システムで発生したイベントに対して、監視の対象にする製品やアクションを設定できます。
イベント監視の設定では、以下の項目を設定します。
これらの定義はローカル設定でも設定可能なため、以下のように後から設定した定義が有効になります。
ポリシー設定により設定後、ローカル設定を行った場合は、ローカル設定で定義が置き換わります。
ローカル設定により設定後、ポリシー設定を行った場合は、ポリシー設定で定義が置き換わります。
このため、これらの定義を変更する場合は、ローカル設定、ポリシー設定のどちらか一方を利用してください。
設定する項目 | 内容 | 設定画面 |
|---|---|---|
[製品一覧]-[製品名] | Systemwalkerテンプレートの登録されている製品名が一覧で表示されます。 表示された中から、監視対象とする製品を選択します。 | [イベント監視[監視条件]] |
[コメント] | 発生したイベントに対する、条件定義の参照/追加/変更/削除を行います。 | [イベント監視の条件定義] |
イベント監視の条件をポリシーで設定する場合、設定できる対象は以下のどれかの製品をインストールしたノードです。
Windows版 SystemWalker/CentricMGR V4.0以降
UNIX版 SystemWalker/CentricMGR 5.0以降
複数のバージョンレベルが混在するフォルダに対してポリシーを設定する場合は、一番古いバージョンレベルの仕様の範囲で設定できます。
手順
[監視ポリシー[管理]]画面を起動します。
[設定対象]の[ポリシー]-[イベント監視]-[監視条件]を選択します。
[操作]メニューの[新規作成]を選択します。
→[監視ポリシー[ポリシーの作成]]画面が表示されます。
[ポリシー名]、[コメント名]を入力します。
[OK]ボタンをクリックします。
→[イベント監視[監視条件]]画面が表示されます。
[製品一覧]の[製品名]から、監視する製品のチェックボックスをチェックします。
[詳細設定]ボタンをクリックします。([詳細設定]ボタンはカスタムモードのみ表示されます)
→[イベント監視の条件定義]画面が表示されます。
Systemwalkerコンソールへの通知状態と表示色について
[イベント監視の条件定義]画面の以下の列は、[メッセージ監視]で設定したSystemwalkerコンソールへの通知状態によって色付けされます。
[コメント]
[特定する条件]
[メッセージ選択定義]
[メッセージ監視]
Systemwalkerコンソールへの通知状況により、以下の色で表示されます。
Systemwalkerコンソールへの通知状況 | 表示色 |
|---|---|
監視イベント一覧と[メッセージ一覧]画面に表示 | 薄いピンク色 |
[メッセージ一覧]画面にだけ表示 | 薄い青色 |
表示しない | 白 |
表示の有無が特定できない | 薄い黄色 |
なお、テンプレートの開始行と終了行は薄い紫で色付けされます。テンプレート定義は、番号とアクションの列が薄い紫で色付けされます。
以下に、通知状態ごとに色付けされた[イベント監視の条件定義]画面の例を示します。
注意
ポリシー設定時の注意事項
イベント監視の条件定義のポリシー設定は、複数の対象ノードの定義を運用管理サーバで一括して管理します。ポリシー設定の定義を配付し、対象ノードの定義情報をすべて置き換えます。しかし、直接、環境定義を行って対象ノードのイベント監視の条件定義を変更した場合は、管理元のポリシー設定には反映されません。また、ポリシー設定した管理元の定義と対象ノードの定義に違いが発生します。各対象ノードの定義をポリシー設定によって管理するか、直接対象ノードの定義を変更するかは運用により選択可能ですが、併用することはできません。
例えば、直接対象ノードの定義を変更する運用において、ポリシー設定/配付を併用した場合、ポリシー配付によって定義内容が意図しない内容に置き換わる可能性があります。
運用管理サーバをクラスタシステムで運用している場合、待機系ノードにポリシーを設定しないでください。ポリシーの配付先を待機系ノードにした場合は、運用系ノードに配付されます。
監視ポリシーのポリシーグループでの配付先より対象サーバを削除し配付する場合、対象サーバで以下の設定が新規作成時の定義に戻ります。
イベント監視の条件定義
監視ログファイル設定
アクション環境設定
メール連携環境設定
イベント監視の条件定義は、システムで発生したイベントに対して、どのような処理を実施するかを特定するための条件のことです。
例えば、深夜に重要度の高いイベントが発生した場合は、音声通知によりオペレータに通報し、対処方法が判明しているイベントが発生した場合は、自動対処を行うアプリケーションを起動するよう定義します。
以下の項目を設定します。
設定する項目 | 内容 | 設定画面 |
|---|---|---|
[ホスト名の特定] | イベントを特定するためにシステムやメッセージを指定します。 | [イベント定義/アクション定義]の[イベントの特定]タブ |
[ホスト名の特定] | イベントを特定するための監視イベント種別やエラー種別などを細かく指定します。 | [イベント定義](詳細) |
手順
[イベント監視の条件定義]画面で、[イベント]メニューの[イベントの追加]を選択します。
→[イベント定義/アクション定義]画面が表示されます。
その他の条件を定義する場合は、[詳細設定]ボタンをクリックします。
→[イベント定義(詳細)]画面が表示されます。
ラベル、エラー種別、メッセージテキストについて
発生イベントを特定する条件を定義するとき、ラベル、エラー種別、メッセージテキストに分割して定義する方法と、ラベル、エラー種別、メッセージテキストに分割せずに定義する方法があります。以下に、分割して定義する場合について説明します。分割しない場合の定義方法については、“ラベル、エラー種別、メッセージテキストに分割しない場合”を参照してください。
[入力支援]ダイアログボックスを使用すると、ラベル、エラー種別、メッセージテキストを容易に特定できます。
[イベント定義/アクション定義]ダイアログボックスの[イベント特定]タブ-[詳細設定]ボタンをクリックします。
→[イベント定義(詳細)]ダイアログボックスが表示されます。
[イベント定義(詳細)]ダイアログボックスの[入力支援]ボタンをクリックします。
→[入力支援]ダイアログボックスが表示されます。
監視するメッセージの情報を入力します。
Systemwalkerコンソールの監視イベント一覧、メッセージ一覧に表示される形式、またはシスログに出力される形式でメッセージを設定する場合には、[監視メッセージ形式で入力する]オプションボタンをチェックします。
シスログを元に監視メッセージ形式で設定する場合、ホスト名より後ろのテキストを設定してください。監視イベント一覧および[メッセージ一覧]画面を元に監視メッセージ形式で設定する場合、メッセージ表示域に表示されている[テキスト]を設定してください。
Windows(R)のイベントログに出力される形式でメッセージを設定する場合には、[Windowsイベントログの形式で入力する]オプションボタンをチェックします。特定されるメッセージは、“Windows(R)イベントログの組み合わせ”を参照してください。
設定した監視の条件と実際に発生するメッセージを比較する場合、文字の全角/半角、空白の数等に誤りがあると正しく条件に一致しません。テキストおよび説明への設定は、カット&ペースト機能を使用してください。
[OK]ボタンをクリックします。
→[イベント定義(詳細)]ダイアログボックスの以下の項目が、自動で設定されます。
[エラー種別]
[ラベル名]
[メッセージテキスト]
Windows(R)イベントログの組み合わせ
Windows(R)イベントログ形式でログ(イベントログ種別)とソースの組み合わせにより、[イベント定義(詳細)]の[ラベルの特定]には、以下のように反映されます。
ソース名は、イベントビューアでイベントを参照したときに、「詳細」タブの「XMLで表示」を指定した場合の「Provider Name」の名称になります。
ログ | ソース | [ラベルの特定] |
|---|---|---|
(指定なし) | (指定なし) | [特定しない] |
システムログ | (指定なし) | ^SY: |
アプリケーションログ | (指定なし) | ^AP: |
セキュリティログ | (指定なし) | ^SE: |
(指定なし) | ソース名 | ソース名$ |
(指定あり) | ソース名 | ^ログ:ソース名$ |
Windows(R)イベントログ形式でイベントID、タスクのカテゴリ、説明の組み合わせにより、[イベント定義(詳細)]の[メッセージテキストの特定]には、以下のように反映されます。
イベントID | タスクのカテゴリ | 説明 | [メッセージテキストの特定] |
|---|---|---|---|
(指定なし) | (指定なし) | (指定なし) | [特定しない] |
イベントID | (指定なし) | (指定なし) | ^イベントID: |
(指定なし) | タスクのカテゴリ | (指定なし) | :タスクのカテゴリ |
(指定なし) | (指定なし) | 説明 | 説明 |
イベントID | (指定なし) | 説明 | ^イベントID:.*説明 |
イベントID | タスクのカテゴリ | 説明 | ^イベントID:タスクのカテゴリ.*説明 |
監視対象からはずす
Systemwalkerインストールディレクトリ配下のファイルやフォルダへのアクセスに対して監査を設定している場合、イベントログに大量にイベントが出力されSystemwalkerのCPUの負荷が高くなったり、遅延が発生することがあります。
イベントログ監視設定ファイルに定義を行うことで、イベントログを監視対象とするかを変更することができます。イベントログ監視設定ファイルに以下の設定を行います。
イベントログ監視設定ファイル:Systemwalkerインストールディレクトリ (注) \MPWALKER.DM\mpopagt\etc\opaevt
注)
共有ディスク上のSystemwalkerインストールディレクトリ:運用管理サーバでクラスタ運用されている場合
Windows(R)のイベントログのうちセキュリティイベントログを監視対象からはずす場合
セキュリティイベントログの監視を行わない場合は、イベントログ監視設定ファイルに以下の設定を行います。
MPOP_EVTLOG_SEC OFF
Windows(R)のイベントログを監視対象からはずす
イベントログの監視を行わない場合は、イベントログ監視設定ファイルに以下の設定を行います。
MPOP_ENABLE_EVTLOG OFF
イベントログ監視設定ファイルの詳細については“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。定義ファイルに定義を実施した後、Systemwalkerを再起動することで定義が有効となります。本定義で監視状態を変更した場合、Systemwalkerの停止から起動までの間に発生したイベントは監視を行いません。
定義を実施してSystemwalkerを再起動した場合、すべてのイベントログ(アプリケーション、システム等)は、Systemwalker停止中のイベントログの監視は行いません。起動時より監視を開始します。
イベントログ監視設定ファイルの定義がない、定義の内容が無効である場合はイベントログの監視を行います。
新規にSystemwalkerをインストールした場合は、下記設定となります。
イベントログの種類 | 設定 |
|---|---|
セキュリティイベントログ | 監視対象から外す |
セキュリティイベントログ以外のイベントログ | 監視対象とする |
本定義ファイルはバックアップリストア、移行の対象です。
V11.0L10より古いバージョンから移行された場合は、下記設定となります。
イベントログの種類 | 設定 |
|---|---|
セキュリティイベントログ | 監視対象とする |
セキュリティイベントログ以外のイベントログ | 監視対象とする |
Windowsで発生したメッセージ
Windowsで発生したメッセージは、ラベル、エラー種別、メッセージテキストをイベントログのイベントログ種別、ソース名、レベルから自動設定します。
ラベル
「イベントログ種別:ソース名」の形式で設定されます。
イベントログの種類に応じて、以下のイベントログ種別が設定されます。
イベントログ | イベントログ |
|---|---|
システムログ DNS Server Directory Service ファイル複写サービス ハードウェア DFSレプリケーション Internet Explorer Key Management Service Media Center Virtual Server Microsoft-Windows-Hyper-V-Config-Admin Microsoft-Windows-Hyper-V-Config-Operational Microsoft-Windows-Hyper-V-High-Availability-Admin Microsoft-Windows-Hyper-V-Hypervisor-Admin Microsoft-Windows-Hyper-V-Hypervisor-Operational Microsoft-Windows-Hyper-V-Image-Management-Service-Admin Microsoft-Windows-Hyper-V-Image-Management-Service-Operational Microsoft-Windows-Hyper-V-Integration-Admin Microsoft-Windows-Hyper-V-Network-Admin Microsoft-Windows-Hyper-V-Network-Operational Microsoft-Windows-Hyper-V-SynthNic-Admin Microsoft-Windows-Hyper-V-SynthStor-Admin Microsoft-Windows-Hyper-V-SynthStor-Operational Microsoft-Windows-Hyper-V-VMMS-Admin Microsoft-Windows-Hyper-V-Worker-Admin Microsoft-Windows-Hyper-V-SynthFc-Admin Microsoft-Windows-Hyper-V-VID-Admin Microsoft-Windows-Hyper-V-VMMS-Networking Microsoft-Windows-Hyper-V-VMMS-Operational Microsoft-Windows-Hyper-V-VMMS-Storage | SY |
アプリケーションログ | AP |
セキュリティログ | SE |
上記以外のカスタムイベントログも監視することができます。カスタムイベントログを監視する場合、イベントログ種別を指定できます。詳細は“カスタムイベントログを監視する”を参照してください。
エラー種別
イベントログのレベルから以下のように設定されます。
イベントログの[レベル] | [エラー種別] |
|---|---|
[重大] | [エラー] |
[エラー] | [エラー] |
[警告] | [警告] |
[情報] | [情報] |
[詳細] | [情報] |
[なし] | [情報](注) |
注)
レベルが設定されていないイベントは、エラー種別が[情報]として処理されます。[情報]をほかの種別に変更する場合は、“動作設定の詳細を設定する”を参照してください。
メッセージテキストは、「イベントID:[タスクのカテゴリ:]説明」の形式で設定されます。
タスクのカテゴリがない場合は、設定されません。
イベントにデータがあるときは、説明の後ろに改行されて、そのデータが設定されます。形式は、「データ:」が続き、その後にデータ領域の内容が16進数表現の文字列ダンプとして続きます。ただし、メッセージテキスト全体が2KBを超える場合は、切り捨てられます。
UNIXで発生したメッセージ
UNIXで発生したメッセージは、以下の形式のメッセージを標準として、ラベル、エラー種別、メッセージテキストを自動設定しています。
ラベルやエラー種別の区切りはコロン+空白「: 」です。
エラー種別は以下のどれかの文字列でなければなりません。
「情報」、「INFO」または「Information」
「警告」、「WARNING」または「Warning」
「エラー」、「ERROR」または「Error」
「停止」、「HALT」または「Stop」
ラベルの長さが257バイト以上の場合、エラー種別およびラベルのないメッセージと認識します。
UNIXの場合、ラベルがないメッセージまたはエラー種別がないメッセージがあります。
UTF-8環境(UNIXシステム)で発生したメッセージについて
UTF-8コードはSJIS/EUCコードよりも、1文字に使用するバイト数が多いため、SJIS/EUC環境では、ラベル名が256バイト以下であっても、UTF-8環境では、ラベル名が256バイト以上になる場合があります。この場合、UTF-8環境ではメッセージ全体をメッセージテキストとして扱うため、ラベル名でメッセージを特定することができません。ラベル名以外でメッセージを特定するように、定義を見直してください。
運用管理サーバに通知されたメッセージにUTF-8固有文字が含まれる場合は、UTF-8固有文字が代替文字「_」(アンダースコア)に置き換えられ、Systemwalkerコンソールに表示されます。代替文字を含んだメッセージに対し、「監視対象から除外」や「監視対象に追加」を行った場合、代替文字を含んだ文字列でイベント定義が作成されますが、イベント監視の機能に影響はありません。
システムが付加したメッセージについて
Solaris、Linuxで出力されるシスログのメッセージテキストの中で、システムが付加する以下の文字列はフィルタリングの対象外です。
「[ID nnnnn facility.priority]」形式の文字列
nnnnn : 可変の数字
エラー種別の前部分に付加される「xxxx[nnnnn]」形式の文字列
xxxx : アプリケーションが指定する文字列
nnnnn : プロセスID
Windows上でも、上記の形式と同じ形式のメッセージが発生した場合も、フィルタリングの対象外となります。
イベントログのメッセージの形式
イベントログは、自動的に監視メッセージ(Systemwalker Centric Managerで監視できるメッセージの形式)に変換されます。変換後のメッセージの形式は以下のとおりです。「エラー種別」および「メッセージテキスト」の前の「:」および空白は半角であることに注意してください。
ラベル: エラー種別: メッセージテキスト
「ラベル」は、以下の形式で設定されます。
イベントログ種別:ソース名 |
イベントログ種別
出力されたイベントログの種別が設定されます。設定される文字列とその意味は以下のとおりです。
文字列 | 意味 |
|---|---|
AP | アプリケーションログ |
SE | セキュリティログ |
SY | システムログ Directory Service DNS Server ファイル複製サービス ハードウェア DFSレプリケーション Internet Explorer Key Management Service Media Center Virtual Server Microsoft-Windows-Hyper-V-Config-Admin Microsoft-Windows-Hyper-V-Config-Operational Microsoft-Windows-Hyper-V-High-Availability-Admin Microsoft-Windows-Hyper-V-Hypervisor-Admin Microsoft-Windows-Hyper-V-Hypervisor-Operational Microsoft-Windows-Hyper-V-Image-Management-Service-Admin Microsoft-Windows-Hyper-V-Image-Management-Service-Operational Microsoft-Windows-Hyper-V-Integration-Admin Microsoft-Windows-Hyper-V-Network-Admin Microsoft-Windows-Hyper-V-Network-Operational Microsoft-Windows-Hyper-V-SynthNic-Admin Microsoft-Windows-Hyper-V-SynthStor-Admin Microsoft-Windows-Hyper-V-SynthStor-Operational Microsoft-Windows-Hyper-V-VMMS-Admin Microsoft-Windows-Hyper-V-Worker-Admin Microsoft-Windows-Hyper-V-SynthFc-Admin Microsoft-Windows-Hyper-V-VID-Admin Microsoft-Windows-Hyper-V-VMMS-Networking Microsoft-Windows-Hyper-V-VMMS-Operational Microsoft-Windows-Hyper-V-VMMS-Storage |
上記以外のカスタムイベントログも監視することができます。カスタムイベントログを監視する場合、イベントログ種別を指定できます。詳細は“カスタムイベントログを監視する”を参照してください。
セキュリティイベントログを監視する場合には、イベントログ監視設定ファイルでの設定が必要です。イベントログ監視設定ファイルの詳細は、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
ソース名
出力されたイベントログのソース名が設定されます。
「エラー種別」には、出力されたイベントログのレベルが設定されます。設定される文字列と出力されたイベントログのレベルの関係は以下のとおりです。
文字列 | イベントログの[レベル] |
|---|---|
エラー | 重大 |
エラー | エラー |
警告 | 警告 |
情報 | 情報 |
情報 | 詳細 |
「メッセージテキスト」は、以下の形式で設定されます。
イベントID:[タスクのカテゴリ:]説明 |
イベントID
出力されたイベントログに設定されているイベントIDが設定されます。
タスクのカテゴリ
出力されたイベントログに設定されているイベントのタスクのカテゴリが設定されます。イベントのタスクのカテゴリがないときは設定されません。
説明
出力されたイベントログに設定されているイベントの説明が設定されます。
イベントにデータがある場合は、説明の後に改行されて、そのデータが設定されます。形式は、「データ:」が続き、その後にデータ領域の内容が16進数表現の文字列ダンプとして続きます。ただし、監視メッセージ全体が2KBを超える場合は、切り捨てられます。
変換後のメッセージを利用すると、発生したイベントログに対するアクションを、Systemwalker Centric Managerを導入した上位システムでも実行することができます。この場合、定義は以下の手順で行います。
【イベントログを監視するシステムでの定義】
監視するイベントログを、[イベント定義[イベントログ]]ダイアログボックスで定義します。
発生したイベントに対するアクションとして、変換後のメッセージを上位システムに送信します。定義は、[イベント定義/アクション定義]-[メッセージ監視アクション]ダイアログボックスで行います。
【アクションを実行する上位システムでの定義】
変換後のメッセージを、監視するイベントとして定義します。定義は、[イベント定義[監視メッセージ]]ダイアログボックスで行います。
監視メッセージに対するアクションを定義します。定義は[イベント定義/アクション定義]-[メッセージ監視アクション]ダイアログボックスで行います。
ラベル、エラー種別、メッセージテキストに分割しない場合
メッセージをラベル、エラー種別、メッセージテキストに分割しない形式で定義する場合は、[エラー種別、ラベル、テキストに分割せずにメッセージを特定する]のチェックボックスをチェックします。[メッセージテキスト]の欄に、発生イベントのメッセージをラベル、エラー種別、メッセージテキストに分割せずに設定します。本機能を「簡易イベント定義機能」といいます。
[イベント定義/アクション定義]-[イベント定義]ダイアログボックスで定義する場合は、メッセージをラベル、エラー種別、メッセージテキストに分割しない形式になります。
ポリシー配付先ノードがSystemwalker Centric Manager V13.0.0以前の場合、およびSystemwalker Centric Manager V13.0.0以前のサーバに接続して、イベント監視の条件定義を編集する場合、[エラー種別、ラベル、テキストに分割せずにメッセージを特定する]チェックボックスは使用できません。
UNIXシステムで発生したメッセージについて
ラベル、エラー種別、メッセージテキストに分割せずに定義する場合は、UNIXシステムで出力されるシスログのメッセージテキストの中で、システムが付加する以下の文字列も指定することができます。
「[ID nnnnn facility.priority]」形式の文字列
nnnnn : 可変の数字
エラー種別の前部分に付加される「xxxx[nnnnn]」形式の文字列
xxxx : アプリケーションが指定する文字列
nnnnn : プロセスID
正規表現文字について
[メッセージテキスト]に設定する文字列に、正規表現文字を一般文字として使用する場合、該当文字の前に「\」(円記号)を付けてください。[入力支援]ダイアログボックスを使用すると、正規表現文字の前に「\」(円記号)を自動的に付けます。
ログファイルに出力されたメッセージ
SNMPトラップイベントについては、“SNMPトラップを発行する”を参照してください。
なお、[監視イベント種別]および[通報番号]は、被監視システム側で設定した場合だけ、設定されて通知されます。
メッセージを監視する際、大文字と小文字、全角文字と半角文字は区別します。また、空白の数の違いも区別します。
メッセージタイプについて
メッセージタイプには、以下の3種類があります。発生したメッセージには、以下のどれかのタイプが付加されています。
[一般メッセージ]
[返答要求メッセージ]
[高輝度メッセージ]
システムにより、発生するメッセージタイプが異なります。
Systemwalker Centric Manager V12.0L10 SE/EE 以前
Systemwalker Centric Manager 11.0 SE/EE 以前
Systemwalker Event Agent V12.0L10/12.0 以前
一般メッセージのみ発生します。返答要求メッセージおよび高輝度メッセージは発生しません。
Systemwalker Centric Manager 12.0 SE/EE 以前
一般メッセージまたは、返答要求メッセージが発生します。高輝度メッセージは発生しません。
Systemwalker Centric Manager GEE
一般メッセージ、返答要求メッセージ、および高輝度メッセージが発生します。
下位サーバに12.0以降のSystemwalker Centric Managerが存在する場合、上位送信によって、返答要求メッセージを受信する場合があります。
フィルタリングを行うサーバについて
以下のメッセージは、運用管理サーバのイベント監視の条件定義でのみフィルタリングを行います。(注)
業務サーバ側のイベント監視の条件定義ではフィルタリングを行いません。
インストールレス型エージェント監視機能を用いて取得したメッセージ
Systemwalker Centric Manager が出力する以下のメッセージ
MpPmonC: ERROR: 106: Systemwalker Centric Manager のプロセス'%1 が正常に動作しているか確認してください。%2
MpTrfAgt: 警告: 901: サービスレベル監視において,監視項目(%1)が,しきい値(%2)を上回りました.現在値=%3 インタフェース番号=%4
MpTrfAgt: 警告: 902: サービスレベル監視において,監視項目(%1)が,しきい値(%2)を下回りました.現在値=%3 インタフェース番号=%4
MpTrfAgt: 警告: 903: ベースライン監視において,監視項目(%1)が,通常値を上回りました.基準化変量=%2 有意水準=%3 有効統計数=%4 現在値=%5 インタフェース番号=%6
MpTrfAgt: 警告: 904: ベースライン監視において,監視項目(%1)が,通常値を下回りました.基準化変量=%2 有意水準=%3 有効統計数=%4 現在値=%5 インタフェース番号=%6
MpTrfAgt: 警告: 905: サービスレベル監視において,監視項目(%1)が,しきい値(%2)を上回りました.現在値=%3 対象識別子=%4
MpTrfAgt: 警告: 906: サービスレベル監視において,監視項目(%1)が,しきい値(%2)を下回りました.現在値=%3 対象識別子=%4
MpTrfAgt: 警告: 907: ベースライン監視において,監視項目(%1)が,通常値を上回りました.基準化変量=%2 有意水準=%3 有効統計数=%4 現在値=%5 対象識別子=%6
MpTrfAgt: 警告: 908: ベースライン監視において,監視項目(%1)が,通常値を下回りました.基準化変量=%2 有意水準=%3 有効統計数=%4 現在値=%5 対象識別子=%6
MpNsagtMain: ERROR: 2001: サービス稼動監視で %1 サービスが停止しました。 (監視元:%2, 監視先:%3, エラーコード:%4)
MpNmsWS: ERROR: 2007: Webサービス稼動監視で監視対象のサービスが停止しました。 詳細コード:%1 ポート番号:%2 監視元:%3 監視先:%4
SelfChk: ERROR: 3000: Systemwalker Centric Managerのエージェント機能が停止しました。監視元=%1 監視先=%2 監視ポート=%3
opagtd: 警告: 47: 上位ノード (%1) への送信メッセージを破棄しました (データ数=%2) 。上位ノード(メッセージ送信先システム )が停止している。または、大量のメッセージが発生している。または、ネットワークで異常が発生した場合、上位ノードに送信できなかったメッセージを保存します。保存メッセージが[通信環境定義]-[保存データ数]を超えた場合、古いメッセージから破棄します。
opagtd: 警告: 48: 上位ノード(%1)へのコマンド応答を破棄しました(データ数=%2)
MpCNapplで始まるメッセージすべて
apagtで始まるメッセージすべて
MpCNapplで始まるメッセージについては部門管理サーバでもフィルタリングの対象となります。
改行文字を含むメッセージのフィルタリングをする
改行を含むメッセージテキストのフィルタリングは、正規表現を使用してください。
例)
メッセージ
Aが発生しました。 |
定義
Aが発生しました。.*原因:B |
改行が入る部分を、「.*」に変更して設定してください。このように、「.*」を使用することで、「任意の文字列」を定義できます。
「.」は任意の1文字を表し、「*」は直前の1文字の0回以上の繰り返しを表す正規表現です。「.」と「*」を組み合わせて使用することで、任意の文字列に一致する定義となります。
ポイント
以下の機能では、改行を含むメッセージの場合、空白に置き換えて表示されます。
Systemwalkerコンソールの監視イベント一覧での表示
opamsgrev(メッセージ検索コマンド)(注)/opamsgcsv(メッセージログCSV出力コマンド) /opmtrcsv(監視イベント履歴CSV出力コマンド)/opmtrget(監視イベント履歴表示コマンド)の表示
コリレーションログへの出力
メッセージに改行が含まれるかを確認するには以下の方法で行うことができます。
Systemwalkerコンソールのメッセージ一覧画面/メッセージ検索画面
opamsgrev(メッセージ検索コマンド)の「-c」オプション(注)指定で表示
注)
運用管理サーバの場合のみ対象です。
イベントが発生したときにアクションを自動的に実行させるために、イベントに対して実行するアクションを定義します。同一のイベントに対して、複数の自動アクションを設定できます。
以下の項目を設定します。
設定する項目 | 内容 | 設定画面 |
|---|---|---|
[上位システムに送信] | [イベントの特定]タブで設定したメッセージを上位システム通知します。 | [イベント定義/アクション定義]の[メッセージ監視アクション]タブ |
[上位システムに送信] | [イベントの特定]タブで設定したメッセージについて、ログ格納や監視イベント種別などを細かく指定します。 | [メッセージ監視(詳細)] |
[メールによる通知を行う] | イベント発生時に実行するアクションとして、メール通知、アプリケーション起動、または音声通知を設定します。 | [イベント定義/アクション定義]の[通知/実行アクション]タブ |
[メールによる通知を行う] | イベント発生時に実行するアクションとして、メール送信を行うための設定をします。 | アクション定義(詳細)の[メール]タブ |
[アプリケーションを起動する] [アプリケーション詳細] [起動時の扱い](注) | イベント発生時に実行するアクションとして、起動するアプリケーションについて設定をします。 | アクション定義(詳細)の[アプリケーション起動]タブ |
[音声による通知を行う] [通知先情報] [音声通知の情報] | イベント発生時に実行するアクションとして、音声通知を行うための設定をします。 | アクション定義(詳細)の[音声通知]タブ |
[ショートメールによる通知を行う] | イベント発生時に実行するアクションとして、ショートメールによる通知を行うための設定をします。 | アクション定義(詳細)の[ショートメール]タブ |
[ポップアップメッセージによる通知を行う] | イベント発生時に実行するアクションとして、ポップアップメッセージによる通知を行うための設定をします。 | アクション定義(詳細)の[ポップアップ]タブ |
[イベントログにメッセージを出力する] | イベント発生時に実行するアクションとして、イベントログにメッセージを出力するための設定をします。 | アクション定義(詳細)の[イベントログ出力]タブ |
[リモートコマンドを発行する] | イベント発生時に実行するアクションとして、リモートコマンドを発行するための設定をします。 | アクション定義(詳細)の[リモートコマンド]タブ |
[SNMPトラップを発行する] | イベント発生時に実行するアクションとして、SNMPトラップを発行するための設定をします。 | アクション定義(詳細)の[SNMPトラップ]タブ |
[起動時の扱い]に設定した内容は無視されます。任意の値を設定してください。
手順
以下のどちらかの方法で表示します。
[イベント監視の条件定義]ウィンドウでアクションを設定するイベントを選択後、[アクション]メニューから[アクションの設定]を選択します。
[イベント定義/アクション定義[通知/実行アクション]]ダイアログボックスで[詳細設定]ボタンを選択します。
→[アクション定義(詳細)]画面が表示されます。
監視を抑止している場合
監視を抑止しているノードから通知されたイベントに対して以下のアクションは実行しません
ショートメールに通報する
メールで通報する
ポップアップメッセージで通報する
音声で通知する
イベントログを出力する
リモートコマンドを発行する
SNMPトラップを発行する
アプリケーションを起動する
Systemwalkerスクリプトを実行する
自動化できるアクションの種類と設定する画面
アクションの種類 | アクションの説明 | [アクション環境設定] | [イベント定義/アクション定義] |
|---|---|---|---|
Systemwalkerコンソールにメッセージを通知する | 発生したイベントを、上位のシステムに送信し、Systemwalkerコンソールで監視します。 | - | [メッセージ監視アクション] |
Systemwalkerスクリプトでメッセージを編集する | メッセージ監視アクション型のスクリプトを呼び出し、メッセージを編集します。 | - | - |
ショートメールで通報する | ショートメールで、任意のメッセージを通知します。 | [アクション実行先] | [アクション定義(詳細)]-[ショートメール] |
MS-Mailで通報する | MS-Mailで、任意の文書やメッセージを通知します。 | [アクション実行先] | [アクション定義(詳細)]-[メール] |
E-Mailで通報する | E-Mailで、任意の文書やメッセージを通知します。 | [メール] | [通知/実行アクション]-[メール] |
ポップアップメッセージで通報する | ポップアップメッセージで、任意のメッセージを通知します。 | [アクション実行先] | [アクション定義(詳細)]-[ポップアップ] |
音声で通知する | 音声、WAVファイルまたはBEEP音で通知します。 | [アクション実行先] | [通知/実行アクション]-[音声通知] |
イベントログを出力する | 任意のメッセージをイベントログに出力します。 | - | [アクション定義(詳細)]-[イベントログ出力] |
リモートコマンドを発行する | リモートコマンドを発行します。 | - | [アクション定義(詳細)]-[リモートコマンド] |
SNMPトラップを発行する | SNMPトラップを発行します。 | - | [アクション定義(詳細)]-[SNMPトラップ] |
アプリケーションを起動する | アプリケーションを起動します。 | - | [通知/実行アクション]-[アプリケーション起動] |
Systemwalkerスクリプトを実行する | 単体起動型のスクリプトを実行します。 | - | - |
上記以外の詳細な設定は、[アクション環境設定(詳細)]画面で設定します。
[アクション環境設定]では、以下を設定します。
メール送信のアクションを実行するホストの環境を設定します。
ショートメールの送信環境を設定します。
ショートメール送信で使用するCOMポートの環境を設定します。
メール、ショートメール、ポップアップメッセージ、音声通知に関する実行先ホストを設定します。
アクションの実行履歴を採取する環境を設定します。
アクションの実行結果を保存することで、アクションが正しく実行されていること、および、イベント監視の条件定義が正しく設定されていることを確認できます。
各アクションには、実行条件を設定することができます。実行条件には、条件範囲内と条件範囲外の条件があります。条件範囲として、日にちおよび時間帯を設定できます。アクション条件の設定については、“アクションの実行条件を定義する”を参照してください。
条件範囲に日にちを設定するときには、Systemwalker Operation Managerがインストールされていなければなりません。なお、Windows版(x64)の場合は、V13.4.0以降のSystemwalker Operation Managerが必要です。Linux版(x64)の場合は、V13.4.0以降のSystemwalker Operation Managerが必要です。
各アクションの設定については、“イベントの対処を自動化する”を参照してください。
イベント監視の条件にアクション定義を行う場合
[イベント監視の条件定義]ウィンドウには、定義した内容が「メッセージを特定する条件」単位に一覧表示されます。定義した内容は、一覧の上から下に順番に処理されます。したがって、以下の点を考慮して、定義の順番を検討する必要があります。
[実行方法の指定]で[上位優先]を指定した場合
一覧の上から順に「メッセージを特定する条件」を比較し、初めて一致した場合にアクションを実行します。
[実行方法の指定]で[常時実行]を指定した場合
上位行に一致した行の有無に関係なく、「メッセージを特定する条件」に一致した場合にアクションを実行します。
また、[常時実行]を指定した場合は、上位行の[メッセージ監視]アクションで設定したイベントの情報(重要度、監視イベント種別、通報番号)に変更した後の情報で、下位行のイベント定義をフィルタリングするか、変更せずに(発生したイベントのまま)フィルタリングするかを「常時実行アクションのフィルタリング方法設定ファイル」で設定することができます。
常時実行アクションのフィルタリング方法設定ファイルの初期設定値は、V13.4.0以前からバージョンアップした場合と新規インストールした場合で異なります。
V13.4.0以前からバージョンアップした場合 | 新規インストールした場合 | |
|---|---|---|
重要度 | 上位行の[メッセージ監視]アクションで設定した内容に更新してフィルタリングします。 | 上位行の[メッセージ監視]アクションで設定した内容に更新してフィルタリングします。 |
監視イベント種別 | 上位行の[メッセージ監視]アクションで設定した内容に更新せずにフィルタリングします。 | 上位行の[メッセージ監視]アクションで設定した内容に更新してフィルタリングします。 |
通報番号 | 上位行の[メッセージ監視]アクションで設定した内容に更新せずにフィルタリングします。 | 上位行の[メッセージ監視]アクションで設定した内容に更新してフィルタリングします。 |
常時実行アクションのフィルタリング方法設定ファイルの詳細については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
なお、[メッセージ監視アクション]の場合は、必ず、[上位優先]となり、上から順に「メッセージを特定する条件」を比較し、初めて一致した場合にアクションが実行されます。以降の定義は実行されません。
[イベント定義/アクション定義[イベントの特定]]ダイアログボックスで登録したイベントが発生すると、[イベント定義/アクション定義[メッセージ監視アクション]]ダイアログボックスと[イベント定義/アクション定義[通知/実行アクション]]ダイアログボックスで定義されたイベントに対するアクションが実行されます。このようなアクションを実行するための環境を設定してください。
アクション環境の設定では、以下の項目を設定します。
これらの定義はローカル設定でも設定可能なため、以下のように後から設定した定義が有効になります。
ポリシー設定により設定後、ローカル設定を行った場合は、ローカル設定で定義が置き換わります。
ローカル設定により設定後、ポリシー設定を行った場合は、ポリシー設定で定義が置き換わります。
このため、これらの定義を変更する場合は、ローカル設定、ポリシー設定のどちらか一方を利用してください。
設定する項目 | 内容 | 設定画面 |
|---|---|---|
[メールの設定] [アクション実行先ホストの設定] | [イベント定義/アクション定義]で定義したメール送信やアクション実行に対して、環境を設定します。 | [アクション環境設定] |
[E-Mail] | [イベント定義/アクション定義]で定義したメール送信に対して、実行するための環境を設定します。 | [アクション環境設定(詳細)]の[メール]タブ |
[ショートメールの種類] | [イベント定義/アクション定義]で定義したショートメールに対して、実行するための環境を設定します。 | [アクション環境設定(詳細)]の[ショートメール]タブ |
[外線発信番号] | [イベント定義/アクション定義]で定義したアクションに対して、実行するためのポートを設定します。 | [アクション環境設定(詳細)]の[COMポート]タブ |
[ショートメール実行先ホスト名] | [イベント定義/アクション定義]で定義したアクションの実行先を設定します。 | [アクション環境設定(詳細)]の[アクション実行先]タブ |
[アクション抑止] | [イベント定義/アクション定義]で定義したアクションの動作を設定します。 | [アクション環境設定(詳細)]の[動作設定]タブ |
[アクションの実行履歴の設定] | [イベント定義/アクション定義]で定義したアクションに対する実行履歴を設定します。 | [アクション環境設定(詳細)]の[ログ]タブ |
手順
[イベント監視の条件定義]ウィンドウで、[環境設定]メニューから[アクション環境設定]を選択します。
→[アクション環境設定]画面が表示されます。
[詳細設定]ボタンをクリックします。
→[アクション環境設定(詳細)]画面が表示されます。
各アクションの環境設定については、“イベントの対処を自動化する”を参照してください。
注意
Systemwalker Centric Managerにおいてポリシー情報を定義するときに、[アクション環境設定]ダイアログボックスや[監視ログファイルの設定]ダイアログボックスで設定情報を追加/変更し、[イベント監視の条件定義]ウィンドウで設定情報を追加/変更しなかった場合、「この設定を反映するには、ポリシー配付が必要です。」というメッセージが表示されないことがありますが、ポリシー配付操作によって正しく配付されます。
[イベント監視の条件定義]ウィンドウで、条件(行単位)ごとに無効/有効を設定することができます。導入時、イベント監視の条件について、いろいろな条件を試し、定義を変更することが簡単にできるようになります。
イベント監視の条件定義から削除しなくても、トラブル発生時に大量に発生するイベントを一時的に抑止することができます。
手順
以下の手順で、イベント監視の条件定義の無効/有効を設定します。
[イベント監視の条件定義]ウィンドウで、変更する条件を選択します。
[イベント]メニューの[条件の有効]を選択すると、イベント監視の条件は有効になります。
[イベント]メニューの[条件の無効]を選択すると、イベント監視の条件を無効にできます。イベント監視の条件が無効状態の行は、背景が灰色になります。
イベント監視の条件定義の各定義に、定義の目的や修正履歴などをコメントとして設定することができます。また、設定したコメントは、[イベント監視の条件定義]画面に表示することができます。
コメントを設定しておくことにより、管理者の変更があった場合や、定義の意味が複雑でわかりにくい場合でも、情報を簡単に把握することができます。これにより、誤って定義を変更・削除してしまうなどの操作ミスを防止することができます。
ここでは、コメントの設定方法と表示について説明します。
コメントの設定方法
[イベント監視の条件定義]画面から、以下の方法で[コメント]設定画面を起動します。
コメントを設定する定義の[コメント]列をダブルクリックする
コメントを設定する定義を選択し、[イベント]メニューから[コメント設定]を選択する
コメントを設定する定義を選択し、右クリックで表示されたメニューから[コメント設定]を選択する
[コメント設定]画面でコメントを設定します。
定義の目的や修正履歴などのコメントを設定し、[OK]ボタンをクリックします。[イベント監視の条件定義]画面の[コメント]列には、ここで設定したコメントの1行目だけ(以下の例の場合「GSの異常」だけ)が表示されます。2行目以降に設定した内容の表示については、“コメントの表示”を参照してください。
コメントの表示
[イベント監視の条件定義]画面に[コメント]列を表示する
[コメント]列の表示/非表示は、[イベント監視の条件定義]画面の[表示]メニューの[表示項目の設定]で設定します。
コメント全体を表示する
[イベント監視の条件定義]画面の[コメント]列には、[コメント設定]画面の1行目に設定した内容しか表示されません。
コメント全体は、以下の方法で確認することができます。
[イベント監視の条件定義]画面の[コメント]列にカーソルを合わせる
カーソルを合わせた定義のコメント全体が、ツールチップで表示されます。
[コメント設定]画面を起動する
[コメント設定]画面の起動方法は、“コメントの設定方法”を参照してください。
Systemwalkerテンプレートの開始行/終了行の[コメント]列
Systemwalkerテンプレート開始行/終了行の[コメント]列は以下のように表示されます。
Systemwalkerテンプレート開始行
ここから下の定義がテンプレート定義です。
Systemwalkerテンプレート終了行
ここから上の定義がテンプレート定義です。
監視ポリシーに登録されているポリシーを利用して、イベント監視の条件定義を編集したり、別の運用管理サーバの監視ポリシーとして登録できます。
登録されている監視ポリシーを利用し、編集、加工したイベント監視の条件定義を監視ポリシー(通常モード)として登録することができます。
イベント監視[監視条件]の監視ポリシーの利用、編集、登録の運用イメージは以下のとおりです。
監視ポリシーの移出、登録には、md_mpaosf(イベント監視[監視条件]の監視ポリシー移出/登録コマンド)を使用します。
md_mpaosf(イベント監視[監視条件]の監視ポリシー移出/登録コマンド)を使用して、監視ポリシー(通常モード)に登録されているイベント監視[監視条件]ポリシーのうち、イベント監視の条件定義を移出します。
移出したイベント監視の条件定義出力ファイル(P_MpAosf_evtact.csv)を編集します。
ポリシー名を指定して、イベント監視の条件定義をイベント監視[監視条件]ポリシーに登録したり、別の運用管理サーバの監視ポリシーとして登録できます。
また、監視ポリシー(互換モード)でmppolcollect(ポリシー情報移出コマンド)を使用して移出したイベント監視の条件定義出力ファイル(P_MpAosf_evtact.csv)を、監視ポリシー(通常モード)へ登録することができます。
md_mpaosf(イベント監視[監視条件]の監視ポリシー移出/登録コマンド)、mppolcollect (ポリシー情報移出コマンド)、イベント監視の条件定義出力ファイル(P_MpAosf_evtact.csv)については、“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
Event Designerについては、“イベント監視の条件定義を変更する(Event Designer)”を参照してください。
