード:%4)
MpNmsWS: ERROR: 2007: Webサービス稼動監視で監視対象のサービスが停止しました。 詳細コード:%1 ポート番号:%2 監視元:%3 監視先:%4
SelfChk: ERROR: 3000: Systemwalker Centric Managerのエージェント機能が停止しました。監視元=%1 監視先=%2 監視ポート=%3
opagtd: 警告: 47: 上位ノード (%1) への送信メッセージを破棄しました (データ数=%2) 。上位ノード(メッセージ送信先システム )が停止している。または、大量のメッセージが発生している。または、ネットワークで異常が発生した場合、上位ノードに送信できなかったメッセージを保存します。保存メッセージが[通信環境定義]-[保存データ数]を超えた場合、古いメッセージから破棄します。
opagtd: 警告: 48: 上位ノード(%1)へのコマンド応答を破棄しました(データ数=%2)
MpCNapplで始まるメッセージすべて
apagtで始まるメッセージすべて
※ MpCNapplで始まるメッセージについては部門管理サーバでもフィルタリングの対象となります。
改行文字を含むメッセージのフィルタリングをする
改行を含むメッセージテキストのフィルタリングは、正規表現を使用してください。
例)
メッセージ
Aが発生しました。 |
定義
Aが発生しました。.*原因:B |
改行が入る部分を、“.*”に変更して設定してください。このように、“.*”を使用することで、“任意の文字列”を定義できます。
“.”は任意の1文字を表し、“*”は直前の1文字の0回以上の繰り返しを表す正規表現です。“.”と“*”を組み合わせて使用することで、任意の文字列に一致する定義となります。
ポイント
以下の機能では、改行を含むメッセージの場合、空白に置き換えて表示されます。
Systemwalkerコンソールの監視イベント一覧での表示
opamsgrev(メッセージ検索コマンド)(※)/opamsgcsv(メッセージログCSV出力コマンド) /opmtrcsv(監視イベント履歴CSV出力コマンド)/opmtrget(監視イベント履歴表示コマンド)の表示
コリレーションログへの出力
メッセージに改行が含まれるかを確認するには以下の方法で行うことができます。
Systemwalkerコンソールのメッセージ一覧画面/メッセージ検索画面
opamsgrev(メッセージ検索コマンド) の-c オプション(※1)指定で表示
※) 運用管理サーバの場合のみ対象です。
