7.3.5 動作定義ファイル(ntevent.conf)の詳細

動作定義ファイル(ntevent.conf)の詳細について説明します。

<この項の構成>
(1) 格納先ディレクトリ
(2) 形式
(3) フィルターの文法
(4) 標準提供の動作定義ファイル

(1) 格納先ディレクトリ

動作定義ファイルの格納先ディレクトリを次に示します。

インストール先フォルダ¥conf¥event¥ntevent.conf

(2) 形式

動作定義ファイルは,登録先イベントサーバ名,リトライ設定,および一つ以上のフィルターで構成されます。登録先イベントサーバ名,およびリトライ設定は省略できますが,フィルターの指定は省略できません。フィルター内の条件文はAND条件,フィルター間はOR条件です。行頭に「#」を指定すると,改行するまでコメントになります。

動作定義ファイルの形式について説明します。

[図データ]

server イベントサーバ名
イベントログをトラップし,JP1イベントとして登録するときの登録先イベントサーバ名を255バイト以内で指定します。イベントサーバ名はダブルクォーテーションマーク(")で囲みます。指定できるイベントサーバは自ホストで稼働しているイベントサーバに限ります。イベントサーバ名を省略した場合,自ホスト名が仮定されます。
retry-times リトライ回数
一時的な通信障害で,イベントサービスへの接続に失敗した場合に行うリトライ処理の回数を指定します。値は,0~86,400の10進数で指定します。このパラメーターを省略すると,リトライ処理は行われません。
retry-interval リトライ間隔
一時的な通信障害で,イベントサービスへの接続に失敗した場合に行うリトライ処理のリトライ間隔を秒単位で指定します。リトライ回数を1以上に設定した場合に有効となります。リトライ間隔は,イベントサービスへの接続に失敗してから次にイベントサービスへの接続を試みるまでの間隔です。イベントサービスへの接続処理に掛かる時間は含みません。値は,1~600の10進数で指定します。このパラメーターを省略すると,10秒が仮定されます。
trap-interval 監視間隔
イベントログを監視する間隔を秒単位で指定します。イベントログトラップ機能は,リアルタイムでイベントログを監視する一方で,一定の間隔でイベントログを監視します。値は,1~180の10進数で指定します。このパラメーターを省略すると,10秒が仮定されます。
matching-level [0 | 1]
イベントログと定義内容の比較レベルを指定します。このパラメーターを省略
すると,0が仮定されます。
0
フィルターにmessage属性またはcategory属性を指定して,メッセージDLLまたはカテゴリーDLLが正しく設定されてないなどの理由で,イベントログの説明文の読み込みに失敗した場合には,比較をしないで次のフィルターと比較をします。
1
フィルターにmessage属性またはcategory属性を指定して,メッセージDLLまたはカテゴリーDLLが正しく設定されてないなどの理由で,イベントログの説明文の読み込みに失敗した場合でも,比較をします。
filter-check-level [0 | 1]
フィルターに不正な(システムに存在しない)ログの種別や不正な正規表現指定がある場合のチェックレベルを指定します。このパラメーターを省略すると0が仮定されます。
0
フィルターに不正な(システムに存在しない)ログの種別や不正な正規表現指定がある場合,該当するフィルターを無効にします。チェックの結果,有効なフィルターが一つでもある場合,サービスの起動,またはリロードは成功します。ただし,有効なフィルターが一つもない場合,サービスの起動またはリロードは失敗します。
1
フィルターに不正な(システムに存在しない)ログの種別や不正な正規表現指定が一つでもある場合,サービスの起動またはリロードは失敗します。
フィルター
JP1イベントに変換するイベントログの条件を,「(3) フィルターの文法」に示す文法に従って記述します。フィルターは,「条件文」の集まりです。フィルターは,条件文がすべて成立する条件で成立します。複数のフィルターを指定した場合は,フィルターのどれかが成立する条件で成立します。フィルターは必ず一つ以上指定してください。
注意事項
  • リトライ回数とリトライ間隔の組み合わせによっては,24時間以上のリトライ処理が可能ですが,リトライ処理が24時間を超えた場合,リトライ処理は打ち切られ,イベントログトラップサービスは停止します。
  • Windowsのメディアセンス機能によってサービスが停止する現象を回避するためには,リトライ機能を使用してください。
  • filter-check-levelの指定が0(または指定なし)で,フィルターが無効となった場合,KAVA3025-Wまたは,KAVA3026-Wのメッセージがイベントログ,統合トレースログ(リロード時は標準エラー出力だけ)に出力されます。ただし,これらのメッセージは10件の出力を終えた時点で打ち切りとなります。
  • filter-check-levelの指定が0(または指定なし)で,有効なフィルターが存在しなかった場合,KAVA3027-E(リロード時は,KAVA3028-E)のメッセージがイベントログ,統合トレースログ(リロード時は,イベントログ,統合トレースログ,標準エラー出力)に出力されます。

(3) フィルターの文法

フィルターの書式は次のとおりです。

filter ログの種別
   条件文1
   条件文2
     :
   条件文n
end-filter

次にログの種別および条件文の書式について説明します。

(a) ログの種別

監視対象となるログの種別を指定します。ログの種別とは,Windowsの[イベント ビューア]に表示される各ログの名前のことです。ログの種別は"(ダブルクォーテーションマーク)で囲みます。

指定できるログの種別(6種類)
"アプリケーション"または"Application"
"セキュリティ"または"Security"
"システム"または"System"
"DNS Server"
"Directory Service"
"ファイル レプリケーション サービス"または"File Replication Service"

複数のフィルターに同一のログの種別を指定した場合,それらのフィルターのどれかが成立する場合にフィルターが成立します。

(b) 条件文の書式

フィルターは条件文の集まりです。フィルターは条件文のすべてが成立する場合に成立します。

条件文の書式には,次の表に示す属性名を指定します。

属性名記述する内容
typeログの種類を記述します。
sourceイベント ビューアの詳細で表示されるソースの情報を記述します。
categoryイベント ビューアの詳細で表示される分類の情報を記述します。
idイベント ビューアの詳細で表示されるイベントIDの情報を記述します。
userイベント ビューアの詳細で表示されるユーザー名を記述します。
messageイベント ビューアの詳細で表示される説明の情報を記述します。
computerイベント ビューアの詳細で表示されるコンピュータ名を記述します。
注※
  • Windowsのイベントログの仕組みに従って,イベントログの説明文を記載したメッセージDLLが正しく設定された状態でご利用ください。メッセージDLLが正しく設定されていないと,イベントログから説明文を読み込めないため,トラップの対象にできないことがあります。なお,メッセージDLLまたはカテゴリーDLLがないメッセージをトラップしたい場合は,matching-levelパラメーターを1に設定してください。
  • メッセージDLLが正しく設定されていない場合,イベントビューアに「メッセージDLLファイルがない可能性があり,説明が見つからない」という旨の文字列が出力されます。この文字列はイベントビューアが出力している文字列のため,イベントログトラップ機能ではトラップできません。

記述形式を次に示します。

属性名にtypeを指定する場合

type ログの種類1 ログの種類2 ログの種類3・・・

条件文は,ログの種類のどれかが一致した場合に成立します。指定できるログの種類と,対応するJP1イベントの重大度を次に示します。
ログの種類内容JP1イベントの重大度
Information情報Information
Warning警告Warning
ErrorエラーError
Audit_success成功の監査Notice
Audit_failure失敗の監査Notice
属性名にtype以外を指定する場合

属性名 '正規表現1' '正規表現2' '正規表現3'・・・

条件文は,正規表現のどれかが一致した場合に成立します。
正規表現は「' '」で囲みます。「!」を「' '」の手前に付けた場合,指定した正規表現に一致しないデータを選択します。なお,使用できる正規表現は,OSによって異なります。正規表現の文法の詳細については,「付録F 正規表現の文法」を参照してください。

(4) 標準提供の動作定義ファイル

JP1/Baseでは,新規インストール時,次に示す形式で動作定義ファイル(ntevent.conf)を提供しています。

retry-times 3
retry-interval 10

filter "System"
   type Warning Error
end-filter

filter "Application"
   type Warning Error
end-filter

標準提供の状態では,イベントサービスへ接続できなかった場合に10秒間隔で3回リトライを行います。また,JP1イベントに変換するログの条件として,「システムログ」の「警告」と「エラー」,および「アプリケーションログ」の「警告」と「エラー」がJP1イベントに変換されるように定義されています。