Next Topic

Previous Topic

Book Contents

警報 - イベントログ

モニタ > 警報

  • 警報機能の選択ドロップダウンリストから、イベントログを選択します。

警報 - イベントログページは、選択したマシンのイベントログエントリーが指定した基準に合致すると警報を発します。イベントログタイプを選択してから、イベントセットイベントカテゴリーで指定した警報条件にフィルタをかけることができます。

注: イベントログを直接表示できます。ウインドウズマシンで、 スタートをクリックし、それから コントロールパネル, 管理ツール, そしてイベントビューワと順番にクリックします。アプリケーションセキュリティまたはシステムをクリックすると、各ログのイベントを表示します。

必要条件

イベントログは、エージェント > イベントログ設定で、特定のマシンでオンとならなければなりません。

ウインドウズイベントログ

イベントログサービスはウインドウズOS上で作動します (Win9xは不可)。イベントログサービスは、ウインドウベースのプログラムやコンポーネントで発行されるイベントログメッセージをオンします。これらのイベントは各マシンにあるイベントログに保存されます。運営マシンのイベントログは、警報やレポートのベースとして働き、保管され、KServerデータベースに保存できます。

OSによって、イベントログタイプは(それに限られたわけではありませんが)以下が含まれることがあります:

  • アプリケーションログ
  • セキュリティ ログ
  • システムログ
  • ディレクトリサービスログ
  • ファイル複製サービスログ
  • DNSサーバログ

選択できるイベントタイプのリストは> スキャンでリストをアップデートでアップデートできます。

ウインドウズイベントは以下のイベントログカテゴリにさらに細かく分類されます:

  • エラー
  • 警告
  • 情報
  • 監査成功
  • 監査失敗
  • きわめて重要- ビスタのみに適用。
  • 冗長- ビスタのみに適用。

イベントログは以下の VSA ページで使用、参照します。

イベントセット

ウインドウズイベントログの数は無数にあるので、VSAはアラーム条件にフィルタをかけるためにイベントセット と呼ばれるレコードタイプを使用します。

イベントセットは1つないしそれ以上の条件を含んでいます。各条件はイベントログエントリー内で別のフィールド用のフィルターを持っています。フィールドとはソースカテゴリーイベントIDユーザー説明のことです。イベントログエントリーは、一致すると思われる全フィールドフィルターと一致しなければなりません。アスタリスク(*)があるフィールドは、一致すると思われる、ゼロ文字列を含む文字列を意味します。イベントセット内で条件のどれかと一致すれば、イベントセットが適用されるマシンに警報を発するのに十分です。

イベントセットの構成の方法についての詳細は、モニタ > 警報 > イベントログ > イベントセット編集でご覧になれます。

サンプルイベントセット

サンプルイベントセットの増加リストが用意されています。サンプルイベントセットの名称はZCで始まります。サンプルイベントセットは修正できますが、サンプルイベントセットをコピーして、そのコピーをカスタム化したほうがいいでしょう。サンプルイベントセットは、メンテナンスサイクル中はサンプルセットがアップデートされるたびに上書きされます。

イベントログ警報を作成

  1. モニター > 警報ページで、ドロップダウンリストを使ってイベントログタイプを選択します。
  2. 警報を発するイベントにフィルタをかけるためにイベントセットフィルタを選択します。デフォルトでは<All Events>が選択されています。
  3. 以下のイベントカテゴリの隣のボックスにチェックを入れます:
    • エラー
    • 警告
    • 情報
    • 監査成功
    • 監査失敗
    • きわめて重要- ビスタのみに適用。
    • 冗長- ビスタのみに適用。

      注: 赤の文字はログイン不可を示します。イベントログは特定のマシンには、VSA で不作動となります。これは、エージェント > イベントログ設定で定義した設定に基づきます。ビスタ以外のマシンで重大な、またはくどいイベントカテゴリーなど、特定のイベントカテゴリは、マシンの中には使用てきないものがあります。

  4. 警告を発するのに必要なアラーム状態の頻度 を指定します:
    • このイベントが1度発生したら警報
    • イベントが <N> <periods>内で<N> 回発生したら警報
    • イベントが <N> <periods>内で発生しなかったら警報
    • <N> <periods>期間警報を無視
  5. 追加または置き換え ラジオオプションをクリックして、 適用 をクリックし、選択したイベントタイプ警報を選択したマシンIDに指定します。
  6. 取り除く をクリックして、選択したマシンIDからイベントベースの警報をすべて外します。

グローバルイベントログブラックリスト

それぞれのエージェントはすべてのイベントを処理しますが、"ブラックリスト"にリストアップされているイベントはVSAサーバーにアップロードされません。2つのブラックリストがあります。1つは、Kaseyaによって定期的に更新され、EvLogBlkList.xmlという名前です。2つめは、EvLogBlkListEx.xmlという名前で、サービスプロバイダーが管理し、Kaseyaによっては更新されません。両方ともに\Kaseya\WebPages\ManagedFiles\VSAHiddenFilesディレクトリにあります。アラームの検出と処理は、 収集ブラックリストにエントリーがあるかないかに関わらず動作します。

氾濫検出

1000イベント— ブラックリストイベントはカウントしない—がKServerへ1時間以内にアップロードされると、そのログタイプのイベントの収集は、その時間は停止されます。新しいイベントがイベントログに挿入され、その収集が中断したことを記録します。その時間が終わると、収集が自動的に再開します。これによって、短時間の重い負荷によってKServerが忙殺されることを防ぎます。アラームの検出と処理は 収集が中断されているかどうかに関わらず動作します。

警報情報をEメールや手順に渡す

以下のタイプのモニタリング警報Eメールを送信、フォーマットできます:

  • 単一イベントログ警報です。同じテンプレートを全イベントログタイプに適用
  • 複数イベントログ警報です。同じテンプレートを全イベントログタイプに適用
  • 紛失したイベントログ警報です。同じテンプレートを全イベントログタイプに適用

注:Eメールアラームフォーマットを変更すると、全イベントログ警報Eメールのフォーマットが変わります。.

以下の変数を、フォーマットしたEメール警報と、手順に含むことができます。

Eメール内

手順内

説明

<at>

#at#

警報時間

<cg>

#cg#

イベントカテゴリ

<cn>

#cn#

コンピュータ名

<db-view.column>

利用不可

データベースからのview.columnを含みます。例えば、Eメールに警報を作成するマシンのコンピュータ名を含むには、<db-vMachine.ComputerName>を使用します

<ed>

#ed#

イベント説明

<ei>

#ei#

event id

<es>

#es#

イベントソース

<esn>

#esn#

イベントソース名

<et>

#et#

イベント時間

<eu>

#eu#

イベントユーザー

<ev>

#ev#

イベントセット名

<gr>

#gr#

グループID

<id>

#id#
  1. マシンID

<lt>

#lt#

ログタイプ (アプリケーション、セキュリティ、システム)

<tp>

#tp#

イベントタイプ - (エラー、警告、情報、監査成功、監査失敗)

 

#subject#

Eメールメッセージのタイトルテキスト、警報の反応としてEメールが送信された場合

 

#body#

Eメールメッセージの本文テキスト、警報の反応としてEメールが送信された場合

注: 以下の編集のみが複数イベントログ警報に含むことができます。<at> <ed> <ev> <gr> <id> <lt>.

適用する

選択したマシンIDにパラメータを適用するために適用をクリックします。情報がマシンIDのリストに正しく適用されていることを確認します。

クリア

クリア をクリックして、選択したマシンIDからすべてのパラメータ設定を削除します。

アラームの作成

チェックして、アラーム条件が発生すると、チケットが作成されます。アラームはアラーム > ダッシュボードリスト、モニター > アラームサマリおよび情報センター >レポート > ログ > アラームログで表示されます。

チケットの作成

チェックして、アラーム条件が発生すると、チケットが作成されます。

スクリプトを作動

チェックして、アラーム条件が発生すると、エージェント手順が実行されます。実行するエージェント手順を選ぶには、エージェント手順の選択リンクをクリックしなければなりません。このマシンIDリンクをクリックすることで、マシンIDの特定レンジでエージェント手順を作動させることができます。これらの指定されたマシンIDは、アラーム条件が発生したマシンIDと一致する必要はありません。

Eメール受信者

これにチェックを入れると、アラーム状態の時に、Eメールが指定Eメールアドレスに送付されます。

  • 現在ログオンしているユーザーのEメールアドレスがEメール受信者フィールドに表示されます。システム > プリファレンスでデフォルトにできます。
  • Eメールをフォーマット をクリックして、 Eメール警報をフォーマット ポップアップウインドウを表示します。このウインドウは、警報状態に遭遇した時にシステムが作成したEメール表示をフォーマットできます。このオプションは、マスター役割ユーザーだけを表示します。
  • 現在のリストに追加ラジオボタンオプションを選択し、 適用をクリックすると、警報設定が適用され、以前に指定されたEメールアドレスはそのままで、指定されたEメールアドレスが加えられます。
  • リストの置き換えラジオボタンオプションを選択し、適用をクリックすると、警報設定が適用され、指定されたEメールアドレスが、現存のEメールアドレスと置き換わります。
  • 取り除くをクリックすると、どの警報パラメータも修正することなく全Eメールアドレスが取り除かれます。
  • EメールはKServerから直接警報で指定されたEメールアドレスに送信されます。システム> アウトバウンドEメールを使って発信元を設定します。

すべて選択/すべて選択解除

すべて選択のリンクをクリックして、ページのすべての行をチェックします。すべて選択解除のリンクをクリックして、ページのすべての行をチェック解除します。

チェックインステータス

これらのアイコンは、各管理マシンのエージェントチェックインステータスを示します:

オンラインなのですが、最初の監査が完了するのを待っています

エージェントがオンライン

エージェントがオンラインで、ユーザーが現在ログインしています。アイコンがログイン名を示すツールティップを表示します。

エージェントがオンラインで、ユーザーが現在ログインしていますが、10分間ユーザーの動きがありません

エージェントが現在オフライン

エージェントが今までチェックインしたことがない

エージェントがオンラインだが、リモートコントロールが不作動

エージェントが延期された

マシン.グループID

表示されるマシングループIDのリストは、ユーザーシステム > ユーザーセキュリティ > スコープを使って表示することが承認されているマシンID / グループIDフィルタおよびマシングループによって異なります。

編集アイコン

編集アイコンをクリックして、ヘッダーパラメータに行の値を配置します。こうしたヘッダーの値を編集して、再度適用することができます。

ログタイプ

モニターされたイベントログのタイプ:

ATSE

マシンIDまたはSNMPデバイスに指定したATSEレスポンスコード:

  • A = ラームを作成
  • T = ケットを作成
  • S = エージェント手順を作動
  • E = Eメール受信者

EWISFCV

モニターされたイベントカテゴリ。

Eメールアドレス

通知が送信されるEメールアドレスのコンマ区切りのリスト。

イベントセット

このマシンIDに割り当てられたイベントセットです。複数のイベントセットを同じマシンIDに割り当てることができます。

インターバル

指定した期間内にイベントが発生した回数です。<N> <periods>期間内にこのイベントが<N>回発生した時に警報 オプションが選択されている時のみ適用します。このイベントが<N> <periods>発生しないと警報が選択されている時に 紛失を表示します。 このイベントが1回発生したら警報 が選択されている時に 1を表示します。

期間

アラーム条件が整うよう期間数とイベントが発生しなければなりません。<N> <periods>期間内にこのイベントが<N>回発生した時に警報 または このイベントが<N> <periods>発生しないと警報が選択されているときに適用。

Re-Arm

イベントセットとイベントカテゴリの同じ組み合わせでの、新しいアラーム条件が整うまで待つ期間数を表示します。<N> <periods>期間警報を無視を使って、re-arm期間がゼロ以上を指定された場合にのみ適用します。