イベントログルールの設定
イベントログルールは、アラート発報の対象とするイベントログの情報(ID、カテゴリなど)を指定するテンプレートで、Windowsイベントログ監視で使用します。
本ページでは、イベントログルールの設定方法を扱います。イベントログルールを使用したWindowsイベントログ監視の設定方法は、こちらをご確認ください。
目次
イベントログルールの追加
イベントログルールの追加方法は以下の通りです。
- [設定]→[監視]→[イベントログルール]に移動します。
- 画面右上の[追加]をクリックします。
-
下表の項目を入力
項目 説明 ログファイル名 イベントログの発生元のログファイルを選択します。 必要なログファイルが一覧に存在しない場合、カスタムイベントログルールの追加を行ってください。ルール名 イベントログのルール名を任意に入力します。 イベントID イベントIDを入力します。Windowsイベントビューア上に記載されているイベントIDが該当します。
入力できる範囲は1~65535であり、複数IDの同時入力はできません。イベントタイプ
(任意)イベントログのレベルを指定します。 発生元
(任意)イベントの発生元、分類、ユーザー、マッチング文字列(メッセージ)を指定します。
それぞれの確認方法は以下の通りです。
- OpManagerサーバー上で監視対象サーバーへwbemtestで接続
- [クエリ(Q)...]ボタンをクリックします。
- 以下のクエリを実行
Select EventCode, SourceName, CategoryString, User, Message from Win32_NTLogEvent WHERE EVENTCODE = ?
※クエリ内の?にイベントIDを入力します。 - クエリ実行結果から、確認するオブジェクトをクリックします。
-
表示されたインスタンスウィザード内の[プロパティ]を参照
イベントログルールの設定項目と、[プロパティ]に表示されるメトリクスの対応関係は以下の通りです。- 発生元:SourceName
- 分類:CategoryString
- ユーザー:User
- マッチング文字列:Message
マッチング文字列を指定すると、入力した文字列に合致するメッセージ含んだイベントログのみがアラートの発報対象になります。
マッチング文字列は、正規表現に対応しています。詳細はこちらをご確認ください。分類
(任意)ユーザー
(任意)マッチング文字列
(任意)連続回数の設定 [次の連続イベント発生時にアラート]は、一定期間中にイベントログが発生した回数をアラートの発報条件に含める場合に設定します。 設定例)
"3 回 300(秒以内)" と設定すると、このイベントログルールで指定したイベントログが、5分(300秒)以内に3回発生した場合にのみアラートを発報します。アラートの重要度 アラートの重要度を指定します。 [無視]を選択した場合、イベントログルールで指定したイベントログが発生しても、アラートは発報されません。
他のイベントログルールで指定しているイベントログのうち、マッチング文字列など特定の条件を満たすもののみをアラートの発報対象から除外する場合に使用します。
- [保存]をクリックします。
カスタムイベントログルールの追加
この機能では、特定のWindowsの装置のログファイルを参照し、イベントログルールで指定できるログファイルを追加することができます。
追加方法は以下の通りです。
- [設定]→[監視]→[イベントログルール]に移動します。
- 画面右上の[カスタムイベントログルールを追加]をクリックします。
- ログファイル名を検索する対象の装置名を[装置名]より選択します。
- ログファイル名を検索する期間を[次の期間に作成されたログのリスト(分)]に入力します。
- [クエリ実行]をクリックします。
- 出力された結果のうち、追加するログファイル名を[ログファイル名]から選択します。
- 追加するログファイル名が無い場合、[手動で追加]を選択しログファイル名を入力します。
- [保存]をクリックします。
イベントログルールの編集
[設定]→[監視]→[イベントログルール]に遷移し、作成済みのイベントログルール名をクリックすることで、イベントログルールの編集が可能です。
編集画面の各項目の詳細は、イベントログルールの追加をご確認ください。
イベントログルールの削除
[設定]→[監視]→[イベントログルール]に遷移し、[アクション]カラムのゴミ箱アイコン
をクリックします。
