Winイベントログ(内部監視)

Windowsサーバのイベントログをソース名、イベントIDなどで監視します。
監視可能なサーバ種別は、Windowsです。
メニューの表示方法
トップページ > リスト > OverView > 監視一覧 > 新規監視追加 > 監視詳細設定

1. 以下の項目を設定し、「確認&監視テスト実行」をクリックします。

※ イベントログを取得するために使用するAPIとして、「クラシック」または「Windows Eventing6」を選択できます。
     Winイベントログ監視の「ログ取得方法」で「Windows Eventing6」を使用する場合、接続方法は「ClariceWinModule」または「ClariceAgent」を選択してください。「クラシック」を使用する場合は、「ClariceAgent以外」の接続方法を選択してください。
     接続方法の設定について詳しくは、「3: 監視コントロールパネルへのサーバ登録」をご覧ください。
※ 以下の画面は、「2 エラー判定方法の設定」の「高度な設定」をチェックした場合の画面です。

  • 接続方法が「ClariceWinModule」の場合

  • 接続方法が「NetBIOS」または「Microsoft-DS」の場合

[1 イベントログの設定]
監視対象のイベントログを選択します。(必須)
※ Windowsサーバの接続方法によって、設定項目が異なります。接続方法ごとに説明します。

  • 接続方法が「ClariceWinModule」の場合
設定項目設定内容
ログ名称

監視対象のイベントログを選択
※「 2 エラー判定方法の設定」の「高度な設定」をチェックし、「ログ取得方法」で「クラシック」を選択した場合は、以下の4つのイベントログのみ選択できます

  • アプリケーションログ
  • システムログ
  • セキュリティログ
  • Windows PowerShell

※ 上記以外の場合は、すべてのイベントログから選択できます

ログ情報一覧を取得

Windowsサーバからすべてのイベントログを収集し、「ログ名称」に表示させる場合、「2 エラーの判定方法の設定」の「高度な設定」をチェックし、「ログ取得方法」で「Windows Eventing 6」を選択して、項目をクリック
※「 Windows Eventing 6」を選択すると、「高度な設定」のチェックを外してもすべてのイベントログが収集されます

  • 接続方法が「NetBIOS」または「Microsoft-DS」の場合
設定項目設定内容
ログ名称

監視対象のイベントログを以下のいずれかから選択

  • アプリケーションログ
  • システムログ
  • セキュリティログ
  • Windows PowerShell
サーバ情報を取得

Windowsサーバからすべてのイベントログを収集し、監視可能なイベントログの名称を「ログ名称」に表示

[2 エラー判定方法の設定]
ログの取得方法、及び取得したイベントログの内容に対するマッチング条件式を設定します。(必須)
「高度な設定」をチェックした場合とチェックを外した場合で、設定項目が異なります。それぞれの場合の設定について説明します。

  • 「高度な設定」をチェックした場合

ログの取得方法と、マッチング条件式を設定します。(必須)
※「 ログ取得方法」を設定する場合は、接続方法「CWM」を選択して接続可能な状態にしてください。
※ 接続方法に「NetBIOS」、「Microsoft-DS」を設定した場合は「ログ取得方法」は表示されません。

設定項目設定内容
ログ取得方法

イベントログを取得するために使用するAPIとして、「クラシック」または「Windows Eventing 6」のどちらかを選択

マッチング条件式設定

イベントログから特定のログをマッチングするための条件式を入力
※「通知レベル」には、「W(ワーニング)」「A(アラート)」「!(スキップ)」のいずれかを設定してください
※ 条件式に使用できる演算子、定数、変数については、「マッチング条件式設定について」をクリックして表示される「演算子について」と「定数と変数について」をご覧ください
※ 条件式の記述方法については、「マッチング条件式設定について」をクリックして表示される「条件式の記述例」をご覧ください
※ マッチング条件設定の合計が2,048Byte以下であれば、設定できます

イベントビューアを表示

イベントログの内容を確認できる「イベントビューア」を別画面で表示(表下の画面を参照)

【参考】

Winイベントログ監視のマッチング条件式に使用できる「イベントログ変数」は、ログ取得方法(クラシック、Windows Eventing 6)によって異なります。
ログ取得方法を変更する場合、条件式の変更も合わせて行う必要があります。

ログ取得方法イベントログ変数イベントビューアに表示される項目
クラシックtype

ログ種別

  • error → エラー
  • warn → 警告
  • info → 情報
  • success → 成功の監査
  • failed → 失敗の監査
srcイベントソース名
eidイベントID
msgダイアログ内メッセージ
Windows Eventing 6levelレベル
srcソース
eidイベントID
taskタスクのカテゴリ
kwdキーワード
opcodeオペコード
userユーザ
computerコンピュータ
msgログメッセージ

  • 「高度な設定」のチェックを外した場合

ワーニングまたはアラートを検知するイベントソース名、イベントID、及びダイアログ内メッセージを設定します。(ワーニングまたはアラートの設定が必須)

[ワーニング設定]

設定項目設定内容
ログ種別監視対象とするイベントログ内のログ種別を選択
イベントソース名用正規表現

合致したときにワーニングとして検知するイベントソース名を正規表現で入力
※ 120Byteまで設定できます

イベントIDチェック用正規表現

合致したときにワーニングとして検知するイベントIDを正規表現で入力
※ 120Byteまで設定できます

ダイアログ内メッセージ用正規
表現

合致したときにワーニングとして検知するダイアログ内のメッセージを正規表現で入力
※ 256Byteまで設定できます

[アラート設定]

設定項目設定内容
ログ種別監視対象とするイベントログ内のログ種別を選択
イベントソース名用正規表現

合致したときにワーニングとして検知するイベントソース名を正規表現で入力
※ 120Byteまで設定できます

イベントIDチェック用正規表現

合致したときにワーニングとして検知するイベントIDを正規表現で入力
※ 120Byteまで設定できます

ダイアログ内メッセージ用正規
表現

合致したときにワーニングとして検知するダイアログ内のメッセージを正規表現で入力
※ 256Byteまで設定できます

[正規表現の例]
「ワーニング設定」と「アラート設定」の各項目に入力する正規表現の例が表示されます。
[正規表現設定のチェック]
入力した正規表現で合致するかどうかを確認できます。

  • 個別に正規表現をチェック

「ワーニング設定」または「アラート設定」を選択、確認する設定項目を選択後、正規表現を入力し、「チェック」をクリックします。

  • 特定のイベントログに条件がマッチするかどうかチェックを行う
  • 「ワーニング設定」または「アラート設定」を選択、「レコード番号」を入力後、「チェック」をクリックします。

[3 復旧アクション設定]
エラー状態からの復旧方法を選択します。(必須)
アラートが発生したのちの復旧方法として、手動で復旧を行うか、自動で復旧させるかを選択してください。
[4 高度な設定]
「4 高度な設定」をクリックすると設定項目が表示されます。監視開始位置の設定、及び監視対象ログ件数の制限を設定します。(任意)

設定項目設定内容
監視開始位置

監視の開始位置を選択

  • 自動更新

監視を開始する行を自動で更新

  • 手動(ローテート対応)

「※レコード番号」に設定したレコード番号以降が監視対象になる。ただし、ログファイルがローテートされた場合は、設定したレコード以前も監視対象になる

  • 手動(固定)

「※レコード番号」に設定したレコード番号以降が監視対象になる

監視対象ログ件数の制限

監視対象ログ件数を制限するかどうかを選択

  • 一度の監視で読み込むログ件数に制限を設ける

「取得ログ件数」に設定したログ件数まで監視対象とする

  • 一度の監視で読み込むログ件数を制限しない

すべてのログを監視対象とする

制限の適用方法

「監視対象ログ件数の制限」で「一度の監視で読み込むログ件数に制限を設ける」を選択した場合、制限の適用方法を選択

  • 常に新しいログが監視対象となるようにする

新しいログから順に「取得ログ件数」で設定した件数分のログを監視

  • 一度の監視で読み込むログ件数を制限しない

古いログから順に「取得ログ件数」で設定した件数分のログを監視

【注意】

「制限の適用方法」で「常に新しいログが監視対象となるようにする」を選択した場合は、「最大取得ログ件数:」に、指定した監視間隔で出力される行数より大きい値を設定してください。「常に新しいログが監視対象となるようにする」を選択していて、「最大取得ログ件数:」に指定した行数以上のログが出力された場合は、一部のログが監視対象となりません。

[5 タイムアウト設定]
監視結果のリターンを待つ時間を設定します。

設定項目設定内容
タイムアウト

1秒から20秒までの間で設定
※ 推奨値は、20秒です

2. 監視テストに成功すると「新規監視追加画面」が表示され、「2 監視詳細設定」の「修正」の右側に「*監視実行テストOK - response time: #ms」と表示されます。

【参考】

1回の監視ポーリングで同一内容のイベントログが連続して出力されている場合、エラー検知メッセージは1レコードに集約されます。