7.6.5 Windowsイベントログ監視ジョブの注意事項
Windowsイベントログ監視ジョブの注意事項(使用する前に知っておいた方がよいこと)を次に示します。
なお,Windowsイベントログ監視ジョブの動作の概要については,「2.4.4(4) Windowsイベントログの受信を契機に処理を実行する(Windowsイベントログ監視ジョブ)」を参照してください。
-
Windowsイベントログ監視ジョブを使用するには,JP1/Baseの動作定義ファイルにイベントログトラップ機能の動作を設定する必要があります。
-
Windowsイベントログ監視ジョブを実行する前に,JP1/BaseのイベントログトラップサービスとJP1/Baseのイベントサービスを起動しておいてください。
JP1/BaseのイベントログトラップサービスとJP1/Baseのイベントサービスが起動されていない場合,Windowsイベントログ監視ジョブは「実行中」状態のまま,Windowsイベントログを受信してもジョブが終了されません。
-
監視できるWindowsイベントは,JP1/Baseのイベントログトラップ機能の仕様に従います。
JP1/Baseのイベントログトラップ機能の詳細および動作定義については,マニュアル「JP1/Base 運用ガイド」を参照してください。
-
Windowsイベントが分類できなかった場合,Windowsのイベントビューアには「なし」と表示されますが,JP1/Baseのイベントログトラップ機能を使ってJP1イベント化すると「None」として扱われます。そのため,JP1/AJS3のWindowsイベントログ監視ジョブの定義項目「分類」では,「なし」ではなく「None」と定義してください。「なし」という文字列を指定しても条件は成立しませんので注意してください。
-
JP1/Baseのイベントログトラップ機能は,定義内容を変えないままで運用すると,「エラー」と「警告」だけが監視されるようになっています。「詳細」,「情報」,「重大」,「失敗の監査」,および「成功の監査」を監視したい場合は,JP1/Baseのイベントログトラップ機能の動作定義ファイルに,監視したいイベントについての定義を追加してください。
-
Windowsイベントログ監視ジョブの定義項目「分類」に指定した監視条件とWindowsイベントの分類が完全に一致した場合に,監視条件が成立します。また,指定できる監視条件は255バイトまでですが,Windowsイベントログには255バイトよりも長い情報が登録される場合があります。この場合は,Windowsイベントログ監視ジョブの定義項目「分類」で指定した文字列と,255バイトまでのWindowsイベントの分類の情報とを比較し,一致した場合に条件が成立します。
-
正規表現で指定する項目では,指定した文字列は部分一致で条件一致となります。完全一致させたい場合は,完全名を明示的に指定した正規表現を使用してください。Windowsの正規表現については,マニュアル「JP1/Base 運用ガイド」を参照してください。
-
Windowsイベントログ監視ジョブの定義項目「説明」に改行を含む文字列を指定した場合,イベントを検知できないことがあります。改行を含むWindowsイベントの説明を監視する場合は,正規表現を使用して改行コードを「.*\n」で指定してください。Windowsの正規表現については,マニュアル「JP1/Base 運用ガイド」を参照してください。
(例)次の文字列を監視する場合
「TEST1を開始します TEST2を開始します」
次のように指定します。
「TEST1を開始します.*\nTEST2を開始します」
-
ジョブの実行先ホストのOSやJP1/AJS3のバージョンによっては,次のエラーになります。
- ジョブの実行先ホストのOSがUNIXの場合
-
ジョブの状態は「起動失敗」になり,メッセージKAVT0567-Eが出力されます。
- ジョブの実行先ホストのOSがWindows Server 2003の場合
-
Windows Server 2016,Windows Server 2012,またはWindows Server 2008でだけ指定できる監視条件を指定している場合,エラーになります。
Windows Server 2016,Windows Server 2012,またはWindows Server 2008でだけ指定できる監視条件は,次のとおりです。
ログ種別:「任意のログ種別」
イベントの種別:「詳細」および「重大」
・ジョブの実行先ホストのJP1/AJS3がバージョン10-00以降のとき
「詳細」あるいは「重大」だけ,または「詳細」と「重大」の両方だけが指定されている場合は,ジョブの状態は「起動失敗」になり,メッセージKAVT0591-Eが出力されます。
「詳細」または「重大」が指定されているが,それ以外の項目も指定している場合は,ジョブは実行され,エラーになりません。
・ジョブの実行先ホストのJP1/AJS3がバージョン10-00より前のとき
ジョブは異常終了して,メッセージKAVT1013-Eが出力されます。