リモート監視イベントログトラップ動作定義ファイル
形式
retry-times リトライ回数 retry-interval リトライ間隔 open-retry-times=リトライ回数(イベントログの収集のリトライ回数) open-retry-interval=リトライ間隔(イベントログの収集のリトライ間隔) trap-interval 監視間隔 matching-level 比較レベル filter-check-level フィルターチェックレベル # フィルター filter ログの種別 [id=イベントID] [trap-name=監視名] 条件文1 条件文2 : 条件文n end-filter
ファイル
任意のファイルを使用します。
格納先ディレクトリ
- Windowsの場合
-
任意のフォルダ
- UNIXの場合
-
任意のディレクトリ
説明
リモート監視のイベントログトラップ機能の動作を定義するファイルです。リモート監視のイベントログトラップ機能の起動時にその内容を参照します。
UTF-8で保存する場合は,BOM(byte order mark)が付与されないように保存してください。
定義の反映時期
次の場合に,リモート監視イベントログトラップ動作定義ファイルの設定が有効になります。
-
[プロファイル表示/編集]画面でリロードまたは再起動
[プロファイル表示/編集]画面については,マニュアル「JP1/Integrated Management 3 - Manager 画面リファレンス」の「5.9 [プロファイル表示/編集]画面」を参照してください。
-
jcfaleltstartコマンドまたはjcfaleltreloadコマンドの実行
jcfaleltstartコマンドの詳細については,「jcfaleltstart(Windows限定)」(1. コマンド)を参照してください。jcfaleltreloadコマンドの詳細については,「jcfaleltreload(Windows限定)」(1. コマンド)を参照してください。
-
JP1/IM - Managerの再起動
記述内容
- retry-times
-
一時的な通信障害で,イベントサービスへの接続に失敗した場合に行うリトライの回数を0〜86,400の範囲で指定します。省略した場合,リトライ処理はしません。指定された回数のリトライが成功しない場合はエラーとします。retry-timesおよびretry-intervalの組み合わせで24時間以上の設定もできますが,リトライを開始した時刻から24時間以上経過した場合,リトライ処理は打ち切られます。
- retry-interval
-
一時的な通信障害で,イベントサービスへの接続に失敗した場合に行うリトライ間隔を1〜600(秒)の範囲で指定します。省略した場合,リトライ間隔を10秒と見なします。
- open-retry-times
-
イベントログの収集に失敗,または監視対象ホストに接続できなかった場合に行うリトライの回数を1〜3,600の範囲で指定します。省略した場合,リトライ回数を3回と見なします。指定したリトライ回数を超えた場合,ログファイルの監視を停止します。
- open-retry-interval
-
イベントログの収集に失敗,または監視対象ホストに接続できなかった場合に行うリトライ処理の間隔を3〜600(秒)の範囲で指定します。省略した場合,trap-intervalが指定されているときは,trap-intervalに指定した値になります。trap-intervalが指定されていないときは,300秒になります。リトライ間隔は,エラー発生後,リトライを試みるまでの間隔です。
- trap-interval
-
イベントログを監視する間隔を60〜86,400(秒)の範囲で指定します。省略した場合,300秒と見なします。イベントログトラップは,一定の間隔でイベントログを監視します。
- matching-level
-
フィルターにmessage属性またはcategory属性を指定した場合で,メッセージDLLまたはカテゴリーDLLが正しく設定されてないなどの理由で,イベントログの説明文の読み込みに失敗したときの,イベントログと定義内容の比較レベルを指定します。0を指定すると,比較しないで次のフィルターと比較をします。1を指定すると,比較します。省略した場合,0を指定したものと見なします。
- filter-check-level
-
フィルターに不正な(システムに存在しない)ログの種別や不正な正規表現指定がある場合のチェックレベルを指定します。0を指定すると,フィルターに不正なログの種別や不正な正規表現がある場合,該当するフィルターを無効にします。ただし,有効なフィルターが一つでもある場合,リモート監視イベントログトラップの起動またはリロードは成功します。有効なフィルターが一つもない場合,リモート監視イベントログトラップの起動またはリロードは失敗します。1を指定すると,フィルターに不正なログの種別や不正な正規表現が一つでもある場合,リモート監視イベントログトラップの起動またはリロードは失敗します。
省略した場合,0を指定したものと見なします。
- filter〜end-filter
-
- ログの種別
-
監視の対象となるイベントログの種別を指定します。
(例)
"アプリケーション"または"Application"
"セキュリティ"または"Security"
"システム"または"System"
"DNS Server"
"Directory Service"
"ファイルレプリケーションサービス"または"File Replication Service"
"DFS レプリケーション"または"DFS Replication"
複数のフィルターに同一のログの種別を指定した場合,それらのフィルターのどれかの条件を満たすときに成立します。
- [id=イベントID]
-
イベントサーバにJP1イベントを登録する際のイベントIDを指定します。イベントIDは上位4バイト(基本コード)と下位4バイト(拡張コード)をコロン「:」で区切り,16進数で記述します。A〜Fは大文字で記述してください。なお,下位4バイトまたはコロン以下の下位4バイトは省略できます。この場合,省略値には0を仮定します。また,上位下位とも8桁に満たない場合は前から補われます。ユーザーが指定できる範囲の値,0:0〜1FFF:0および7FFF8000:0〜7FFFFFFF:0を指定してください。「id=」と値の間には,スペースやタブを入れないでください。ログの種別と監視名の間には,スペースを入れてください。この値を省略すると,イベントID(00003A71)が指定されます。イベントIDの表記例を次に示します。
(例)
次に示す3とおりの表記は同じ意味になります。
0000011A:00000000
11A:0
11A
- [trap-name=監視名]
-
イベントログを変換して登録されたJP1イベントが,どのフィルターに該当したものなのか判別する際の監視名を指定します。監視名の先頭の文字は,必ず英数字を指定してください。英大文字・英小文字を区別します。スペースやタブを入れないでください。このパラメーターを省略すると,JP1イベント変換時に拡張属性(E.JP1_TRAP_NAME)が作成されません。
- 条件文
-
条件文の指定は次のとおりです。
・属性指定にtype以外を指定した場合
属性指定 正規表現1 正規表現2 正規表現3 …
・属性指定にtypeを指定した場合
type ログの種類1 ログの種類2 ログの種類3 …
属性指定のあとに列挙された正規表現(またはログの種類)のどれかが成立した場合に成立します。なお,フィルター内の条件文はAND条件,フィルター間はOR条件です。
- 属性設定
-
属性設定は次のとおりです。
属性名
記述する内容
type
ログの種類
source
ソース
category
分類
id
イベントID
user
ユーザー
message
説明
computer
コンピュータ名
・注意事項
属性設定で"message"を指定した場合,イベントログの説明文で「〜に関する説明が見つかりませんでした」という説明文(メッセージDLLが存在しない説明文)を含んだイベントログは,メッセージを作成できません。このため,トラップ対象外となります。挿入句にトラップ対象の語句が含まれていたとしてもトラップされません。
上記の場合,Windowsのイベントログの仕組みに従って,イベントログの説明文を記載したメッセージDLLが正しく設定された状態でご利用ください。メッセージDLLが正しく設定されていないと,イベントログから説明文を読み込めないため,トラップの対象にできないことがあります。なお,メッセージDLLがないメッセージをトラップしたい場合は,matching-levelパラメーターを1に設定してください。
なお,監視できるログ情報の詳細については,マニュアル「JP1/Integrated Management 3 - Manager 導入・設計ガイド」の「8.6.3 監視できるログ情報」を参照してください。
- 正規表現
-
正規表現は,’...’ のように引用符で囲まれた文字列で指定します。!’...’のように引用符の前に感嘆符を付加した場合,指定した正規表現以外の文字列という意味となります。正規表現中に ’ を指定する場合は \’ のようにエスケープ指定する必要があります。正規表現は,ログの種類がtype以外の場合に指定できます。
- ログの種類
-
ログの種類は次のとおりです。
ログの種類
内容
重大度
Information
情報
Information(情報)
Warning
警告
Warning(警告)
Error
エラー
Error(エラー)
Audit_success
成功の監査
Notice(通知)
Audit_failure
失敗の監査
Notice(通知)
定義例
- 定義例1:OR条件とAND条件
-
- OR条件の定義例
-
ログの種別が「システムログ」で,説明に「TEXT」,「MSG」,または「-W」のどれかを含む。
filter "System" message 'TEXT' 'MSG' '-W' end-filter
条件をスペースまたはタブで区切って指定すると,OR条件になります。
- AND条件の定義例
-
ログの種類が「システムログ」で,説明に「TEXT」,「MSG」,および「-W」をすべて含む。
filter "System" message 'TEXT' message 'MSG' message '-W' end-filter
条件を改行で区切って指定すると,AND条件になります。改行した場合は,属性名から記述してください。
- 定義例2:複数のフィルターを設定する
-
ログの種別が「アプリケーションログ」のイベントログのうち,次に示す条件のイベントログをトラップする。
- フィルター1
-
・種別:アプリケーションログ
・種類:エラー
・説明:「-E」および「JP1/Base」を含む。
- フィルター2
-
・種別:アプリケーションログ
・種類:警告
・説明:「-W」または「warning」を含む。
#フィルター1 filter "Application" type Error message '-E' message 'JP1/Base' end-filter #フィルター2 filter "Application" type Warning message '-W' 'warning' end-filter
- 定義例3:正規表現を使用する
-
次に示す条件のイベントログをトラップする。
-
種別:アプリケーションログ
-
種類:エラー
-
イベントID:111
-
説明:「-E」または「MSG」を含み,かつ「TEXT」を含まない。
filter "Application" type Error id '^111$' message '-E' 'MSG' message !'TEXT' end-filter
「111」のイベントIDを条件にしたい場合は,正規表現を使用して,「id '^111$'」と指定してください。「id '111'」と指定すると,「イベントIDに111を含む」という条件になるため,イベントIDが「1112」や「0111」でも条件が成立します。「!」を「' '」の手前に付けた場合は,指定した正規表現に一致しないデータを選択します。正規表現は,JP1/Baseの拡張正規表現固定となります。拡張正規表現の詳細については,マニュアル「JP1/Base 運用ガイド」の正規表現の文法を説明している個所を参照してください。
-
- 定義例4:特定のイベントログだけ変換しない
-
ログの種別が「システムログ」で,ログの種類が「警告」のイベントログのうち,次に示す条件のイベントログだけトラップしない。
-
ソース:AAA
-
イベントID:111
-
説明:「TEXT」を含む。
#ソースがAAAのイベントログはトラップしない。
filter "System" type Warning source !'AAA' end-filter #ソースがAAA,かつイベントIDが111以外のイベントログをトラップする。 filter "System" type Warning source 'AAA' id !'^111$' end-filter #ソースがAAA,イベントIDが111,かつ説明に「TEXT」を含まないイベントログをトラップする。 filter "System" type Warning source 'AAA' id '^111$' message !'TEXT'
-
end-filter