JP1/Base 運用ガイド
WindowsのイベントログをJP1イベントに変換してイベントデータベースに登録する流れを次の図に示します。
図7-15 Windowsのイベントログの変換から登録までの流れ
イベントログトラップ機能は,イベントログトラップサービスを基盤として動作し,イベントログを監視します。そして,監視条件に一致するイベントログをJP1イベントに変換してイベントデータベースに登録します。
イベントログトラップ機能の動作は,動作定義ファイルで決定します。動作定義ファイルには,JP1イベントに変換するイベントログの条件をフィルターとして定義します。動作定義ファイルは,イベントログトラップ機能の起動時またはリロードコマンド実行時に読み込まれます。
イベントログトラップ機能の処理の仕組みと,監視の開始位置と終了位置および監視間隔について次に説明します。
- <この項の構成>
- (1) イベントログトラップ機能の処理の仕組み
- (2) 監視の開始位置と終了位置および監視間隔
- (3) クラスタシステムでの運用
(1) イベントログトラップ機能の処理の仕組み
イベントログトラップ機能の処理の仕組みを次の図で説明します。
図7-16 イベントログトラップ機能の処理の仕組み
イベントログトラップ機能は,イベントサービス,イベントログトラップサービス,およびイベントログトラップによって動作します。
イベントログトラップ機能を使用するには,イベントサービス,イベントログトラップサービスの順番でサービスを起動します。イベントログトラップは,イベントログトラップサービスを起動すると生成されます。イベントログトラップサービスは,デフォルトの状態ではシステムの起動時に自動で起動しません。イベントログトラップ機能を自動起動および自動終了したい場合は,起動管理機能を使用して,イベントサービスが起動したあとにイベントログトラップサービスが起動するように設定します。
なお,イベントログトラップ機能の起動時およびイベントログをトラップした際に,イベントサービスに接続できなかった場合は,あらかじめ動作定義ファイルで設定しておくことで接続をリトライできます。
イベントログトラップ機能では,JP1イベントとして登録できるメッセージは1,023バイトまでです。JP1イベントに変換するメッセージが1,023バイトを超えた場合,1,023バイト以降のメッセージを切り捨てます。JP1イベントのイベントIDは,00003A71で固定です。JP1イベントの重大度は,変換前のイベントログのログの種類に対応しています。JP1イベントの属性については,「14.3(7) イベントID:00003A71の詳細」を参照してください。
(2) 監視の開始位置と終了位置および監視間隔
イベントログトラップ機能は,イベントログトラップサービスを起動した時点から終了する時点までに発生したイベントログのうち,監視条件と一致するイベントログを即時にJP1イベントに変換します。また,一時的な障害で取得できなかった場合に再度取得できるように,一定の間隔でイベントログを監視します。デフォルトの監視間隔は10秒です。監視間隔は,動作定義ファイル(ntevent.conf)で変更できます。
イベントログトラップ機能は,物理ホスト単位での起動となります。論理ホスト単位での起動はできません。JP1イベントの登録先を論理ホストのイベントサービスにすると,論理ホストでJP1イベントを管理できます。運用方法に応じてJP1イベントの登録先を変更してください。
デフォルトでは,JP1イベントは物理ホストのイベントサービスへ登録されます。論理ホストのイベントサービスへ登録したい場合は,動作定義ファイルのserverパラメーターに論理ホストのイベントサーバ名を指定してください。ただし,変換したJP1イベントを直接論理ホストに登録する構成の場合,待機系のイベントログは監視できません。
実行系と待機系の両方のイベントログを監視したい場合は,変換したJP1イベントをいったん物理ホストのイベントサービスに登録してください。そして,物理ホストのイベントサービスに登録されたJP1イベントを,転送設定ファイルで論理ホストのイベントサービスに転送してください。転送設定ファイルの詳細については,「6.5.2 転送設定ファイル(forward)の詳細」を参照してください。
実行系と待機系の両方のイベントログを監視する場合の構成例を次の図に示します。
図7-17 実行系と待機系のイベントログを論理ホストで監視する場合の構成例
All Rights Reserved. Copyright (C) 2006, 2008, Hitachi, Ltd.