対象バージョンレベル
Windows版:V5.0L10以降
対処1
確認ポイント
イベント監視の条件定義を確認してください。
対処方法
発生イベントとイベント監視の条件が一致すると想定している定義行以外の条件と一致している可能性があります。想定している定義行の定義内容に誤字がないか確認してください。(大文字/小文字/全角/半角/空白の数など)
同じようなイベント定義を複数定義している場合、想定している定義行よりも、上の位置にある定義行で一致している可能性があります。想定している定義行より上にある条件と一致しないか確認してください。
注意
イベントの種類が“なし”の場合のイベントの扱いについて
Windowsのイベントログに出力されるメッセージにはイベントの種類が格納されており、イベントの種類によってエラー種別、重要度を設定し付加しています。イベントの種類が“なし”の場合のイベントは、エラー種別が「エラー」、重要度が「最重要」のイベントとして処理されます。
対処2
確認ポイント
ログファイル監視をしていませんか。ログファイル監視をしている場合、ログファイルに出力されるメッセージは改行で区切られていますか
対処方法
ログファイル監視は、改行までを1つのメッセージとして処理します。複数のメッセージが改行コードで区切られずに連続して出力された場合、まとめて1つのメッセージと認識するため、ユーザの意図しない定義行と一致する可能性があります。メッセージを出力するアプリケーション側で、複数のメッセージがログファイルに出力される場合は、改行コードで区切られて出力されるように設定してください。
対処3
確認ポイント
アクションの環境設定を確認してください。
対処方法
イベントログに、以下のようなイベントが発生していないかを確認してください。
ソース : MpAosfB
イベントID: 3000 ~ 3207
種類 : エラー
発生しているメッセージIDについて、ヘルプを参照し、対処方法を実施してください。
対処4
確認ポイント
同一のメッセージが発生していませんか
原因
60秒以内に同一のメッセージが複数発生した場合、2つ目以降のメッセージは破棄されます。このような同一メッセージ抑止があった場合、破棄されるメッセージに定義している自動アクションは実行されません。
対処方法
同一メッセージの発生間隔が60秒以上になるようにしてください。
対処5
確認ポイント
ログファイル監視をしていますか
ログファイル監視のしくみに合った監視をしていますか
対処方法
監視のしくみ上、ログファイルへのメッセージの出力方法に問題がある場合、メッセージの出力方法を変更してください。
ポイント
ログファイル監視のしくみ
ログファイル監視をした場合、30秒間隔でファイルサイズに変更がないかチェックします。チェック時に読み込んだログファイルの大きさと、現在の大きさを比較します。差分がある場合、ログファイルを読み込みます。
前回よりファイルのサイズが増えた場合は、改行までを1メッセージとしてログファイルを読み込み、新規メッセージとします。
前回よりファイルのサイズが減った場合は、ログファイルを一度クリアした後、再出力したと判断し、改行までを1メッセージとして処理します。
正しい監視の例
例1) 以下の場合、ファイルのサイズが増えているので、message6が新規メッセージとして処理されます。
追加前 | 追加後 |
|---|---|
message1 | message1 |
message2 | message2 |
message3 | message3 |
message4 | message4 |
message5 | message5 |
Message6(新規) |
例2) 以下の場合、ファイルのサイズが減っているので、ログファイルサイズを一度クリアした後、再出力したとみなされ、message6からmessage9が新規メッセージとして処理されます。
追加前 | 追加後 |
|---|---|
message1 | message6(新規) |
message2 | message7(新規) |
message3 | message8(新規) |
message4 | message9(新規) |
message5 |
正しい監視ができない例
例1) 以下の場合、ファイルサイズが変化しないため、message2は新規メッセージになりません。
追加前 | 追加後 |
|---|---|
message1 | message2 |
例2) 以下の場合、ファイルサイズが増えているので、MESSAGE1001ではなく、001だけが新規メッセージとして処理されます。
追加前 | 追加後 |
|---|---|
message1 | MESSAGE1 |
| 001(新規) |
例3) 以下の場合、messageABではなく、Bから新規メッセージとして処理し、文字列の途中から監視されます。
追加前 | 上書き後 |
|---|---|
message1 | messageAB |
注意
監視できるファイルはテキスト形式のファイルだけです。バイナリデータを含むファイルは監視できません。
監視対象ファイルを定義から削除した後、再度ログファイル監視設定に追加した場合、新規のファイルが定義されたとみなされ、ファイルの内容がすべて処理されます。
ファイルのサイズが大きいログファイルを監視対象に追加する場合、ファイルの先頭から監視を開始するため、完了するまでに時間がかかります。そのため、大量のメッセージが発生する可能性があります。
ログファイルの増加分の1行が、1メッセージとして処理されます。ただし、付加情報を含めた1行の長さが2047バイト以下になるようにしてください。変換されたメッセージの構造は以下のとおりです。
ラベル:INFO:メッセージ |
ラベル: 監視ログファイル設定画面で設定したラベル名 メッセージ: ログファイルに書き込まれたメッセージ
ラベル名に以下の文字列を指定した場合、イベント監視の条件定義と正しく比較されない場合があります。
INFO,情報,Information
WARNING,警告,Warning
ERROR,エラー,Error
HALT,停止,Stop
参考
メッセージ発生日時は、Systemwalker Operation Managerがログファイルからメッセージを読み込んだ日時となります。
改行だけの行がログファイルに出力、監視された場合、メッセージが空白のメッセージ(ラベル+“INFO”だけのメッセージ)として扱われます。
監視対象のログファイルをリセットする手順は以下になります。
ただし、運用を止めずに実施してください。
監視対象のログをリセット(ファイル内容を消去、ファイルを削除)する。
ファイルサイズを“0byte”にする。
30秒以上待ち、ログファイルが“0byte”になったことをSystemwalker Operation Managerに認識させる。
ログの書き込みを再開する。
上記の処理により、ファイルの先頭から監視がされるため、メッセージがもれることはありません。
対処6
確認ポイント
アクション条件の時間を設定していますか
イベント発生元の時刻と、アクションを実行するサーバの時刻が一致していますか
原因
イベント発生元の時刻と、アクションを実行するサーバの時刻が一致していません。
対処方法
イベント発生元の時刻と、アクションを実行するサーバの時刻を一致させてください。
対処7
以下のエラーメッセージが出力されていた場合は、対処7の対処方法を実施してください。
エラーメッセージ
MpAosfB: エラー: 3016:アクション実行サーバが起動されていません。 |
確認ポイント
アクション実行に使用する以下のポートが開放されていますか
JMACT1 9369/tcp
JMACT2 9370/tcp
JMACT3 6961/tcp
原因
アクション実行に使用するポートが開放されていないため、アクション実行ができません。
対処方法
アクション実行に使用するポートを開放してください。
