このページは 有限会社イハラ Adiscon製品 販売サイト の一部を移設したものです |
|
日本語版 |
|||||||||||||||||||||||||||||
EventReporterについて | ||||||||||||||||||||||||||||||
EventReporter
は、Windowsのイベントログを収集し、管理するためのソフトウェアです。
Adiscon の EventReporter は、NTシステムのイベントログに記録されるイベントの集中管理を可能にします。収集したイベントログは、電子メールやsyslog転送などのアクションを実行することで、管理者へ通知することができます。
最初の製品(EvntSLog と呼ばれる)は、特にNTとUnixが混在している環境を念頭おいて作成されました。EventSLog では、Syslogプロトコルのみに対応していましたが、現在でも世界中の多くの商業団体や大学、政府機関(軍などの)に使用されています。 しかし、小規模な組織であっても、サーバ管理の軽減が求められます。
EventReporterは、コンピュータの再販業者やコンサルタント、そのほかサービスプロバイダにとって、まさかの時に彼らの顧客のシステムを監視することができる、優れたツールでもあります。 この製品は、インストールや設定が簡単で、最小のシステム・リソースで稼動し、信頼できる製品であることが証明されています。その上に、非常に低コストな製品でもあります。 |
||||||||||||||||||||||||||||||
機能 | ||||||||||||||||||||||||||||||
■
ログの集中管理
■
使い易さ
■ Syslogサポート
■
SETP のサポート
■ Eメールサポート
■ ローカルフィルタリング
■ Windows2000
、2003、2008、XP、Vista完全対応
■ 丈夫であるということ
■ リモート管理
■
最小限のリソース使用
■ イベントログの完全なデコード
■ NTサービス
■ ダブルバイトの文字のサポート(日本語など)
■ 多言語対応のクライアント
■
親しみやすく、カスタマイズも可能なユーザーインターフェイス
アクションで「上へ移動」、「下へ移動」の機能が使用できるようになりました。
■ ローメモリへの対応 |
||||||||||||||||||||||||||||||
構成 | ||||||||||||||||||||||||||||||
■
EventReporter設定クライアント また、クライアントは、設定情報の保存も行えます。複数のシステムで同じ設定を行いたい場合、その設定情報を対象システムへ読み込ませることで、簡単に実現できます。
■ EventReporterサービス
サービスは、監視を行うシステム上に必ずインストールしなければならないコンポーネントです。EventReporterサービスは、「エンジン」と呼ばれています。
EventReporterは、ユーザー操作の必要なしにバックグラウンドで動作します。
その最適化された構造によって、EventReporterは必要最小限のプロセッサ・パワーのみ使用します。プロセッサ・パワーをどれだけ使用するかは、「スリープタイム」の長さに左右されます。
<x64対応バージョン の組み込み>
EventReporter 8.0
よりx64プラットフォーム対応版がご利用頂けるようになりました。
■ ODBCデータベース・アクションが x64 システム上で動作するようになりました。
|
||||||||||||||||||||||||||||||
システム必要条件 | ||||||||||||||||||||||||||||||
EventReporter には最小ではありますが、必要条件があります。 EventReporter クライアント は、以下の環境でご利用いただけます:
EventReporterサービスは、以下の環境で動作いたします:
サービスはより小さな必要条件で稼動します。 |
||||||||||||||||||||||||||||||
ご利用になる前に | ||||||||||||||||||||||||||||||
EventReporter
は、簡単にも複雑にもご使用頂けます。 |
||||||||||||||||||||||||||||||
インストール | ||||||||||||||||||||||||||||||
EventReporterのインストールは、単純で簡単です。
インストール・セット(ダウンロードしたzipファイル)には、標準のスタートアップ・プログラムとヘルプファイルが含まれています。
解凍した後は、「setup.exe」(=セットアップ プログラム)をダブルクリックし、画面上の指示に従っていってください。
|
||||||||||||||||||||||||||||||
設定情報のエクスポート | ||||||||||||||||||||||||||||||
ご質問を頂いた際、その内容により、お客さまの設定情報をサポート担当へお送り頂く場合がございます。
設定情報のエクスポートは、サポートの場合だけでなく、設定情報のバックアップを行いたい場合や、複数のマシンで同じ設定をご利用になりたい場合など、様々な状況で役立ちます。 設定情報のエクスポートの詳細につきましては、簡易マニュアル「設定情報の保存・読み込み」をご参照下さい。
■ XML形式による設定情報のエクスポート・インポート |
||||||||||||||||||||||||||||||
EventReporter の設定 | ||||||||||||||||||||||||||||||
EventReporterは簡単に操作でき、効果的な製品です。
この章においては、EventReporterサービスの設定方法についてご説明します。
EventReporter設定クライアントを起動するには、スタートメニューのEventReporterのフォルダにあるアイコンをクリックします。
EventReporter クライアントは、2つの要素があります。
上図においては、右側のツリー表示で「サービスのデフォルト」-「ファイル&システムモニターサービス」-「イベントログの監視」サービスを選択しているので、左側にその設定画面が表示されています。 ツリー表示には、トップに「全体/デフォルト」・「テンプレート」・「サービス」・「ルールセット」の4つの要素があります。
<全体/デフォルト >
< テンプレート >
< サービス >
理論的には、1つのサービス インスタンスに対して数百のサービスを起動させることが可能です。
実際のパラメーターは、サービスの種類に左右されます。 同様に、右側の設定ダイアログの下にある「使用するルールセット」も、サービスの種類に関係なく共通のものです。
新しくサービスを作成する場合には、「サービス」を右クリックして下さい。
サービスを削除したい場合は、その対象のサービスを右クリックし、「サービスの削除」を選択します。サービスを削除した場合には、その設定は失われます。
< ルールセット >
ルールセットは、サービスで「使用するルールセット」として選択され、保存されます。
ルールは、ルールセットの下にあります。 ルールのツリー表示には、ルールの下には、それに関連するアクションとフィルタの条件があります。さらに、実行する全てのアクションは、アクションの下にあります。 |
||||||||||||||||||||||||||||||
ライセンスの設定 | ||||||||||||||||||||||||||||||
ご購入後に弊社よりメール送付させて頂きますライセンス情報をご登録いただくことにより、製品版として登録され、高度な機能が使用できるようになります。
■ユーザー登録名
会社名(学校名)を登録名にお使い頂いても良いですし、独自の登録名を選択して頂くことも可能です。
■ユーザー登録番号
ユーザー登録番号のペースト機能につきましては、以下のURL をご参照下さい: |
||||||||||||||||||||||||||||||
全体オプション | ||||||||||||||||||||||||||||||
全体オプション
■キューのリミット
■Customer ID
■System ID
■MIBS の場所
■基準時刻
■サービスの停止からエージェントを保護する
■アプリケーションのイベントログに警告を書き込む
■日本語システムに対する特別なUnicode変換 エンジンに関して
<アクションのオプション>
なお、エラーログは最後の失敗に対してのみイベントログ(ID114)に記録 されます。
<ルールエンジン特定>
ここが無効になっている場合には、ルール内に複数あるアクションのうち一つが失敗してもルールは停止せず、それ以下に定義されているアクションが実行されます。
■ 内部のDNSキャッシュを有効にする
しかし、コンピュータ名やIPアドレスは変更される場合もあります。その場合、DNSは更新されます。もし、DNSを常にキャッシュに入れ、そこから検索するようにしていると、変更された情報を得ることができません。これを回避するために、DNS名をキャッシュに入れる時間に制限を設けました。時間切れとなったDNS名は、キャッシュ内にレコードが存在していないと認識され、新たに検索されるようになります。
また、キャッシュレコードは、システムメモリを使います。数多く名前解決をしたい場合には、より多くのメモリを割り当てる必要が出てくるでしょう。これを解決するために、キャッシュに入れるDNSレコード数を設定できるようにしました。この設定値に達すると、それ以降は新しくキャッシュレコードは割り当てられなくなります。 <DNSキャッシュオプション>
■
キャッシュに入れるレコード数
しかし、数多くのホストの名前解決を行なう場合には、キャッシュに入れるレコード数に上限を設けることをお奨めします。ですが、その場合、頻繁にDNSの問い合わせが行なわれます。
1つのキャッシュレコードにつき およそ1~2KBとして数値を設定して下さい。 <リソース ライブラリキャッシュ オプション> デバッグ オプション
ここでは、ルールベースのデバッグを行うことが可能です。
ルールベースのテストとは別に、このデバッグのログは技術的なお問い合わせの際に役に立ちます。
■
ファイルへのデバッグ出力を有効にする
■
ファイル・パス名 <記録される内容>
■
エラー&警告
■
ルール&フィルタエンジン
■
最小のデバッグ出力
■
情報のデバッグ出力
■
Ultra Verbose出力
■ 循環ログを使用 キュー管理 オプション
この機能により、項目(Items)をディスク(指定したファイル)の内部キューに蓄えて置くことが可能となります。 ディスクキャッシュでは、イベントログの監視サービスのようにアクションが成功している間、継続して動作するタイプのサービスのインフォメーションユニットはキャッシュに入れません。Syslogサーバーサービスのような、その他全てのデータがキャッシュに入れられます。もしも、サービスやサーバーがダウンした時、次回のサービス起動時にキューが自動的に読み込まれるようになります。従って、キューにあるメッセージは消失されません。ただし、キャッシュに入れる処理中にダウンした場合には、そのデータは残りません。
■
ファイル・パス名
■
キューファイルサイズ
<キューのリミット(全体オプション)>
<Race
conditions>
■
ポインタの処理
■
ポインタの保存
<キュー管理
オプション>
■ワーカスレッドの数 |
||||||||||||||||||||||||||||||
サービス | ||||||||||||||||||||||||||||||
サービスについて
「サービス」と「サービスのデフォルト」が取り違われる場合もありますが、「サービスのデフォルト」は、予めサービスの設定を定義するもので、それ自体は何も実行しません。 |
||||||||||||||||||||||||||||||
イベントログの監視 | ||||||||||||||||||||||||||||||
ここでは、イベントログの監視サービスについて設定をおこないます。
これは、EventReporterに最初に導入されたサービスであり、Windows のイベントログを取得するために使用されます。
(Windows Vista をご利用の場合には、イベントログの監視V2 をご利用下さい。) このサービスでは、前バージョンのEventReporter をご利用の方でもスムーズに使用できるよう、以前のメッセージのフォーマットに対応した項目(高度なオプション - レガシーフォーマットを使用)もあります。
イベントログの監視サービスで最も重要なのは、テーブルの部分です。
それ以外にもカスタムのイベントログについても監視することが可能です。
例えば、「MySuperApp」というアプリケーションから、「MySuperAppLog」という名のイベントログが生成されると仮定します。そのとき、そのアプリケーションのメッセージは、Windowsのイベントログではなく、そのイベントログに記録されます。
このようなカスタムのイベントログへ対応するために、このテーブルに新たにイベントログを追加できるようになっております。
(追加できるイベントログの数に制限はございません)
実際には、テーブル内でチェックされた(有効になっている)イベントログだけが処理されます。
<全体のオプション>
■
スリープタイム(ms:ミリ秒)
デフォルト値は、1分となっており、1分毎にイベントログの発生がチェックされるようになっております。
このカスタムで値を設定する場合は、60000ミリ秒という値を推奨します。
逆に、セキュリティを厳重にする場合は、もっと短い間隔でも良いでしょう。
■
オーバーラン防止遅延(ms)
この値がゼロの場合、EventReporter は、マシンのパフォーマンスが許す限り早くイベントを処理します。
もしも、ルータや受信側がこの速度について行けない場合は、結果的にパケットロスしてしまいます。 デフォルトでは、ここは5ミリ秒で設定されています。この場合、1秒間に約200のイベントを処理することが可能です。 この値は、非常に忙しいサーバであっても十分だと思われます。
■
優先言語 この機能に失敗した場合には、自動的にシステムデフォルトの言語が適用されます。
■
高度なオプション
■
制御文字を圧縮する
■
サービスの起動時、現存のエントリを処理しない
■
イベントログのデータ破損の際、現存のエントリを処理しない
■
デフォルトバッファサイズ
■
破損したイベントログの処理方法 ここでは、以下のオプションを選択できます:
■
パラメーター文字列から制御文字を削除する
■
レガシーフォーマットを使用:このオプションは、以前のバージョンのEventReporter と共に稼動するスクリプトや製品への互換性を高めます。
新しいフォーマットには、プレーンなテキストメッセージのみが含まれています。
レガシーフォーマットは、従来の構文解析スクリプトをサポートするためのものです。
以下の機能をオプションとして選択できます:
■ リモートによるイベントログの監視を有効にする
(プロフェッショナルエディション限定) ファイルと印刷サービスが無効になっている場合、ローカルのメッセージ・ライブラリが使用されます。
<イベントログタイプ>
ここでは、各チェックボックスを有効にすると、それに応じたイベントログタイプが処理されます。
■
ログの切り捨てを報告する
EventReporterは、イベントログの切り捨て部分を発見します。 毎日のオペレーションの一部として定期的にNTイベントログを切り捨てている場合、このオプションをオフにするように提案します。またその場合、EventReporterのスリープ タイムの設定では10,000、(つまり10秒)に設定することを推奨します。
■
既存のエントリを処理しない
■
セキュリティID(SID)のオブジェクト名への変更を試みる
■
Active
Directory
オブジェクトクラスのコンバートを試みる
■
最後に処理されたイベントを確認するためにチェックサムを利用する
注意:このオプションは、最終レコードの値の書き換えを防ぐものです。
■
Syslog
ファシリティ
■
最終レコード
特定のNTイベントログの完全なダンプが欲しい場合は、「最終レコード」を0にセットしてください。いくつかのイベントログを逃してしまった場合は、「最終レコード」の値を現在のものより多少低い値にセットしてください。
■ ファイルからイベントログを読込む
■
記録する イベントタイプ
この時点で不要なログタイプをフィルタにかけると、インフォメーション ユニットが発生せず、さらにルールエンジンにもパスされないので、システム効率が高まります。
<
高度なイベントログ処理 >
■
バックアップログに対するサーチパスをカスタマイズする
ここでは、以下の値を利用できます;
< イベントログの消去
>
ここでは、イベントログの自動消去に関してご説明します。
また、消去後のオプションとして以下を設定することも可能です;
■
使用するルールセット
|
||||||||||||||||||||||||||||||
イベントログの監視 V2(Windows Vistaのみ) | ||||||||||||||||||||||||||||||
Windows Vista のイベントログ収集のために新たにこのサービスが追加されました。 このサービスは、Windows Vista のイベントログを処理するように設計されています。
まず、従来のイベントログ(Classic EventLog)があり、これらには
アプリケーション、システム、セキュリティなどのイベントログが含まれています。その下に新しいイベントログ(下図;Serviced
Channels)があります。
ここでは、監視できるイベントが表示されます。 このツリービューでは、チェックボックスを有効にすることにより選択したイベントログを管理できるようになります。デフォルトでは、全てのイベントが有効になっています。
■
スリープタイム(ms:ミリ秒)
デフォルト値は、1分となっております。ドロップダウンリストより「カスタム」を選択すると、値を入力するテキストボックスが現れ、数値で指定して入力を行えます。この値は、ミリ秒で入力します。
■
オーバーラン防止遅延(ms)
もしも、ルータや受信側がこの速度について行けない場合は、結果的にパケットロスしてしまいます。
デフォルトでは、ここは5ミリ秒で設定されています。
■ メッセージフォーマットを選択 定義済みイベントフォーマットは、イベントビューアにあるようなイベントメッセージが記録されます。 |
||||||||||||||||||||||||||||||
ハートビート | ||||||||||||||||||||||||||||||
ハートビート処理は、EventReporter自体が稼動しているかどうかを断続的にチェックするのに使用されます。
■ハートビート中に受信するメッセージ
■ハートビート クロック(スリープタイム)
■Syslogファシリティ
■Syslogプライオリティ
■リソースID
■Syslog
タグ値
■使用するルールセット
|
||||||||||||||||||||||||||||||
MonitorWare Echo Reply | ||||||||||||||||||||||||||||||
この機能は、MonitorWareエージェントに関連するものです。
MonitorWare
Echo Replyサービスは、多少変わったサービスです。
|
||||||||||||||||||||||||||||||
フィルタの条件 | ||||||||||||||||||||||||||||||
フィルタの条件は、どんなときにルールを稼動させるかを設定します。
フィルタの条件は、必要に応じて複雑にすることが可能です。
デフォルトでは、フィルタの条件は「AND」のみが設けられています。
デフォルトのフィルタの条件は、この条件を含むルール内のアクションが受信した全てのインフォメーション
ユニットに対して実行されるということを意味します。
一方、非常に特殊の条件において(メッセージを絞り込んで)実行されるべきアクションも存在します。
上図のフィルタの条件では、侵入検知を行うことが可能です。
ここでは、IIS
で許可されていない exe ファイルが実行された場合に生成されるイベントログを受け取った際にアクションを実行させるよう設定されております。
具体的には、イベントログの監査サービスのイベントログメッセージであり、そのメッセージ内に以下の値が含まれている場合、
イベントID:「560」、ソース:「Security」、ユーザー:「P15111116\IUSR_ROOTSERVER」、文字列:「exe」
さらに、「\usr\bin\perl.exe」または「\PHP\php.exe」の文字列がメッセージに含まれていない場合に「真(True)」と評価され、アクションが実行されます。 |
||||||||||||||||||||||||||||||
全体の条件 | ||||||||||||||||||||||||||||||
全体の条件は、全体としてルールに適用します。
■イベントが発生した場合のみ稼動 この機能は、指定した時間内に、指定されただけの回数のイベントが発生しなければルールが稼動しません。これは、以前は「発生」と呼ばれていた機能を改名したものです。
■最小の待ち時間
■検出されないフィルタをTRUEとして処理する
■プロパティに関する全体の条件 |
||||||||||||||||||||||||||||||
オペレーション | ||||||||||||||||||||||||||||||
オペレーションでは、フィルタの条件がどのように互いにリンクしているかを設定します。
|
||||||||||||||||||||||||||||||
フィルタ | ||||||||||||||||||||||||||||||
フィルタは、各オペレーションノードの下に追加することが可能です。
このような場合には、サービスごとに別のルールセットを作成し、関連付けするようにして下さい。
フィルタには、色々なタイプのものが存在します。 以下のタイプが使用可能です。
|
||||||||||||||||||||||||||||||
一般 | ||||||||||||||||||||||||||||||
これらは、イベントログでない特定の設定です。
■ソース
このフィルタは、文字列で指定します。
■メッセージ
内容検索は、メッセージ内で範囲を限定することができます。
プロパティ値 = 192.168.0.0
上記の設定で、「範囲終了」を9としてしまうと、例えば「192.168.010」なども検出されてしまうので、ご注意下さい。
タイプ=文字列
■CustomerID
タイプ=数字
■System
ID
タイプ=数字
■ステータス名および値 タイプ=文字列 |
||||||||||||||||||||||||||||||
Date/時間 | ||||||||||||||||||||||||||||||
このフィルタの条件は、時間の枠(イベントが発生した曜日)をチェックするために使用されます。
■時間
■曜日
|
||||||||||||||||||||||||||||||
インフォメーション ユニット タイプ | ||||||||||||||||||||||||||||||
いつくかのインフォメーションユニットタイプに対して、1つのルールを処理させたい場合、そのインフォメーションの種類を選択します。
具体的には以下のフィルタが利用可能です:
1.
イベントログ監視 (タイプ=ブール演算)
2.
ハートビート (タイプ=ブール演算) |
||||||||||||||||||||||||||||||
イベントログの監視 | ||||||||||||||||||||||||||||||
イベントログの監視に特有のフィルタは、以下の通りです。
■イベントID タイプ=数字
■イベント タイプ
タイプ=文字列
■イベント・ソース
■イベント重要度(Severity)
■イベントカテゴリ
■イベントカテゴリ名
■イベントユーザー タイプ=文字列 |
||||||||||||||||||||||||||||||
拡張プロパティ | ||||||||||||||||||||||||||||||
ここでは、プロパティのカスタマイズが行うことが可能です。
EventReporterの内部で、全ての値はプロパティに保存されています。 |
||||||||||||||||||||||||||||||
ファイル確認 | ||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||
フィルタ結果の保存 | ||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||
アクション | ||||||||||||||||||||||||||||||
アクションは、フィルタの条件において、ルールが適合する場合に実行されます。 |
||||||||||||||||||||||||||||||
ホスト名解決オプション | ||||||||||||||||||||||||||||||
このアクションにより、全てのサービスでホスト名の解決を実行させることが可能となりました。
■
名前解決の保存先プロパティ
■
既にソースプロパティに名前が入っている場合、完全な名前解決(FQDN)を行なう
例えば、ソースプロパティが既に「servername」と表示されている場合に、この機能を有効にすると完全な名前解決が行なわれ、「servername.mydomain.com」などと表示されるようになります。
■解決されたホストエントリをキャッシュに入れる |
||||||||||||||||||||||||||||||
ファイルオプション | ||||||||||||||||||||||||||||||
この機能は、受信したメッセージをテキストファイルに書き込むために使用されます。
デフォルトでは、一日あたりひとつのファイルが記録されます。新しい項目は、そのファイルの最後に付け加えられます。
ファイルのロックは、データの記録がないときは解除されます。 ファイル名は、ダイアログで設定されている括弧の中のパラメータで、次のように生成されます:
■「・・・に設定」
■ファイル名のプロパティの置換を有効にする F:\syslogs\10.0.0.1\IIS-10.0.0.1.log
これは、ソースのプロパティがパスの中に使用されているので、上記のようなファイル名の作成が可能となります。 イベントのプロパティにつきましては、マニュアル2の「イベントプロパティ」をご参照ください。
■ファイルパス名
「ファイル名のプロパティの置換を有効にする」機能を有効にしている場合、「挿入」をクリックすることで、パス名にソースなどのプロパティを入力することが可能です。(ファイルパス名 :F:\syslogs\%source%など
■ファイルベース名 ここでも 「ファイル名のプロパティの置換を有効にする」機能を有効にしている場合は、「挿入」をクリックすることで、パス名にソースなどのプロパティを入力することが可能です 。
■ファイルの拡張子
■ファイルのフォーマット
これは、ほとんどのオプションを提供します。
「Raw Syslogメッセージ」は、ログファイルにRaw Syslogフォーマットで書き込みます。
「カスタム」フォーマットは、サードパーティのアプリケーションに対して、ログファイルに互換性を持たせるためにフォーマットをカスタマイズすることができます。このオプションを選択することにより、その下の「カスタム
ライン フォーマット」の機能がオンになります。 「Adiscon」フォーマット以外のものは修正されたものですので、一部のフォーマットオプションは適用できません。それらのオプションは有効になります。
■カスタム ライン フォーマット
■独自のファイル名を作成
■ファイル名にソースを含める
■ファイル名にUTCを使用
UTCはGMT(グリニッジ標準時)とほぼ同じですが、こちらの方がより正確です。
複数のタイムゾーンのログファイルを作成し、後でそれらをまとめるといった場合は、UTCを基準にすることをお勧めします。
■循環ログを使用
■タイムスタンプにUTCを使用
■ファイルサイズ (KB)が設定値に達した場合にファイルを分割する
■Include―フィールド名を含める
注意:
「日付と時間を含める」は、「デバイスのレポートに日付と時間を含める」とは異なります。
対照的に、「デバイスのレポートに日付と時間を含める」は、実際のメッセージからタイムスタンプを取ります。
「メッセージを含む」と「RAW メッセージを含む」は、書き込まれるメッセージ自体に対してカスタマイズを行います。
|
||||||||||||||||||||||||||||||
データベースオプション | ||||||||||||||||||||||||||||||
データベースログをご利用頂くことで、メッセージをデータベースへ保存できます。
データベースログは、ODBCに対応したどんなデータベース(実際、WindowsのOSで使用可能な、いかなるデータベースシステムでも)にも、受信したSyslogメッセージを記録することができます。 データベースに一旦保存されると、別のメッセージビューアやアプリケーションで簡単にイベントを閲覧することができます。データベースログアクションのデフォルトでは、AdisconのMoniorWareコンソールに適した設定になっています。データベースフォーマットは、変更することが可能です。これは、データベースに別の分析ツールを使用したい場合に、特に役立ちます。また、大規模な環境では、必要とされるフィールドを正確にデータベースアクションで設定することで、データベースが最高のパフォーマンスを得ることができるようになります。
データベースログのアクションで最も重要なのは、フィールドの部分です。 「フィールドタイプ(Fieldtype)」は、データベース列のデータタイプです。それは、データベースで選択される列タイプを反映しなければなりません。また、このデータタイプは、保存される実際のプロパティと一致していなければなりません。例えば、syslogpriorityのような整数タイプのプロパティは、varchar列に保存することができます。一方、syslogtagのような文字列データタイプは、整数列に保存することはできません。
「フィールドコンテンツ(Fieldcontent)」は、イベントプロパティです。サポートされたプロパティリストに関しては、マニュアル内「イベントプロパティ」をご参照下さい。 データベース フィールド内の値を編集するには、列を選択して下さい。選択した列の値は、フィールドリストの上のテキストボックスで変更できます。また、「挿入」、「削除」のボタンをクリックすることで、フィールドの作成、削除を行うことが可能です。「削除」ボタンをクリックすると、選択されているフィールドが削除されます。また、上・下の矢印ボタンをクリックすることで、選択したフィールドを移動させることができますが、この移動は表面的なもので、データベースアクションの処理には、何も影響ありません。
フィールドコンテンツでは、プロパティの置換機能を使用することができます。例えば、メッセージの最初の200文字だけを保存したい場合には、"%msg: 1:200%"と設定することで可能です。
■データソース
■データベースを生成
※ 64bit OS
をご利用の場合、「データベースを生成」を実行する際には、下記ディレクトリ内にある32bitアプリケーション用の[ODBC
データソースアドミニストレーター]のシステムDSN も設定してください;
■DSN
■ユーザーID
■パスワード
■暗号化
もし、何らかの理由で、暗号化せずにパスワードの保存を行う場合は、そのセキュリティに気を付けてください。この場合、限られたアクセス権でアカウントの使用をすることをお勧めします。
■テーブル名
■出力エンコード
■詳細なプロパティのログを有効にする 追加のプロパティは、概して イベントログの監視からのSETP受信データにあります。例えば、SETPで受信したイベントログのデータには、実際のWindowsのイベントプロパティとイベントデータが含まれています。このオプションは、Syslogで受信したイベントログ メッセージには適用されませんので、注意してください。
このオプションは、有効にする前に、必要がどうかを確認するようにして下さい。 |
||||||||||||||||||||||||||||||
OLEDBデータベースオプション | ||||||||||||||||||||||||||||||
OLEDBデータベースアクションの設定は、ODBCデータベースログアクションと同様に行うことが出来ます。 このアクションにより、収集したイベントをOLEDB対応のデータベースに書き込むことが可能となります。保存されたメッセージは、カスタムアプリケーションと同様に、別のメッセージビューアで簡単に閲覧することができます。データベース・フォーマットは、変更することが可能です。これは、データベース上で更なる分析を行なう場合に非常に役立ちます。
OLEDB
データベースアクションのメイン機能は、フィールドリストです。
Fieldnameは、データベースの列の名称です。
Fieldtype は、データベースの列のデータ型です。
Fieldcontentは、イベントプロパティです。
データベースフィールドの編集は、各行をクリックし、テキストボックスに値を入力、およびドロップダウンリストより値を選択することで行なえます。項目の挿入、削除は、それぞれのボタンをクリックすることで行なうことができます。削除の場合には、選択されている行が削除されます。
文字列のデータ型には、プロパティの置換を使用できます。これは、サブストリングを保存したい場合に、特に役立ちます。例えば、各メッセージの先頭から200文字を保存したい場合には、"%msg:1:200%" という値を使用します。
■ データソースの設定
■ データベースアクセスの確認
■ メインテーブル名
■
SQLステートメントタイプ
■ 接続のタイムアウト
■ 詳細なプロパティのログを有効にする 追加のプロパティは、概して イベントログの監視からのSETP受信データにあります。例えば、SETPで受信したイベントログのデータには、実際のWindowsのイベントプロパティとイベントデータが含まれています。このオプションは、Syslogで受信したイベントログ メッセージには適用されませんので、注意してください。
このオプションは、有効にする前に、必要がどうかを確認するようにして下さい。
■ 接続の再試行 |
||||||||||||||||||||||||||||||
イベントログオプション | ||||||||||||||||||||||||||||||
ここでは、EventReporterサービスが、Windows のイベントログに記録できるように設定します。
■イベントログソースを置換する
しかし、このモードには欠点があります。
しかし、その場合でもログメッセージは全て表示されます。
■カスタム イベント・ソース
■EventType
■EventID
■ログメッセージ |
||||||||||||||||||||||||||||||
メール オプション | ||||||||||||||||||||||||||||||
ここでは、メール(SMTP)のパラメータの設定を行います。
■メールサーバー
EventReporterは、標準のSMTPメールサーバーとの接続を前提としています。
■バックアップ メールサーバー
■ポート
■送信者
■受信者
■題名
メール本体には完全なイベント情報(ソース・システム、ファシリティ、プライオリティ、メッセージテキスト)が含まれています。
「挿入」をクリックし、%msg% (例) などの置換文字を追加することで、題名に書き込まれるイベントのメッセージをカスタマイズすることが可能となります。
受け取ったひとつのメッセージに対して、一通のメールを送信します。
■従来の題名の処理を有効にする ここを有効にした場合には、以下の置換文字列を題名に組み込むことができます:
上図のような置換文字列の設定がされている場合、以下のような題名が受信できます。
一方、プロパティモードでは、イベントプロパティからのプロパティを組み込み、修正することが可能です。詳細は、「イベントプロパティ」についての箇所をご参照下さい。
プロパティモードでは、例えば、以下のような題名を指定することが可能です。
メッセージは、%msg:1:15 にて文字列の1文字目から15文字目までと指定されていますので、16字目以降(「hy」の2文字)は切り捨てられます。
■メールメッセージ フォーマット
■接続のタイムアウト
新しいイベントが設定されたタイムアウトに達するまでに受信された場合は、前のイベントと同じEメールメッセージに含まれます。それからタイムアウトは再起動されます。
これは、メッセージの大量なバーストが予想され、それらのメッセージが少数のEメールにまとめられるべきである場合に最も適切です。さもなければ、管理者のメールボックスは多数のメールにより、すぐにオーバーフローしてしまいます。
接続のタイムアウトでは0から4000までの値を入力できます。 接続のタイムアウトにおいて0を設定した場合は、各イベントが個別のメッセージとして送信されます。
■出力エンコード
■メールサーバにSSLで接続する
■SMTP
認証を使用
サーバがSMTP認証を必要(またはサポート)する場合は、この設定を有効にして、下のテキストボックスにユーザーIDとパスワードを入力して下さい。
メールサーバーが認証をサポートしていない場合は、ここは有効にしないで置いて下さい。
ここ設定は、認証に対応している場合は、有効することをお勧めします。
■メール本体にメッセージ/イベントを含む
このオプションは携帯などのモバイル機器で(WML対応の場合は特に)、非常に役に立つ機能です。これらのデバイスは、たいてい表示するデータの量に制限があります。
WMLに対応した機器がメッセージ本体を受信できる場合であっても、このオプションをオフにした方が良い場合もあります。WMLやWAPは比較的コストがかかります。
■レポートにXMLを使用
|
||||||||||||||||||||||||||||||
Syslog転送 オプション | ||||||||||||||||||||||||||||||
このダイアログは、Syslog転送オプションを制御します。
■Syslog
サーバ
■Syslog
ポート
■プロトコルタイプ UDPはほとんどすべてのサーバで使用できますが、ネットワークエラーなどによりメッセージが消失してしまう可能性があります。その性質を理解された上、ご利用ください。 TCPとRFC 3195をベースにしたメッセージは、UDPよりも確実に送信されます。
RFC3195は、特殊な通信モードです。しかし、実装例はとても少ないのが現状です。 TCPには、「TCP(1回の接続につき1つのメッセージ)」、「TCP(持続して接続)」、「TCP(オクテットベースのフレーミング)」 の3つのモードがあります。
「TCP(1回の接続につき1つのメッセージ)」は、2006年以前のAdisconサーバーのための互換モードです。(ほかのベンダーでも要求されるモードかもしれません)
「TCP(持続して接続)」は、1度の接続で複数のメッセージを送信するモードです。(メッセージを送信し終わるまでポートは開いた状態になります)高いパフォーマンス性が期待できますが、Syslogメッセージ内に制御文字などが含まれる場合には、問題が起こる可能性があります。
「TCP(オクテットベースのフレーミング)」は、やがて公開される(未確定ですが)IETF標準のアルゴリズムを実装しています。このモードも継続的に接続されます。このモードでは、制御文字が含まれるメッセージも処理されます。しかし、このモードに対応したレシーバーは、現在ところ非常に数少ない状況です。そのため、このモードは、最新のAdiscon製品間の通信でご利用になることをお勧め致します。 「TCP(持続して接続)」、「TCP(オクテットベースのフレーミング)」を選択した場合には、セッションタイムアウトの設定が行えます。デフォルト(30分)の場合、メッセージが送信されないまま30分経過すると、接続が切られるようになります。もしも、処理するメッセージが少ない場合には、これより低い値を設定しても結構です。
■ データの圧縮にzLib 圧縮を使用する
■メールメッセージ フォーマット
■出力エンコード
■別のSyslogサーバに転送する場合のSyslogソースの追加
■レポートにXMLを使用
受信するシステムがXMLデータの解析が可能である場合は、特にこの機能は役に立ちます。
■XMLの表記コードをMWAgentとして転送する
■
Syslogサーバーへの接続に失敗した場合、ディスクキューを使用する
(TCP選択時のみ)
Syslogメッセージがキャッシュされている最中に EventReporterサービスが再起動された場合、その間に Syslogサーバーへの接続が確立されても確認されません。その場合、次に Syslog転送 アクションが実行されるまで接続はチェックされません。
キャッシュのサイズは、特に制限はありません(ディスクのサイズに依存します)。
この機能は、フォーマットを十分に理解されている方(受信者)に対してのみご利用下さい。 TCPによる圧縮送信の場合には、特別なモードにする必要があります。このモード(syslog-transport-tls)は、これから公開されるIETFの仕様がベースとなっています。ただ、このモードはまだ完成されたものではないので、実験的な試みとなります。その結果、今後リリースされる製品でこのモードが使用されるかどうかはわかりません。また、別のモードが今後製品に組み込まれた場合、このモードとの互換性は保証できかねます。
ただ、この機能自体はしっかりしています。 |
||||||||||||||||||||||||||||||
SETPで転送 オプション(プロフェッショナルエディションのみご利用頂けます) | ||||||||||||||||||||||||||||||
このダイアログは、転送に関するオプションを設定します。
■サーバ名
■デフォルトのSETPポート
■SSLの有効化/TLSの暗号化
■データの圧縮に
zLib圧縮を使用する
■圧縮レベル
■セッションタイムアウト
<高度な接続オプション>
■接続のタイムアウト
■送信/受信 タイムアウト
|
||||||||||||||||||||||||||||||
Net Send オプション | ||||||||||||||||||||||||||||||
ここでは、Net Send オプションを設定します。
“Net Send”アクションを使用すると、Windowsの “net send” 機能を使い短い警告メッセージを送信することができます。これらのメッセージはベストエフォートをベースにして送信されます。
■ターゲット
■送信メッセージ |
||||||||||||||||||||||||||||||
プログラム開始 オプション | ||||||||||||||||||||||||||||||
ここでは、プログラム開始オプションを設定します。
「プログラム開始」のアクションにより、外部のプログラムを起動することが出来ます。
■実行コマンド
■以前のパラメータ処理を使用
■パラメータ
パラメータは、イベントの詳細でカスタマイズするために、置換文字列を設定することも可能です。これにより、イベントデータがスクリプトに渡されます。以下の置換文字列を使用できます:
例として、「e1”%s””%m”」と設定し、172.16.0.1から「This is a test.」と受信した場合は、スクリプトは3つのパラメータで開始されます。
■タイムアウト
外部のプログラムは、限られた時間内にのみ動作すべきです。
パフォーマンスを考慮して、「プログラム開始」のアクションは、頻繁に適用されないルールに対してのみ使用することをお勧めします。 |
||||||||||||||||||||||||||||||
サウンド再生 | ||||||||||||||||||||||||||||||
このダイアログは、サウンドファイルを再生させるための設定を行います。
■サウンドファイルのファイル名 存在しないサウンドファイルが指定されていたり、無効なフォーマットのファイルが指定されていたりする場合には、システムビープ音が発せられます。
■再生回数(ファイルを何回再生するか)
■サウンド再生の間隔(ミリ秒) |
||||||||||||||||||||||||||||||
コミュニケーションポートに送信する | ||||||||||||||||||||||||||||||
このアクションにより、コミュニケーションデバイスに文字列を送信することが可能となります。
■タイムアウト制限
■メッセージの送信ポート
■ポート設定
■1秒当たりのビット数
■データビット
■パリティ
■ストップビット
■DTRフロー制御
■送信メッセージ |
||||||||||||||||||||||||||||||
ステータスの設定 | ||||||||||||||||||||||||||||||
このダイアログは、ステータスの設定オプションを設定します。
各々のインフォメーション・ユニットは特定のプロパティ(例えばイベントID、プライオリティ、ファシリティなど)を持っています。そして、これらのプロパティは、いくつかの値を持っています。
下図のように、新たにプロパティを作成し、有効な(適当な)値を割り当てることができます。
■プロパティ名
■プロパティに値を設定 |
||||||||||||||||||||||||||||||
プロパティの設定 | ||||||||||||||||||||||||||||||
ここでは、プロパティの設定を管理します。 「プロパティの設定」アクションにより、入ってくるメッセージのプロパティのいくつかを修正することができます。これは、管理者が二つのデバイスに同じ名前を付け直したい場合などは特に役に立ちます。
■プロパティ タイプの選択
■プロパティに値を設定 |
||||||||||||||||||||||||||||||
ルールセットの呼び出し | ||||||||||||||||||||||||||||||
このダイアログは、ルールセットの呼び出しオプションを設定します。
このアクションは、存在しているルールセットの中から、特定のルールセットを呼び出すために設定します。このアクションが実行されると、ルールエンジンは、通常の処理を止め、ここで指定したルールセットを呼び出します。(そのルールセットには、ルールが含まれいます。)そして、呼び出されたルールセット内で定義されたルールが全て実行されます。その後、通常の処理に戻ります。(処理を止めた時点に戻ります。)具体的には、下記の例をご参照下さい。
仮に、Rule1 には、アクション1とアクション2が存在するとします。
■呼び出すルールセット |
||||||||||||||||||||||||||||||
ステータス変数算出 | ||||||||||||||||||||||||||||||
このアクションは、内部処理に関するものです。
<オプションタイプ>
■
増加値(+)
■
減少値(+)
■
オペレーション値 |
||||||||||||||||||||||||||||||
破棄 | ||||||||||||||||||||||||||||||
破棄のアクションは、現在のインフォメーション ユニット、ならびに破棄アクションの後に設定されている全てのアクションを無効にします。 このアクションは、詳細を設定する必要がないため、アクションの追加で選択しても設定のダイアログは表示されません。 |
||||||||||||||||||||||||||||||
コピーライト | ||||||||||||||||||||||||||||||
This documentation as well as the
actual EventReporter product is copyrighted by Adiscon GmbH,
|
その他、記載されている会社名、製品名は各社の登録商標または商標です。