リモート監視イベントログトラップ動作定義ファイル
形式
retry-times リトライ回数 retry-interval リトライ間隔 trap-interval 監視間隔 matching-level 比較レベル filter-check-level フィルターチェックレベル # フィルター filter ログの種別 条件文1 条件文2 : 条件文n end-filter
ファイル
任意のファイルを使用します。
格納先ディレクトリ
- Windowsの場合
-
任意のフォルダ
- UNIXの場合
-
任意のディレクトリ
説明
リモート監視のイベントログトラップ機能の動作を定義するファイルです。リモート監視のイベントログトラップ機能の起動時にその内容を参照します。
このファイルは,JP1/Baseのイベントログトラップ機能の動作定義ファイルと互換性があります。リモート監視のイベントログトラップ機能からJP1/Baseのイベントログトラップ機能への監視構成の変更については,マニュアル「JP1/Integrated Management - Manager 運用ガイド」の「2.3 リモート監視構成からエージェント構成に監視構成を変更する場合の注意事項」を参照してください。
定義の反映時期
次の場合に,リモート監視イベントログトラップ動作定義ファイルの設定が有効になります。
-
[プロファイル表示/編集]画面でリロードまたは再起動
[プロファイル表示/編集]画面については,マニュアル「JP1/Integrated Management - Manager 画面リファレンス」の「4.9 [プロファイル表示/編集]画面」を参照してください。
-
jcfaleltstartコマンドまたはjcfaleltreloadコマンドの実行
jcfaleltstartコマンドの詳細については,「jcfaleltstart(Windows限定)」(1. コマンド)を参照してください。jcfaleltreloadコマンドの詳細については,「jcfaleltreload(Windows限定)」(1. コマンド)を参照してください。
-
JP1/IM - Managerの再起動
記述内容
- retry-times
-
一時的な通信障害で,イベントサービスへの接続に失敗した場合に行うリトライの回数を0〜86,400の範囲で指定します。省略した場合,リトライ処理はしません。指定された回数のリトライが成功しない場合はエラーとします。retry-timesおよびretry-intervalの組み合わせで24時間以上の設定もできますが,リトライを開始した時刻から24時間以上経過した場合,リトライ処理は打ち切られます。
- retry-interval
-
一時的な通信障害で,イベントサービスへの接続に失敗した場合に行うリトライ間隔を1〜600(秒)の範囲で指定します。省略した場合,リトライ間隔を10秒と見なします。
- trap-interval
-
イベントログを監視する間隔を60〜86,400(秒)の範囲で指定します。省略した場合,300秒と見なします。イベントログトラップは,一定の間隔でイベントログを監視します。
- matching-level
-
フィルターにmessage属性またはcategory属性を指定した場合で,メッセージDLLまたはカテゴリーDLLが正しく設定されてないなどの理由で,イベントログの説明文の読み込みに失敗したときの,イベントログと定義内容の比較レベルを指定します。0を指定すると,比較しないで次のフィルターと比較をします。1を指定すると,比較します。省略した場合,0を指定したものと見なします。
- filter-check-level
-
フィルターに不正な(システムに存在しない)ログの種別や不正な正規表現指定がある場合のチェックレベルを指定します。0を指定すると,フィルターに不正なログの種別や不正な正規表現がある場合,該当するフィルターを無効にします。ただし,有効なフィルターが一つでもある場合,リモート監視イベントログトラップの起動またはリロードは成功します。有効なフィルターが一つもない場合,リモート監視イベントログトラップの起動またはリロードは失敗します。1を指定すると,フィルターに不正なログの種別や不正な正規表現が一つでもある場合,リモート監視イベントログトラップの起動またはリロードは失敗します。
省略した場合,0を指定したものと見なします。
- filter〜end-filter
-
- ログの種別
-
監視の対象となるイベントログの種別を指定します。
(例)
”アプリケーション”または”Application”
”セキュリティ”または”Security”
”システム”または”System”
”DNS Server”
”Directory Service”
”ファイルレプリケーションサービス”または”File Replication Service”
”DFS レプリケーション”または”DFS Replication”
複数のフィルターに同一のログの種別を指定した場合,それらのフィルターのどれかの条件を満たすときに成立します。
- 条件文
-
条件文の指定は次のとおりです。
・属性指定にtype以外を指定した場合
属性指定 正規表現1 正規表現2 正規表現3 …
・属性指定にtypeを指定した場合
type ログの種類1 ログの種類2 ログの種類3 …
属性指定のあとに列挙された正規表現(またはログの種類)のどれかが成立した場合に成立します。なお,フィルター内の条件文はAND条件,フィルター間はOR条件です。
- 属性設定
-
属性設定は次のとおりです。
属性名
記述する内容
type
ログの種類
source
ソース
category
分類
id
イベントID
user
ユーザー
message
説明
computer
コンピュータ名
・注意事項
属性設定で”message”を指定した場合,イベントログの説明文で「〜に関する説明が見つかりませんでした」という説明文(メッセージDLLが存在しない説明文)を含んだイベントログは,メッセージを作成できません。そのため,フィルター条件とのマッチングができないというエラーになり,トラップ対象外となります。挿入句にトラップ対象の語句が含まれていたとしてもトラップされません。
- 正規表現
-
正規表現は,’...’ のように引用符で囲まれた文字列で指定します。!’...’のように引用符の前に感嘆符を付加した場合,指定した正規表現以外の文字列という意味となります。正規表現中に ’ を指定する場合は \’ のようにエスケープ指定する必要があります。正規表現は,ログの種類がtype以外の場合に指定できます。
- ログの種類
-
ログの種類は次のとおりです。
ログの種類
内容
重大度
Information
情報
Information(情報)
Warning
警告
Warning(警告)
Error
エラー
Error(エラー)
Audit_success
成功の監査
Notice(通知)
Audit_failure
失敗の監査
Notice(通知)
定義例
- 定義例1:OR条件とAND条件
-
- OR条件の定義例
-
ログの種別が「システムログ」で,説明に「TEXT」,「MSG」,または「-W」のどれかを含む。
filter "System" message 'TEXT' 'MSG' '-W' end-filter
条件をスペースまたはタブで区切って指定すると,OR条件になります。
- AND条件の定義例
-
ログの種類が「システムログ」で,説明に「TEXT」,「MSG」,および「-W」をすべて含む。
filter "System" message 'TEXT' message 'MSG' message '-W' end-filter
条件を改行で区切って指定すると,AND条件になります。改行した場合は,属性名から記述してください。
- 定義例2:複数のフィルターを設定する
-
ログの種別が「アプリケーションログ」のイベントログのうち,次に示す条件のイベントログをトラップする。
- フィルター1
-
・種別:アプリケーションログ
・種類:エラー
・説明:「-E」および「JP1/Base」を含む。
- フィルター2
-
・種別:アプリケーションログ
・種類:警告
・説明:「-W」または「warning」を含む。
#フィルター1 filter "Application" type Error message '-E' message 'JP1/Base' end-filter #フィルター2 filter "Application" type Warning message '-W' 'warning' end-filter
- 定義例3:正規表現を使用する
-
次に示す条件のイベントログをトラップする。
-
種別:アプリケーションログ
-
種類:エラー
-
イベントID:111
-
説明:「-E」または「MSG」を含み,かつ「TEXT」を含まない。
filter "Application" type Error id '^111$' message '-E' 'MSG' message !'TEXT' end-filter
「111」のイベントIDを条件にしたい場合は,正規表現を使用して,「id '^111$'」と指定してください。「id '111'」と指定すると,「イベントIDに111を含む」という条件になるため,イベントIDが「1112」や「0111」でも条件が成立します。「!」を「' '」の手前に付けた場合は,指定した正規表現に一致しないデータを選択します。正規表現は,JP1/Baseの拡張正規表現固定となります。拡張正規表現の詳細については,マニュアル「JP1/Base 運用ガイド」の正規表現の文法を説明している個所を参照してください。
-
- 定義例4:特定のイベントログだけ変換しない
-
ログの種別が「システムログ」で,ログの種類が「警告」のイベントログのうち,次に示す条件のイベントログだけトラップしない。
-
ソース:AAA
-
イベントID:111
-
説明:「TEXT」を含む。
#ソースがAAAのイベントログはトラップしない。
filter "System" type Warning source !'AAA' end-filter #ソースがAAA,かつイベントIDが111以外のイベントログをトラップする。 filter "System" type Warning source 'AAA' id !'^111$' end-filter #ソースがAAA,イベントIDが111,かつ説明に「TEXT」を含まないイベントログをトラップする。 filter "System" type Warning source 'AAA' id '^111$' message !'TEXT' end-filter
-