リモート監視イベントログトラップ動作定義ファイル
形式
retry-times リトライ回数
retry-interval リトライ間隔
trap-interval 監視間隔
matching-level 比較レベル
filter-check-level フィルターチェックレベル
# フィルター
filter ログの種別
条件文1
条件文2
:
条件文n
end-filter |
ファイル
任意のファイルを使用します。
格納先ディレクトリ
- Windowsの場合
- 物理ホストのとき
Managerパス¥conf¥agtless¥以下の任意のパス
- 論理ホストのとき
共有フォルダ¥conf¥agtless¥以下の任意のパス
- UNIXの場合
- 物理ホストのとき
/etc/opt/jp1imm/conf/agtless/以下の任意のパス
- 論理ホストのとき
共有ディレクトリ/jp1imm/conf/agtless/以下の任意のパス
説明
リモート監視のイベントログトラップ機能の動作を定義するファイルです。リモート監視のイベントログトラップ機能の起動時にその内容を参照します。
このファイルは,JP1/Baseのイベントログトラップ機能の動作定義ファイルと互換性があります。リモート監視のイベントログトラップ機能からJP1/Baseのイベントログトラップ機能への監視構成の変更については,マニュアル「JP1/Integrated Management - Manager 運用ガイド」の「2.3 システムの階層構成での監視構成の変更」を参照してください。
定義の反映時期
次の場合に,リモート監視イベントログトラップ動作定義ファイルの設定が有効になります。
- [プロファイル表示/編集]画面でリロードまたは再起動
[プロファイル表示/編集]画面については,マニュアル「JP1/Integrated Management - Manager 画面リファレンス」の「4.9 [プロファイル表示/編集]画面」を参照してください。
- jcfallogstartコマンドまたはjcfallogreloadコマンドの実行
jcfallogstartコマンドの詳細については,「jcfallogstart」(1. コマンド)を参照してください。jcfallogreloadコマンドの詳細については,「jcfallogreload」(1. コマンド)を参照してください。
- JP1/IM - Managerの再起動
記述内容
- retry-times
- 一時的な通信障害で,イベントサービスへの接続に失敗した場合に行うリトライの回数を0~86,400の範囲で指定します。省略した場合,リトライ処理はしません。指定された回数のリトライが成功しない場合はエラーとします。retry-timesおよびretry-intervalの組み合わせで24時間以上の設定もできますが,リトライを開始した時刻から24時間以上経過した場合,リトライ処理は打ち切られます。
- retry-interval
- 一時的な通信障害で,イベントサービスへの接続に失敗した場合に行うリトライ間隔を1~600(秒)の範囲で指定します。省略した場合,リトライ間隔を10秒と見なします。
- trap-interval
- イベントログを監視する間隔を60~86,400(秒)の範囲で指定します。省略した場合,300秒と見なします。イベントログトラップは,一定の間隔でイベントログを監視します。
- matching-level
- フィルターにmessage属性またはcategory属性を指定した場合で,メッセージDLLまたはカテゴリーDLLが正しく設定されてないなどの理由で,イベントログの説明文の読み込みに失敗したときの,イベントログと定義内容の比較レベルを指定します。0を指定すると,比較しないで次のフィルターと比較をします。1を指定すると,比較します。省略した場合,0を指定したものと見なします。
- filter-check-level
- フィルターに不正な(システムに存在しない)ログの種別や不正な正規表現指定がある場合のチェックレベルを指定します。0を指定すると,フィルターに不正なログの種別や不正な正規表現がある場合,該当するフィルターを無効にします。ただし,有効なフィルターが一つでもある場合,リモート監視イベントログトラップの起動またはリロードは成功します。有効なフィルターが一つもない場合,リモート監視イベントログトラップの起動またはリロードは失敗します。1を指定すると,フィルターに不正なログの種別や不正な正規表現が一つでもある場合,リモート監視イベントログトラップの起動またはリロードは失敗します。
- 省略した場合,0を指定したものと見なします。
- filter~end-filter
- ログの種別
- 監視の対象となるイベントログの種別を指定します。
- (例)
- ”アプリケーション”または”Application”
- ”セキュリティ”または”Security”
- ”システム”または”System”
- ”DNS Server”
- ”Directory Service”
- ”ファイルレプリケーションサービス”または”File Replication Service”
- ”DFS レプリケーション”または”DFS Replication”
- 複数のフィルターに同一のログの種別を指定した場合,それらのフィルターのどれかの条件を満たすときに成立します。
- 条件文
- 条件文の指定は次のとおりです。
- 属性指定にtype以外を指定した場合
属性指定 正規表現1 正規表現2 正規表現3 …
- 属性指定にtypeを指定した場合
type ログの種類1 ログの種類2 ログの種類3 …
- 属性指定のあとに列挙された正規表現(またはログの種類)のどれかが成立した場合に成立します。なお,フィルター内の条件文はAND条件,フィルター間はOR条件です。
- 属性設定
- 属性設定は次のとおりです。
属性名 | 記述する内容 |
---|
type | ログの種類 |
source | ソース |
category | 分類 |
id | イベントID |
user | ユーザー |
message | 説明 |
computer | コンピュータ名 |
- 注意事項
属性設定で”message”を指定した場合,イベントログの説明文で「~に関する説明が見つかりませんでした」という説明文(メッセージDLLが存在しない説明文)を含んだイベントログは,メッセージを作成できません。そのため,フィルター条件とのマッチングができないというエラーになり,トラップ対象外となります。挿入句にトラップ対象の語句が含まれていたとしてもトラップされません。
- 正規表現
- 正規表現は,’...’ のように引用符で囲まれた文字列で指定します。!’...’のように引用符の前に感嘆符を付加した場合,指定した正規表現以外の文字列という意味となります。正規表現中に ’ を指定する場合は ¥’ のようにエスケープ指定する必要があります。正規表現は,ログの種類がtype以外の場合に指定できます。
- ログの種類
- ログの種類は次のとおりです。
ログの種類 | 内容 | 重大度 |
---|
Information | 情報 | Information(情報) |
Warning | 警告 | Warning(警告) |
Error | エラー | Error(エラー) |
Audit_success | 成功の監査 | Notice(通知) |
Audit_failure | 失敗の監査 | Notice(通知) |
定義例
- 定義例1:OR条件とAND条件
- OR条件の定義例
- ログの種別が「システムログ」で,説明に「TEXT」,「MSG」,または「-W」のどれかを含む。
filter "System"
message 'TEXT' 'MSG' '-W'
end-filter
- 条件をスペースまたはタブで区切って指定すると,OR条件になります。
- AND条件の定義例
- ログの種類が「システムログ」で,説明に「TEXT」,「MSG」,および「-W」をすべて含む。
filter "System"
message 'TEXT'
message 'MSG'
message '-W'
end-filter
- 条件を改行で区切って指定すると,AND条件になります。改行した場合は,属性名から記述してください。
- 定義例2:複数のフィルターを設定する
- ログの種別が「アプリケーションログ」のイベントログのうち,次に示す条件のイベントログをトラップする。
- フィルター1
- 種別:アプリケーションログ
- 種類:エラー
- 説明:「-E」および「JP1/Base」を含む。
- フィルター2
- 種別:アプリケーションログ
- 種類:警告
- 説明:「-W」または「warning」を含む。
#フィルター1
filter "Application"
type Error
message '-E'
message 'JP1/Base'
end-filter
#フィルター2
filter "Application"
type Warning
message '-W' 'warning'
end-filter
- 定義例3:正規表現を使用する
- 次に示す条件のイベントログをトラップする。
- 種別:アプリケーションログ
- 種類:エラー
- イベントID:111
- 説明:「-E」または「MSG」を含み,かつ「TEXT」を含まない。
filter "Application"
type Error
id '^111$'
message '-E' 'MSG'
message !'TEXT'
end-filter
- 「111」のイベントIDを条件にしたい場合は,正規表現を使用して,「id '^111$'」と指定してください。「id '111'」と指定すると,「イベントIDに111を含む」という条件になるため,イベントIDが「1112」や「0111」でも条件が成立します。「!」を「' '」の手前に付けた場合は,指定した正規表現に一致しないデータを選択します。正規表現は,JP1/Baseの拡張正規表現を使用します。拡張正規表現の詳細については,マニュアル「JP1/Base 運用ガイド」の正規表現の文法を説明している個所を参照してください。
- 定義例4:特定のイベントログだけ変換しない
- ログの種別が「システムログ」で,ログの種類が「警告」のイベントログのうち,次に示す条件のイベントログだけトラップしない。
- ソース:AAA
- イベントID:111
- 説明:「TEXT」を含む。
- #ソースがAAAのイベントログはトラップしない。
filter "System"
type Warning
source !'AAA'
end-filter
#ソースがAAA,かつイベントIDが111以外のイベントログをトラップする。
filter "System"
type Warning
source 'AAA'
id !'^111$'
end-filter
#ソースがAAA,イベントIDが111,かつ説明に「TEXT」を含まないイベントログをトラップする。
filter "System"
type Warning
source 'AAA'
id '^111$'
message !'TEXT'
end-filter