このページは 有限会社イハラ Adiscon製品 販売サイト の一部を移設したものです


   WinSyslog   EventReporter   Syslogビューア   Q & A   システム構成例

 

イベントログの監視V2フィルタの利用に関して

「フィルタの条件」を設定することで、条件を満たしたイベントに対してのみ、ファイルログやSyslog転送、メール送信などのアクションを実行させることができます。つまり、処理するイベントを絞り込むことが可能となります。

 

例えば、特定のイベントIDのものを処理させない(対象から除外)したい場合には、「イベントID」のフィルタを作成し、破棄アクションと組み合わせるようにします。(簡易マニュアル「特定のイベントを無視するには」をご参照ください)

 

Windows Vista、Windows Server 2008、Windows 7 のイベントの絞込みを行う場合には、「イベントログの監視 V2」フィルタを使用します。「イベントログの監視」フィルタもご利用頂けますが、新しいイベントログのイベントソースで絞込みを行う場合には「イベントソース」でなく、「イベントログの監視 V2」フィルタにある「イベント Raw ソース」を使用してください。

 


▲イベントログの監視 V2 フィルタ

 

下記は、「イベントログの監視 V2(Windows Vista、Windows Server 2008、Windows 7用)」のフィルタの対応表です。

フィルタ名

プロパティ

内容

実際のデータ (例)
下図のイベントの場合

イベントログの監視 V2

イベントID

%id%

イベントログのイベントID

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

6000

イベント チャンネル

%channel%

このイベントがある Windows イベントログのタイプ
(アプリケーションログやシステムログなど)

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

Application

イベントソース

%sourceproc%

イベントを作成したプロセス
(詳細の EventSourceName のデータ)

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

Wlclntfy

イベント Raw ソース

%sourceraw%

イベントを作成したプロセスの正式名

(詳細の Provider Name 《またはName》 のデータ)

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

Microsoft-Windows-Winlogon

イベント重要度

%severity%

イベントログの重要度(severity)
  ・[INF]   -情報
  ・[AUS]  -成功の監査
  ・[AUF]  -失敗の監査
  ・[WRN]  -警告
  ・[ERR]   -エラー
  ・[NON]  -成功

※「重大」レベルは [ERR]  に含まれます

→「プロパティ値を設定」ではオプションメニューから値を選択します(下図 例2)

[INF]

イベント 重要度 ID

%severityid%

イベントの重要度のレベルを数値で表したもの (エラー:1、警告:2、情報:4)
※「重大」レベルはエラーに、「成功の監査」、「失敗の監査」、「成功」は情報に含まれます

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

4

イベントカテゴリ

%category%

イベントログのカテゴリーID(数値)

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

0

イベントカテゴリ名

%catname%

イベントログのカテゴリー名
(イベントビューアの「分類」に記載されるデータ)

※このデータを持たないイベントもあります

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

(イベントカテゴリが0の場合、何も記載されません)

イベント レベル

%level%

%severityid% のデータをテキストで表したもの

 ・重大
 ・エラー
 ・警告
 ・情報

※「成功の監査」、「失敗の監査」は情報に含まれます

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

情報

イベント キーワード

%keyword%

イベントログのキーワード

(クラッシック、成功の監査、失敗の監視など)

※このデータを持たないイベントもあります

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

クラシック

イベント キーワードID

%keywordid%

イベントログのキーワードID
(詳細の Keywords のデータ)

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

0x80000000000000

イベントユーザー

%user%

イベントログで記録されたユーザー名

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

N\A

 


▲イベントビューア -アプリケーションログ(対応表の参照データ)

 


▲イベントビューア-上図アプリケーションログの詳細

 

*この資料は、EventReporter 11.2 をベースに作成しております。

 

Copyright (c)2012 Ihara Inc. All Rights Reserved.
Microsoft、MS-DOS、Windows NT、Windowsは米国Microsoft Corporationの米国およびその他の国における登録商標です。
その他、記載されている会社名、製品名は各社の登録商標または商標です。