EventSentry マニュアル v2.90 Vol. 2

1
EventSentry マニュアル v2.90
Vol. 2
平成 22 年 6 月
© <2002 - 2008> ... NETIKUS.NET ltd
2
第 5 章 EventSentry で監視 ............................................................ 7
5.1 サービスコントロール.............................................................................................. 9
5.2 グローバルオプション............................................................................................ 11
5.3 イベントログ監視 ................................................................................................... 13
5.3.1 イベントログ
パッケージオプション ............................................................ 14
5.3.2 フィルター ....................................................................................................... 15
5.3.2.1 フィルタープロパティ............................................................................... 17
5.3.2.2 上級テキスト処理...................................................................................... 22
5.3.2.3 フィルター処理 ......................................................................................... 23
5.3.3 フォルダ........................................................................................................... 25
5.3.4 フィルターの編集 ............................................................................................ 26
5.3.5 フィルター閾値 ................................................................................................ 28
5.3.5.1 イベントログ ............................................................................................. 32
5.3.6 フィルタタイマー ............................................................................................ 32
5.3.7 上級 時間/日付設定.......................................................................................... 35
5.3.7.1
Day & Hour Configuration ...................................................................... 35
5.3.7.2 フィルター有効期限 .................................................................................. 36
5.3.7.3 サマリー通知 ............................................................................................. 37
5.3.7.4 繰り返しイベント...................................................................................... 38
5.3.8 カスタムイベントログの監視 .......................................................................... 40
5.3.8.1 カスタムイベントログの管理 .................................................................... 40
5.3.8.2 カスタムイベントログの監視 .................................................................... 43
5.4 ログファイル監視 ................................................................................................... 44
5.4.1 ファイル定義の作成......................................................................................... 46
5.4.2 監視ファイルの定義......................................................................................... 50
5.4.3 ログファイルパッケージへファイル追加......................................................... 52
5.4.4 統合と監視オプション ..................................................................................... 53
5.4.4.1 イベントログ ............................................................................................. 54
5.5 システムヘルスの監視............................................................................................ 55
5.5.1 サービス監視 ................................................................................................... 57
5.5.1.1 上級オプション ......................................................................................... 60
5.5.1.2 イベントログ ............................................................................................. 61
5.5.2 アプリケーションスケジューラー ................................................................... 62
5.5.2.1
Example Scripts ....................................................................................... 66
5.5.2.2 イベントログ ............................................................................................. 68
© <2002 - 2008> ... NETIKUS.NET ltd
3
5.5.3 イベントログのバックアップ .......................................................................... 69
5.5.3.1 フルイベントログの検出 ........................................................................... 71
5.5.3.2 イベントログ ............................................................................................. 72
5.5.4 プロセス監視 ................................................................................................... 73
5.5.4.1 イベントログ ............................................................................................. 76
5.5.5 ディスクスペース監視 ........................................................................................... 77
5.5.5.1 イベントログ ............................................................................................. 79
5.5.6 ディレクトリ監視 ............................................................................................ 79
5.5.6.1 イベントログ ............................................................................................. 82
5.5.7 ソフトウェア監視 ............................................................................................ 83
5.5.7.1 イベントログ ............................................................................................. 87
5.5.8 パフォーマンス監視......................................................................................... 90
5.5.8.1 アラート .................................................................................................... 91
5.5.8.2 アラートグループ...................................................................................... 95
5.5.8.3 データベース追跡...................................................................................... 97
5.5.8.4 イベントログ ............................................................................................. 99
5.5.9 ファイル変更監視 ............................................................................................... 100
5.5.9.1 ディレクトリの管理........................................................................................ 103
5.5.9.2 イベントログ ........................................................................................... 104
5.5.10
NTP 監視 ..................................................................................................... 106
5.5.10.1 イベントログ ......................................................................................... 107
5.6 コンプライアンス追跡.......................................................................................... 108
5.6.1 追跡パッケージオプション ............................................................................ 109
5.6.2 追跡の要件 ..................................................................................................... 109
5.6.3 プロセス追跡 ................................................................................................. 112
5.6.4 ログオン追跡 ................................................................................................. 114
5.6.4.1
Console Logons....................................................................................... 114
5.6.4.2
Network Logons ..................................................................................... 116
5.6.5 印刷追跡......................................................................................................... 118
5.6.5.1
Requirements ......................................................................................... 120
5.6.6 ファイルアクセス追跡 ................................................................................... 121
5.6.6.1 前提条件 .................................................................................................. 122
5.6.6.2 ファイルアクセス追跡の設定 .................................................................. 124
5.6.6.3 アクセスマークとフィルター .................................................................. 126
5.6.7 アカウント管理追跡....................................................................................... 128
5.6.8 ポリシー変更追跡 .......................................................................................... 129
© <2002 - 2008> ... NETIKUS.NET ltd
4
5.7 ハートビート監視 ................................................................................................. 130
5.7.1 コンピュータ追加 .......................................................................................... 131
5.7.2 ゼネラルオプション設定................................................................................ 132
5.7.3 ハートビートグループオプションの設定....................................................... 134
5.7.4 ハートビートオプションのカスタマイズ....................................................... 137
5.7.5 ホストをルーターとして設定 ........................................................................ 139
5.7.6 メンテナンススケジュールの設定 ................................................................. 139
5.7.7 ハートビートステータスと履歴の閲覧 .......................................................... 142
5.7.8 イベントログ ................................................................................................. 143
5.8 環境監視 ............................................................................................................... 144
5.8.1 温度/湿度........................................................................................................ 145
5.8.2 振動監視......................................................................................................... 147
5.8.3 煙/水............................................................................................................... 149
5.8.4 イベントログ ................................................................................................. 149
5.9
Syslog Daemon .................................................................................................... 151
5.9.1
Syslog からデータベースへ ........................................................................... 152
5.9.2
Syslog からイベントログへ .......................................................................... 154
5.9.3
Unix/Linux コンフィグレーション ............................................................... 155
6 章 WEB レポート ....................................................................... 157
6.1 認証 ...................................................................................................................... 159
6.1.1 認証のセットアップ....................................................................................... 160
6.1.2 ユーザーアカウントの管理 ............................................................................ 162
6.1.3 承認................................................................................................................ 164
6.1.4 特権................................................................................................................ 167
6.2 コモンエレメント ................................................................................................. 168
6.3 コンテクストメニュー.......................................................................................... 170
6.4 同時ソート............................................................................................................ 171
6.5 レポート ............................................................................................................... 172
6.6 概観 ...................................................................................................................... 174
6.6.1 ネットワーク概観 .......................................................................................... 174
6.6.2 ネットワークのステータス ............................................................................ 177
6.6.3 コンピュータ概観 .......................................................................................... 181
6.6.4 ダッシュボード .............................................................................................. 185
6.6.4.1 レガシーウィジェット............................................................................. 188
6.7 イベントログ検索 ................................................................................................. 192
© <2002 - 2008> ... NETIKUS.NET ltd
5
6.7.1 イベントレコード詳細 ................................................................................... 197
6.7.2 カスタムレポート .......................................................................................... 198
6.8 ハートビート監視 ................................................................................................. 200
6.8.1 ハートビートステータス................................................................................ 200
6.8.2 ハートビート履歴 .......................................................................................... 201
6.8.3 アベイラビリティ .......................................................................................... 202
6.8.3.1 ネットワークアベイラビリティ .............................................................. 202
6.8.3.2 稼働時間履歴 ........................................................................................... 203
6.8.4 ハートビートレスポンスタイム ..................................................................... 206
6.9 コンプライアンス追跡.......................................................................................... 206
6.9.1 プロセス追跡 ................................................................................................. 206
6.9.2 ログオン追跡 ................................................................................................. 209
6.9.2.1 コンソールログオン ................................................................................ 209
6.9.2.2 ネットワークログオン............................................................................. 211
6.9.3 印刷追跡......................................................................................................... 212
6.9.4 ファイルアクセス追跡 ................................................................................... 216
6.9.5 アカウント管理追跡....................................................................................... 218
6.9.6 ポリシー変更追跡 .......................................................................................... 220
6.10
ディスク容量監視 ............................................................................................... 223
6.10.1
ディスク容量レポート ................................................................................. 223
6.10.2
ディスク容量チャート ................................................................................. 224
6.10.3
フォルダステータス..................................................................................... 228
6.11
パフォーマンス監視............................................................................................ 228
6.11.1
パフォーマンスステータス .......................................................................... 228
6.11.2
パフォーマンス検索 ..................................................................................... 229
6.11.3
パフォーマンスチャート.............................................................................. 230
6.12
ファイル ............................................................................................................. 233
6.12.1
区切られていないログファイル ................................................................... 233
6.12.2
区切られたログファイル.............................................................................. 234
6.12.3
ファイルステータス..................................................................................... 237
6.12.4
ファイル履歴 ............................................................................................... 238
6.13
サービス監視 ...................................................................................................... 240
6.13.1
サービスステータス..................................................................................... 240
6.13.2
サービス履歴 ............................................................................................... 241
6.13.3
サービス稼動時間 ........................................................................................ 242
6.14
一覧 .................................................................................................................... 243
© <2002 - 2008> ... NETIKUS.NET ltd
6
6.14.1
インストールされているソフトウェア ........................................................ 244
6.14.2
ソフトウェア履歴 ........................................................................................ 245
6.14.3
ハードウェア ............................................................................................... 246
6.14.4
WakeOnLAN ............................................................................................... 248
6.15
Nessus................................................................................................................ 249
6.15.1
NBE ファイル、XML ファイルからのデータのインポート........................ 250
6.15.2
Nessus レポート .......................................................................................... 251
6.16
環境監視 ............................................................................................................. 254
6.16.1
温度/湿度...................................................................................................... 254
6.16.2
動作.............................................................................................................. 257
6.17
メンテナンス ...................................................................................................... 259
6.17.1
メンテナンスウィザード.............................................................................. 259
6.17.2
データベース利用 ........................................................................................ 267
6.17.3
データベースのセットアップ ...................................................................... 267
6.18
オプション.......................................................................................................... 271
6.18.1
プロファイルエディタ ................................................................................. 271
6.18.2
アカウントマネージャー.............................................................................. 274
6.18.3
アカウント設定 ............................................................................................ 275
本書は、EventSentry の英文マニュアル(全 11 章)のうち、5〜6 章を翻訳したものです。1 章〜4 章は
Vol1 をご覧下さい。7 章以降は、後ほど Vol.3 として改めてリリース致します。
© <2002 - 2008> ... NETIKUS.NET ltd
7
第5章
EventSentry で監視
コンフィグレーションの保存
以前のバージョンと違い、コンフィグレーションは自動的に保存されません。必ず保存(s)ボタンを押し
て下さい。(ツールバー左端にある)保存(s)ボタン、またはファイルメニュー内の保存(s)を押すと、変
更を検知して EventSentry はすぐにコンフィグレーションを保存します。
概要
EventSentry のコンフィグレーション(設定)は EventSentry 管理アプリケーションで行います。
メインインターフェースは 2 つのパートに分割されます。 左側はツリーペーン、右側は詳細ペーンで
す。
ツリーペーンの表示は全てのオブジェクトがタイプ別に分類されます。 その間、詳細ペーンは選択さ
れたオブジェクトに関わる詳細を全て表示します。
右クリック
© <2002 - 2008> ... NETIKUS.NET ltd
8
左ツリーペーンにある右クリックアイテムで編集します。 例えば新規フィルターを追記する場合、フィル
ターを追加したい対象グループを右クリックします。
全てのオブジェクトに対して同じ方法で行います。 アクションやコンピュータオブジェクトも同様です。
左クリック
左ツリーペーンにある、任意オブジェクトの詳細を確認するには、オブジェクトを左クリック、またはダブ
ルクリックします。(本設定ユーザビリティーをご確認下さい) オブジェクトの詳細(アクション詳細と同
じ)は詳細ペーンへ移動します。 また左ペーン内のアクティブオブジェクトは太字になります。
次ページをご参照下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
9
メニュー
メインインターフェースに追記するには、メニューを通して EventSentry アドミニストレーションアプリケー
ションの応答をカスタム化できます。 このメニューで可能なのは:
・確認メッセージを手直しして確認ダイアログを有効化/無効化。(例:フィルターを完全に削除する前)
・リモート更新設定の調整
・フィードバック、ヒント、バグを直接利用者に送信
・NETIKUS.NET 社 Web サイト上のリソースを訪問
上記サービスはコンフィグレーション変更を作成中、再起動の必要はございません。
リモート更新を通して変更を完了させる機能があります。
5.1
サービスコントロール
サービスコントロールダイアローグを利用して EventSentry や EventSentry ハートビートサービスを管理
できます。Event Log エージェントコントロールとハートビートの両方を以下のコントロールでサポートし
ます。
© <2002 - 2008> ... NETIKUS.NET ltd
10
Start:
サービス開始
Stop:
サービス停止
Install:手動でサービスをインストール
Uninstall:手動でサービスをアンインストール
Startup Time:サービス起動タイプの変更。自動からマニュアルへ、またはその逆
Update: 実行可能なサービスを更新
Event Log エージェントコントロール
EventLog エージェント はイベントログ、サービス、ディスク容量等、監視の主要サービスです。
サービスコントロール機能を利用して、リモートコンピュータにこのエージェントを
インストールする事は、お勧めできません。
リモート更新 を利用して、リモート
コンピュータ上のエージェトを管理して下さい。
詳細は、 エージェントの管理 をご参照下さい。
ハートビートエージェント管理
ハートビートエージェント サービスはリモートホストやリモート EventLog エージェント監視に使用しま
す。
デバッグと検証
サービスが正常に運用されているか確認するには、 Test Now ボタンを押して下さい。 Application,
Information, Warning または Error イベントレコードをサービスが監視していることを示す 3 つのイベント
ログを作成します。
Current Version の表示は直近にスタートしたサービスで記録されたサービスバージョンです。
© <2002 - 2008> ... NETIKUS.NET ltd
11
デバッグログレベル
EventSentry エージェントは要求に基づきイベントログやログファイル
(%SYSTEMROOT%¥eventsentry̲svc̲X.log)にステータスメッセージを記載します。サービスに問題があ
ると考えられる場合、ロギングを活性化します。 ログファイルは 50Mb を超過しません。
5.2
グローバルオプション
グローバルオプションは全てのコンピュータに適応する設定です。 グループメンバーシップに関わりま
せん。 グローバルオプションは 一般 と ハートビート 設定に分かれます。 個々のタブをクリックして
アクセスします。
テキストマッチング
多数の機能がある EventSentry は合致するテキストを EventLog、Logfile、等から探せます。 ワイルド
カードサポートが無効の場合、単純に文字列の一部で特定します。 入力はテキストフィルターに合致
するようにして下さい。 たとえば、 Windows cannot obtain the domain controller name you re your
computer に合致する文字列の場合、単純に cannot obtain the domain controller で特定します。
ワイルドカードサポートが有効な場合、先頭と語尾をアスタリスク(*)で囲って頂ければ、同じ結果にな
ります。(* cannot obtain the domain controller *) ワイルドカード文字を利用したとしても、長い文字
列でマッチングした方が、より柔軟性があります。
ワイルドカードについての詳細情報は、 ワイルドカードサポート をご参照下さい。
ブートターム反応
© <2002 - 2008> ... NETIKUS.NET ltd
12
EventSentry の監視は EventLog 実行中に行います。サービスが実行していない場合(例えばシステム
が再起動中、など)、EventLog の監視ができません。EventLog エントリー作成は、サービス停止してい
る間は処理されません。
この問題を避けるように EventSentry を設定できます。 ブートタイム反応を most に設定すると、最後
にサービスがシャットダウンした後に作成されたイベントを探します。サービス開始する度、最新チェッ
クポイントから EventLog を検査します。 他にも、この機能はサーバーが再起動したか確認するのに役
立ちます。
Most:EventLog 再検査とイベント処理を行います。この機能はサービスが停止している間に開始しま
す。
Regular:サービス起動してすぐに EventLog を監視します。サービス停止の間イベント処理は起動しま
せん。
Least:EventSentry が無視するのは、OS 起動して最初の X 秒に発生したイベントです。例えば、サービ
ス再起動時に多数のイベントを EventSentry が E-Mail 送信したとします。 その場合、この機能を修正
して指定した時間(秒)イベントを抑制します。
Setting ボタンをクリックして、 Boot Delay Settings ダ
イアログを呼び出します。 このダイアログで構成するのはインターバルと本機能のアクションタイプを
適応です。
注意:SMTPE-Mail がブートスキャンより送信されると、このサブジェクトに [RESCAN] が付加されま
す。
2.30 版に追加して、この機能はサービス・ステータスの変更を検査します。 サービス監視中と同様に
サービス再起動中に開始します。 詳細情報はシステム健全性⇒サービスをご参照下さい。
Other
Maximum Temp File Storage:
いくつかのアクションタイプ、E-Mail、データベース、シスログなど、サーバー設定が一時的に利用でき
ない場合、イベントをキャッシュ化する性能があります。 この設定で EventSentry が使用する最大ディ
© <2002 - 2008> ... NETIKUS.NET ltd
13
スク容量を設定します。 システムテンポ-ディレクトリ(%TEMP%)でイベントのキャッシュ化する為に使
用します。
この設定はサマリーアクションに利用するストレージにも適応します。
Write as:
デフォルトでは、コンピュータ名の表示は NetBIOS 名です。(例:SERVER1)アラートや Web リポートに
表示されます。 このオプションを FQDN に変更できます。 これによりホストは個々の FQDN 名で表示
します。(例;server1.yourdomain.local) この変更を有効化するには、エージェントを再起動しなければ
なりません。 ご注意下さい。
以下の状況では FQDN オプションのご利用を推奨しません。管理コンピュータへのパッケージ割
り当てに潜在的な問題がある為、管理コンピュータがアクティブ・ディレクトリ・ドメインの一部で
は無い場合。
最大通知間隔
ディスクスペースやサービス監視など、多くの領域で、特定の問題(例;ディスクスペース不足、温度上
昇、等)を検出するとイベントログに警告メッセージを作成します。 同一問題による多数のイベントでイ
ベントログのオーバーフローを回避するため、通知間隔の最大値を設定できます。
例えば最大通知間隔を 24 時間に設定し、ドライブCに関するディスク空き容量少の警告記録(Log)が
あったとします。 この問題が解決するまで 24 時間に一度、イベントを記録します。
ハートビート設定
ハートビート設定オプションについての詳細情報は ゼネラルオプション設定 をご参照下さい
5.3
イベントログ監視
イベントログパッケージは単一または複数のフィルター(通常は1つ以上)の一群で、独立した論理回路
になります。これらは単一または複数のコンピュータやグループに割り当てられます。 フィルターは規
則(rules)です。 どのイベントをどの通知へ転送するか設定します。
イベントログ パッケージオプション
一般的なパッケージオプションに加えて、イベントログパッケージは以下が可能です。
キャッチオール通知 パッケージの構成
・他パッケージからのエクスクルードフィルタの無効化の構成
© <2002 - 2008> ... NETIKUS.NET ltd
14
・特定のサービスがインストールされると活性化するように設定
・詳細はパッケージオプションをご参照下さい。
内蔵イベントログパッケージ
イベントログパッケージ一式は NETICUS.NET がメンテナンスします。 このパッケージには一般的なフ
ィルタールールが含まれます。 上記のイベントログパッケージは EventSentry と一緒に自動的にイン
ストールされます。またインターネットを通して自動的に更新されます。詳細はダウンロードパッケージ
をご参照下さい。
フィルター
イベントログパッケージには 1 つまたは複数のフィルターとフォルダがあります。 例えば、これからデー
タベースへ転送する全てのイベント(プロパティに関わらず)、システムログの特定ページ、アプリケーシ
ョンイベントログからの特定エラーを E-Mail 送信できます。 更にフィルターの閾値を適応することもで
きます。(例えば、指定された時間内に最低x回数発生したイベントログを探査。) また、循環フィルタ
ーも作成できます。 これは特定のイベントが発生しないことにより発生するアラートです。
詳細はフィルターをご参照下さい。
イベントログパッケージの適応
イベントログパッケージを適応するには、パッケージを右クリックして Assign を選択します。 Resulting
ダイアログ内でグループ又はコンピュータを選択してパッケージを適応します。
イベントログパッケージの作成と削除
新規フィルターパッケージを作成するには Event Log Package コンテナーを右クリックします。次に Add
Package を選択、またはパッケージを右クリックして Add を選択します。
パッケージを削除するには、パッケージを右クリックしてから削除を選択します。 イベントログパッケー
ジ内に含まれる全てのフィルターが削除されます。
5.3.1
イベントログ
パッケージオプション
イベントログパッケージは一般的なパッケージに追加する、追加オプションを提供します。
Catch-All 通知パッケージ
キャッチオール フィルターを含むパッケージについては、この機能のご利用を推奨します。
フィルター
すべてのイベントをフォワードするインクルードフィルタを持つ場合 Catch-All フィルターと呼ばれます。
例えばすべてのエラーやワーニングを通知ターゲットにフォワードするような場合です。
例:
© <2002 - 2008> ... NETIKUS.NET ltd
15
・すべてのワーニング、エラー、失敗の監査を Email 受信者にフォワード
・すべての成功の監査と失敗の監査をデータベースにフォワード
イベントログは多くのノイズを生成します。Catch-All フィルターは通常多くのエクスクルードフィルタとイ
ンクルード閾値で構成されます。 不要なアラートが Email 受信者に送信されないようにします。
Catch-All Notification Package として Catch-All フィルター含むパッケージを生成しない場合、他のパ
ッケージからの閾値つきインクルードフィルタが期待通り振動しないことがあります。
Catch-All パッケージを設定していないイベントログ-パッケージ処理後、イベントログパッケージ
は Catch-All を設定します。 Catch-All パッケージフィルター設定前に、(例えば閾値等)上級機
能を含むフィルターの処理を先に行うよう、ご注意下さい。
他のパッケージからのエクスクルードフィルタを無視
デフォルトでは全てのパッケージのエクスクルードフィルタは、常に通知の送信前に処理されます。 つ
まりエクスクルードフィルタがどのパッケージにあるかは関係ありません。
他のパッケージのエクスクルードフィルタで除外されたくない場合は、新たなパッケージを作成しこのパ
ッケージに他のパッケージのエクスクルードフィルタを無視する設定を行います。
5.3.2
フィルター
フィルターは EventSentry の重要な機能です。 どのイベントログ記録をどの通知にフォワードするかを
決定するルールを作成します。
もっとも単純な EventSentry コンフィグレーションは、例えば単一フィルターで構成、イベントログからの
全てのエラーやワーニングを任意の Email 受信者にフォワードします。 多くの場合このようなコンフィグ
レーションは重要でないイベント(エラーやワーニングイベントなど)をフォワードするため現実的ではあ
りません。
フィルター処理
前バージョンまでとは違い、エクスクルードフィルタを常にインクルードフィルタより前に表示させる必要
はありません。 エクスクルードフィルタは常時インクルードフィルタの前に処理されます。 したがって、
© <2002 - 2008> ... NETIKUS.NET ltd
16
エクスクルードフィルタがインクルードフィルタの前か後かは、そして異なるパッケージに含まれるかは
重要ではありません。
パッケージ内部のインクルードフィルタは依然として連続して処理されます。-Top から Bottom までインクルードフィルタの連続処理は殆どの場合問題ありません。 ただし、上級機能をご利用になる場
合を除きます。 例えば閾値や 承認要求 など。
唯一の例外は Catch-All パッケージや他のパッケージのエクスクルードフィルタを無視するように設
定したパッケージです。 詳細はパッケージオプションをご参照下さい。
フィルタータイプ
フィルターは次の 2 つに分類されます。 インクルードフィルタ(及び通知へイベントを送信)、
エクスクルードフィルタ(及び通知へイベントの送信を防止)
エクスクルードフィルタ
あるイベントを処理対象から除外します。すべてのターゲットまたは特定ターゲットに適用します。すべ
てのターゲットのイベントを記録しながら(イベントログ集中化)特定ターゲットのみを除外することがで
きます。エクスクルードフィルタは常にインクルードフィルタの前に処理されます。
エクスクルードフィルタがどのフィルターパッケージに含まれるかは重要ではありません。エクスクルー
ドフィルタはどのインクルードフィルタのイベントでも除外します。例外は異なるパッケージのエクスクル
ードフィルタを無視するように設定した場合だけです。
−
− 付きリストで表示されます。
エクスクルードフィルターは赤マイナス−
インクルードフィルタ
インクルードフィルタが処理するエベント記録は以下通りです。 フィルターの条件に一致するイベント
を特定のあるいはすべてのターゲットへ送信します。 フィルターで制限フィールドを多くすると(Source,
Category, ID…)フィルターに一致するイベントが少なくなります。
閾値設定をインクルードフィルタに適用することもできます。 またはインクルードフィルタをサマリー通
知フィルターとして設定できます。
+
+ 付きリストで表示されます。
インクルードフィルタは緑プラス+
繰り返しイベントフィルター
通常のインクルードフィルタと似ていますが、実際にイベントを通知にフォワードすることはありません。
その代わり、イベントがある指定時間内に発生しない場合にエラーイベントをアプリケーションイベント
© <2002 - 2008> ... NETIKUS.NET ltd
17
ログに記録します。たとえばバックアップジョブが成功イベントを記録しない場合に通知することができ
ます。 詳細は繰り返しイベントフィルターをご参照下さい。
フィルタープロパティ
以下のイベントレコードの各プロパティに基づき、イベントをフィルターできます:
詳細は フィルタープロパティ をご参照下さい。 イベントプロパティの貼り付けも可能です。
EventSentry が送信した E-Mail、または Windows イベントビューワーからコピーした任意のイベントを一
般フィルターダイアログへ貼り付けます。
5.3.2.1
フィルタープロパティ
© <2002 - 2008> ... NETIKUS.NET ltd
18
Detail セクションの全てのセクションは大文字小文字の違いを認識しません。
ですが、ワイルドカード、否定, カンマで区切られた複数の値をサポートします。
詳細は 上級テキスト処理 をご参照下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
19
イベントプロパティの貼り付け
Windows イベントビューワーからクリップボードへコピーしたイベント、または EventSentry から E-Mail
経由で受信したイベント等、任意のイベントに基づきフィルターを作成する場合、フィールドをクリックし
て、CTRL+V を押せばキーイベントプロパティ(イベントログ、イベントセベリティ、イベントソース、カテゴ
リー、イベント ID、ユーザー名)をダイアログへ自動的に貼り付ける事ができます。
E-Mail
E-Mail クライアント内の E-Mail を開いてイベントを選択します。 E-Mail にイベントが一つだけしかない
場合、シンプルに CTRL+A を押して下さい。 それ以外の場合はイベントを選択して下さい。 E-Mail に
複数のイベントがあり、全て選択する場合は最初のイベントだけ使用します。 イベントが選択したら、
CTRL+Cを押してクリップボードにイベントをコピーします。
Windows イベントビューワー
クエスチョン内のイベントを開きます。 次にダイアログのコピーボタンをクリックします。
マネージメントコンソールに移り、新規フィルターを作成するか、既存フィルターを開きます。 任意のフ
ィールド(例えば、カテゴリー)をクリックして、CTRL+V をクリックします。 全てのキープロパティは、エ
ベントメッセージを除き、その時点で記載されます。 一度キープロパティが貼り付けられると、フィルタ
ーのカスタム化が可能になります。 インクルードフィルタか、エクスクルードフィルタの片方/両方、他
選択できます。
注意:この機能においては、右クリックと 貼り付け の選択がご利用頂けません。 CTRL+V をクリック
して下さい。 ダイアログ内の1フィールドにテキストだけを貼り付けたい場合、フィールドを右クリックし
て 貼り付け を選択して下さい。
フィールド詳細説明:
Name
フィルター名は 128 文字以内です。 フィルター名は独自のものです。 フィルター名に\(バックスラッ
シュ)は使えません。
Actions
フィルターが合致すると、全てのアクションは、(インクルートフィルターでは)通知されます。 (エクスク
ルードフィルタでは)通知されません。
Trigger all actions
このチェックボックスをチェックすると、選択されたアクションではなく、全ての構成アクションが通知され
ます。
© <2002 - 2008> ... NETIKUS.NET ltd
20
Event Severity
このフィルターと一致するイベントタイプを選択。 セキュリティイベントログ監視の場合は Audit
Success と Audit Failure のみ関連します。
Log
このフィルターと監視するイベントログを選択。イベントログ Directory Service と File Replication
(Services) は Windows 2000 以上のドメインコントローラーでのみ有効です。イベントレオグ DNS
Server は Windows2000 以上で DNS サーバーがインストールされている場合だけ有効です。
Event Source
このフィルターと一致する Source を指定。イベントソースを指定しなければ、どのソースに対しても一致
します。
Event Category
このフィルターと一致する Category を指定。イベントカテゴリーを指定しなければ、どのカテゴリーに対
しても一致します。
Event ID
このフィルターと一致するイベント ID を指定。複数イベント ID をカンマで区切ることができます。
たとえば 3, 5, 118 。
イベント ID はイベントソース内で独自のものです。イベントソースを指定する場合だけイベント ID
を指定してください。さもなければ予定のフィルターと異なる結果になります。
Username
このフィルターと一致するユーザー名を指定。現在はセキュリティイベントログでのみ意味があります。
ユーザー名は OS で DOMAIN¥Username 形式で記録されます。
Computer
このフィルターと一致するコンピュータを指定。コンピュータ名を指定しない場合、全てのコンピュータ名
に一致します。
Filter Type
・Include - フィルターが一致すると Target で指定したターゲットに通知される
・Exclude - フィルターが一致すると Target で指定したターゲッに通知されません。ト(Apply to all
targets がチェックされていると全て通知されません。)
Stop Processing
このボックスをチェックすると、続行中のフィルター処理 -フィルターが任意イベントに一致させる-を停
止します。 処理を望まないフィルターが、下記フィルターのどちらかに当てはまるか、ご注意下さい。
該当フィルターの下に表示
Catch-All パッケージ内で表示
© <2002 - 2008> ... NETIKUS.NET ltd
21
理由は、パッケージオーダーは設定が 2.70 版では起動出来ないからです。 それでも Catch-All パッケ
ージとして(パッケージ内で全てのフィルターが適応されるような)パッケージ構成されます。 その結果
上記のフィルターは通常パッケージの後で処理されます。
Require Acknowledgement
イベントがフィルターに一致すると通知します。この機能はイベントをデータベースにフォワードし、Web
レポートでイベントを検索する場合にのみ効果があります。
たとえば、バックアップの失敗に関係するイベントのフィルターを生成する場合、バックアップが失敗し
たら Web レポートで pending acknowledgement を表示します。 管理者が問題を解決するためのアクシ
ョンを行うよう、要求します。
・ 重要:この機能を使用時は、他にもインクルードフィルタ(Acknowledgement セット要求が無い)フィル
ターが無いか注意下さい。 上記のインクルードフィルタは Require Acknowledgement にチェックした
同じイベントと一致させます。 複数のインクルードフィルタが同じイベントが合致し実行すると、最初1
つだけがイベント処理されます。
Content Filter
上記リストに追加、または差換えで、特定の文字列に対してフィルターする場合、Content Filter を使用
します。 +ボタンをクリックして、新規 Content Filter をフィルタリストに追記します。 または、文字列を
選択して、−ボタンクリックしてリストから削除します。
実際の EventDescription 内にフィルターに一致させるテキストをタイプします。 このフィールドの動作
はワイルドカードサポート(Global Option 内の設定)を利用する、しない、により異なります。
Wildcard Support not Active:
EventSentry がチェックするのは、EventDescription で指定した文字列です。一致条件は要求されませ
ん。
Wildcard Support Active:
ワイルドカードを使用するか、正確な一致条件を指定します。 詳細は Wildcard Support をご参照下さ
い。
Notes:
フィルターの注釈ができます。 利用者様による記述は仕事仲間やご利用者自身にも役に立ちます。
Day and Time Restrictions
Day & Hour ページの詳細をご参照下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
22
上級テキスト処理
5.3.2.2
カンマ区切りの値 (Event Log フィルター限定)
複数フィルターを作成せずに複数の値をカンマで区切ることができます。 シンプルにフィールドの全て
の値をカンマで一致させます。注意:カンマの前後にスペースは不要です。
例 Print,MrxSmb
Details と Filter Text がこの機能をサポートします。
否定シンボル(Event Log フィルター限定)
感嘆符で否定値を表します。たとえば、Print ソース以外の全イベントに一致する表現です:
!Print
正規値(否定文字を含む値)と否定文字の組み合わせはできません。
(例えば !Print,MrxSmb はサポートされません)。 Details セクションはこの機能を
サポートします。
ワイルドカード
ワイルドカードを Global オプションで有効にすると以下のフィルターフィールドでワイルドカードが使用で
きます:
Event Log フィルター
Event Source
Category
Username
Filter Text
Computer
サービス監視
Included / Excluded Service
プロセス追跡
Included / Excluded Service
ワイルドカードは*と? がサポートされます。
*は任意文字の 0 回以上の出現に一致します。
? は任意文字の 1 回の出現に一致します
注記:フィルター設定はワイルドカードのいかんにかかわらず大小文字を区別しません。
© <2002 - 2008> ... NETIKUS.NET ltd
23
例
重要:v. 2.20 以前の版を更新する場合: ipx のようなワイルドカードフィルタは、
ワイルドカードサポートが有効でない場合、文字列 IPXRouterManager に限り合致します。
ワイルドカードが有効であれば、*(アスタリスク)を追記する必要があります。
5.3.2.3
ipx*
フィルター処理
EventSentry の上級コンフィグレーションを設定する場合、フィルターがどのように処理されるか理解す
る必要があります。 複数パッケージで多数のフィルターを設定する時は以下のルールをご考慮下さ
い。
グローバル、または割り当てられたパッケージからのフィルターに限り処理されます。
通知は一度しか処理されません。その為、1 つのイベントに合致した 2 つのフィルターが同じ通知を利
用する場合、そのイベントは一度だけ通知へ転送されます。
任意のイベントが通知に転送される前、全てのパッケージからのエクスクルードフィルタは常にチェック
されます。 例外:イベントログパッケージの構成が Ignore foreign excludes (外部エクスクルードを無
視)―この場合は同パッケージのエクスクルードフィルタだけではなく、インクルードフィルタもチェックさ
れます。
キャッチオールパッケージのフィルターの処理は常にノン-キャッチオールパッケージのフィルターの後
で処理されます。
閾値設定のインクルードフィルタが合致した場合、それに続いて合致したフィルターはイベントとして処
理されません。
管理アプリケーションで表示された項目でパッケージは処理されます。キャッチオールパッケージは例
外で、ノン-キャッチオールパッケージの後で処理されます。
© <2002 - 2008> ... NETIKUS.NET ltd
24
フローチャート
下記のフローチャートをご参照下さい。ここで厳密なフィルター処理方法をご確認下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
25
5.3.3
フォルダ
フォルダを利用して、関連フィルターのグループ化してフォルダに入れます。大量のフィルターを体系化
にご利用頂けます。 現時点では、1 レベルがフォルダをサポートされています。(フォルダのサブ-フォ
ルダ作成不可)
フォルダ作成
フィルターを右クリックするとフォルダを作成できます。またはイベントログパッケージ⇒ Add Folder を
選択します。
© <2002 - 2008> ... NETIKUS.NET ltd
26
一度フォルダが作成されると、フォルダ内に新規フィルターを作成できます。フィルター作成はフォルダ
を右クリックして、 Add Filter を選択します。 また、既存フィルターをフォルダへ移動/コピーできます。
通常はエクスクルードフィルタをグループ化して、1つのフォルダにするように使用します。
フォルダの削除
フォルダを削除すると、フォルダ内の全てのフィルターも削除されます。
フィルターをフォルダ内へ移動
既存フィルターをフォルダへ移動するには、2 種類の方法があります。
フィルターをフォルダへ移動。 フィルターはフォルダの先頭に入ります。
フォルダ内のフィルター上にフィルターを移動。移動されたフィルターはそのフィルターの後に入りま
す。
フォルダ内でフィルターを作成
フォルダを右クリックし、Add Filter を選択。フォルダ内にフィルターが作成されます。
フォルダからフィルターを削除
フォルダからフィルターを削除するには、フィルターをフォルダの外へ移動、(例えば、他のフィルターへ
移動)またはフィルターを右クリックし、Remove from Folder を選択。フィルターはフォルダの外へ移動さ
れ、フィルタリストの末尾に追加します。
5.3.4
フィルターの編集
© <2002 - 2008> ... NETIKUS.NET ltd
27
新規フィルターの追加
新規フィルターを追加するイベントログパッケージを右クリック。AddFilter を選択。
既存フィルターを右クリックし、Add を選択。
次に新しいフィルターの名前を入力し Enter を押します。上級フィルタオプションの設定を続行します。
フィルターの編集
左ペーンのフィルタアイテムを左クリック(またはダブルクリック)
フィルターオブジェクトを右クリックして、Edit を選択
フィルターの詳細が右ペーンにロードされ、左ペーンのアクティブフィルタオブジェクトが太字になりま
す。
フィルターの削除
フィルターを右クリックして、メニューから Delete を選択
フィルターオブジェクトを選択し、キーボードの Del ボタンを押す
フィルターは削除されます。
フィルター名の変更
フィルターを右クリックして、rename をメニューから選択
フィルターを選択して、キーボード F2 ボタンを押します。(ダブルクリックはユーザビリティー設定のみ有
効です。)
フィルターオブジェクトを 1-2 秒左クリック
フィルターに新しい名前を入力します。
フィルターの切り取り、コピー、貼り付け
①左ペーンのフィルターオブジェクトをクリックし、フィルターが選択されたか確認します
②ツールバーの切り取り
またはコピー
シンボルのクリック、または Edit メニューで Cut /
Copy メニューを選択します
③フィルターオブジェクトを挿入する位置を選択します。次のように行います。
・フィルターオブジェクトを新たなグループに移動する場合は group
・フィルターオブジェクトの位置の変更は同一グループの filter
・異なるグループのフィルターオブジェクトへの挿入は異なるグループの filter
④ツールバーの貼り付け
シンボルをクリックまたは Edit メニューで Paste を選択
同一名のフィルターがすでに存在するとその名前に自動的に#1, #2…などが追加されます。
© <2002 - 2008> ... NETIKUS.NET ltd
28
フィルターの上/下移動
フィルター順序を簡単に変更するにはフィルターを個別に上下移動します。上か下へ移動するには、フ
ィルターを右クリックするか、Move UP または Move Down を選択します。
フィルターのドラッグ&ドロップ
フィルターのドラッグ&ドロップでコピーや移動ができます。
・移動はフィルターオブジェクトを左クリックし異なる位置またはグループにドラッグします
コピーはフィルターオブジェクトを右クリックし異なるグループにドラッグします(同一グループへのコピ
ーはコピー/貼り付け機能を使います)
5.3.5
フィルター閾値
フィルター閾値でイベントが発生時だけアクションを行うのではなく、イベント発生頻度に基づきアクショ
ンを行う事も可能です。 たとえば、イベントが最低 1 時間に 10 回発生すると通知します。また、アクシ
ョンで溢れ返らないように同一イベントを防止します。
閾値はフィルター単位で設定します。フィルターを編集、または Threshold タブをクリックすると、閾値設
定にアクセスできます。Enable Threshold チェックボックスをクリックしフィルターの閾値設定を有効にし
ます。閾値月フィルターはリストにものさし
が表示されます。
© <2002 - 2008> ... NETIKUS.NET ltd
29
閾値インターバル
閾値インターバルを指定。たとえば 1 時間 20 イベント。
イベント処理
イベントを閾値評価の前/後に通知処理にフォワードするかどうかを設定します。
Process events before threshold is reached
このチェックボックスをチェックすると、フィルターに合致したイベントが処理されます。(通知もフォワー
ドされます)閾値になるまで続きます。
Forward events when/after threshold has been met
このチェックボックスをチェックすると、閾値に達した時または後、フィルターに合致したイベントが処理
されます。
Forward first event only
閾値に達した後で全てのイベントをフォワードする代わりに、閾値に達した後で最初のイベントだけがフ
ォワードするよう、閾値フィルターを設定します。
© <2002 - 2008> ... NETIKUS.NET ltd
30
この機能はセキュリティログからのイベントと共に動作する場合、大変役立ちます。ログイン-失敗タイ
プのフィルターの閾値を設定します(例えば;5 分以内に 5 回以上のログイン失敗があれば通知)。次に
ユーザーが誤ったパスワードを毎回入力するという理由で、通常は複数回ログインを試みた中で最初
の失敗を受信したくないとします。 閾値が超過しても、どのユーザーがログインを試みたか、知ること
はできます。
閾値に達した後、全てのイベントをフォワードするよう閾値フィルターを設定すると、誤ったパスワードが
試される度に E-Mail を受信します。 通常この設定は好ましくありません。
その代わり、閾値を超過した後に最初のイベントだけをフォワードするようフィルターを設定します。次
にイベントログにイベントを書き込みます。特定ユーザーアカウントに対して試みたログインの失敗回
数の基準値が超過した時に行います。
Event Logging セクション内で最低 1 つのボックスをチェックすれば、2 つのチェックボックスからどちら
も選択しなくても大丈夫です。 この場合、フィルターはどのイベントもフォワードされませんが、閾値が
合致するとイベントログにイベントを書き込みます。
イベントロギング
分離イベントによる閾値にフィルターが達した時に通知が必要な場合、以下のチェックボックスから 1 つ、
または両方をチェックして下さい。
Log when threshold is met
このボックスをチェックすると、フィルターが閾値に達すると即座にアプリケーションイベントログにイベ
ントログが書き込まれます。
Log when threshold is met/exceeded and interval is elapsed
最初のオプションと似ていますが、この機能では閾値に達した後に限りイベントが記録(ログ)されます。
また、閾値のインターバルは推移します。 この機能の利点として、閾値フィルターにより記録されたイ
ベントにより、このフィルターで処理されたイベント数と処理されなかったイベント数を知らせる事ができ
ます。
Log as
記録されたイベントの中から、エラー、警告、または情報イベントとして条件付けします。この機能でど
のイベントがイベントログとして記録(ログ)されるか、詳細は Event Log をご参照下さい。
Threshold Option
デフォルトでの内部カウンター(閾値の制限に対するカウント)は(フィルター設定に従い)イベントがフィ
ルターに合致する度に増え続けます。多くの場合この状態が望ましい間は、閾値カウンターはイベント
© <2002 - 2008> ... NETIKUS.NET ltd
31
レコードに適応することもできます。より多く粒状(グラニュー)閾値設定が可能ですが、少しばかりリソ
ースを多く消費します。
Filter (every event processed by this filter)
イベントがフィルターに合致するたびに内部閾値カウンターが上昇します。 セキュリティイベントログ以
外からのイベントに対応する閾値フィルターに対する推奨オプションです。
Event (every event that shares the same properties below)
内部閾値カウンターは選択されたプロパティに対して同じ値を持つ全てのイベントにより上昇します。こ
の機能はセキュリティイベントログからのイベントに対して最も有効です。
例えば、失敗ログインの分析。 閾値に対応する全てのイベントをカウントする代わりに、特定の各イベ
ントプロパティと共有するイベントに限り、総合カウンターに計上します。 以下のスクリーンショットに従
い合致タイプを設定した場合、EventSentry が閾値カウンターをどのように上昇させるか、下のテーブ
ルで示します。
Threshold Counter
1
Threshold Counter Log#
Severity
Source
Category
A
Security Audit Failure
Security
B
Security Audit Failure
Security
A
Security Audit Success
Logon/Logoff
1
Account Logon
2
Security
Logon/Logoff
既に入力された既存閾値と同じログ、重要度、ソースやカテゴリーを共有するイベントが発生する度、
カウンターが上昇します。新しい コンビネーション に遭遇した場合(2 行目の Account Logon のよう
な)、カウント1で新カウンターが開始されます。
例えば、閾値が1時間に 1 イベントでチェックボックス Log だけをチェックした場合、イベントログを 1 時
間当たり最大1イベント受信します。Log と Source 両方チェックした場合、イベントログとイベントソース
を一時間当たり1イベント受信します。
© <2002 - 2008> ... NETIKUS.NET ltd
32
これは1時間に一度だけアプリケーションログから NTBachup イベントを受信することを意味します。(異
なる ID を持つ複数イベントだとしても)ですが、異なるイベントソースを持つイベントがある為、同じ時間
UserEnv イベントも受信します。
よくある話ですが、チェックボックスを選択数が増えると、少しばかりイベントが抑制されます。
セキュリティイベントログからのイベント処理でない限り、チェックボックス Text をチェックする必
要は通常ありません。
5.3.5.1
イベントログ
この機能で記録されるイベントは以下のようになります:
5.3.6
フィルタタイマー
設定された時間内で発生する特定の連続イベントを、−たとえ 1 つでもフィルターに合致しても―フィル
タタイマーで該当イベントを無視できます。 この機能が最適に動作するのは、イベントがタイマーを設
定/通過する場合です。 または同じ順番で同じ差込み文字列を含む、タイマーと同じ構造で設定/通
過したイベントです。
以下の状況にお気をつけて下さい:イベントログ内の1エラーに対して2つのイベントが作成された結果、
重要サービスは停止しますが、1 分以内に自動的に再スタートします。(例:アンチウィルスエンジンが
自立的に更新した後、など)最初にサービスが停止、再びサービスが再起動します。 一斉監視により、
サービス停止を引き起こすこともあります。ですが、再起動する事無くサービスが停止した場合に通知
を必要とする理由で、上記が望ましく無いこともあります。 フィルタタイマーはこの問題の解決を提供
します。
2つのフィルターを作成する事により発生するこの問題を、フィルタタイマーが解決します。:1フィルター
が(連続イベントの)最初のイベントに合致、それに続く連続イベントに対しても合致すると、最初の警
告(アラート)が無効にされます。このようにして、時間制限内にイベントが消去された場合、オリジナル
イベントは絶対に通知されません。
© <2002 - 2008> ... NETIKUS.NET ltd
33
本機能の性質により、タイマー期限(ピリオド)が経過しない限り、タイマー-有効化フィルターに
合致したイベントは通知されません。ご注意下さい。
タイマーの有効化
フィルター上のタイマーを有効化するには、フィルターの変更とタイマータブをクリックします。 タイマー
タブでは"Enable Timer"を選択して、タイマーを活性化します。次に、タイムアウト期限を特定します
(例:2分)。フィルターを特定、これによりプラスボタン+クリックでタイマーが消去します。 このボタンを
クリックすると、ダイアログが現れます。
このダイアログには全ての適切なフィルタ(例:インクルードフィルタ)が表示されます。 上記をタイマー
消去に利用することが可能です。
文字列の挿入
この機能は様々なイベントに合致するようなフィルタタイマーを作成する場合、非常に役立ちます。 例
えば、 サービス停止/サービス開始 コンビネーション、または 処理終了/処理開始 コンビネーション。
文字列挿入機能を利用しない場合、監視対象の個々の独自イベント(例:サービス)に対し対称(ペア)
フィルターを作成する必要があります。
いかなる監視対象のサービスでも 5 分以上停止したら通知を必要とする、というケースを用いて説明し
ます。 まず 5 分の時間期限切れした為タイマーにより DNS サーバーが停止した、と仮定します。 さら
に DNS サーバーサービスが停止してから 3 分後に同じホストでライセンスログサービスが開始された、
と仮定します。上記 2 つ(のイベント)が共通フィルター サービス開始イベントを発見 に合致した、とい
う理由により、タイマーが無効にされ、サービス停止の通知が得られなくなります。
© <2002 - 2008> ... NETIKUS.NET ltd
34
文字列挿入を利用したとしても、選択された文字列を比較するよう EventSentry に指示できます。比較
する文字列はフィルタタイマーを設定した事により発生したイベントから選択します。この文字列とフィ
ルター無効にしようとするタイマーを比較します。
上記両方が一致するとフィルタタイマーは無効にされます。一致しない場合はそのまま残ります。イベ
ント内部の挿入文字列の位置と数量をご確認頂く場合は Event Message ブラウザをご利用することを
推奨します。
サービス監視と同様にプロセス処理/終了に付随する、以下の EventSentry イベントをご考慮下さい。
Event Source
EventSentry
Security
Event
Category
Service
Monitoring
Detailed
Tracking
Event ID
10100
592
Event Description (insertion strings start
with % character)
The status for service%1(%2)
changed from%3 to%4
A new process has been created:
New ProcessID: %1
Image File Name: %2
Creator Process ID: %3
User Name: %4
Domain: %5
Logon ID: %6
Security
Detailed
Tracking
593
A process has exited:
Process ID: %1
Image File Name: %2
User Name: %3
Domain: %4
Logon ID: %5
EventSentry がサービス・ステータスの変更を記録するたび、イベント 10100 をイベントログとして記録し
ます。またステータスが変更したサービス名称を%1で代用します。文字列#1の合致を要求するような
条件では、 DNS Server service により設定されたタイマーを License Logging サービスに属するイベ
ントでは無効にできません。
処理が作成/終了した場合、Windows によりログ化されたイベントにより類似した配置が完成します。イ
ベント 592 に基づくフィルター-タイマーを設定し、イベント 593 に基づきタイマーを無効にするフィルター
を設定した場合、挿入文字列#1、または#2 を指定します。両方の文字列には同じ情報が存在します。
また両方の挿入文字列を指定することも可能です。
© <2002 - 2008> ... NETIKUS.NET ltd
35
動作について
イベントがタイマー有効化フィルターに合致すると、タイムアウト期限(設定済みの通知へイベントをフォ
ワードする前)が推移するまで、EventSentry は待機します。 設定された通知の一つが SMTP タイプの
場合、EventSentry は文字列 TIMER-DELAY を E-Mail の件名に追加します。
本機能の目的として、時間制限内にあるイベントが Filter that can clear this timer リストで指定された
フィルターに合致すると、オリジナルフィルタは通知処理されません。
タイマー有効化フィルターで説明されたフィルターはタイマーを無効する事に限定して 使用し
ます。これらのフィルターはイベントを通知へ送る通常のフィルターではありません。
注意:最初にこのタイプのフィルターを設定する時、通知を特定しなければなりません。
選択された通知は消えますが、すぐにタイマー-フィルターによりフィルターが参照されます。
5.3.7
上級 時間/日付設定
時間/曜日 設定でフィルター機能の制限や、他のタスクを実行できます。
Day & Hour Configuration
1 週間の特定時間にフィルターを有効または無効にできます。
Summary Notification
Email をすぐに受け取らず、一週間/1日内の特定時間にサマリーメールを受け取ることができます。こ
の機能は ODBC 通知の接続にも使用できます。
Recurring Events
一定期間内にあるイベントが発生しない場合に通知を受け取ります。たとえばバックアップが成功した
ときの確認イベントなどです。
5.3.7.1
Day & Hour Configuration
general Filter Options に加えて、フィルターを有効化する日時を定義できます。たとえば、日中はセキュ
リティイベントログを受け取りたくない場合は、日中のある時間にはフィルターを無効にします。
曜日毎に 7 段、1 日/1 時間につき 24 ボタンあり、0 から開始します。pushed button の意味はフィルタ
ーが有効、raised buttons は指定された時間フィルターが無効である事を意味します。 フィルターは 24
x7(24 時間x7 日)有効ではありません。リスト内の時計マーク
に示されている通りです。
下の例では土、日曜は全ての時間はフィルターが有効で、月〜金曜の午前 8 時から午後 6 時までは無
効であることを示します。
© <2002 - 2008> ... NETIKUS.NET ltd
36
Day & Hour の例(青ボタンの意味はフィルタが有効)
素早く切り替え(トグル)するには、 Select All を押して丸一日を選択。Week day または Hour をクリッ
クして曜日または時間を切り替え(トグル)します。
フィルターの代替としてのサマリー通知
詳細は次ページのサマリー通知をご参照下さい。
5.3.7.2
フィルター有効期限
フィルターの有効期限を設定できます。 チェックボックス Filter Expires の Hour / Day タブをチェックし
ます。 この機能を有効化すると設定した特定の日に動作が停止するよう、ルールを作成できます。
例えば、E-Mail アラートが繰り返し発生し、既に原因に心当たりがあるとします。
この問題はすでに対処されていますが、解決に 3 日間掛かるとします。このような場合は、すでに問題
に気付いている為、問題が解決されるまではアラートを受信したくないと考えられます。
このアラートに対してエクスクルードフィルターを作成するだけで、この問題を潜在的に忘れることがで
きます。その他にも、エクスクルードフィルターを作成しますが、この場合はエクスクルードフィルターに
特定の日時を有効期限として設定します。上記の例では、フィルターの有効期限をこの問題が解決し
たと(想定)された直後に設定します。
© <2002 - 2008> ... NETIKUS.NET ltd
37
5.3.7.3
サマリー通知
サマリー通知は EventSentry の新しい独自機能です。 即座にイベントが通知されるのではなく、一定
期間収集したイベントを受信することができます。 サマリー通知を有効化するには、Schedule Type と
Summary を設定します。 サマリーフィルターはリスト内の時計マーク
として表示されます。
この機能は SMTP アクションとの連動を意図していますが、どのような設定のアクションでもご利用頂け
ます。特殊な設定の Trigger all action は除外します。サマリー通知は特定のアクション限定であるこ
とに、ご注意下さい。同じアクションで複数のサマリー通知を作成しないで下さい。 その代わり各サマ
リー通知に対して新アクションを作成します。
以下のスクリーンショットが示すのはサマリー通知設定の例です。設定内容は後で説明します。
サマリー通知フィルターの例
標準曜日/時間フィルターは無効時間のイベントを単に無視します(上の例では週末)。しかしサマリー
通知を有効にすると、イベントは無視されずに収集されます。
収集期間にイベントが無ければ、通知(例えば E-Mail は送信)は発生しません。
動作について
無効時間にイベントが発生すると、イベントが収集されます(白エリア)。収集されたイベントは次回の
有効時間(オレンジ○)に処理されます。1 時間以上連続して有効(青エリア)であれば、その時間のイ
ベントは即時処理され収集されません。
上記の例を用いた説明:収集されたイベントが送信されるのは月〜金曜日の午前 8 時。(オレンジ○)
午前 8 時から午後 6 時までに発生したイベントは即送信されます。また、有効時間が次々と続く(連続)
間まで収集されません。 水曜日の午後 6 時から木曜日午前 8 時(スクリーンショット白エリア)のイベン
トは収集され、午前 8 時(オレンジ○)に処理されます。
© <2002 - 2008> ... NETIKUS.NET ltd
38
実際の運用
サマリー通知は様々な状況で使用されます:
・毎週月曜日、朝 1 回のサマリーEmail を受信。
・1 週間分のエラーイベントの週報を管理者に Email で送信。
・ODBC アクションへのログイベント送信。帯域をセーブする為、低速回線に接続されたサーバーから
毎日 2 回だけ送信。
・Email を 2 時間ごとに送信。
考え方
サマリー通知の考え方は単純です:
・イベント発生時、無効時間であれば、イベント収集する
・イベント発生時、有効時間ですが次の時間が無効であれば、イベント収集する
・イベント発生時、有効時間であり次の時間も有効であれば、即時処理する
・現時点で有効時間であり、前の時間が無効であれば、設定済みアックションに対して、全ての収集済
みイベントを送信
サービスリスタート
サマリーイベントは EventSentry サービスが再スタートしても残ります。(v.1.15 以降)収集されたイベン
トはシステム内%TMPO%ディレクトリの一時ファイル書き込まれ、 eventsentry̲summary̲ で起動しま
す。またサービス起動時に処理されます。
制約
・1 時間のサマリーEmail は受信できません。なぜなら 2 時間以上連続した有効時間であればイベント
は即時処理されます。繰り返し通知の最短間隔は 2 時間です。
・収集期間は最長 1 週間です
サマリー通知はフィルターアクションの設定に関連します。 同一アクションに対して 2 つ以上のサマリ
ー通知はできません。複数サマリー通知が必要であれば、それぞれにアクションが必要です。
サマリー機能を使用する場合、%TEMP%ディレクトリに適切なセキュリティ権限の設定を推奨し
ます。これら一時ファイル閲覧により、無認証の人が御社のイベントログ情報入手する事を防
ぐ為です。 しかし実行中はサービスが一時ファイルをロックしますので、他のプロセスからはアクセス
できません。
凡例として、サマリー通知例章をご参照下さい。
5.3.7.4
繰り返しイベント
繰り返しイベントは一定間隔で発生が予想されるイベントです。 これらのイベントが発生したら通知さ
れる代わりに、その期間内に発生しなければ通知されるように EventSentry を設定することができま
す。
© <2002 - 2008> ... NETIKUS.NET ltd
39
この機能を有効化するには、Schedule Type から Recurring Event を設定します。循環フィルターはリス
ト内で 2 つの矢印
として表示されます。
この機能を有効化すると"Action"エリアの"General"タブが無効になりますので、ご注意下さい。通常
のフィルターと違い、繰り返しイベントフィルターはアクションに通知しません。 その代わり、所定時間
内に要求されたイベントが発生しない場合、アプリケーションログにエラーイベントが書き込まれるだけ
です。(以下の"Event Log" をご参照下さい) 上記のような、例えば E-Mail で上記のエラーイベントを
通知するような、もう一つのフィルターを配置は必須です。
時間の設定
この機能が動作するのは制限時間(単一またはそれ以上)設定によるものです。 この時間は(フィル
ターの設定により)イベントが発生すると予期される時間です。 この時間間隔を決めるにはボタンを押
して下さい。例えば、ボタンを押して終了時間を設定すると、EventSentry はイベントが発生したか検査
します。 イベントが発生していなければ、どのイベントにもフィルターが合致しないことを示すイベント
を、EventSentry はイベントログに書き込みます。
下の例では、火曜日から土曜日間の午前 7 時から夜 12 時までにイベント発生の要求がされています。
日曜日は午前 5 時から昼 12 時までイベント発生の要求があります。
下の例はバックアップジョブで使用しています。毎日 12 時開始し、通常 3 時間程実行します。バックアッ
プが完了しなければ管理者はイベントログのエラーを調べます(あるいは他のフィルターで Email を送り
ます)。
© <2002 - 2008> ... NETIKUS.NET ltd
40
イベントログ
この機能で記録される現時点でのイベントレコードです:
Event ID
Event Description
Example
10620
No event matched
No event matching filter Backup has
the recurring event
occurred in the event log in the
filter
configured time period. According to
the schedule, at least one event
matching filter Backup should have been
logged during the last 420 minutes.
5.3.8
カスタムイベントログの監視
カスタムイベントログでイベント記録をイベントソースでカスタム化できます。 またイベント記録を別々
のイベントログに保存できます。イベントをソース毎に組織化する場合、役立ちます。
これにより、ログ全体を指定した任意イベントログへ転送します。
例えば、Web Server と呼ばれるカスタムイベントログを作成します。このイベントログは IISADMIN,
SMTPSVC, VBRuntime ソースからのイベントを保存します。
上記の指定されたソースからのイベントは別個のイベントファイルに書き込まれます。(またデフォルト
ログファイルには書き込まれません) カスタムイベントログファイルが保存されるの
は、%SYSTEMROOT%¥SYSTEM32¥CONFIG ディレクトリです。 デフォルトログファイル(Application,
Security, System, 他)保存場所と同じロケーションです。
EventSentry はカスタムイベントログの管理を簡単にしました。 手動でレジストリを操作する必要はあ
りません。 EventSentry は全てのレジストリキーとレジストリ値の作成を処理します。 更にメッセージ
ファイル情報のカスタムイベントログへ移動も処理します。これにより、イベント詳細の閲覧が期待通り
に動作します。
5.3.8.1
カスタムイベントログの管理
カスタムイベントログは Manage Custom event Logs ダイアログで管理可能です。このダイアログを開く
には
z
Tools メニュー内の Manage Custom event Logs をクリック、 または
z
フィルター詳細の Custom Event Logs Tab 内 Manage Custom Log File をクリック
このダイアログは全カスタムイベントログを表示します。Custom event log をクリックすると、それぞれに
関連するイベントソースも表示します。
© <2002 - 2008> ... NETIKUS.NET ltd
41
カスタムイベントログの作成
Custom Event Log Name フィールドにカスタムイベントログ名を入力します。次に Add ボタンをクリックし
ます。オペレーティングシステムにより、%SYSTEMROOT%¥SYSTEM32¥CONFIG 内にカスタムログファ
イルが自動的に作成されます。カスタムイベントログが作成されると、複数のイベントソースをこのログ
へ割り当てることができます。
カスタムイベントログの削除
カスタムイベントログを削除するには、All configured custom event log リストからログを選択します。次
に削除ボタンをクリックします。 再起動後に、%SYSTEMROOT%¥SYSTEM32¥CONFIG ディレクトリから
ログファイル自体は手動で移動または削除されます。
© <2002 - 2008> ... NETIKUS.NET ltd
42
カスタムイベントログを削除すると、関連するイベントソース全てが取り除かれます。
メッセージファイル情報の紛失を防ぐには、カスタムログ自体を取り除く前に
影響を受けたログから(下記参照)全ての関連するイベントソースを手動で取り除きます。
カスタムイベントログと関連するイベントソース
イベントログソースと結びついている場合に限り、カスタムイベントログは動作します。関連イベントソー
スはカスタムイベントログファイルに書き込まれます。 デフォルトログファイルの内の 1 つ(任意)では
ありません。
以下 2 つの方法で関連付けできます。
1.
新イベントソースとカスタムログ(例:(Web)アプリケーションを開発することで、イベントログへ記録
する場合
2.
別のイベントログから既存イベントソースに割り当て(例:アプリケーション)
1. 新イベントソース
新イベントソース作成する場合、登録キー
HKLM\System\CurrentControlSet\Services\Eventlog\YourCustomLog\YourNewSource
が、作成されるだけです。 このキーを利用するには、手動でメッセージファイル DLL を登録しなければ
なりません。
2. 既存イベントソース
既に登録済みのイベントソースからどれでも選択可能です。また、カスタムイベントログに追加すること
もできます。 EventSentry はカスタムイベントログ 1:1 へ必要な情報を転写します。
上記にはメッセージファイル関連の保護の利点があります。これによりイベント閲覧のトラブルを回避し
ます。
イベントソースとカスタムイベントログの作成/割り当ては単純に
z
カスタムイベントログの選択(既に選択されていない場合)
z
Choose Event Source の隣にイベントソース名を入力、またはリストから選択します。
z
Add をクリック
イベントソースの削除
イベントソースとデフォルトイベントログを削除または解除するには、
z
カスタムイベントログを選択(既に選択されていない場合)
© <2002 - 2008> ... NETIKUS.NET ltd
43
z
削除するイベントソースを選択
z
Delete をクリック
デフォルトイベントログ(アプリケーション、セキュリティ、他)の中から一つを用いて、イベントソースを再
割り当てする機会が得られます。
5.3.8.2
カスタムイベントログの監視
イベントセントリーは8個までのカスタムイベントログを監視できます。 フィルター詳細内の Custom
Event Log ダイアログから、監視するカスタムイベントログを選択します。
カスタムイベントログの名称選択が必須である以外、カスタムイベントログの監視はデフォルトイベント
ログの監視と違いはありません。
(グローバルベースで)適切なカスタムイベントログを選択した後、EventSentry の構成が可能になりま
す。フィルターベース毎に単一/複数カスタムログの監視を構成します。
© <2002 - 2008> ... NETIKUS.NET ltd
44
以下、ご理解頂けることが重要になります。カスタムイベントログと全フィルターの表示順番は
同じです。例えば、application Scheduler を任意フィルター内のカスタムログ1として、選択でき
ません。 また、My Custom を別フィルター内のカスタムログ1として選択できません。
カスタムログを選択/変更する度に、広範囲に変更が適応されます。これにより全てのフィルターに影
響を与えます。
5.4
ログファイル監視
EventSentry はどのようなログ(フラット)ファイルも監視できます。ユーザー様の設定に基づく内容で処
理可能です。例えば、イベントログ適応の為に、選択された行のログまたは、データベース内のログフ
ァイルから全ての行を保存可能です。
前提条件
エベントログ監視と同様、起動時に EventSentry エージェントは既存ファイルを再検査しません。 例え
ば、監視ログファイルに追加された新しい行(ライン)のみ解析されます。
ログファイルタイプ
ファイル監視時に以下 2 つを識別します。
z
非限定ログファイル
z
限定ログファイル
© <2002 - 2008> ... NETIKUS.NET ltd
45
ログファイルはリアルタイムで監視されます。ログファイルに単一または、複数行追加される度
に EventSentry で処理されます。ですが、新しい行が処理されるのは、正確に終了した時だけで
す。(CR/LF)
非限定ログファイル
非限定ログファイルは特定パターンに従わないファイルです。またこのファイルはデリミタを含みません。
非限定ファイル統合時、EventSentry は(ルールに従い)単純に各行をデータベースに保存します。
これは保存目的と後日確認する為です。 非限定ログファイルの例を挙げると、WindowsNT バックアッ
プファイルや、開発ツールで作成されたデバッグファイルです。
非限定ログファイルは構成が最も簡単です。ウェブレポート内でグループ検索やソートすることはでき
ません。
限定ログファイル
限定ログファイルは予め設定されたフォーマット従うファイルです。 フォーマットの各行は、例えばセミ
コロンのような、一般的なセパレーターで限定されたフィールドセットにより構成されています。限定ログ
ファイルを統合すると、EventSentry は各フィールドを分割してデータベースに保存します。また様々な
方法で情報の検索と表示が可能です。 例えば、特定フィールドによるグループ出力が可能です。
© <2002 - 2008> ... NETIKUS.NET ltd
46
限定ログファイルにはファイル定義が必要です。 これにより EventSentry はファイルの各行の構文解
析方法を判断します。 事前設定テンプレートを使用した場合, ファイル定義の設定ははっきりしていま
す。(例えば IIS, DHCP)ですが、明確に定義されていない種類のファイルを監視しなければならない場
合は、更に時間が掛かります。
限定ログファイルにファイル定義が必要となるのは、データベース内へのコンテンツ
統合時です。 選択した行だけをイベントログに記録(ログ)する目的の場合、
限定ログファイルを非限定ログファイルとして扱うことができます。
ログファイル監視の手順
限定ファイルのみ:新たにファイル定義を作成
監視するファイルを決める
ログファイルパッケージの作成と割り当て
統合と監視オプションの指定
5.4.1
ファイル定義の作成
非限定ログファイルを監視する場合はこの章を読み飛ばして下さい。
限定ログファイルが事前設定されたパターンに従う為、EventSentry 内部の限定ログファイルのレイア
ウトを反映させる必要があります。これにより EventSentry がデータベースで情報を統合する時、ログフ
ァイルの構文解析と分割の方法が判ります。 一度ログファイル定義が作成されると、単一または複数
ログファイルに適応されます。(次章をご参照下さい)
限定ログファイル監視の利点として、ログファイル内の有効フィールドに基づく検索とレポート作成が実
行可能になります。 例えば、IIS ログファイルを監視すると、最も頻度の高いリモート IP アドレスのログ
をレポートで確認することが出来るようになります。
既存ファイル定義の編集や新規作成するには、Log File Packages コンテナーを右クリック、Files and
Files Types を選択します。Log File Definitions エリアにより、現時点での設定済みのファイル定義の表
示と新しい定義の追加が可能になります。
© <2002 - 2008> ... NETIKUS.NET ltd
47
新しい定義を追加するには、Log File Definition ダイアログで表示された Add ボタンをクリックします。こ
のリスト上の定義をダブルクリックして既存の定義を編集できます。このダイアログは 2 つのメインセク
ション- General と Mappings -に別けられます。両方共必須です。
General
オプション
説明解説
例
Firewall
name
定義の名称
log
Unix/Linux マシン上のファイルを直接監視する場合を除き、
Line Separator
Windows
Windows にこのオプションを設定して下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
48
Field Delimiter
ログファイル内のフィールドを分割する記号
:
特定の記号で始まる行は無視
#
Comments Start
With
Ignore following
ここで指定された全記号は分析される前に最新の行から除外されま
characters
す。
()[]
Mapping
マッピングセクションではログファイルの構造がどのようなものであるか、EventSentry に伝えることがで
きます。これにより EventSentry は正確に構文解析できます。 また個別フィールドを個々のデータ種類
にマッピングできます。ダイアログ内の多数のフィールドと混同しないで下さい。 この章ではスクラッチ
から新しいマッピングを作成する方法を説明します。
スクラッチからの新しいファイル定義作成は少しばかり時間が掛かります。 ですが、ログファイルのレ
イアウトを変更しない限り、繰り返し(作業)が要らない、一度きりの処理です。
テンプレート使用
ファイル定義がすでに Load from template セクションに記載されている場合、プルダウンリストから定
義を選択することをお勧めいたします。次に Load をクリックしてマッピングを事前記入します。 一度マ
ッピングが表示されると、監視対象のログファイルと比較します。テンプレートファイルからのマッピング
はファイル内容物(コンテンツ)に一致するか、ご確認下さい。特定のアプリケーションにはデフォルトロ
グフォーマットが付いています。 このフォーマットはカスタム化が可能です。デフォルトフォーマットを改
変した場合、マッピングの適応が重要になります。
最善の方法でログファイルのマッピングを行うには、MicrosoftExcel や OpenOffice calc.等の分割シート
アプリケーションでログファイルを開きます。これによりファイルからフィールドへ変換できます。 また、
確認し易いように、各行を分割して個別フィールドに入れます。 利用可能な分割シートアプリケーショ
ンが無い場合、Notepad のようなテキストエディタでログファイルを開くこともできます。
ログファイル内の有効フィールドの構図が明確な場合、個別フィールドの配置方法を決定開始して下さ
い。左側から開始します。各フィールドごとに、以下のステップを実行します。
フィールドの解説を決める。
フィールド種類を配置。有効なデータ型データベースの内 1 つへ。
1.フィールド解説
フィールド解説を指定することで、EventSentry ウェブレポートを通したログフィル分析の手助けになりま
す。デフォルトの解説 Field XX をそのまま残すよりも、判りやすいフィールド名を入力します。例えば
ソース IP や 転送バイト など。この情報は検索結果やレポートに表示されます。ログファイルのヘッ
ダ、またはログファイルを作成したアプリケーションから上記の情報を検索できます。
© <2002 - 2008> ... NETIKUS.NET ltd
49
2.データ型データベースへの配置
フィールド解説を入力した後、フィールド内容物をデータ型へ配置できます。以下の表をご確認下さい。
どのデータベース方が利用可能かご確認できます。 各型に対して限られた数のフィールドに限り有効
です。ご注意下さい。 たとえば、一度でもデータ型 Integer(整数型)[#1] をフィールドに使用すると、2
度と使用する事はできません。次回フィールドを整数型で配置する場合、 Integer(整数型)[#2] を使
用しなければなりません。
以下の表をご参照下さい。またどの型が使用可能かご確認下さい。
最大
最長文字数
Usage
Best Use
Count
対象外
整数型
テキスト(最大 32 文
字)
テキスト(最大 512 文
字)
テキスト(最大 1024
文字)
Lookup Text
n/a
無限
0 -
8
2147483647
対象外フィールド
ナンバーフィールドに使用
32 文字
4
短い文字列に使用。ログファイル行の特徴
512 文字
4
中程度文字列に使用。ログファイル行の特徴
1024 文字
2
長文の文字列に使用。ログファイル行の特徴
1024 文字
8
どのような文字列にも使用。ログファイル全体を再
表示し続けます
テキストとルックアップテキストの選択
対象外 や 整数型 フィールド型を選択する場合は分かりやすいのですが、テキストタイプのデータ
型を テキスト… または ルックアップテキスト を使用する場合、上記のように明白ではありません。
以下のルールをご利用下さい:
ログファイル全体を通してテキストフィールドを表示したままにする場合、(例えばファイアーウォールロ
グファイル内のIPアドレス)、データタイプ ルックアップテキスト を利用します。
この種類のテキストは中央ルックアップテーブルに一度だけ保存されます。 データベース容量を節約
し、フィールド毎のレポート結果をグループ化できます。例えばフィールドがIPアドレスでファイアーウォ
ールログファイルからの内部ホストだとします。これによりレポートが閲覧可能になります。このレポート
はファイアーウォールによりログ(記録)されたコンピュータからの行数を表示します。
© <2002 - 2008> ... NETIKUS.NET ltd
50
もう一方で、殆ど全ての行においてもフィールドのテキストが重複しない場合、(例えば、日付やタイム
スタンプ)、テキストを通常テキストタイプで割り当てるのがベストです。数百万回も変わる数値をルック
アップテーブルで記載する必然性は無いからです。
5.4.2
監視ファイルの定義
限定ファイルのファイル定義を一度でも作成した場合、または非限定ファイルを監視している場合、監
視対象の実在ファイルを構成できます。 EventSentry がサポートするのは、ログファイルのワイルドカ
ードや変数です。上記には日付、時間、連番などの動的文字列も含まれます。
新しいファイルを追加する場合、ログファイル(変数やワイルドカードがサポートされた)のパスへのポ
イントが必要です。ログファイルの唯一名称を入力します。次に非限定ファイルか限定ファイル(ファイ
ルタイプ含む)指定します。
ファイル定義を新規作成または編集するには、Log File Packages コンテナーを右クリックします。次に
Files and Files Types を選択します。File エリアに表示されるのは、すべての現時点における構成ファイ
ルです。また新規ファイルが指定できるようになります。
新規ログファイルの監視
Add ボタンをクリックして Add/Edit File to Monitor ダイアログ呼び出します。
Name
ログファイルを解説するような名称を設定します。例えば、御社のファイアーウォールログファイルを監
視する場合は Firewall Log File と入力します。
© <2002 - 2008> ... NETIKUS.NET ltd
51
File Definitioon
非限定ファイルを監視する場合、Non-Delimited チェックボックスにチェックを入れます。 別の方法では、
プルダウンメニューからファイル定義を選択します。リスト内にふさわしい定義が無い場合、新しいファ
イル定義を作成しなければなりません。
Path
ログファイルへ向かう完全パスを設定します。通常ログファイルには動的文字列を含みます。例えば現
在の日付、ファイル、など。この場合ファイル名に変数やワイルドカードを含めることができます。以下
の変数やワイルドカードがサポートされます。
記号/名称
タイプ
説明
*
ワイルドカード
0または複数の記号と合致
?
ワイルドカード
単一の記号と合致
$YEAR
変数
年-4 桁
$YEARSHORT
変数
年-2 桁
$MONTH
変数
月-2 桁
$DAY
変数
日-2 桁
$HOUR
変数
時間-2 桁(24 時間形式)
$MINUTE
変数
分-2 桁
ワイルドカードと変数の両方を利用できる場合、ログファイルの名称ファイルを高い頻度で設定できま
す。その場合ワイルドカードを利用するか、変数を利用するか、2 つの方法がございます。 以下の表
をご確認下さい。 ファイル名称の配置方法の例です。
ファイル名
nt バックアップ
ex070501.log
ex070501.log 20070110232333
01.log
nt バックアップ
Mar 15, 2007 12.33PM.txt
ex070502.log
ex070502.log 20070110232333
02.log
nt バックアップ
Mar 16, 2007 12.35 PM.txt
ex070503.log
ex070503.log 20070139619433
03.log
nt バックアップ
Mar 15, 2007 12.37 PM.txt
ex070504.log
ex070504.log 20070165420734
04.log
EventSentry
Mar 15, 2007 12.40 PM.txt
nt バックアップ
ex$YEARSHORT
*.log
$MONTH$DAY..log
ex*.log
$YEAR*$DAY, $YEAR*.txt
3 列目と 4 列目でご確認頂けたように、2 つの違う方法でログファイル名を指定できます。
ワイルドカード利用時、直接監視ログファイル数を低く(100 以下に)保って下さい。
これにより、EventSentry エージェントのリソース消費を低く抑えます。 例えば、
古いファイルをサブディレクトリへ移動させて下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
52
Notes
ログファイル、またはその他明細に対するアプリケーションジェネレーターを指定する際、ノートをご利
用頂けます。
5.4.3
ログファイルパッケージへファイル追加
ログファイルパッケージには単一または複数の監視ファイルがございます。 またファイル割当てをグロ
ーバルに行うか、個別コンピュータ/グループに行います。新規ログファイルパッケージを作成するには、
Log File Packages コンテナーを右クリック、Add Package を選択、最後に新パッケージ名を入力します。
このパッケージにファイルを追加するには、ログファイルパッケージを右クリックしてから Add File を選
択します。これにより Select File to Monitor ダイアログが表示されます。 このダイアログは上記のロ
グファイルパッケージに追記できるすべてのファイルを表示します。
既にログファイルパッケージに組み込まれているファイルはこのダイアログには表示されません。 ファ
イルを追加するには、ファイルを選択して、OK ボタンをクリックします。
グループまたはコンピュータへのログファイルパッケージ割当てを忘れないで下さい。
ファイルが追記されると、選択されたファイルがログファイルパッケージ下に現れます。 ファイル名をク
リックすることで編集可能です。
ログファイルの削除または無効
監視対象からファイルを削除する場合、ログファイルパッケージの下にある該当ファイルを右クリック、
次に Delete を選択します。 これにより選択したパッケージからファイルが削除されます。 またパッ
ケージを右クリック、次に Disable を選択してファイルが監視されるのを止める事もできます。
© <2002 - 2008> ... NETIKUS.NET ltd
53
5.4.4
統合と監視オプション
一度ファイルがパッケージに追加されると、ファイルのコンテンツに対して何を実行するか EventSentry
に指示を与えなければなりません。 ログファイルからデータベースへ行を統合するか、アプリケーショ
ンイベントログへテキストを記録(ログ)するか、どちらか、または両方行うことができます。 それに加え
て EventSentry はキーワードに基づき、行をインクルードまたはエクスクルードできます。
データベース内のログファイル文字列
ログファイルからデータベースへコンテンツを統合するには、 Database Consolidation タブをクリックし
ます。 次に Add ボタンをクリックして Destination セクションから宛先となるデータベースを選択しま
す。最大 4 つまで別個でデータベースを指定できます。
デフォルトでは、ログファイルの全ての行は構文解析され、指定されたデータベースへ送信されます。
この方式を変更するには、特定行を除外(exclude)してデータベースへ追記する(全て算入(include)、
一部除外(exclude))、または指定した行に限りデータベースへ送信します。 +アイコンをクリックして文
字列を追記します。この文字列はデータベースの引き金(トリガー)になります。
Include:すべての行をデータベースに記録(ログ)。但し、以下の除外項目は除く
これはデフォルト設定です。全ての構文解析済み行をログファイルからデータベースへ送信します。ロ
グファイル内の行には文字列が含まれています。以下のリストに入っている文字列を含む行はデータ
ベースには送信されません。ログファイルに不必要なコンテンツがある場合、データベース容量を節約
することができます。
Exclude:以下の条件に該当する行に限りデータベースに記録(ログ)
この設定は更に限定的です。 以下のリストに入った行に限りログファイルからデータベースへ送信し
ます。 これによりフィルターに合致したコンテンツ限定でデータベースへ送信できます。 例えば、
Error や Warning を含む行に限りデータベースへ送信することで、問題解決の手助けになります。
ログファイルからイベントログへ行の記録(ログ)
ログファイルからアプリケーションイベントログへ行を記録(ログ)するには、 Event Log Alerts タブをク
リック、次に Log to APPLICATION Event Log チェックボックスにチェックを入れます。 またセベリティ
も選択できます。イベントログ自体として記載された以下のエントリーより選択します。
デフォルトではログファイルの構文解析されていない行はイベントログへ記録されません。+アイコンを
クリックして文字列を追加します。この文字列はイベントログアラートの引き金(トリガー)になります。
© <2002 - 2008> ... NETIKUS.NET ltd
54
Include:すべての行をデータベースに記録(ログ)。但し、以下の除外項目は除く
この設定ではログファイルからの行を構文解析し、解析済みの行を全てイベントログに記録(ログ)しま
す。ログファイル内の行には文字列が含まれています。以下のリストにある文字列を含む行はイベント
ログに記録(ログ)されません。お勧めできないのは、この設定でアプリケーションイベントログに素早く
記入させる事です。
Exclude:以下の条件に該当する行に限りデータベースに記録(ログ)
これはデフォルト設定です。 以下のリストにある文字列と一致するログファイルからの行をイベントロ
グへ記録します。これにより御社のフィルターに合致したコンテンツのみイベントログへ送信できます。
例えば Error や Warning を含む行限定で記録(ログ)できます。 これにより問題解決の手助けにな
ります。
グローバルオプションにおいてワイルドカードサポートが有効(デフォルト)である場合、先頭と語
尾にアスタリスク(*)追記を忘れないで下さい。
5.4.4.1
イベントログ
以下のイベントログレコードが記録されるのは、ログファイル監視カテゴリーの本機能です。
Event
ID
8000
イベントの説明
単一、または複数のフィルタールー
ルとテキストが合致した事を発見
例
ファイル C:〵 logs 〵 ntbackup01.log:において
単一、または複数のフィルタールールとテキス
トが合致した事を発見
監視対象ファイル内の行
監視ディレクトリ C:〵 logs において
監視ディレクトリ C:〵 logs において
8001
EventSentry が 1024 以上のファイ
ルを捕らえています。
EventSentry が 1024 以上のファイルを捕らえて
います。
EventSentry エージェントのリソース消費を抑え
る為にも、古いファイルをサブディレクトリへ移
動、または別ディレクトリへの移動を推奨しま
す。
先の監視ファイルファイル C:〵 logs 〵
ntbackup01.log:内の行に CRLF が存在しない。
8002
CRLF を含まない行
この場合フィルタールールに従った処理はされ
ません。 テキストファイルからの行は以下に
表示されています。
© <2002 - 2008> ... NETIKUS.NET ltd
55
監視対象ファイル内の行
8050
監視対象ファイル内の行に十分な
ファイル定義 IIS に配置されたログファイル
デリミタが存在しない。
ex00001.log に十分なフィールド名(デリミタ)が
無く、また処理もされない。
EventSentry で設定したファイル定義が監視対
象ログファイルのレイアウトに合致するか、
ご確認下さい。
先頭行の最初の 128 文字を以下表示します。
Field1,Field2, Field3, Field4
5.5
システムヘルスの監視
EventSentry でオペレーションシステムの一部を監視します。 これにより潜在的な障害や問題を検出
します。 システムヘルス監視で EventSentry が警告を作成します。アプリケーションイベントログ内、及
びセントラルデータベース内の情報統合(例;CPU 利用履歴、インストール済みアプリケーション)片方
または両方です。
概要
以下のシステムオブジェクトを監視できます。
サービス
パフォーマンスカウンターの監視と追跡
データ処理におけるメモリー使用量の監視。これによりメモリーリークによるアプリケーション不全の検
索
特定の処理が活性しているか、監視
ディスクスペースの監視と記録
選択されたディレクトリの監視
特定レジストリキーとファイル位置の監視。これによりアプリケーションがインストール/アンインストー
ルされたか検査。 また、ユーザーログイン時に自動的に起動してアプリケーション自体がレジスタする
ようなアプリケーションか検査します。
さらに以下の機能もご利用いただけます。
事前設定されたスケジュールによるコマンドラインアプリケーションの実行と、イベントログへの出力
事前設定されたスケジュールによる、イベントログのバックアップと消去
コントロールサービス
組み込みシステムヘルスパッケージ
NETIKUS.NET 社はヘルスパッケージセットを用意しています。 このパッケージにはパフォーマンスモ
ニタ、ディスクスペース、サービスに対する共通ヘルス設定が含まれています。上記のイベントログパッ
© <2002 - 2008> ... NETIKUS.NET ltd
56
ケージは EventSentry により自動的にインストールされます。また、インターネットを通して自動的に更
新されます。
システムヘルスパッケージの適応
ヘルスパッケージを適応するには、パッケージを右クリックして Assign を選択します。 結果ダイアロ
グでパッケージを適応するコンピュータやグループを選択します。
システムヘルスパッケージの作成と削除
新たにヘルスパッケージを作成するには、System Health Packages コンテナーを右クリックします。次
に Add Package を選択するか、System Health Package を右クリックしてから Add を選択します。
削除するには、パッケージを右クリックしてから削除を選択します。ヘルスパッケージに含まれる全ての
ヘルスオブジェクトも削除されます。
ヘルスパッケージにヘルスオブジェクトを追加/削除
ヘルスパッケージには一つ以上のヘルスオブジェクトで構成されますが、(サービス監視、パフォーマン
ス監視等)各種監視機能もまたヘルスパッケージに追記可能なヘルスオブジェクトです。
ヘルスパッケージにヘルスオブジェクトを追加するには、ヘルスパッケージを右クリックし、サブメニュー
Add から必要なヘルスオブジェクトを選択します。
© <2002 - 2008> ... NETIKUS.NET ltd
57
ヘルスパッケージにおいて、新しいヘルスオブジェクトが表示されます。青いホイールアイコン
付
きで表示されます。 同じヘルスパッケージに 1 つ以上の同じタイプのヘルスオブジェクトは追記できま
せん。ご注意下さい。 たとえば、2 つの Service Monitoring オブジェクトをおんなじヘルスオブジェクト
に追記できません。
ヘルス監視オブジェクトを削除するには、ヘルスオブジェクトを右クリックして Remove this object 選択し
ます。
5.5.1
サービス監視
サービス監視には以下の機能がございます。
z
サービス・ステータスの変更の検出(停止=>実行、一時停止=>停止、他)
z
サービス追加/削除の検出
z
サービス設定が自動起動か起動していないか、検出
z
常時サービスが要求されたステータスにあるか(停止または実行)確認
z
サービス・ステータスの追跡とデータベース内のアクティビティ
EventSentry が監視ドライバーに構成された場合、サービスもまたドライバーを参照します。
(詳細は下記)全てのサービスアクティビティは Application Event Log へ記録されます。その
為、1 つ以上のログフィルターでアプリケーションイベントログを監視しているか、ご確認する必要があり
ます。
サービス監視
全サービス監視か、特定のサービスのみ監視するか、監視しないか、選択可能です。
全サービスを監視
全てのサービスを監視。リストボックスに記載されたものは除外
選択したサービスのみ
リストボックス内で表示されたものに限り監視。リストボックスが空白の場合、
監視
サービス監視は活動しません。
サービス監視しない
サービスは監視されません。またリストボックスからの全サービスは 削除さ
れます。
© <2002 - 2008> ... NETIKUS.NET ltd
58
グローバルオプションで Enable Boot scan を有効化すると、リブート中や EventSentry サービス再起動
中、サービス・ステータスの変更が監視されます。 例えば、EventSentry サービス停止時にサーバー
サービスステータスが実行中だとします。 ところが EventSentry サービスが起動したらステータスが停
止します。 このステータス変更は記録されます。
リスト内の表示名とサービスキー名称の両方で、サービスは表示されます。サービスがドライバーの場
合、ドライバー欄に Yes と表示されます。 ドライバーでない場合は No です。
リストのサービス追加と削除
サービス監視(または除外)リストにサービスを追加するには、リストの右側にあるプラスボタン(+)をク
リックします。プラスボタンをクリックするとダイアログが表示されます。ドロップからリストに追加するサ
ービス(またはドライバー)が選択できます。 アスタリクス(*)で始まるサービスにご注意下さい。 上
記のサービスはドライバーであることを示します。ドライバーが本リストに表示されるのは、Monitor
Drivers チェックボックスにチェックを入れた場合に限ります。
サービスを削除するには、リスト内より該当サービスを選択してマイナス(-)ボタンをクリックします。
サービス名を入力するだけで Service Display Name リストに記載されていない
サービスも追記できます。これが可能なのは以下のケースです。サービスが監視対象
サーバーにインストール済みですが、管理ワークステーションにインストールされていない場合。
リモートエージェントはインストールされていない監視サービスは単純に無視されます。
監視インターバル
独自の監視インターバルを設定できます。デフォルトは 60 秒です。監視インターバルは秒数で指定しま
す。設定は 10 秒/倍数でおこないます。(自動的に変換されます。)
© <2002 - 2008> ... NETIKUS.NET ltd
59
監視対象
サービス・ステータス変更、及び SCM(サービスコントロールマネージャー)データベース変更、のどちら
か、または両方を監視できます。ドライバー監視も選択できます。
Monitor Status Changes:サービス・ステータスが変化すると、アプリケーションイベントログ内にイベント
ログが作成されます。 例えば、メッセンジャーサービスが停止した場合、EventSentry はメッセンジャー
(のステータス)が実行から停止に変化した事を示します。
Monitor SCM Changes:サービスが追加、または削除されると、EventSentry はアプリケーションイベント
ログ内に1イベント記録します。
Monitor Driver:デバイスドライバーを監視する場合は、このオプションを選択します。
Log Change As 設定で、どのセベリティイベントをアプリケーションイベントログに記録するか設定できま
す。
Log to ODBC action
全てのデータベースアクティビティをデータベースに記録する場合、この機能を活性化し、ODBC アクシ
ョンを選択します。
上級オプション
詳細は 上級オプション をご参照下さい。
サービスステータスコントロール
サービスステータスコントロールにおいて、特定のサービスが常時実行中または停止サービス・ステー
タス(サービスごとに個別設定可能)であるか、ご確認下さい。
サービスをコントロールするには、+ボタンをクリックし、リストからサービスを選択します。要求されたサ
ービスがリストになければ、 Service Display Name フィールドにサービスキー名を入力します。次に必
要なサービス状態(例;Running)を指定して、OK ボタンをクリックします。サービスが常時要求された状
態にあるか、EventSentry は保障しかねます。
© <2002 - 2008> ... NETIKUS.NET ltd
60
下の例では、iPodService が実行中にも関わらず、停止ステータスです。 Sophos Anti-Virus サービス
は停止しているにも関わらず、起動しています。
サービスが要求された状態でないとエージェントが判断する度に要求に従って状態(State)を変更しよ
うとします。 またイベントログへメッセージを書き込みます。Log Service Control Attempts As 設定でイ
ベントログへ書き込む上記メッセージのセベリティを決定します。
制限
監視インターバルの間、サービス・ステータスが 2 度変更したら、ステータスの変更は EventSentry では
検出できません。
例えば、監視インターバルが 10 秒で設定、メッセンジャーサービスが停止し最新の監視パスの直後に
再起動した、とします。 次回の EventSentry サービス監視パスではこのアクションは認識されません。
システム負荷の影響
サービス監視にはシステム負荷に大きな影響はありません。 推奨設定はレギュラーサービスに対す
るサービス監視インターバルは 20 秒以内です。ミッションクリティカルサーバーであれば 10 秒以内で
す。
5.5.1.1
上級オプション
On Startup, check if services set to AUTO are running
Windows で自動的に起動するように設定された全てのサービスが本当に実行するか、自動的に照合で
きます。この機能を有効にする場合、Startup Delay(Start monitoring…)も設定することを推奨します。
EventSentry 起動時は、(EventSentry と同時、または後で起動する)多くのサービスやドライバーは実
行されません。ですが数分後に実行します。 ディレイの設定はハードウェアや、利用する OS、監視対
象サービスの数に依存します。ファオルトの 120 秒を推奨します。
Decrease monitoring interval temporarily to 10 sec when activity is detected
サービス変更を検出すると、自動的に監視インターバルが 10 秒に減少します。この機能は役立ちます。
多くの場合、サービス・ステータスの変更は他の連続サービス・ステータス変更の引き金になるからで
す。より短い監視インターバルで更に検出可能になります。
© <2002 - 2008> ... NETIKUS.NET ltd
61
5.5.1.2
イベントログ
以下のイベントログレコードは Service Monitoring カテゴリーの本機能で記録します。
Event
ID
イベント表記
例
BITS(Background Intelligent Transfer Service)サービスの
10100
A service status changed
10101
A service was added
10102
A service was removed
10103
A service is being monitored
EventSentry サービスは現在監視中
A service is not being monitored
Cdaudio サービスは今後監視しません。
ステータスが Start Pending から実行中へ変更。
以下のサービスが追加されました:Gateway IPMonitor
(ゲートウェイ IP モニター)。現在のステータスは実行中
以下のサービスが削除されました:Gateway IPMonitor
10104
(ゲートウェイ IP モニター)。最終のステータスは実行中
anymore
最終ステータスは停止。
以下の3サービスは自動起動で設定されていますが
現時点では停止中:
10105
Service configured for auto start
Cdaudio
are not running
Digital CD Audio Playback Filter Driver
Sfloppy
サービスコントロールマネージャー(SCM)へ接続不可、
10106
Unable to connect to SCM
10107
Unable to enumerate service
サービスは監視できません。
羅列サービス不可。
サービスは監視できません。
USB マスストレージドライバーのサービス状況は実行中
10108
Successfully changed service state
要求された状況は停止。EventSentry はサービス状況を
停止に変更しました。
iPodService サービスの状況は起動を一時停止
10109
Unable to change service state
要求された状況は停止。EventSentry は以下のエラーにより
© <2002 - 2008> ... NETIKUS.NET ltd
62
サービス状況を変更できませんでした。:サービス一時停止
10110
5.5.2
A service startup type changed
自動からマニュアルへ PDAgent サービスの起動タイプが変更
アプリケーションスケジューラー
EventSentry 内のカスタムシステム監視より、あらゆるコマンドラインアプリケーション実行をスケジュー
ル化できます。 例えば、実行ファイル、Perl、Visual Basic Script、その他のスクリプト言語を使用して、
どれでもバーチャルで監視します。
© <2002 - 2008> ... NETIKUS.NET ltd
63
アプリケーションスケジューラーで設定した日付と時間にアプリケーションをスケジュールするだけでな
く、更にx分ごとに連続してアプリケーションを実行します。
追加機能として、EventSentry が記録できるのは、動的セベリティ(インフォメーションまたはエラー)でイ
ベントログへ出力したアプリケーションです。
この機能で起動した Executables は EventSentry エージェントが実行している
同じセキュリティアカウントの下で実行します。 デフォルトでは Local System
アカウントです。この事を考慮に入れて下さい。アプリケーション実行しようとする時は
ネットワーク上に配置されたリソースへのアクセスが必要です。
設定した日時でアプリケーション実行をスケジュール化
事前設定した日時、例えば毎日午後 3 時、でアプリケーション実行をスケジュール化するには、スケジ
ュールリスト横のプラスボタンをクリックします。 以下のダイアログが表示されます。
© <2002 - 2008> ... NETIKUS.NET ltd
64
Schedule Type を Regular Schedule に設定、次に Date & Time エリアでアプリケーションのスケジュー
ル化します。 特定の曜日、または月内の特定の日、または双方で実行します。
Process Timeout 機能ではプロセスがx分以上実行する場合、プロセス終了できます。 Filename フィー
ルドで実行ファイルを指定します。
Terminate child processes にチェックが入ると、Filename で起動する全てのチャイルドプロセスは繰り返
し終了します。
周期的にアプリケーションが実行するよう、スケジュール化
連続してアプリケーションを実行、例えば 5 分毎、をスケジュール化するなら、スケジュールリストの横
のプラスボタンをクリックします。 以下のダイアログが表示されます。
© <2002 - 2008> ... NETIKUS.NET ltd
65
Schedule Type を Recurring Schedule に設定。次に Recurring Schedule に従い、構成します。スケケ
ジュールを制限し、アプリケーションを決められた時間の間だけ実行できます。例えば 8AM−5PM 間。
既存スケジュールの変更
既存スケジュールを変更するには、スケジュールリスト内の見出しをダブルクリックします。
スクリプト(例;VB スクリプト)起動時、スクリプトファイルを引数(argument)
として、 Filename フィールドをスクリプトエンジン(例;cscriot.exe)へ
方向付けする事を推奨します。
例えば C: \Windows\System32\script.exe
c:\Batch\files̲count.vds
実行ファイル c:\Batch\files̲count.vds
アプリケーション終了コード
終了コード分析を利用する場合、次の 2 点を推奨します。実行アプリケーションディレクトリ(例;
ping.exe)を呼び出すか、スクリプトエンジンを使用してスクリプトを行使します。これにより終了コード
(例;cscript.ece を使用した VB スクリプト)を指定できます。 アプリケーション終了コードが重要な場合、
バッチファイルの使用は推奨しません。
© <2002 - 2008> ... NETIKUS.NET ltd
66
Log application return code 0 to event log にチェック入れると、EventSentry はイベント情報を記録し
ます。 これはアプリケーションイベントログへ実行したスクリプト結果をテキストで表示したイベントで
す。
Log application return code > 0 to event log にチェックを入れると,EventSentry はエラーイベントを記
録します。 これはアプリケーションイベントログへ実行したスクリプト結果をテキストで表示したイベント
です。
次章 Example scripts では、アプリケーションスケジューラー機能でより良く動作する Visual Basic スク
リプトがリスト化されています。
5.5.2.1
Example Scripts
以下のスクリプトはアプリケーションスケジューラーで使用されます。 またスクリプト実行が成功また
は不成功したか(結果に)従いエラーコードを終了します。 調整を必要とする値は緑でハイライト化さ
れています。 全ての見本は現時点で使用する Visual Basic スクリプトです。
このスクリプトはフォルダ内のファイル数をカウントします。ファイル数が閾値を
越えると1にリターンします。
' ---------------------' --- file_count.vbs --' ---------------------' Counts the number of files in a folder (without traversing subfolders)
'
' Returns 1 if the number of files is larger than MyLimit or 0 if the number
' of files is equal or less than MyLimit
Dim FS, FO, FC
Dim MyFolder, MyLimit
' Set your values here
MyFolder = "C:¥Batch"
MyLimit = 200
Set FS = CreateObject("Scripting.FileSystemObject")
Set FO = FS.GetFolder(MyFolder)
Set FC = FO.Files
WScript.Echo "Folder " & MyFolder & " contains " & FC.Count & " files."
If FC.Count > MyLimit Then
WScript.Quit(1)
Else
© <2002 - 2008> ... NETIKUS.NET ltd
67
WScript.Quit(0)
End If
このスクリプトはシステム内の全ての fan を列挙します。 また(サポートしている
なら)WMI を通して監視できます。1 つ以上の監視対象 fan のステータスが
Other 、 Unknown 、 Running でもない場合、スクリプトは1にリターンします。
' -------------------------' --- system_faninfo.vbs --' -------------------------On Error Resume Next
Dim GlobalError
GlobalError = 0
Function ExplainAvailability(Availability)
Select Case Availability
Case 1: ExplainAvailability = "Other"
Case 2: ExplainAvailability = "Unknown"
Case 3: ExplainAvailability = "Running / Full Power"
Case 4: ExplainAvailability = "Warning"
Case 5: ExplainAvailability = "In Test"
Case 6: ExplainAvailability = "Not Applicable"
Case 7: ExplainAvailability = "Power Off"
Case 8: ExplainAvailability = "Off Line"
Case 9: ExplainAvailability = "Off Duty"
Case 10: ExplainAvailability = "Degraded"
Case 11: ExplainAvailability = "Not Installed"
Case 12: ExplainAvailability = "Install Error"
Case 13: ExplainAvailability = "Power Save - Unknown"
Case 14: ExplainAvailability = "Power Save - Low Power Mode"
Case 15: ExplainAvailability = "Power Save - Standby"
Case 16: ExplainAvailability = "Power Cycle"
Case 17: ExplainAvailability = "Power Save - Warning"
End Select
End Function
Function ExplainStatus(Status)
Select Case Status
Case 1: ExplainStatus = "Other"
Case 2: ExplainStatus = "Unknown"
© <2002 - 2008> ... NETIKUS.NET ltd
68
Case 3: ExplainStatus = "Enabled"
Case 4: ExplainStatus = "Disabled"
Case 5: ExplainStatus = "Not Applicable"
End Select
End Function
strComputer = "."
Set objWMIService = GetObject("winmgmts:" & "{impersonationLevel=impersonate}!¥¥"
&
strComputer & "¥root¥cimv2")
Set colItems = objWMIService.ExecQuery("Select * from Win32_Fan")
For Each objItem in colItems
Wscript.Echo "Name: " & objItem.Name
Wscript.Echo "Active Cooling: " & objItem.ActiveCooling
Wscript.Echo "Availability: " & ExplainAvailability(objItem.Availability) & "
(" & objItem.Availability & ")"
Wscript.Echo "Device ID: " & objItem.DeviceID
Wscript.Echo "Status Info: " & ExplainStatus(objItem.StatusInfo) & " (" &
objItem.StatusInfo & ")"
Wscript.Echo
' Analyze
If objItem.Availability > 3 Then
GlobalError = 1
End If
Next
Wscript.Quit(GlobalError)
5.5.2.2
イベントログ
以下のイベントログレコードはこの Application Scheduler カテゴリー機能で記録します。
Event
ID
10200
イベント表記
例
An application was executed
Superdel.exe は以下で表示した結果と共に 15 秒間実行します。
successfully
リターンコードは0
Superdel.exe 処理は以下のエラーにより作成できませんでした。
10201
A process could not be created
ファイル発見できず
© <2002 - 2008> ... NETIKUS.NET ltd
69
10202
A process exceeded maximum
Superdel.exe.処理は最大許容時間 15 分を超過しました。
configured time interval, but the
EventSentry は以下のエラーにより処理を終了できません。
process could not be terminated
アクセス拒否
Superdel.exe.処理は最大許容時間 15 分を超過しました。
A process exceeded maximum
この処理は終了しました。 管理アプリケーション内、このドライ
10303
configured time interval, and was
ブのタイムアウト・インターバルを増加してください。 (System
terminated
Health => 3rd Party Applications)
イベントログのバックアップ
5.5.3
指定した感覚でイベントログをバックアップと消去、片方または両方スケジュール化できます。全てのタ
スクはイベントログに記録されます。 イベントログが満杯になると、e-mail で通知されます。
イベントログのバックアップ/消去時に問題発生した場合、一般的な問題解決として
KB article21 をご参照下さい。
以下のスクリーンショットの表示は既存スケジュールです。 このスケジュールは毎週月曜日、午前 5
時に Application イベントログのバックアップをします。 このイベントログが消去されないと、タスクはイ
ベントログに記録されます。
新しいスケジュールを追加するには、スケジュールリストの隣にある +ボタンをクリックします。
既存エントリーを編集するには、エントリーをダブル-クリックするだけです。以下のダイアログをご参照
下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
70
イベントログ
プルダウンメニューまたは手動でログ名を指定して、バックアップ/消去するイベントログを選択します。
コンピュータ上に表示された全イベントログをバックアップするには、 All Event Logs オプションを指定
します。
Date & Time
月内の特定の日付や曜日でアプリケーションの実行スケジュールを指定します。
Backup
File セクションでファイル名を特定した場合、 Backup Event Log チェックボックスに自動的にチェック
が付きます。イベントログは指定ファイルへバックアップされます。混乱を避ける為にもファイル名に拡
張子 Evt.の利用を推奨します。以下の case sensitive 変数は以下のファイル名でサポートされます:
$HOSTNAME, $LOG, $DAY, $MONTH, $YEAR, $HOUR, $MINUTE
Clear Event Log
イベントログを消去するにはチェックボックス Clear Event Log をチェックします。(ファイル名を指定し
た場合)バックアップ終了後、イベントログを消去できます。 また、バックアップせずにイベントログを消
去することもできます。
© <2002 - 2008> ... NETIKUS.NET ltd
71
圧縮
(イベントログのサイズに依りますが)イベントログのバックアップファイルが大きくなり、十分に圧縮でき
る場合、EventSentry でイベントログのバックアップファイルを自動的に圧縮できます。圧縮されたファイ
ルはバックアップファイルと同じ名称に拡張子 zip が付きます。例えば、イベントログバックアップファイ
ル名 SRV01̲Security̲20070808.evt はアーカイブ名 SRV01̲Security̲20070808.evt.zip になります。
このボックスをチェックすると、イベントログファイルがバックアップされた後、自動的に圧縮されます。ま
た圧縮されないバージョンは削除されます。圧縮されたイベントログのバックアップファイルのサイズは
通常オリジナルファイルサイズの 20%(またはそれ以下)です。
EventSentry は ZIP アルゴリズムでファイルを圧縮します。7-Zip のような、別アプリケーションで圧縮し
たファイル抽出できます。
Log Action(s) to Event Log
バックアップとアクションの消去を全てイベントログに記録するには、チェックボックス Log action(s) to
event log を有効にします。 次ベージの EventLog をご参照下さい。この機能で記録できる、全てのイ
ベントログレコードが記載されています。
5.5.3.1
フルイベントログの検出
Windows2000, Windows XP, Server2003,以上の場合、フルイベントログで通知できます。
全てのイベントログはフィルターで監視され、内部でも検査されます。 検査間隔は(10 秒の倍数で)指
定します。 特定のイベントログがフルの場合、指定された Smtp action が通知されます。 イベントログ
にはメッセージが書き込まれません。
以下ご参照下さい。 セキュリティイベントログがフルであると知らせる E-mail の見本です。
© <2002 - 2008> ... NETIKUS.NET ltd
72
5.5.3.2
イベントログ
以下のイベントログ記録は本機能の Event Log Backup/Clear カテゴリーで記録されました。
Event
ID
イベント表記
10300 An event log was cleared
10301
10302
10303
10304
例
アプリケーションイベントログの消去に成功しました。
An event log was successfully
ファイル c:\backups\eventlog\Application̲04̲29.evt.に
backed up
アプリケーションイベントログのバックアップに成功しました。
An event log was successfully
cleared and backed up
アプリケーションイベントログの消去に成功しました。
また、ファイル c:\backups\eventlog\
Application̲04̲29.evt.にバックアップが成功しました。
An event log could not be
セキュリティイベントログは以下のエラーにより消去されませ
cleared due to an error
んでした。アクセス拒否
An event log could not be
セキュリティイベントログは以下のエラーによりバックアップさ
backed up due to an error
れませんでした。アクセス拒否
An event log could not be
10305 cleared and backed up due to
an error
システムイベントログは以下のエラーにより、消去及びバッ
クアップされませんでした。アクセス拒否
© <2002 - 2008> ... NETIKUS.NET ltd
73
The event log backup file "%1"
10306 could not be compressed due
to the following error:
The event log backup file "%1"
appears to have been
compressed successfully, but
10307 the compressed event log
backup file "%2"could not be
verified. The original event log
backup file will not be deleted
10320
5.5.4
Full event logs cannot be
detected
イベントログバックアップファイル
C:\Logs\SRV01̲Application̲20070823.evt.は
以下のエラーにより圧縮されませんでした。メモリー不足
イベントログバックアップファイル
C:\Logs\SRV01̲Application̲20070823.evt.は圧縮に成功
したようです。ですが圧縮イベントログバックアップファイル
"C:\Logs\SRV01̲Application̲20070823.evt.zip"
は承認されませんでした。オリジナルイベントログバックアッ
プファイルは削除されません。
このマシン上でフルイベントログは検出されませんでした。
このプラットフォーム(Windows2000、またはそれ以上)では
この機能はサポートされません。
プロセス監視
プロセス監視で通知を行います。単一または複数の指定されたプロセスがアクティブでない場合、また
アプリケーションの潜在的なメモリーリークを検出すると、通知します。
プロセスがアクティブか診断
EventSentry はイベントをイベントログに書き込むことができます。 また実行していないプロセスがサ
ービスとしてアクティブでないか、確認したい時に役立ちます。
プロセスを監視するには+ボタンをクリックします。次にプロセス名を指定します。
リスト下の log errors as オプションに変更して、任意イベントをイベントログへ書き込むセベリティをカ
スタム化できます。 どのイベントログエントリーがイベントログへ書き込まれるのか、確認するにはイ
ベントログをご参照下さい。
スタートアップディレイを設定して、EventSentry サービス起動後に開始するプロセスに対する誤通知を
回避できます。 Start monitoring processes オプションを設定するだけです。ここで全てのプロセスが
アクティブになるまでの秒数を設定します。
© <2002 - 2008> ... NETIKUS.NET ltd
74
指定されたプロセスがアクティブでない場合、イベント 10401 が一度だけイベントログに書き込まれます。
プロセスが再びアクティブになると、イベント 10402 がアプリケーションイベントログに書き込まれます。
プロセスメモリー監視
EventSentry は多くのメモリーリークを見つけることができます。 全てのまたは、選択したプロセスのメ
モリー消費を一定時間監視します。 また、プロセスがメモリーリークを起す可能性があるか、計算しま
す。
多くの状況において、この機能は極めて正確です。ですが、実際はリークしていない
にも関わらず、EventSentry がメモリーリークを示すこともあります。特にデータ
ベースサーバーのプロセスにおいて、通常はプロセスのメモリーリークにおいて発見される
メモリー消費のパターンを示します。
更に本機能で全てのプロセスのメモリーリークを発見する事は保障できかねます。
メモリーリークをおこしたプロセスがあり、プロセスメモリー監視機能が検知できない場合、
弊社サポートチームまでご連絡下さい。
Monitoring All Processes
© <2002 - 2008> ... NETIKUS.NET ltd
75
この設定を推奨します。EventSentry はシステム内の全プロセスを監視し、メモリーパターンを解析しま
す。 プロセスにメモリーリーク疑いがあると、この記録はアプリケーションイベントログへ書き込まれま
す。 Monitor all processes except those listed bellow を選択します。
特定のプロセスを監視対象から除外することができます。メモリーリークが不正確に検知される場合、
役立ちます。+ボタンをクリックして、(パス無しで)プロセス名を指定します。
Monitoring Only Selected Processes
選択したプロセスのみ監視することを選択できます。例えば、特定のプロセスがメモリーリークを起して
いると、考えられる場合です。
Only monitor processes listed below を選択し、+ボタンをクリックして
リストにプロセスを追加します。
Log Only Processes that very likely to Leak Memory
プロセスメモリー監視は以下の 2 つを診断できます。 メモリーリークに似た何かがプロセスに発生した。
またはプロセスがメモリーリークを起した可能性が高い。 このチェックボックスを有効にして、
EventSentry に以下を指示します。 メモリーリークに似た紛らわしいプロセスを無視し、メモリーリーク
に非常に似ているプロセスの記録のみ行います。
Monitoring Intervals
プロセスメモリー監視が予想したより正確に動作しない場合、弊社サポートチームにご相談下さい。
より性格な結果が出るように監視インターバルを調整いたします。 また弊社サポートチームとの相談
無しに、これらの値を変更しないで下さい。
Permanently Excluded Processes
以下のプロセスをメモリー監視から恒久的に除外します。
・Isass.exe
・csrss.exe
・svchost.exe
・services.exe
・System
・sqlservr.exe
・oracle80.exe
・dbsrv7.exe
© <2002 - 2008> ... NETIKUS.NET ltd
76
イベントログエントリーを頻繁に確認すると、それだけプロセスがメモリーリークします。
Kiwi Syslog Server おのためプロセスリークを起す可能性が高いと見做されます。
詳細は次のイベントログをご参照下さい。
5.5.4.1
イベントログ
以下のイベントログレコードはこの機能のプロセス監視カテゴリーで記録します。
Event
ID
イベント表記
例:
プロセス leakyapp.exe(PID 1234)はプライベートバイパスメモリが
リークしているようです。
イベントにこのメッセージ残すには、プロセスのメモリー消費の監視
をパフォーマンス監視で念入りに行います。
監視が終了していない場合、この方法を推奨します。
このプロセスは現時点でプライベートバイトメモリを 23453221 バイト
10400
A process seems to
使用しています。 システムメモリの負荷は 85%です。
be leaking memory
このプロセスがメモリーリークを起していないと、確信している場合
このプロセスを監視対象から除外します。
(Group=>GROUPNAME=>System Health=>Process Memory)
またはレジストリで監視パラメータを変更します。(弊社サポート担
当者とご相談下さい。)
このプロセスがメモリーリークしている場合、アプリケーションの製
造元のサポート担当者様とご相談下さい。
The process
10401 processname is not
プロセス EventSentry_gui.exe は無効です。
active
The process
10402 processname is
プロセス EventSentry_gui.exe は有効です。
active
プロセスメモリー監視の追加情報:
このメッセージは Warning,または Error として記録されます。
© <2002 - 2008> ... NETIKUS.NET ltd
77
Warning:このプロセスはメモリーリークの可能性があります。 このタイプのイベントログ全体を一層監
視して下さい。このイベントが一度だけ発生した場合、大抵無視して下さい。
Error:このプロセスはメモリーリークを起した可能性が非常に高いです。イベントログ内の(同じプロセス
で)このメッセージが表示され続けている場合、厳密に調査して下さい。
Log Only Processes that are very likely to leak Memory オプションをチェックすると、Error メッセー
ジのみこの機能で記録されます。
5.5.5 ディスクスペース監視
固定ドライブのディスクスペースを監視できます。 また、限界を超えた場合や、トレンドパターンが変化
した場合、通知されます。
Logical Disks
全ての固定ドライブ、または選択したドライブのみ監視します。 Monitor only selected drives で 1 つ以
上のドライブを選択したか、ご確認下さい。
Maximum Notification Interval
指定した間隔で、(ディスク単位の)1 メッセージの最大値を確認できます。 Global Option をクリックし
て最大通知インターバルを設定できます。
Limits
パーセンテージ(%)、または指定したサイズでリミットを設定します。
© <2002 - 2008> ... NETIKUS.NET ltd
78
%容量
容量をパーセンテージ(%)に基づき設定します。 Alert when percentage of free space is below オプ
ションを選択し、%を指定します。 容量を超過した場合、EventSentry は Log As で設定したセベリテ
ィでアプリケーションイベントログへエントリーを記録します。
絶対容量
容量をドライブ上で有効なバイト数に基づき自由設定します。 Alert when free space is below オプショ
ンを選択し、MB 数か GB 数を指定します。 容量を超過した場合、EventSentry は Log As で設定し
たセベリティでアプリケーションイベントログへエントリーを記録します。
トレンド検出
ディスクスペース使用量を長期間収集します。 デフォルトでは 2 日間です。EventSentry はディスクに
対するアクティビティが通常よりも多いか判断します。 たとえ%や絶対容量が超過していない場合で
も行います。パーセンテージを調整し、トレンド検出の感度を調整できます。
トレンド変化を検出すると、EventSentry は Log As で設定したセベリティでアプリケーションイベントロ
グへエントリーを記録します。週末のディスクスペース情報を収集したくない場合、 Do not collect
trend information on weekend チェックボックスをチェックします。
例:未使用ディスクが毎日 100Mb 減少する場合、200Mb の減少が 100%変化したと、考えられます。
ディスクスペースのデータ収集
EventSentry データベースにディスクスペース使用量情報を収集できます。Web インターフェースを利用
してトレンドデータのグラフ表示ができます。
チェックボックスをチェックして、書き込み用として既存
ODBC action を選択します。この機能を動作する為には ODBC アクション設定内でテーブル名を決定し
たか、ご確認下さい。 テーブルレイアウトや推奨するパーミッションについては、 テーブルの設定 を
ご参照下さい。
EventSentry がデータベースにディスクスペースデータを書き込む頻度を指定して下さい。
OS ディスクスペース監視を無効
WindowsNT 以上は未使用ディスクが 10%以下になると自動的にイベントログをエントリーに書き込みま
す。 Disable OS disk space monitoring ボタンをクリックすると、OS によるディスクスペース監視を無効
にできます。これにより通知の重複を回避します。
© <2002 - 2008> ... NETIKUS.NET ltd
79
イベントログ
5.5.5.1
以下のイベントログレコードはこの機能の Disk Space Monitoring カテゴリーで記録されます。
Event
ID
イベント表記
例:
Disk space is below a
ドライブ C:(BOOT)の空き容量が設定した制限 15%を下回りまし
10500 configured percentage
10501
た。
limit
ドライブ C:では、12%の空き容量(756Mb)が現時点で有効です。
Disk space is below a
ドライブ C:の空き容量が設定した制限 1024Mb を下回りました。
configured absolute limit
ドライブ C:では 877Mb の空き容量が現時点で有効です。
トレンド分析はドライブ D:において異常に高いディスク使用量を
検出しました。ドライブ D における平均トレンド記録は 8976kb で
Trend analysis has
10502 detected an usually high
disk space consumption
す。現時点のトレンドは 25432kb、283%上昇。
このトレンド変化は想定内である場合、(例えば、デイリーバック
アップ業務の上昇)このパターンを認識する前に、2 回以上下記
のメッセージが表示されます。
トレンド記録で 62 日以内、現時点のトレンドでは 15 日以内で
ディスクスペースが消耗します。
Disk Space is back
10550 above the percentage
limit
10551
5.5.6
Disk Space is back
above the absolute limit
ドライブ C:(BOOT)の空き容量が設定した制限 15%以上に回復し
ました。
ドライブ C:では、20%の空き容量(1120Mb)が現時点で有効で
す。
ドライブ C:(BOOT)の空き容量が設定した制限 1024Mb 以上に回
復しました。
ドライブ C:では、1325Mb の空き容量が現時点で有効です。
ディレクトリ監視
ディレクトリ監視でディレクトリのサイズ監視ができます。 またディレクトリの総容量が設定した制限を
超過または下回った時、アラートの起動するよう設定できます。ディレクトリ容量の監視を物理的に行う
か、論理的行うか指定できます。 更にサブ-ディレクトリを含めるか指定できます。
© <2002 - 2008> ... NETIKUS.NET ltd
80
ディレクトリ監視は Disk Space システムヘルスオブジェクトの一部です。それ故、ディスクスペースオブ
ジェクトを含む既存システムヘルスパッケージを追加するか、新規システムヘルスパッケージ/ディスク
スペースオブジェクトを作成するか選択します。
既存オブジェクトの追加
既存システムヘルスパッケージにこの機能を追加する場合、システムヘルスパッケージ内の Disk
Space オブジェクトを選択するだけです。次に Directory Monitoring タブをクリックします。
新規システムヘルスパッケージの作成
新規システムヘルスパッケージを作成するには、 System Health Packages コンテナーを右クリックし
ます。次に新しい Disk Space オブジェクトをパッケージに追加するには、パッケージを右クリックして
Add を選択します。 既に Disk Space オブジェクトを含む既存システムヘルスパッケージを選択する
こともできます。 このパッケージの左ペーンをクリックします。
このパッケージをディレクトリ監視の使用に限定するには、ディスクスペース監視機能( Logical Disks
エリア)を Do not monitor any drives に設定します。次に Directory Monitoring タブをクリックします。
© <2002 - 2008> ... NETIKUS.NET ltd
81
データベース
データベースを指定します。 現時点の容量をセントラルデータベースに記録するようディレクトリが設
定されると、このデータベースが使用されます。
ディレクトリ監視
新しいディレクトリを監視するには、+ボタンをクリックするか、既存ディレクトリをダブル-クリックします。
Directory
監視したいディレクトリを選択します。%SYSTEMROOT%のような環境変数をご利用頂けます。
General
フォルダのサイズ制限を指定します。 警告が必要な場合、ディレクトリのサイズが閾値を下回るか超
過した時に使用します。
またファイル容量を物理サイズか論理サイズか指定します。 これを使用してフォルダ容量を計算しま
す。セクター内でハードディスクをアレンジする場合、フォルダが圧縮可能であると予測により、物理サ
イズの方が論理的容量より少しばかり大きくなります。 これらのディレクトリは通常物理サイズより小
さくなります。この為 default and recommended setting では物理サイズで計算します。
エージェントがディレクトリを検査する頻度を指定して下さい。 ディレクトリサイズの計算にはより多くの
ディレクトリ上にリソースが集中しますので、適切なインターバルを設定して下さい。
チェックボックス Include Sub Folders をチェックすると、総容量計算にサブ-ディレクトリが含まれます。
© <2002 - 2008> ... NETIKUS.NET ltd
82
Actions
Log to Event Log as: 設定された閾値を超過すると、指定したセベリティでアプリケーションイベントログ
へ警告を記録します。この機能により記録されたイベントについての詳細はイベントログをご参照下さ
い。
Log to Database: 現時点のディレクトリ容量を選択した親ダイアログ内のデータベースへ記録します。
5.5.6.1
Event
ID
イベントログ
イベント表記
例:
フォルダ C:\TempStorage の物理サイズが設定された制限
The directory
10510 size is above the
configured limit
1,048,576 バイトを超過しました。
フォルダ情報:
論理サイズ:41,864,341
物理サイズ:42,192,896
ファイル:115
フォルダ C:\TempStorage の物理サイズが設定された制限
The directory
10511 size is below the
configured limit
100,048,576 バイトを下回りました。
フォルダ情報:
論理サイズ:41,864,341
物理サイズ:42,192,896
ファイル:129
フォルダ C:\TempStorage の物理サイズが設定された制限
10560
The directory
1,048,576 バイト以下に戻りました。
size is back
フォルダ情報:
below the
論理サイズ:964,341
configured limit
物理サイズ:964,512
ファイル:45
フォルダ C:\TempStorage の物理サイズが設定された制限
10561
The directory
1,048,576 バイト以上に戻りました。
size is back
フォルダ情報:
above the
論理サイズ:41,864,341
configured limit
物理サイズ:42,192,896
ファイル:129
© <2002 - 2008> ... NETIKUS.NET ltd
83
5.5.7
ソフトウェア監視
以下の状況でソフトウェア監視により通知されます。
コントロールパネル,プログラムの追加と削除に登録されたアプリケーションがインストール、またはアン
インストールされた。
ユーザーログインまたはシステム起動したときに自動的にプログラム実行するレジストリロケーション内
にアプリケーションまたはファイルが登録された。
ユーザーログインまたはシステム起動したときに自動的にプログラム実行するディレクトリ内にアアプリ
ケーションまたはファイルが登録された。
加えて、EventSentry はデータベース内にソフトウェアやハードウェアのインベントリを作成できます。
多くのシステム監視機能と同様、変更を検知するとソフトウェア監視はアプリケーション
イベントログにイベントを書き込みます。その為、少なくとも 1 以上のイベントログフィルター
でアプリケーションイベントログを監視しているか、ご確認して頂く必要があります。
サービス監視とファイル監視を組み合わせて、EventSentry はシステムブート時やユーザーログイン時
に自動的に起動する殆どのアプリケーションやファイルを検出します。
© <2002 - 2008> ... NETIKUS.NET ltd
84
ハードウェアインベントリー
以下のガードウェア情報もまたデータベース内に記録されます。
z
OS,エディションやサービスパックも含みます。
z
SYSTEMROOT ディレクトリ
z
OS をインストールした日付
z
X64 ビット版 OS でマシンが実行中
z
マシンがターミナルサーバー
z
マシンが Hyper-V で実行中
z
マシンが Server-Core で実行中
z
マシンがバーチャルマシンの場合、また特定ケースおいては VM プラットフォームの種類
(例:VMWare ESX)
z
インストールされた CPU(種類、速度、インストールされた CPU の数)
z
インストールされた CPU 数、Hyper-Threading や multi-core も検出します。
z
登録された所有者や企業(可能であれば)
z
コンピュータの製造元及びモデル(可能であれば)
z
BIOS バージョン
z
シリアルナンバー、サービスタグ(製造元による)
z
インストールされたメモリー。最大メモリー容量、メモリチップ数、有効なフリースロットも含
む
z
インストールされたネットワークアダプタ、アダプタ名称と MAC アドレスも含む。
z
インストールされたディスクコントローラー、アダプタ名、アダプタタイプ(IDE/SCSI)、製造元
も含む
z
インストールされたグラフィックアダプタ、デフォルトリソリューションも含む
z
CD-ROM, DVD, フロッピー、その他リムーバブルドライバの数
z
現時点の稼動時間
z
EventSentry がインストール以降のホストの最大稼働時間
以下の場合、ハードウェアインベントリー機能もまたイベントログにイベントを記録します。
最後に EventSentry エージェントが実行してから、下記のインストールされたハードウェアデバイスの数
が変更した場合。
z
インストールされたメモリー
z
インストールされたプロセッサー数
z
インストールされたフロッピードライブ数
z
インストールされた CD-ROM ドライブ数
z
インストールされた DVD ドライブ数
© <2002 - 2008> ... NETIKUS.NET ltd
85
z
リムーバブルドライブ数
以下ご注意下さい。上記のイベントが記録されるのは、EventSentry エージェント起動時(通常はシステ
ムブート後)のみであり、実行中ではありません。 デバイス数の増加と減少も同様に記録されます。
GUID に限りアプリケーションのレジストリを無視: インストール時、特定のソフトウェアは GUID(16 進
法)限定でレジストリに書き込みます。このボックスをチェックして利用可能なディスプレイ名無しにソフ
トウェアを無視します。
システムハードウェア情報は EventSentry サービスが起動する度に更新されます。
データベースへのログ稼働時間
指定したインターバルでデータベースへ現時点のホスト稼働時間を記録します。このオプションでは現
時点の稼働時間に加えて、複数の再起動にわたる最大稼働時間のトラックを保存します。
これにより、再起動を繰り返す問題のあるサーバー隔離を手助けします。
また本機能は稼働時間履歴をデータベースへ保存します。 このデータベースはハートビート-有用性稼働時間履歴を通してアクセスできます。 稼働時間履歴は OS ブート時に毎回更新されます。さらに
現時点のブートプロセス前の OS 実行時間を記録します。
稼働時間履歴は、再起動の間も OS 実行時間を追跡し続けます。そのため、ホストを再起動した
時に限り更新されます。
ソフトウェアインストール、またはアンインストール時の検出
プログラムの追加と削除により、アプリケーションがコントロールパネル内に登録されると、EventSentry
により通知されます。 またどのアプリケーションがインストール、または削除されたか記録します。
EventSentry が通知しないアプリケーションのインストールは、プログラムの追加と削除で登録しないも
のです。 アプリケーションが多数のオートランレジストリーキー内に一つでも登録されると、通知される
かもしれません。
© <2002 - 2008> ... NETIKUS.NET ltd
86
以下の情報はデータベース内に保存されます。またチェックボックス Record in database をチェックす
ると Web Report を使用して参照することができます。
ソフトウェア名
インストレーションディレクトリ
ソフトウェア発行者
ソフトウェアバージョン
また本機能はアプリケーション履歴をデータベースへ保存します。 いつソフトウェアがインストール/ア
ンインストールされたか、見つけることができます。(この情報はイベントログを通しても利用できます。)
オートランレジストリーキー
いくつかのアプリケーションはコンピュータ起動時、またはシステムにユーザーログインした時、ファイ
ルが自動実行するよう登録されます。これらのファイルは通常必要とされ、何の問題も起しません。
それでも残念ながらスパイウェア、トロイの木馬、ウィルスに不正利用される事もあります。
EventSentry は特定のレジストリロケーションを監視します。 また監視対象ロケーションからアプリケー
ションが追加または削除されると、通知します。 この時、システム上の全ユーザー様に影響のあるレ
ジストリキー、HKEY̲LOCAL̲MACHINE に限り監視されます。HKEY̲CURRENT̲USER キーは監視され
ません。 ご注意下さい。
以下のレジストリ値を監視します。
HKLM¥SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion¥Winlogon¥Userinit
HKLM¥SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion¥Winlogon¥Shell
HKLM¥SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion¥Winlogon¥Taskman
HKLM¥SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion¥Windows¥AppInit̲DLLs
HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Policies¥System¥Shell
以下のレジストリキーを監視します。
HKLM¥SOFTWARE¥Microsoft¥Active Setup¥Installed Components
HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥Run
HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥RunOnce
HKLM¥SOFTWARE¥Microsoft¥Windows¥CurrentVersion¥RunOnceEx
HKLM¥SOFTWARE¥Policies¥Microsoft¥Windows¥System¥Scripts¥Startup
HKLM¥SOFTWARE¥Policies¥Microsoft¥Windows¥System¥Scripts¥Logon
オートランディレクトリ
© <2002 - 2008> ... NETIKUS.NET ltd
87
上記のレジストリキーに加えて、この機能で以下のディレクトリの監視とファイル追記時の通知を行い
ます。
<Documents and Settings>¥All Users¥Start Menu¥Programs¥Startup
追加情報
Active Setup/Installed components レジストリ−のサブ-キーはインストレーションにおける使用を意図
します。これにより確実に全ユーザーは最新情報をプロファイル内に保持します。更にユーザーログイ
ンする度に検査します。ソフトウェアのインストールや悪意のあるアプリケーションの実行に、このキー
は残念なことに不正利用されます。 このレジストリキーの全ての変更を検査し、認証されたアプリケー
ションのみが確実に登録されるようにして下さい。
5.5.7.1
Event
ID
イベントログ
イベント表記
例:
アプリケーション
{51A3EF81-FAAF-4E70-815C-74D34D4EC313}
12000
An application was (Cloudmark SpamNet 3.0) がインストールされました。
installed
追加情報:
Publisher: NETIKUS.NET ltd
Installation Directory: C:¥Program Files¥EventSentry
12001
An application was
uninstalled
アプリケーション
{51A3EF81-FAAF-4E70-815C-74D34D4EC313}
(Cloudmark SpamNet 3.0) がアンインストールされました。
An application or
file registered
12002
itself in autorun
アプリケーション badtrojan.exe がレジストリキー
registry key and
HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥Run 内に
will be run
登録されました。
automatically
ユーザーがシステムにログインすると、自動的に実行します。
when a user logs
on
© <2002 - 2008> ... NETIKUS.NET ltd
88
An application or
キー、HKLM¥Software¥Microsoft¥Windows NT¥Current
file registered
Version¥Winlogon 内にあるレジストリ値が "explorer.exe"から
12003 itself in the
"badandevilshell.exe"へ変更しました。
registry key by
ユーザーがシステムにログインすると、この値で指定された全て
changing a value.
のファイルが自動的に実行します。
An application was レジストリキー、
12004
removed from an
HKLM¥Software¥Microsoft¥Windows¥CurrentVersion¥Run から
autorun registry
アプリケーション、desktophog.exe が削除されました。
key
ユーザーがシステムにログインしても、今後実行されません。
A file was
12005 registered in an
autorun directory
アプリケーション eraseallfiles.exe がディレクトリ
c:¥Documents and Settings¥All
Users¥StartMenu¥Programs¥Startup に登録されました。
ユーザーがシステムにログインすると自動的に実行します。
ショートカット PerformanceEnhancer.lnk
A shortcut was
12006 registered in an
autorun directory
(c:¥windows¥evilvirus.exe ファイルを使用) が
ディレクトリ C:¥Documents and Settings¥All Users¥Start
Menu¥Programs¥Startup に登録されました。
ユーザーがシステムにログインすると、自動的に実行します。
ショートカット PerformanceEnhancer.lnk
A shortcut was
12007 removed from an
autorun directory
(c:¥windows¥evilvirus.exe ファイルを使用) が
ディレクトリ C:¥Documents and Settings¥All Users¥Start
Menu¥Programs¥Startup に削除されました。ユーザーが
システムにログインしても、今後実行されません。
An application
12008
registered itself in
アプリケーション YourPersonalAdware.exe がレジストリキー
an autorun
HKLM¥SOFTWARE¥Policies¥Microsoft¥Windows¥System¥Scrip
registry key and
ts¥Startup に追加されました。
will be run
システムがブートすると、自動的に実行します。
automatically
© <2002 - 2008> ... NETIKUS.NET ltd
89
when the
computer starts.
An application was
12009
removed from an
アプリケーション YourPersonalAdware.exe がレジストリキー
autorun key and
HKLM¥SOFTWARE¥Policies¥Microsoft¥Windows¥System¥Scrip
will no longer be
ts¥Startup からさ駆除されました。
run when the
システムがブートしても、今後実行されません。
system boots.
12010
An application
アプリケーション SmartTrojan がレジストリキー
registered itself in
HKLM¥SOFTWARE¥Microsoft¥Active Setup¥Installed
an autorun
Components 内のファイル c:¥windows¥eraseanddestroy.exe に
registry key and
登録されました。
might be
ユーザーがシステムにログインすると、自動的に実行するでしょ
automatically run
う。
when user logs
詳細はヘルプファイル(search forACTIVE SETUP) を
into the system
ご参照下さい。
An application
removed itself
アプリケーション SmartTrojan (c:¥windows¥eraseanddestroy.exe
from registry key
ファイルを使用)はレジストリキー
12011 and will no longer
HKLM¥SOFTWARE¥Microsoft¥ActiveSetup¥Installed
be run when user
Components から削除されました。
logs into the
ユーザーがシステムにログインしても、今後実行されません。
system
レジストリキー、HKLM¥SOFTWARE¥Microsoft¥Active
A registry key
Setup¥Installed
could not be
Components 監視にエラー(999)が発生しました。
12012 monitored and
EventSentry エージェントを再起動して下さい。
feature disabled
またこの問題が繰り返し発生する場合、弊社サポートまでご連絡
itself
下さい。
オートラン監視は継続されません。
12030
The installed
インストール済みメモリーの物理容量が 512Mb から 256Mb へ変
memory changed
更しました。
© <2002 - 2008> ... NETIKUS.NET ltd
90
The number of
12031
installed
processors
インストール済みプロセッサー数が 1 台から 2 台へ変更しました。
changed
The number of
12032 installed floppy
drives changed
The number of
12033 installed CDROM
drives changed
The number of
12034 installed DVD
drives changed
インストールされたフロッピードライブ数が 0 台から 1 台へ変更し
ました。
インストール済み CD-ROM ドライブ数が 1 台から 0 台へ変更しま
した。
インストール済み DVD ドライブ数が 1 台から 2 台へ変更しまし
た。
The number of
12035 removable drives
リムーバブルドライブ数量が 0 台から 2 台に変更しました。
changed
5.5.8
パフォーマンス監視
パフォーマンス監視で全てのパフォーマンスカウンター有効性と対応 OS の監視ができます。
例えば、パフォーマンス監視で発見できるのは、どのアプリケーションがもっとも CPU 時間を使用してい
るか、ディスクのサブシステムがビジーか、等です。
© <2002 - 2008> ... NETIKUS.NET ltd
91
パフォーマンス監視には3つの主要な機能があります。
アラート
特定のパフォーマンスカウンターが設定された制限を超過すると、通知(例;e-mail)が受信できます。
例えば、あるプロセスが 10 分以上 70%以上の CPU を使用すると、通知されます。
アラートは非常に柔軟性が高く、パフォーマンスカウンター検査の頻度を設定できます。(例えば 10 秒
毎)また、どれだけカウンターが閾値を超過し続ければエラーがアプリケーションイベントログに記録す
るか、時間設定できます。詳細はアラートをご参照下さい。
アラートグループ
個々のアラートをアラートグループにまとめます。アラートグループ内の全カウンターが制限を越えると
通知されます。詳細はアラートグループをご参照下さい。
データベース追跡
データベースを利用して、EventSentry はパフォーマンスデータをデータベースへ書き込みます。これは
必要に応じて EventSentry ウェブレポートで検索できます。これによりパフォーマンスデータの履歴を確
認できます。(例;メモリー使用量、CPU 使用量)これらを一定期間チャートや生データで確認できます。
パフォーマンス追跡では全ての監視中のパフォーマンスカウンターの現在のステータスを一目で確認
できます。 これによりサーバーステータスの簡単な概要を得ることができます。
詳細はデータベース追跡をご参照下さい。
5.5.8.1
アラート
パフォーマンスアラートが通知するのは、指定パフォーマンスカウンターが設定された閾値を超過した
時です。これはイベントログへイベントを記録により起こります。 ですが、カウンターが閾値を超えると
すぐに通知されたくない場合もあります。 カウンターが閾値を超過するのに必要な期間を設定できま
す。
これは不必要なアラートを回避するためです。
例えば 8 分以上 CPU 使用の%が 80%を超えると通知する設定では、30 秒間 CPU 使用のスパイクが
100%でも通知されません。
© <2002 - 2008> ... NETIKUS.NET ltd
92
Name
カウンターの説明名称。意味が通ればどのような名称でも可。
Counter
OS に対応する、実際のパフォーマンスカウンター名称。
z
ドロップダウンリストから通常利用するカウンターを選択
z
BROWSE ボタンをクリックして、全ての利用可能なカウンターリストを閲覧
z
パフォーマンスカウンター名をマニュアル入力(例;Process(*)\% Processor Time)
© <2002 - 2008> ... NETIKUS.NET ltd
93
Instance:パフォーマンスカウンターに文字列(*)があると、このカウンターはインスタンスを保持します。
除外しなければ、EventSentry はカウンターの全てのインスタンスを監視します。(下記参照)
EventSentry にはイベントログを記録すると閾値を超えるインスタンスが存在します。
Exclusions
パフォーマンスカウンターにインスタンス(例:Process(*)\% Processor Time)があると、不必要なイ
ンスタントを除外しなければなりません。コンマで区切れば、複数のインスタンスを指定できます。
例えば、Process(*)\% Processor Time パフォーマンスカウンターには、Idle と_Total インスタンスが
あります。Idle インスタンスはほぼ 100%近く存在します。(使用していない CPU を表示する為)また_
Total インスタンスは全アプリケーションからの合計 CPU を計測します。このカウンター監視時にこのフ
ィールドを Idle,_Total を設定して、両方のインスタンスを除外できます。
Divide value by # of logical processors
このボックスをチェックすると、パフォーマンスサブシステムから返答された値をインストールされたロジ
カルプロセッサ数で分割します。 この機能の使用目的は限られています。パーセンテージでプロセス
時間を計測するパフォーマンスカウンターだけです。
例えば、プロセスが 1 つ以上の CPU を使用すると、 Process(*)\% Processor Time カウンター全プ
ロセッサーを横断して CPU 使用量の合計をレポートします。 結果は 100%以上です。 このボックスを
チェックすると確実に EventSentry がレポートした値はインストールされた CPU 数に関連します。
Polling Interval
ポーリングインターバルが計測するのは、EventSentry が OS から選択したカウンターの値を取得する
頻度です。パフォーマンスカウンター監視はシステム負荷が伴います。 (大き過ず、小さ過ぎない)適
切な値の選択を推奨します。弊社が推奨するのは、Volatile(変動)カウンター(例;CPU)は 10 秒毎、
Static(静的)カウンターは 30 秒です。
Enable Alert
このボックスをチェックすると、パフォーマンスアラートが有効化します。 アラートは常時イベントログに
書き込まれます。 これらのイベント(アラート)をフォワードするイベントログフィルターが必要になりま
す。フォワード先は実際の通知、例えば e-mail 等です。
Log to Event Log as
セベリティを指定します。このセベリティでアラートがイベントログへ記録されます。EventSentry はカウ
ンターが閾値を超えると、イベントを記録します。また、設定した閾値を下回るとカウンターは後退しま
す。ご注意下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
94
Threshold Setting
ここでアラートを設定します。通知されるのは、カウンター値が過少、超過、値が減少、閾値の圏内また
は圏外です。
Time Interval
タイムインターバルを設定します。 アラートをイベントログに記録する為に、どのくらいの時間、閾値を
超過する必要があるか指定します。
たとえばタイムインターバルを 10 分に設定すると、8 分間カウンターが閾値を超えても、アラートはイベ
ントに記載されません。
Maximum Notification
デフォルトでは(Notify at most every はチェックされていません)、カウンターの直前ステータスが非アラ
ートステータスである場合に限り、EventSentry はアラートを記録します。 これはアラートステータスが
変更した、ということです。 多くの場合、Notify at most every をチェックしないことが望ましい状態で
す。
Maximum Notification not set (default)
例えば、タイムインターバルを 10 分に設定します。パフォーマンスカウンターが閾値を 40 分超えると、
一度だけ通知を受けます。(最初の 10 分が経過すると)もしカウンターが閾値以下に戻り、同じ時間掛
けて元に戻ると、再び通知されます。
下のチャートはこの様子を示します。 EventSentry は 2:30 に一度だけ記録します。
全ての連続アラートは最初のアラーとの一部と見做されます。その故、通知は作成されません。
このアラートが消去されたのは 3:50 です。
© <2002 - 2008> ... NETIKUS.NET ltd
95
Maximum Notification set
チェックボックス Notify at most every をチェックして、タイムインターバルを設定した場合、
パフォーマンスカウンターが継続してアラートステータスにあると、設定された時間を推移しながら、通
知されます。アラートが止まるのは、パフォーマンスカウンターが閾値以下になる時です。
下のチャートは前頁と同じものですが、Notify at most every を一時間で設定しました。
監視対象の値がアラートステータスにあるので、e-mail は別のエラーを 3:30 にも記録しました。
アラートが消去されたのは、3:50 です。
5.5.8.2
アラートグループ
1カウンターアラートが設定された閾値を越えると通知されることに加え、複数監視カウンターの状態に
よりアラートするようにできます。 Alert Group にカウンターを追加します。
1.アラートグループの作成
既存ヘルスパッケージから Performance Monitoring オブジェクトを選択します。 または新しいヘルス
パッケージを作成して、パフォーマンス監視オブジェクトを追加します。パッケージを右クリックして
Add -> Performance Monitoring 選択します。Alert Broups ボタンをクリックすると以下のダイアログが
現れます。
© <2002 - 2008> ... NETIKUS.NET ltd
96
新しいグループを作成するには、 Alart Group Name フィールドにグループ名を入力します。(例 High
System Usage )次に Add ボタンをクリックします。 グループアラートをイベントログに記録するには、ど
のセベリティアラートでイベントログに書き込むか設定する必要があります。適切なセベリティを Log to
Event log as ドロップダウンメニューから選択します。
2.カウンターをアラートグループに追加
アラートグループは最低 2 個のカウンターが必要です。 使いやすいように、カウンターは Alerts で事
前に設定します。
カウンターを追加するには:
1.Alart Group リストから必要なアラートを選択
2.ドロップダウンメニューより Choose Counter からカウンターを選択
3.Add をクリック
Event Logs をご参照下さい。この機能で記録される全てのイベントログエントリーのリストが
© <2002 - 2008> ... NETIKUS.NET ltd
97
ございます。
3.アラートグループからカウンターを削除
アラートグループからカウンターを削除するには:
1.Counter in Alart Group リストから既存アラートを選択
2.ドロップダウンメニューより Choose Counter からカウンターを選択
3.Delate をクリック
4.アラートグループの削除
アラートグループを削除するには;
1.Alart Group リストから必要なアラートグループを選択
2.Delete をクリック
注意:全ての関連カウンターは自動的にアラートグループから削除されます。
5.5.8.3
データベース追跡
データベースへパフォーマンスデータを収集して、現時点のパフォーマンス ステータスの閲覧ができま
す。またパフォーマン Web レポートを通してスデータ履歴を閲覧できます。レポートはグラフィカルチャ
ートの利用や HTML や CSV 形式での出力です。データベース追跡が必要となるのは、Web リポートの
ダッシュボード機能使用時です。
EventSentry はどのカウンターをどのくらいの頻度でデータベースに書き込むか柔軟に設定できます。
パフォーマンスデータをデータベースに記録するには;
z
既存カウンターにデータベース追跡を追加
z
新しいカウンターを作成
既存カウンターにデータベース追跡を追加
既存カウンターにデータベース追跡を追加するには、パフォーマンス追跡ダイアログ内のカウンターを
ダブルクリック、次にチェックボックス Database をチェックするだけです。
データベース追跡用に新しいカウンターを作成
Alert 章の手順に従って新しいカウンターを作成します。 アラートの受信が不要でデータベースに記録
するだけの場合、 Enable Alert セクションを無視して下さい。
データベースにパフォーマンスデータを記録する場合、名称、カウンター、ポーリングインターバルが必
要です。
© <2002 - 2008> ... NETIKUS.NET ltd
98
Log to ODBC action
このチェックボックスをチェックして、パフォーマンスをデータベースへ記録します。 また ODBC アクショ
ンを選択します。
Logging Interval
パフォーマンスデータをデータベースに書き込む頻度を決めます。 ログ間隔はポーリング間隔と同じ
か少し大きくなります。OS から実際にデータ取得される頻度により、ポーリング間隔が決定するからで
す。
Log Average
Log Average はポーリング間隔がデータベースログ間隔より小さい場合に限り有効です。この機能を
活性化すると、全ポーリングデータの平均値をデータベースに書き込むように、EventSentry に指示し
ます。データベース書込み時に必要なデータを計測し、その値だけを記録するのではありません。
この機能を説明するのに良い例があります。 平均 CPU 使用時をデータベースに記録する場合です。
ポーリング間隔が 10 秒、ログ(記録)間隔を 1 分間で設定したとします。 下のグラフの各点はポーリン
グ間隔の収集データを示します。
Log Avarage がチェックされていないと、EventSentry がデータベースに書き込むのは次の通りです。
現時点での計測値 46%をタイムインターバル6。次にインターバル 12 に現時点での計測値1%。
上図で確認できる通り、この 2 つの値はどちらも正確に実データを表示していません。
Log Avarage がチェックされると、EventSentry は 6 個のポーリング値を計算します。次にその情報を
データベースに記録します。上の例では最初の値が 19%(45%に代わり)、次の値が 9%(1%に代わり)で
す。
推奨は約 10 秒毎のポーリング間隔の使用。データベース記録間隔は必要に応じて、例えば 10 分で
す。
© <2002 - 2008> ... NETIKUS.NET ltd
99
データベース記録間隔が小さいと非常に正確なレポートを得られます。 ですが、大量のディスクスペ
ースを消費します。 得に大規模ネットワークにおいては。
Log Avarage 機能で、データベース内の
データを最小量で書き込みができます。
5.5.8.4
Event
ID
12100
12101
12102
12103
12104
12105
イベントログ
イベント表記
Performance counter fell
bellow threshold
例:
パフォーマンスカウンター Memory\Available
MBytes は閾値25を下回りました。現時点の平均値は
10
Instance of a performance
パフォーマンスカウンター %1 (例 %2 )は閾値%3を下
counter fell bellow threshold
回りました。現時点の平均値は%4
Performance counter fell
equals threshold
パフォーマンスカウンター %1 は閾値%2 と同じです。
Instance of a performance
パフォーマンスカウンター Process(*)\Thread Count
counter fell equals threshold
(例 myapp )は閾値20 と同じです。
Performance counter
パフォーマンスカウンター %1 は閾値%2 を超過しまし
exceeds threshold
た。現時点の平均値は%3
Instance of a performance
counter exceeds threshold
パフォーマンスカウンター Process(*)\% Processor
Time (例 sqlserv )は閾値 80 を超過しました。 現時点
での平均値は91
グループアラート High System Activity が起動しまし
12106 A group alert was triggered
た。最後にチェックした時、
このグループの全パフォーマンスはアラートを報告した
からです。
1 以上の必要な機能のエントリーポイントがダイナミック
リンクライブラリ PDH.DLL 内に見つかりません。
12110
Required entry points could
not be found in PDH.DLL
最新版の PDH.DLL がマシンにインストールされている
か、ご確認下さい。
例えば、DLL を最新 OS で実行中の他マシンからコピー
できます。
パフォーマンス監視は継続しません。
© <2002 - 2008> ... NETIKUS.NET ltd
100
ダイナミックリンクライブラリ PDH.DLL 内に見つかりませ
ん。
またパフォーマンス監視を必要としています。
12111 PDH.DLL could not be found
最新版の PDH.DLL がマシンにインストールされている
か、ご確認下さい。
例えば、DLL を最新 OS で実行中の他マシンからコピー
できます。
パフォーマンス監視は継続できません。
12150
Performance counter is back
above threshold
Instance of a performance
12151 counter is back above
threshold
12154
パフォーマンスカウンター Memory\Available
MBytes は閾値25以上に回復しました。現時点の平均
値は 45
パフォーマンスカウンター %1 (例 %2 )は閾値%3以上
に回復しました。現時点の平均値は%4
Performance counter is back
パフォーマンスカウンター %1 は閾値%2 以下に回復し
below threshold
ました。現時点の平均値は%3
Instance of a performance
パフォーマンスカウンター Process(*)\% Processor
12155 counter is back below
Time (例 sqlserv )は閾値 80 以下に戻りました。 現時
threshold
点での平均値は29
A previously alerted
先程設定した閾値を超過したパフォーマンスカウンタ
12156 performance counter is not
available anymore
ー Process(*)\% Processor Time (例 sqlserv )は無
効。 監視不可能。
5.5.9 ファイル変更監視
ファイル変更監視で 1 つ以上のディレクトリを監視できます。 またディレクトリ内の特定ファイルに変更
が発生すると通知されます。 以下のケースで通知されます。
z
ディレクトリにファイルが追加
z
ディレクトリからファイルが削除
z
ファイルサイズの増加
z
ファイルサイズの減少
z
ファイルのチェックサム(SHA)変更
更に EventSentry は全ての変更をデータベースに記録できます。 また監視対象のディレクトリ内で作
成された、現時点のステータスと変更履歴の確認ができます。
© <2002 - 2008> ... NETIKUS.NET ltd
101
ファイル監視 vs.ファイルアクセス追跡をご参照下さい。 ファイルアクセス追跡機能と
本機能の比較です。
Specifying directories の監視開始前に、オブジェクトの General 監視オプションを設定してください。
Monitoring Interval/Type
Monitor folder(s) in real time
デフォルトでは、リスト記載のディレクトリはリアルタイムで監視します。ディレクトリに影響を与える変更
が発生すると OS は EventSentry に通知する、という事です。 これは最も効果的な監視オプションです。
監視対象ディレクトリに大量のファイル(100 以上)があり、頻繁に変更する場合、追加する必要ないか
もしれません。
リアルタイムで監視する場合、以下の作業を推奨します。 Checksum Oprimizations セクションの Only
verify checksum when last write time changed チェックボックスをチェック。
© <2002 - 2008> ... NETIKUS.NET ltd
102
また、以下の方法も推奨します。リアルタイムの監視フォルダに追加して、循環監視オプションを設定し
ます。 これにより、OS は EventSentry へリアルタイム通知を送信しません。
Monitor every X seconds
リアルタイムでフォルダを監視する代わり、循環スケジュールで監視できます。 例えば 10 分おき。ディ
レクトリに大量のファイルがあり、頻繁に変更する場合、リアルタイム通知を必要としないディレクトリに
有効です。
ご注意下さい。このファイル監視機能は際立って大量の CPU を消費します。
特にチェックサム機能利用時や大量のファイルを含むフォルダ監視時。
数千のファイルを含むフォルダを監視する場合、EventSentry エージェント(eventsentry̲svc/exe)の
CPU 消費量は予想よりも高いです。その為、熟慮の上、以下の設定を調整して下さい。
Monitor every x minute(s) はデフォルトの 1 時間以内に増加させます。
チェックサム作成の回数を減らす為、 Ignore checksums for files lager than を
減少させる必要があります。
必要なければ、 Detect file checksum changes は無効になります。
Checksum Optimizations
ファイルのチェックサムを監視する場合、可視化オプションの設定を推奨します。 このセクションで、シ
ステム監視における EventSentry エージェントの負荷を減らします。
Ignore checksums for files lager than
監視ディレクトリに大量のファイルがある場合(例えば 50Mb 以上)、チェックサムの計算に時間が掛か
ります。 またサーバー上の CPU 時間の大部分を使用します。チェックサム機能に対する最大ファイル
サイズを設定することで、大量ファイルのチェックサム計算からのサービスを防御できます。
Only verify checksum when last write time changed
デフォルトでは、OS がファイル変更をレポートすると、監視対象ディレクトリ内にある各ファイルのチェッ
クサムを計算します。 繰り返しますが、監視対象ディレクトリに大量のファイルがあると、大量の CPU
を消費します。この設定を有効化すると、最後に変更したファイルのチェックサムに限り、このエージェ
ントは計算、比較します。
Database
データベースを指定します。セントラルデータベースへ変更を記録するようにディレクトリが設定される
と、このデータベースを使用します。
© <2002 - 2008> ... NETIKUS.NET ltd
103
5.5.9.1 ディレクトリの管理
ディレクトリを追加するには、 File Monitoring セクション内の+アイコンをクリックします。
このセクションは Add/Edit Monitored Folder ダイアログで表示されます。このダイアログで指定できる
のは:
z
監視対象ディレクトリ
z
ディレクトリ内の監視対象ファイル
z
監視対象アトリビュート/プロパティ
z
データベースに変更を記録する/しない
最初に Folder フィールド内で監視ディレクトリを指定します。または Brouse ボタンをクリックしてフォ
ルダを閲覧します。パス名%SYSTEMROOT%のような環境変数を使用します。次にフォルダ内のどのフ
ァイルを監視するか指定します。また、追跡する変更も指定します。
© <2002 - 2008> ... NETIKUS.NET ltd
104
Files
デフォルトでは、エージェントは指定ディレクトリ内の全ファイルを監視します。 ですが、指定ディレクト
リ内でどのようにファイルを監視するか、カスタムできます。少数の例外を除き全てのファイルを監視す
るか、特定のファイルのセットだけを監視するか、選択できます。
Include all files in the selected folder, except for exclusion below
この設定で監視するのは選択したフォルダ内の全ファイルです。 フォルダ選択は例外ファイル
や Exclusions リスト記載のワイルドカードで行います。 例えば、+や-アイコンをクリックして、監視対
象から除外したいファイルを追加/削除します。
ご注意下さい:ワイルドカードサポートが有効な場合、完全なファイル名で指定しない時は、ワイルドカ
ードを付けて下さい。 例えば dll 拡張子付きファイルを全て除外するには、 *dll と入力して下さい。
Only monitor files are included below
この設定を有効化すると、指定ディレクトリ内の特定ファイルのセットのみ監視できます。 例えば、+や
-アイコンをクリックして、監視対象ファイルを追加/削除します。
Monitor the following changes
Detect File Additions: ディレクトリに新ファイルが追加された時
Detect file deletions:
ディレクトリからライルが削除された時
Detect file Checksum Changes: ファイルのチェックサム変更時 256-bitSHA チェックサム使用
Detect file size increases:
Detect file size decreases:
ファイルサイズ増加時
ファイルサイズ減少時
Alert
変更を検出すると、アプリケーションイベントログに1イベント、エージェントは記録します。また、選択さ
れたデータベース内での全ての変更を追跡します。
Log to Event Log as: 指定セベリティでアプリケーションイベントログへ変更を記録します。
詳細は Event Log をご参照下さい。
Log to Database: 親ダイアログで選択したデータベースに変更を記録します。
5.5.9.2
イベントログ
Event
イベント
ID
表記
例:
© <2002 - 2008> ... NETIKUS.NET ltd
105
チェックサム SHA-256 が確認されました。
File: C:¥WINDOWS¥system32¥ntoskrnl.exe
12200
A
以前のチェックサム:
ASH-256
B2728620F63488A32597DD97EA40F54460C55D97942748716051F60199C
checksum 682F8
change
新しいチェックサム:
has been
FE12E1FAEAE5DDF34A93128C7009B69EE88249E6B28BC3D279F2E37AD
detected
D3EDC52
上記のファイルコンテンツは改変されました。
ファイルサイズの変更を確認しました。
A file size
12201
change
File: C:¥WINDOWS¥system32¥MRT.exe
has been
Old Size: 12,619,736 byte(s)
detected
New Size: 13,511,640 byte(s)
Change: +891,904 byte(s)
監視ディレクトリにファイルが追加されました。
Directory: C:¥WINDOWS¥system32
12202
A file has
File: C:¥WINDOWS¥system32¥̲000007̲.tmp.dll
been add
Size: 14,640 byte(s)
Checksum:
93BB82EB2786708ADD9F1538283658EE949AA79E658196F0386AD88FB6
1320B1
監視ディレクトリからファイルが削除されました。
A file has
12203 been
deleted
Directory: C:¥WINDOWS¥system32
File: ̲003244̲.tmp.dll
Last size: 822,272 byte(s)
Last checksum:
FE2FE85EC553E8DFE0B04900EFE5BDA53F0F087730BDEBB95F681A0D
F9900938
© <2002 - 2008> ... NETIKUS.NET ltd
106
5.5.10
NTP 監視
ローカルネットワークの(v3 までの)NTP サーバーやインターネットの RFC1769 と RFC1305 で NTP 監
視を認証します。また、追加機能としてローカルシステム時間を修正します。 ミリ秒のプレサイションダ
ウンによるクロックオフセット計測時、ネットワーク待ち時間は考慮されます。
Interval (Verify Time)
ローカル時間と設定済 NTP サーバーの時間を比較する頻度を指定します。
Maximum Tolerance
ローカルホストと NTP サーバーの間で許容できる最大時間差(ミリ秒) ローカルホストと NTP サーバー
の間で時間差がが最大許容量を超えると、イベントログにイベントが記録されます。(セベリティは Log
To Event Log で設定します。)また設定されていれば、ローカル時間を調整します。
Set Local Time if Outside Tolerance
ローカルホストと NTP サーバーの間で時間差がが最大許容量を超えると、NTP サーバーと合致する
ようにローカル時間を調整します。
NTP Server
NTP サーバーのリスト。指定した間隔で参照されます。複数 NTP サーバーを指定できます。 またサー
バーは Top から Bottom へ処理されます。サーバーが届かない場合、次の NTP が接続されます。
© <2002 - 2008> ... NETIKUS.NET ltd
107
Reccuring Logging
チェックボックス Log time difference every をチェックして、指定した間隔でイベントログへ情報イベント
を記録します。このイベントには現時点でのローカルホストと NTP サーバーの時間差があります。
5.5.10.1
イベントログ
本機能の NTP Monitoring カテゴリーで以下のイベントログは記録されます。
Event
ID
イベント表記
例:
NTP サーバーとこのコンピュータの間には時間差があ
12300
A time difference has been
detected
ります。
%1 は最大許容量%2 ミリ秒超過
時間差は%3
A time difference has been
12301 detected and the local time has
12302
12303
12304
ローカル時間の調整に成功しました。
このコンピュータと NTP サーバー"%3"の間の時差
been adjusted
(%2)を発見後、%1 に調整
The local time could not be
ローカル時間の調整に失敗しました。
adjusted due to an error
時間差(%1)は検出されたにも関わらず。 エラー:%2
The current time could not be
EventSentry は現時点で回復不能。ホスト%1
retrieved from a NTP server
以下のエラー%2の理由による。
The connection to a NTP host
EventSentry は現時点で回復不能。ホスト%1
timed out
接続時間切れ
EventSentry は現時点で回復不能。ホスト%1、%2 秒
EventSentry has been unable to
12305 connect to a NTP server for an
extended time period
%2 秒間、EventSentry はこのホストに再度接続しませ
ん。
(可能な場合)リスト内の他 NTP サーバー使用を試み
ます。
© <2002 - 2008> ... NETIKUS.NET ltd
108
EventSentry は接続不能です。いかなる NTP サーバ
12306
None of the configured NTP
ーの設定においても(%1)
server could be reached
最低一つ以上、有効 NTP サーバーがホストとしてリス
ト記載されているか、ご確認下さい。
This events logs the current time
12307 difference between the local host ローカルホストと%1 の間に時間差があります:%2
and the NTP server
コンプライアンス追跡
5.6
コンプライアンス追跡機能はセキュリティイベントログからのセキュリティ関連情報の大部分を遮断しま
す。データは標準化され、EventSentry データベース内に収容されます。
この機能は連邦法の規制を遵守する為だけではありません。 一般的なトラブル解決や、統計、膨大
なセキュリティ関連データへのアクセスに役立ちます。
政府機関コンプライアンスの追加情報についてはを Resources-Compliance-Regulations をご参
照下さい。
概要
現時点では以下の追跡機能をサポートしています。
z
プロセス追跡
z
ログイン追跡
z
印刷追跡
z
ファイルアクセス追跡
z
アカウントマネージメント追跡
z
ポリシー変更追跡
追跡パッケージの適応
追跡パッケージを適応するには、パッケージを右クリックして Assign を選択します。結果ダイアログ内
でパッケージを適用するコンピュータやグループを選択します。
追跡パッケージの作成と削除
新しい追跡パッケージを作成するには、Tracking Package コンテナーを右クリックします。 次に Add
Package を選択するか、追跡パッケージを右クリックします。最後に Add を選択します。
削除するには、パッケージを右クリックしてから、削除を選択します。 追跡パッケージの全追跡オブジ
ェクトも削除されます。
© <2002 - 2008> ... NETIKUS.NET ltd
109
追跡パッケージに追跡オブジェクトを追加/削除
追跡パッケージには1以上の追跡オブジェクトがあります。個々の追跡機能(プロ席追跡、ログオン追
跡、印刷追跡)を追跡オブジェクトとしてパッケージに追加できます。
パッケージにオブジェクトを追加するには、追跡パッケージを身日クリックします。次にサブメニュー
Add から必要なオブジェクトを選択します。
新しい追跡オブジェクトが現れます。追跡パッケージの下に青いホイールアイコン
付きます。これは
オプジェクト関連のアイコンです。同じ追跡パッケージに同じタイプの追跡オブジェクトを 1 つ以上追加
できません。 例えば、同じ追跡オブジェクトに 2 つのプロセス監視オブジェクトを追加できません。
追跡監視オブジェクトを削除するには、追跡オブジェクトを右クリックし、 Remove this object を選択し
ます。
5.6.1
追跡パッケージオプション
パッケージオプションで可能なのは、パッケージの有効化/無効化、ディスクリプションの入力、パッケー
ジの割当て、(個々のオブジェクトで設定するのではなく)パッケージレベルでのデータベースアクション
の指定です。
詳細は Package Option をご参照下さい
5.6.2
追跡の要件
全てのコンプライアンス追跡機能の動作は、Audit Failure と Audit Success イベントの検査によるもので
す。これらはセキュリティイベントからイベントです。 例えば、監視対象コンピュータのセキュリティポリ
シー内部で個々の監査機能を有効化する必要があります。
© <2002 - 2008> ... NETIKUS.NET ltd
110
例えば、特定の新しいユーザーアカウントを追跡する場合、 Account Management ポリシーを有効化
する必要があります。
All tracking features:
この機能で自動的に追跡が起動するように設定できます。たとえ有効化されていないとしてもです。
ですが、可能であれば、グループポリシーを使用してドメインレベルにおいて買う宇佐を有効化すること
を推奨します。
下記リストをご参照下さい。個々の追跡機能に必要な監査オプション示します。
Compliance Tracking Feature Auditing Option
Required Auditing(NT4)
Process Tracking
Audit process tracking
Process Tracking
Logon Tracking
Audit logon event
Logon and Logoff
File Access Tracking
Audit object access
File and Object Access
Account Management
Audit account
User and Group
Tracking
management
Management
Policy change Tracking
Audit policy change
Security Policy Changes
一度どの監査オプションを有効化するか決定すると、監査を有効化する為に以下 3 オプションから 1 つ
をご利用いただけます。 Required Auditing コロンの必須監査設定については、 Auditing Option をご
参照下さい。
1.
Requested Audit Policy から Auditing On を選択してサービス起動します。必要な監査設定が自動
的に有効化する EventSentry エージェントが得られます。 この場合、EventSentry エージェントにより、
no top-level o¥policies が overwriting policy settings set になっているか、ご確認下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
111
2.
Audit process tracking を有効化する場合、いくつかのオプションがあります
Windows NT4
Administrative Tools より User Manager か User Manager for domains を開きます。次に
Policy=>Audit from the menu を選択、[Audit Option]隣のチェックボックス Success をチェックします。
Windows2000(以上)アクティブディレクトリ無
Administrative Tools の Local Security Policy を開きます。 Security Policy => Local Policies =>
Audit Policy へ進みます。[Auditing Option]をダブルクリックして、チェックボックス Success をチェッ
クします。この変更には数分掛かります。
Windows2000(以上)アクティブディレクトリ有
適切なグループポリシーを開くか、 Domain Security Policy を開きます。ここから Audit Policy へ進
み[Auditing Potion]を Success に設定します。アクティブディレクトリの設定に拠りますが、Domain
Security Policy 以外のグループポリシーの修正が必要になるかもしれません。
3.
セキュリティイベントログ Log Size は Overwrite events as needed へ設定する必要があります。また
最低 2048Kb 以上の容量設定を推奨します。 イベントログが正確に設定されていないと、EventSentry
エージェントは起動時にエラーメッセージをアプリケーションイベントログに書き込みます。
Log Size 設定を変更できます。(Administrative Tools から) Event Viewer を開き、 Security Log を
右クリックします。メニューより Properties を選択、 Log size が Overwrite event as needed に正確
に設定されたか確認します。また Maximum log size が十分な大きさがあるか、確認します。
© <2002 - 2008> ... NETIKUS.NET ltd
112
先に有効化した OS のプロセス追跡を無効にするには、 Requested Audit Policy を Auditing Off
に設定します。繰返しますが、EventSentry エージェントで実行するいかなるポリシー変更で
取り消しされるドメインポリシーが無いか、ご確認下さい。
5.6.3
プロセス追跡
プロセス追跡は全てのプロセスアクティビティ(プロセス作成、プロセスイグジット)をセントラルデータベ
ースに記録します。またこの機能の目的は、高度セキュリティ環境におけるワークステーションのアプリ
ケーション使用量の監視です。 収集した情報は Web インターフェースを通してクエリ化されます。
これにより追跡データ、履歴、統計等、が得られます。
必要条件
この機能の動作は Audit Success イベントの傍受で行います。このイベントはセキュリティイベントロ
グに描込みます。 監視対象ホストのローカルセキュリティポリス内で、監査プロセス追跡が有効化す
ると実行します。プロセス追跡が正確に機能する為に、いくつかの必要用件が合致する必要がありま
す。
詳細は Requirement をご参照下さい。
データ収集
EventSentry が収集するのは以下のプロセス情報です。全てのサポート Windows プラットフォームから
収集します。
Field
Description
Process Identifier
PID
Parent Process Identifier
親プロセスの PID
Filename
実行ファイルの名用 (path 無し)
File Path
実行ファイルのパス *(下記参照)
Username
プロセス実行するユーザー様名
Domain
プロセス実行するユーザー様のドメイン(またはコンピュータ)名
Start Time & Date
プロセス起動の日時
Duration Incomplete
プロセスが活性化したことを示す時間
Duration field は信頼できない。
© <2002 - 2008> ... NETIKUS.NET ltd
113
File Path フィールドのディテイル量はエージェントが実行している OS に拠ります。
以下の表に記載しています。
Operation System
Supported Details
Windows NT(全バージョン)
サポート無し、フィールドは空
Windows 2000(全バージョン)
論理ドライブ情報無しの実行パス有
Windows XP, Windows
Server2003
論理ドライブ情報付、実行パス有
プライバシー
プロセス追跡はどのドキュメントを開いていたか、という情報は収集しません。 また、プロセス転送さ
れたコマンドライン引数(argument)も収集しません。
プロセス情報で収集したユーザーアクティビティを追跡します。 収集した情報が会社ポリシーや法律
に違反、または抵触するか、ご確認して頂く必要がございます。
設定
Tracking All Processes (with exceptions)
Track all processes except those listed below を選択して、全プロセスを監視します。
プロセスを除外するには、+ボタンをクリックします。次に除外するプロセスのファイル名(パス無し)を指
定します。
Tracking only selected Processes
Only track processes listed below を選択して +ボタンクリックすると、監視対象リストにプロセスが追
加されます。
Enabling Process Tracking in the OS
Operation System 内でプロセス追跡を有効化する必要がります。プロセス追跡が活性化されていない
場合、エージェントを設定して自動的に活性化させます。詳細は Requirements をご参照下さい。
Database
ODBC アクションを選択。正しいデータベースを指定します。
追加機能
ODBC アクションで指定したデータベースが一時的に利用できない場合、EventSentry はペンディング
中のプロセス追跡データをキャッシュ化します。データベースサーバー回復後に書き込みます。
© <2002 - 2008> ... NETIKUS.NET ltd
114
5.6.4
ログオン追跡
ログオン追跡でコンソールログオン(成功)を追跡します。 同様にネットワークログオン(成功も失敗)、
も追跡できます。
コンソールログオン
相互ログオンセッションを追跡します。物理的、またはリモートディスクトップ(ターミナルサービス)を通
して発生します。 この機能で様々なログインセッションについての情報を収集します。 例えば、ソー
スコンピューター、ログオン持続時間、等。 詳細は Console Session をご参照下さい。
ネットワークログオン
ネットワークログオン追跡は以下の通りです。
Logon Failure Analysis:
全ての認証失敗を追跡
Domain Account Authentication:
全ての成功ドメインアカウント認証を追跡
User Logon by Server Type:
全てのログイン追跡
詳細は Network Logons をご参照下さい。
5.6.4.1
Console Logons
コンソールログオン追跡は全てのログオンアクティビティをセントラルデータベースに記録します。
© <2002 - 2008> ... NETIKUS.NET ltd
115
(ログオンの相互作用とターミナルサービスログオン) またこの機能の目的はワークステーションやサ
ーバーのログオン使用量の監視です。収集した情報は Web インターフェースを通してクエリ化されま
す。
z
どのコンピュータにどのユーザーがログしたか。
z
ユーザーのログオン時間
z
情報の蓄積。
必要条件
この機能の動作は Audit Success イベントの傍受で行います。このイベントはセキュリティイベントロ
グに描込みます。 監視対象ホストのローカルセキュリティポリス内で、監査プロセス追跡が有効化す
ると実行します。プロセス追跡が正確に機能する前に、いくつかの必要用件が合致する必要がありま
す。
詳細は Requirement をご参照下さい。
Windows がログオンとログオフアクティビティを記録するのは、ユーザーが実際にログインする
ホストに限ります。 ドメイン環境内の全ユーザーのログオンとログオフを監視したい場合、
EventSentry エージェントをインストールしなければいけません。全ワークステーションを含めて、
ユーザーがログオン可能な全てのコンピュータにインストールします。 ドメインコントローラーに
EventSentry をインストールするだけでは、全てのログオンログオフアクティビティを追跡できません。
これは EventSentry の制約ではなく、Windows の制約です。
データ収集
EventSentry が収集するのは以下のログオン情報です。全てのサポート Windows プラットフォームから
収集します。
Field
Logon Type
Description
Console か Terminal Services
Logon ID
マシンへのログオンを識別する独自の十六進法番号
Computer
ユーザーがログオンしたコンピュータ
Username
ログオン/オフしたユーザーのユーザー名
Domain
ユーザーがログオン/オフしたドメイン(またはコンピュータ名)
Logon Privileges
ユーザーがローカル管理者か否か
Login Date / Time
ログオンした日時
Logoff Date / Time
ログオフした日時
Duration
ログオン継続時間
© <2002 - 2008> ... NETIKUS.NET ltd
116
プライバシー
ログオン情報で収集したユーザーアクティビティを追跡します。 収集した情報が会社ポリシーや法律
に違反、または抵触するか、ご確認して頂く必要がございます。
設定
Tracking All Users (with exceptions)
Track all users except those listed below を選択して、全プロセスを監視します。
プロセスを除外するには、+ボタンをクリックします。次に除外するプロセスのファイル名(パス無し)を指
定します。
Tracking only selected users
Only track users listed below を選択して +ボタンクリックすると、監視対象リストにプロセスが追加さ
れます。
Enabling logon Tracking in the OS
Operation System 内でログオン追跡を有効化する必要がります。ログオン追跡が活性化されていない
場合、エージェントを設定して自動的に活性化させます。詳細は Requirements をご参照下さい。
Database
ODBC アクションを選択。正しいデータベースを指定します。
追加機能
ODBC アクションで指定したデータベースが一時的に利用できない場合、EventSentry はペンディング
中のログオン追跡データをキャッシュ化します。データベースサーバー回復後に書き込みます。
5.6.4.2
Network Logons
ネットワークログイン追跡で情報収集出来ます。御社ネットワークのログイン成功と失敗について多様
で広範囲な情報です。この機能は様々な状況で役立ちます。
z
コンプライアンス統制
z
ネットワークセキュリティのレビュー
z
トラブルシューティング
z
ネットワークログイン統計
© <2002 - 2008> ... NETIKUS.NET ltd
117
Logon Failure Analysis
全てのアクセス認証を文書化したレポートです。この認証はユーザーによるドメイン統制です。このユ
ーザーがワークステーションやメンバーサーバーにログオンする度、ネットワークログオンが DC に作成
されます。 これにより、グループポリシーやユーザー設定に適応するため、ユーザークレデンシャル
に従い、ユーザーのワークステーションはドメインコントローラーにアクセスしなければなりません。
Domain Account Authentication
全てのアクセス認証を文書化したレポートです。この認証はユーザーによるドメイン統制です。このユ
ーザーがワークステーションやメンバーサーバーにログオンする度、ネットワークログオンが DC に作成
されます。 これにより、グループポリシーやユーザー設定に適応するため、ユーザークレデンシャル
に従い、ユーザーのワークステーションはドメインコントローラーにアクセスしなければなりません。
User Logon By Server Type
監視対象サーバーの全てのログオンを文書化したレポートです。
コンピュータへアクセス試行記録の記入。どのタイプのアカウントを使用したかは問いません。
ログオンタイプとログオンプロセス
IP アドレスとクライアントコンピュータ名
Perform additional host name or reverse lookup through DNS
(監査成功イベントのみに適応される)ログオンイベントにログインイベントが存在し、以前のログオンセ
ッションに関わる場合、EventSentry は IP アドレスとホスト名を含みます。このケースではホスト名か IP
アドレスに限り有効です。DNS(リザーブ)ルックアップは不足情報をかき集めて実行します。
DNS ルックアップの性質上、この情報の取り扱いは注意して下さい。また、100%正確ではありません。
© <2002 - 2008> ... NETIKUS.NET ltd
118
5.6.5
印刷追跡
印刷追跡は全ての印刷ジョブをセントラルデータベースに記録します。また、この機能の目的はワーク
ステーション及び印刷サーバーのプリント使用量の監視です。収集した情報は Web インターフェースを
通してクエリ化されます。 以下の情報があります。
z
ドキュメントの枚数、特定のプリンターで印刷されたページ枚数
z
ドキュメントがどのプリンターで印刷されたか特定
z
各ユーザーがどのプリンターで何枚印刷したか、情報を蓄積
印刷追跡ではプリントキューへプリント代の割当が出来ます。またプリンター使用量に基づき請求書を
作成できます。全プリンターにデフォルトプリント代を(例;1 ページ/5 円)設定します。または選択したプ
リンターでカスタムプリント代(例;カラープリンター/10 円)を設定します。
必要条件
この機能の動作はイベント情報、アプリケーションイベントログへ書き込み、を傍受して行います。監視
対象ホストのプリントサーバープロパティ内でログスプーラー情報イベントが有効であれば、実行します。
印刷追跡が正確に機能する為には、いくつかの必要用件が合致する必要があります。詳細は
Requirement をご参照下さい。
Windows が記録する印刷アクティビティは、プリントキューが配置されたホストです。
印刷追跡が良好に動作するのは、ネットワーク上でプリンターがサーバー上でシェアされているか、
プリンターがプリントサーバーに専任している場合です。
ワークステーションに直接接続したプリンターからの印刷アクティビティも EventSentry は
追跡できます。それには、プリンターを接続した全コンピュータに EventSentry エージェントを
インストールしなければなりません。
データ収集
EventSentry が収集するのは以下のプロセス情報です。全てのサポート Windows プラットフォームから
収集します。
Field
Description
Date/Time
印刷ジョブを実行した日時
Print Server
プリントキューが配置されたコンピュータ。通常はプリントサーバー
Print Queue
プリンター名称(キュー)
Document
印刷したドキュメントの名称
© <2002 - 2008> ... NETIKUS.NET ltd
119
Document
印刷済みドキュメントの ID。新しいドキュメントが印刷されると、1 つ数が増えます。
ID
Username
印刷ジョブを実行したユーザー名
Pages
印刷したページ数
Size
印刷ジョブの総サイズ
Cost
合計金額、プリントしたページ数と各ページの金額
プライバシー
収集した印刷情報でユーザーアクティビティをある程度追跡できます。 収集した情報が会社ポリシー
や法律に違反、または抵触するか、ご確認して頂く必要がございます。
設定
Tracking All print jobs (with exceptions)
Track all except those listed below を選択して、全印刷ジョブを監視します。
特定ユーザーやドキュメントを除外するには、+ボタンをクリックしてから除外するユーザー名やドキュメ
ントを指定します。
追跡対象から任意のドキュメントを除外するには、ドキュメントフィールド内でドキュメント名を完全に入
力します。 またはドキュメント名の一部を入力します。(*を利用する場合、ワイルドカードサポートが有
効かご確認下さい。例;*manual.doc) 全ユーザーに対してこのドキュメントを除外する場合、*をユー
ザー名に入力します。
監視対象から任意のユーザーを除外するには、ユーザー名(DOMAIN/USER)を完全に入力します。ま
たはユーザー名の一部を入力します。(*を利用する場合、ワイルドカードサポートが有効かご確認下さ
い。例;*User1)このユーザーの全ドキュメントを除外する場合、*をドキュメント名に入力します。
Tracking only selected print job
Only track listed below を選択して +ボタンクリックすると、追跡対象リストにユーザーやドキュメント
が追加されます。(前項をご参照下さい)
© <2002 - 2008> ... NETIKUS.NET ltd
120
Enabling Print Tracking in the OS
Operation System 内でイン沙汰す追跡を有効化する必要がります。プロセス追跡が活性化されていな
い場合、エージェントを設定して自動的に活性化させます。詳細は Requirements をご参照下さい。
Database
ODBC アクションを選択。正しいデータベースを指定します。
追加機能
ODBC アクションで指定したデータベースが一時的に利用できない場合、EventSentry はペンディング
中のプロセス追跡データをキャッシュ化します。データベースサーバー回復後に書き込みます。
5.6.5.1
Requirements
この機能の動作はイベント情報、アプリケーションイベントログへ書き込み、を傍受して行います。監視
対象ホストのプリントサーバープロパティ内でログスプーラー情報イベントが有効であれば、実行しま
す。
以下の必要条件があります。
1.
Log Spooler Information Events は有効化してください。Print Server Properties より Enable
information events in print spooler を選択して、サービス開始すると、EventSentry エージェントは自動
的に印刷追跡を有効化します。
© <2002 - 2008> ... NETIKUS.NET ltd
121
2. ご利用者様自身で print tracking を有効化する場合、以下の作業が必要です。
All Versions of Windows
スタート=>設定に進みます。プリンター(と FAX)アイコンをクリックまたはダブル-クリックします。 ファイ
ル メニューから Server Properties を選択します。 ここで Advanced タブをクリックします。
次に Log information spooler events の隣ボックスにチェックを入れます。 Print Spooler サービスを
再スタートして下さい。
3. アプリケーションイベントログ Log Size を Overwrite events as needed に設定する必要があります。
サイズは最低でも 2048kb で指定する事を推奨します。 イベントログが正確に構成されていないと、ア
プリケーションイベントログへ EventSentry エージェントは起動時におけるエラーメッセージを書き込み
ます。
(Administrative Tools より) Event Viewer を開いて Log size 設定を変更できます。
Application Log を右クリックします。メニューより Properties を選択します。次に Log Size が
Overwrite events as needed へ正確に設定されているか、確認します。更に Maximum log size に十
分な量があるか、確認します。
5.6.6
ファイルアクセス追跡
ファイルアクセス追跡で収集するのは、全ての成功したファイルアクセスアクティビティです。これらは
ディレクトリまたはファイル監査が有効な場合、OS により記録されます。ファイルアクセス追跡がレポー
トするのは:
z
ディレクトリに追記されたファイル
z
ディレクトリから削除されたファイル
z
変更されたファイル
z
その他変更、パーミッションや所有者変更
上記に加えて、ファイルアクセス追跡にはファイル変更関わる以下の情報がございます。
z
アクションを実行したユーザーのユーザー名
z
(オプション)アクションを実行したコンピュータ/IP アドレス
z
アクションを実行したプロセス(ファイルシェアを通さずに実行)
© <2002 - 2008> ... NETIKUS.NET ltd
122
本機能とファイル監視機能の比較は File monitoring vs. File Access Tracking を
ご参照下さい。
ファイルアクセス追跡の動作はイベントの傍受と正規化により行います。イベント 560(Windows2003 ま
たはそれ以前で実行中のコンピュータ)またはイベント 4663(Vista またはそれ以降実行中のコンピュー
タ)を正規化します。更に追加アクションの実行、目的はイベント(ソースコンピュータなど)についての
情報を拡大とファイルアクセスアクションを分類です。
Windows2003 またはそれ以前でファイルアクセス追跡を使用
560 セキュリティイベントには 1 つ問題があります。Windows2003、またはそれ以前で実行するこのイベ
ントはファイルに変更が発生した時だけなく、ファイルに変更を要求した時にも記録(ログ)します。
Microsoft 社は、通称 Windows2003(イベント ID567)のオペレーションイベントを発表しました。
このイベントが試みるのは、この問題をアドレスする為、実際に変更したファイルに限りセキュリティイ
ベントログへ記録します。ですが、Windows2003 で信頼できない何等かのオペレーションイベントが見
つかります。特にネットワークでシェアしたファイルを通してファイルにアクセスした時です。
NETIKUS.NET 社はこの問題について Detail in our event log blog で協議しました。例えば、
Windows2003 やそれ以前の 567 イベントでは、ファイルアクセス追跡機能は使用しません。Vista,
Windows server 2008 またはそれ以降においては使用します。
この制限を補完する為、EventSentry は手動で特定ファイルのアクションを認証します。例えば、チェッ
クサム作成のような、ファイルの追加認証を実行します。ファイルが変更された時、ファイルが確実に削
除された事を認証した時、に行います。この機能は Verify と呼びます。 Verify はオプションで、
Windows server 2003(またはそれ以前)でファイルアクセスを追跡すると活性化します。
Windows Vista、Windows server 2008、それ以降でファイルアクセス追跡を使用
Windows server 2008 でファイルアクセスを追跡する場合(ファイルシェアを通してリモートコンピュータ
からファイルアクセスする場合も含みます)、EventSentry はオペレーションイベントの傍受と正規化を
行います。(先に説明した通り)エージェントで Verify 機能を通して追加処理を行います。
多くの状況では不必要です。
5.6.6.1
前提条件
ファイルアクセス追跡を使用するには、EventSentry で追跡するファイルやフォルダの構成を監査する
必要があります。加えて、オブジェクト追跡は、グループポリシーまたはローカルセキュリティポリシー、
どちらかを活性化する必要があります。
© <2002 - 2008> ... NETIKUS.NET ltd
123
1.オブジェクト追跡の有効化
監査カテゴリーのオブジェクト追跡を有効化する方法について、詳細は 追跡の要件 章をご参照下さ
い。
オブジェクト追跡が有効化されていないと、必要な 560 または 4663 イベントが OS で作成されません。
たとえディレクトリで監査が有効化されていたとしてもです。
2.ファイルとフォルダの監査設定
一度オブジェクトアクセス追跡が有効化すると、EventSentry で追跡するディレクトリ上の監査を設定し
なければなりません。監査を設定するには、Windows エクスプローラー内フォルダプロパティにアクセス
します。次に上級セキュリティプロパティにアクセスします。以下のスクリーンショットをご覧下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
124
以下は監査を有効化する手順です:
1.監査を有効化にしたいフォルダを右クリック。次に PROPERTIES を選択
2. Security タブをクリック
3. Advanced ボタンを選択
4. Auditing タブを選択
5. Edit をクリック
6. Add をクリック
7.選択ダイアログで、監査するユーザーまたはグループを指定。全員を監査する場合、 Everyone を
入力
8. Auditing Entry ダイアログで監査するアクセスタイプを指定します。例; Create files/ write data
9.数回 OK をクリックして、選択内容を再確認します。
監査項目は即時実行します。
5.6.6.2
ファイルアクセス追跡の設定
単一または複数ディレクトリ上に監査が設定されると、以下どちらか選択できます。
© <2002 - 2008> ... NETIKUS.NET ltd
125
単一または複数のディレクトリを EventSentrydえ監視、または単純に全てのファイルアクセス追跡イベ
ントを傍受して正規化します。
イベント分析
ファイルアクセス追跡を設定すると、イベント分析の緻密度を決める必要があります。 Normalize イベ
ント 、Normalize & Verify 、 Normalize, Verify & Filter イベント から選択できます。
Normalize Only
最低限度のリソース集中オプションです。オブジェクト追跡イベントの傍受と正規化、EventSentry デー
タベースへの書き込みです。 このオプションを設定すると、ファイルにアクセスしようとする、いかなる
追加認証も実行しません。このオプションが有効なのは、 Track all file access activity 利用時です。
Normalize Only は、Vista またはそれ以降の OS で実行するコンピュータへの設定を推奨します。これ
らのコンピュータは既にオペレーションイベントを作成しているからです。
Normalize & Verify
このオプションは、上記で記載した通り単純なイベントの正規化に加え、ファイルにアクセスの追加認
証を実行します。このオプションでは更にリソースを必要とします。理由は監視ディレクトリ内の各ファイ
ルに対してチェックサムを作成するからです。同様にファイルにも書き込みます。
Verify は多くのファイル変更を判定しようとします。
ファイルへのアクセスを書き込み。ファイルの SHA チェックサムを使用して認証します。
ファイル削除。存在しないファイルへのチェックサムで認証します。
ファイル追加。存在するファイルへのチェックサムで認証します。
アクションが認証されると、イベントに Verified とフラグが付きます。
Verify オプションが有効なのは、1〜複数ディレクトリを指定した場合に限ります。理由はエージェント
が全ての監視対象ディレクトリを初期化する必要とするからです。
Normalize, verify & Filter
この選択は Normalize & Verify 設定として識別されますが、違いは(例:チェックサムを通して)認証さ
れたファイル変更に限りデータベースに記録されます。アクションが認証されない場合、イベントは廃棄
されます。
© <2002 - 2008> ... NETIKUS.NET ltd
126
このオプションは高セキュリティ環境では推奨できません。 アクションが正確に判定されないと、重要
なイベントが廃棄されるかもしれないからです。
追跡ディレクトリ
全ファイルアクセスのアクティビティ、または、監視対象から特定ディレクトリを指定して追跡できます。
Tracking all access activity
このオプションを選択すると、全オブジェクト追跡トラックがシステム上に作成され、追跡します。 この
オプションを選択すると、 Event Analysis が自動的に Normalize Only に設定されます。
Monitoring one or more directories
1 つ以上のディレクトリをリストに追記します。これに選択されたディレクトリからのファイルアクセスイベ
ントに限り、追跡します。 Normalize イベント 、Normalize & Verify 、 Normalize, Verify & Filter イベン
ト からこのオプションを選択する必要があります。
更に、記録するアクセスマーク(例えば、Write Data、Delate のみ)を設定できます。 またファイルフィル
ターを指定し、特定ファイルのみを含めるか、追跡しないファイルを除外します。
次章 アクセスマークとフィルター をご参照下さい
ソース IP アドレスとコンピュータ名の回復
ログイン ID にファイルアクセス追跡イベントがあり、このイベントが先のログオンセッションにリンク(関
連)する場合、EventSentry は IP アドレスやホスト名を含めます。 この場合、ホスト名または IP アドレ
スのみ有効です。DNS ルックアップは不足情報を集めて実行します。
DNS ルックアップの性質上、この情報の取り扱いには注意してください。また 100%正確ではありませ
ん。
5.6.6.3
アクセスマークとフィルター
追跡するファイルアクセスの種類を指定できます。関連するイベントに限りデータベースに記録すること
を確認します。 粗に、ファイルフィルターを設定して、パターンに一致するファイルを付加/除外できま
す。
© <2002 - 2008> ... NETIKUS.NET ltd
127
アクセスマスク
レギュラー、またはオペレーションイベントを通した、ファイルアクセスアクティビティ記録時、
以下のアクセスマスク間を Windows は識別します。
z
ReadData
z
ReadAttributes
z
ReadEA
z
SetPermissions
z
WriteData
z
WriteAttributes
z
WriteEA
z
AppendData
z
Delete
z
SetOwner
© <2002 - 2008> ... NETIKUS.NET ltd
128
例えば、ユーザーがファイル変更時を追跡する場合、 WriteData と AppendData の両方が選択され
たかご確認下さい。ファイル削除を記録する場合、 Delete にチェックされたかご確認下さい。
Filter
デフォルトフィルター( Include )には全てのファイルがあります。ですが事例ベースによる除外を特定
できます。 例えば下記フィルターを指定して、拡張子 temp のある全てのファイルを除外できます。
*.temp
ご注意下さい。ファイルフィルターが比較するのは、ファイルパスも含めた完全なファイル名です。
5.6.7
アカウント管理追跡
アカウント管理追跡が傍受するのは、ユーザーアカウント、グループやコンピュータアカウントの作成、
変更、削除に関連するイベントです。 コンピュータの種類に従い、この機能は以下の片方に使用され
ます。ローカルアカウントの追跡、またはドメインアカウントの追跡。
User Account Management
User creation & Deletion
ユーザーアカウント作成時、削除時に追跡
User Account Modifications
ユーザーアカウント変更時に追跡、例)パスワード設定時
User Status Changes
ユーザーステータス変更時に追跡、例)ユーザーアカウント有効時、または無効時
Group Management
Group Addition & Deletion
グループ作成時、または削除時に追跡
Group Modifications
グループ変更時に追跡、例)グローバルグループがユニバーサルグループへ変更時
Group Membership Changes
グループのメンバー変更時に追跡、例)グループからメンバーを削除時、または追加時
Security-Enabled Group, Distribution Group
監視対象グループの種類を設定します。
Computer Account Management
ご注意下さい。コンピュータアカウント変更の発生はドメインコントローラー上に限ります。
Computer Account Creation & Deletion
© <2002 - 2008> ... NETIKUS.NET ltd
129
コンピュータアカウントが追加または削除されると追跡
Computer Account Modifications
コンピュータアカウント変更の追跡。例えば、コンピュータアカウントのパスワード変更時
ソース IP アドレスとコンピュータ名の修復
ログイン ID にファイルアクセス追跡イベントがあり、このイベントが先のログオンセッションにリンク(関
連)する場合、EventSentry は IP アドレスやホスト名を含めます。 この場合、ホスト名または IP アドレ
スのみ有効です。DNS ルックアップは不足情報を集めて実行します。
DNS ルックアップの性質上、この情報の取り扱いには注意してください。また 100%正確ではありませ
ん。
5.6.8
ポリシー変更追跡
ポリシー変更追跡はポリシー変更に関わる様々なイベントを傍受します。例えば、ドメインパスワードポ
リシーの変更や、ユーザー権の割当て。
Policy Changes
全ポリシー変更の追跡;
z
ドメインポリシー変更(例;パスワードポリシーの変更)
z
監査ポリシーの変更
z
ケルベロスポリシーの変更
User Right Changes
ユーザーアカウントにユーザー権が割当てられた時、または剥奪時。 例 ページファイル作成 権
Logon Right Changes
ユーザーアカウントにログオン権が授与、または剥奪時に追跡。例 サービスとしてのログオン 権
© <2002 - 2008> ... NETIKUS.NET ltd
130
Trust Relationship Changes
トラスト関係の全変更を追跡。トラスト関係の作成、変更、削除を含みます。
ソース IP アドレスとコンピュータ名の修復
ログイン ID にファイルアクセス追跡イベントがあり、このイベントが先のログオンセッションにリンク(関
連)する場合、EventSentry は IP アドレスやホスト名を含めます。 この場合、ホスト名または IP アドレ
スのみ有効です。DNS ルックアップは不足情報を集めて実行します。
DNS ルックアップの性質上、この情報の取り扱いには注意してください。また 100%正確ではありませ
ん。
5.7
ハートビート監視
ハートビート監視で TCP/IP で通過する、いかなるネットワークデバイスも監視できます。ハートビート監
視自体の実行は EventSentry Heartbeat Monitor サービスを通します。またネットワーク上の1コンピュ
ータに通常インストールします。
1.
ハートビート監視のインストール
ハートビート監視エージェントは以下 2 つの方法でインストールできます。EventSentry セットアップ
( Modify オプションを通して追加できます。)または Service Control セクションの Heartbeat Agent
Control 内の Install ボタンをクリック
2.
監視対象コンピュータの選択とグループタイプの設定
監視対象コンピュータを適切なハートビート有効化したグループにインポート、または追加します。
3.
グローバルハートビート設定オプションの設定
© <2002 - 2008> ... NETIKUS.NET ltd
131
特定のコンフィグレーションオプション(例えば、ポーリング間隔)はグローバル設定にします。これによ
り全てのコンピュータに適応します。他のオプションはプレ-グループ単位、またはプレ-ホスト単位で設
定できます。
4.
グループオプションの設定
この章ではグループに対する初期監視コンフィグレーションの設定方法について説明します。
5.
各ホストに基づく、ハートビートオプションのカスタム化
この章ではプレ-ホスト単位でグループ設定を上書きする方法を説明します。
6.
メンテナンススケジュールの設定(停電スケジュール)
特定の日時にマシンダウンのスケジュールがある場合、メンテナンススケジュールを設定できます。
メンテナンス期間は通知を受けることはありません。
7.
ハートビートステータスの閲覧と履歴。 EventSentry マネージメントコンソールまたはウェブレポー
ハートビート監視は既存 EventSentry データベース設定に統合されています。ですが、データベース設
定無しで、監視対象ホストのステータスや履歴を確認できます。
5.7.1
コンピュータ追加
グループタイプの選択
既存、または新グループにコンピュータを追加する前に適切なグループ機能を選択します。 グループ
機能の決定は、グループ内のコンピュータがハートビートモニタで監視を受けるか否か、です。 グルー
プ機能の設定及び変更可能です。 Group Features セクション内のチェックボックスで切り替えます。
以下のグループ機能がございます。
Manage remove EventSentry agents
リモート更新機能を通して、グループ内のコンピュータの管理が有効化します。 これにより、グループ
内の全コンピュータ上の EventSentry エージェントをインストール、アンインストール、更新できます。
© <2002 - 2008> ... NETIKUS.NET ltd
132
このグループ内のホストが Windows で実行していない場合、このボックスをチェックしないで下さい。
コストを掛けずに上記のホストに対してハートビート限定ライセンスをご利用いただけます。
Monitor Heartbeat(ping, TCP status)
このボックスをチェックすると、EventSentry ハートビートエージェントはグループ内の全コンピュータ/デ
バイスを監視します。ご注意下さい。サイショのチェックボックスにチェックを入れた場合のみ、 Monitor
EventSentry agents のオプションがご利用頂けます。
注意:2 つのチェックボックスの内、最低 1 つチェック入れて下さい。
コンピュータの追加またはインポート
コンピュータを主導で追加するには 2 つの方法があります。 特定グループのコンピュータコンテナを右
クリック。 または、ネットワークかアクティブディレクトリからコンピュータをインポートできます。
コンピュータのインポートについての詳細は Remote Update => Importing をご参照下さい。
コンピュータの削除
ハートビートエージェントがホストステータス情報をデータベースに書き込む設定した場合、ハートビー
トエージェントを再起動する必要があります。再起動は Service Control コンテナーを通します。単一
〜複数のコンピュータを削除してから行います。 サービスを再起動しない場合、ハートビートステータ
スページ上で(削除した)コンピュータが表示されます。
注意:グループをアクティブディレクトリへリンクする場合、必ず一度 Get Service Status をクリックして
下さい。(コンピュータコンテナを右クリックして下さい) これにより、アクティブディレクトリからのコンピ
ュータがキャッシュ化します。 このステップを省略すると、ハートビートサービスこのグループを監視で
きなくなります。アクティブディレクトリ内のコンピュータリストを変更する度 Get Service Status を選択
する必要があります。ハートビートエージェントの次のリリースにおいて、この制限の問題解決に当たり
ます。
5.7.2
ゼネラルオプション設定
グローバルハートビートオプション
グローバルハートビートオプションの設定は、 Global Options コンテナーをクリックします。次に
Heartbeat タブを選択します。監視(ポーリング)間隔の設定、イベントログへのイベント書き込みの選
択、ベータベースへのハートビート情報の書き込み選択を行います。
以下の全ての設定は全グループ内、全てのコンピュータに適応します。また、プレ-グループやプレ-ホ
スト単位では変更できません。
© <2002 - 2008> ... NETIKUS.NET ltd
133
General
Monitoring Interval:
インターバルで監視対象コンピュータにポーリングする頻度を秒単位で決定します。
Event Log Logging
Logging Status changes:
イベントログにステータス変更をオプショナルで書き込みます。これにより特定コンピュータやサービス
が使用不可になると、通知されます。 Positive Status Change が適応されるのは、コンピュータやサー
ビスが前回接続できず、今回再び接続可能になった時です。Negative Status change はコンピュータや
サービスが前回接続できたのに、今回接続できない場合です。 このような場合に推奨するのは
Negative Status change を Warning 以上で記録する事です。
When host is down, notify every:
デフォルトでは、ハートビートサービスの通知は、ホスト自身がステータスを変更した時だけです。
これによりイベントが作成されるのは、オンラインからオフライン、またはその逆方向へホストや TCP ポ
ートが送信した時です。このボックスをチェックすると、ホストやサービス、リモートエージェントダウン時
に、アラート作成し続けるよう設定できます。ここで期間を選択することで、上記の継続アラート作成の
頻度を決定します。
Notify if EventSentry service is unavailable:
ハートビートサービスが信頼するのは、EventSentry サービス上で実行するあらゆる緊急通知です。
© <2002 - 2008> ... NETIKUS.NET ltd
134
例えば e-mail やページ通知など。 理由はハートビートサービスが全アラートのステータスをイベントロ
グに記録するからです。(例:ホスト接続失敗時) 例えば、ハートビートアラートを使用したい場合、こ
のオプションをチェックして下さい。これにより、EventSentry サービスが実行していない時、ハートビー
トサービスが e-mail を通して通知します。 ウェブリポートでハートビート情報を限定的に利用する場合、
このオプションを無視できます。
Log to ODBC Action
全てのステータス情報は EventSentry インストレーションディレクトリのハートビートサブディレクトリ内の
ローカル HTML ファイルに書き込まれます。 これらのファイルはマネージメントアプリケーション内で閲
覧可能です。ハートビート有効グループ内の Computer コンテナーをクリックします。
イベントログレコードを集中化してデータベースを使用している場合、ハートビートステータスと履歴情
報をこのデータベースへの書き込みを推奨します。これにより、追加レポート機能がご利用頂けます。
HTML ページ無いで無効だとしても。
データベースへの書き込みはチェックボックス Record to database をチェック,ドロップダウンリストから
アクションを選択します。
5.7.3
ハートビートグループオプションの設定
コンピュータ追加後、グループ機能の選択とハートビートオプションの設定を行います。 ここで特定グ
ループ内のコンピュータをどのように監視するか、定義付けを開始します。また、グループ内の大部分
のコンピュータは独自のサービスで実行しています。とはいえ個々のコンピュータや各ホストに別個オ
プションを設定するよりは、グループレベルでほぼ常時同じオプション、例えば ping 等、設定します。
グループにハートビートオプションを設定するには、設定したいグループの Heartbeat Option コンテナ
ーをクリックするだけです。 次に以下で表示したダイアログをご確認いただけます。
© <2002 - 2008> ... NETIKUS.NET ltd
135
上図内のグループは Manage remote EventSentry agents にチェックが入っていない為、
監視エージェントのオプションは無効です。
このダイアログの全ての設定はグループ内の全コンピュータ初期デフォルトとして働きます。特定コン
ピュータを個別に設定すると、これらの設定はそのコンピュータには適応されません。
上級オプション
Only check agent status or TCP ports upon successful ping:
この機能が有効で監視ホストが Ping で到達できない場合、ハートビートエージェントはエージェントステ
ータスや TCP/IP ステータスチェックを行いません。このホストがダウンしていると見做すからです。
このホストのエージェントや TCP/IP ステータスは UNKNOWN に変わります。
Require X attempts before error:
イベントログにエラーを書き込む前に、監視機能(Ping やエージェント、TCP ポート)が X 回ダウンするよ
うに要求します。以下ご注意下さい。この設定で、データベースの変更は影響ありません。
ステータス変更は常にデータベースへ即座に報告されます。
© <2002 - 2008> ... NETIKUS.NET ltd
136
Repeat Failed Hosts(2nd Attempt):
全ホストチェック後、1 台以上のサービスが失敗したと判断されると、失敗したサービスがリトライします。
2 回目のスキャンが成功すると、(データベースでさえ)エラーは記録されません。
ピングオプション
Packet Count: 送信パケット数。デフォルトは 4
Packet Size: 送信パケットペイロードサイズ。デフォルトは 32 バイト
Required Success Rate: PING が成功したと判断のに必要なパケット送信成功率。
Maximum Roundtrip Time: ステータスをエラーと判断するのに必要な、平均ラウンドトリップ最少値
Log to Database: このボックスをチェックすると、データベースに送信する ICMP パケットのラウンドとリ
ップ回数記録します。このデータは Ping Tracking ウェブレポートを通して閲覧可能です。
エージェントオプション
このボックスをチェックして、リモートコンピュータの EventSentry エージェントを監視します。現行サービ
スの状況は 実行中 を除き、エージェントステータスはエラーになります。
Important information regarding authentication
ハートビート監視サービスに従い、リモートコンピュータ上の EventSentry エージェントステータスの
監視には、十分な権限が必要です。 デフォルトでは EventSentry ハートビート監視サービスは Local
System アカウントの元で実行します。Windows サーバー2003 から開始した- Local System アカウント
はリモートコンピュータからののアクセスに制限があります。例えば、ハートビート監視で EventSentry
エージェントステータスの監視を意図し、フォルダやコンピュータに認証を設定します。
EventSentry ハートビート監視サービスが既に設定された認定とクレデンシャルと同じアカウント元で実
行されているか、ご確認下さい。
簡単に言うと、ユーザー名 JoeAdmin で EventSentry がインストールされたサーバーにログしたとします。
また 1 つ以上のグループの管理コンソール上に認証を設定します。EventSentry ハートビート監視もま
た JoeAdmin ユーザーアカウントの元で実行しているか、ご確認下さい。ハートビートサービスがご利用
できるのは、この認証情報に限ります。
TCP オプション
1 つ以上の TCP ポートが開いているか確認します。Edit…ボタンをクリックしてリスト管理します。
© <2002 - 2008> ... NETIKUS.NET ltd
137
1 つ以上のポートを監視するには、左側のリストから=>矢印ボタンをクリックして、ポートを選択します。
(複数のポートを選択はキーボード上の CTRL ボタンを押しながら行います)ポートを削除するには、<=
ボタンをクリックします。左のリスト内にポートが記載されていなければ、左下の編集フィールドに手動
で入力します。
5.7.4
ハートビートオプションのカスタマイズ
グローバルはーt-ビートオプション設定後、必要に応じてコンピュータ単位でカスタマイズ出来ます。
例えば、全コンピュータを Ping にするが、1 台のコンピュータに限り TCP ポート 25 の SMTP サービスを
実行。
コンピュータ設定のカスタマイズは、コンピュータコンテナを右クリックして、 Customize Computers を
選択します。下図と似たような、ダイアログがご確認頂けます。
© <2002 - 2008> ... NETIKUS.NET ltd
138
このスクリーンショットでは、3 台のコンピュータがあります。そのうち 2 台は個別設定されています。
Options 欄で表示された文字は略称です。Ping[P], Agent[A], TCP[T] Options 欄に特定機能を示す、こ
れらの文字が表示されていると、それぞれのサービスが監視されている事を表します。Prot 欄は監視
池沼のすべての TCP ポートです。
コンピュータに対するカスタム設定は、リスト内のコンピュータをダブルクリックするだけです。 または
コンテキストメニューから Edit Settings… を選択します。下図のようなダイアログが表れます。
OK ボタンを押すと、ダイアログ内で指定した設定でコンピュータは監視されます。現時点では、特定オ
プションに限り上書きできません。 例えば TCP オプションの上書き。
© <2002 - 2008> ... NETIKUS.NET ltd
139
コンフィグレーション保存後でも、次のハートビート監視インターバルにならないと、ハートビートス
テータスページで変更が反映されたか、確認することはできません。
再びデフォルトグループ設定をコンピュータに二期注ぐには、 Use Default ボタンをクリックします。
これによりダイアログが消え、コンピュータはグループ設定に戻ります。
5.7.5
ホストをルーターとして設定
ルーターの後ろに控えているサーバー等、その他ネットワークデバイスに加えてルーターを監視する場
合、不必要なハートビートアラートを無効にします。 監視対象コンピュータに assigning フラグを立てま
す。
現行では、各グループに対して 1 つのルーターが割り当てられます。全監視ホストに対してホストルー
タは作成できません。
1つのグループ内に 1 ルーターをホストとして配置すると、イベントログに書き込まれたアラートはグル
ープ内の全ホストを抑制します。ルーターとして配置されたホストは除きます。
データベースに書かれた情報はこの設定には影響しません。 またハートビートステータスや履歴ペー
ジは実際のネットワークステータスを表示します。
以下のテーブルで表示します。ルーターが無効になると作成されるアラートの種類です。
Computer
Router
Network Status
Event Log
ROUTER
Yes
Host Down
HOST1
No
HOST2
No
5.7.6
Heartbeat Heartbeat
Status
History
Yes
Yes
Yes
Unknown
No
Yes
Yes
Unknown
No
Yes
Yes
メンテナンススケジュールの設定
ハートビートエージェントで監視しているサーバーやデバイスの不稼動期間をスケジュール化する時、
メンテナンススケジュールが役に立ちます。例えば不稼動期間の間は e-mail やポケベルでアラートの
受信をしたくない場合です。EventSentry は 2 種類のメンテナンススケジュールをサポートします。
固定スケジュール:開始日時と終了日時を指定。デバイスはスケジュール通りにオフラインします。
循環スケジュール:曜日(例:土曜日)または日付(例:毎月 4 日)で指定。デバイスのオフラインをスケ
ジュール化
メンテナンススケジュールを適応できるのは
z
個別コンピュータ
z
ハートビート有効化グループ
© <2002 - 2008> ... NETIKUS.NET ltd
140
メンテナンススケジュールが有効なのは、アプリケーションイベントログに書き込むアラートに
限ります。 メンテナンススケジュールの間にステータス変更が発生したしたとしても、ステータス変更
はハートビート履歴に追記されます。
Heartbeat Maintenance Schedules ダイアログの閲覧
グループまたはコンピュータコンテナを右クリック、 Maintenance Schedule(s)… を選択します。
グループまたはコンピュータのハートビートオプションダイアログの Maintenance ボタンをクリック
メンテナンススケジュールの追加
Heartbeat Maintenance Schedules ダイアログでメンテナンススケジュールの閲覧、追加、削除ができ
ます。 ダイアログのスクリーンショットを下に表示します。
© <2002 - 2008> ... NETIKUS.NET ltd
141
レギュラースケジュールを追加するには、開始時間と終了時間を指定して Add ボタンをクリックします。
循環スケジュールを追加するには、1 つ以上曜日を指定するか、1 日以上月内で日付を指定して下さ
い。
丸一日行う場合は、開始時間を 12:00:00AM で設定し、次に終了時間を 11:59:00PM にします。
以下のスクリーンショットをご参照下さい。
メンテナンススケジュールの削除
既存メンテナンススケジュールを削除するには、アクティブメンテナンススケジュールリストから選択、
Delete ボタンをクリックします。
© <2002 - 2008> ... NETIKUS.NET ltd
142
5.7.7
ハートビートステータスと履歴の閲覧
ハートビート監視はローカル HTML ステータスを記載します。また設定済みであれば、現時点のハート
ビートステータスをデータベースに書き込みます。
ローカル HTML ファイルの閲覧
実行中、ハートビートエージェントは HTML ステータスを作成します。また EventSentry インストレーショ
ンの Heartbeat サブディレクトリ内に履歴ファイルも作成します。これらのファイルを閲覧するには、ステ
ータスを確認したいグループのコンピュータコンテナを左クリックします。 EventSentry は右ペーンにグ
ループの HTML ステータスファイルを表示します。この機能を動作させる為には、Internet Explorer 4.0
以上がインストールされているか、ご確認下さい。
あるいは、EventSentry インストレーションの Heartbeat サブディレクトリを開き、ブラウザ内で手動によ
り heartbeat̲groupname̲status.htm ファイルを閲覧をします。
Web レポートを通してハートビートステータスを閲覧
ODBC データベースにステータス情報を書き込み にハートビート監視を設定すると、EventSentry は
右ペーンの Web レポートにハートビートステータスページを表示します。この機能を動作させる為にも、
Web レポート設定へのパス取得が必要になります。
コンピュータのハートビート履歴を閲覧
現在のステータスを閲覧すると、全てのコンピュータの完全な履歴も追加で確認できます。特定のコン
ピュータの履歴を閲覧するには、コンピュータ名をクリックします。コンピュータ名はハートビートステー
タスページにあります。これで履歴ページに進みます。 他の方法として、履歴ページに直接アクセスで
きます。http://<path̲to̲web̲report/eventsentry̲heartbeat̲history.aso>で進みます。
現行ではメニューから直接履歴ページへアクセスできません。
ハートビート不稼動時間ステータスの閲覧
監視ホスト間で不稼動時間情報の閲覧と比較ができます。これにより全監視ホストの不稼動率を測定
します。不稼動時間を計算する為、ホストのピングステータス監視は必須です。
ハートビート応答時間の閲覧
ピング応答時間の履歴を閲覧できます。グループまたは監視対象ホストのチェックボックス Log to
Database チェックします。時間経過と共に応答時間を確認できます。また追加として現時点でのホスト
応答時間を確認できます。
ハートビートステータスページとハートビート履歴ページは毎分自動的に更新されます。
© <2002 - 2008> ... NETIKUS.NET ltd
143
5.7.8
イベントログ
本機能で以下のイベントログを記録します。
Event
ID
イベント表記
例:
ホスト www.competion.com(BigBrother)
Host%1(%2)changed its PING status
11000 from %3to%4. The reason for the
status change was "%5"
PING ステータスを OK から ERROR に変
更しました。
ステータス変更の理由は 100% パケットの
消失 です。
Host%1(%2)changed its AGENT status
11001 from %3to%4. The reason for the
status change was "%5"
ホスト DC1(DomainControllers)は AGENT
ステータスを OK から ERROR に変更しまし
た。ステータス変更の理由は Agent 停止
ホスト www.yourdomain.com(DMZ) TCP ス
Host%1(%2)changed its TCP status
11002 from %3to%4. The reason for the
status change was "%5"
テータスを OK から ERROR に変更しまし
た。
ステータス変更の理由は TCP コネクション
設立不能(10060)(TCP ポート 25) です。
The EventSentry Heeartbeat monitor
11005 is ready and will now start monitoring
the configured hosts
EventSentry の Heartbeat 監視は準備でき
ました。設定済ホストの監視を開始します。
The EventSentry Heartbeat agent was
EventSentry ハートビートエージェントは C:
unable to find the required HTML
\ProgramFile\Heartbeat で要求された
template files in %1/Heartbeat. Please
HTML テンプレートファイルを発見できませ
make sure that the following files exist
んでした。
in %1/Heartbeat:
C:\ProgramFile\Heartbeat に以下のファ
イルが存在するか、ご確認下さい。
11006
template̲status̲start.html
template̲history̲start.html
template̲status̲start.html
template̲end.html
template̲history̲start.html
image subdirectory
template̲end.html
image subdirectory
these files are optional if you are
already logging heartbeat information
既にログイン済みであれば、上記のファイ
to database
ルは追加装備されます。
© <2002 - 2008> ... NETIKUS.NET ltd
144
EventSentry ハートビートエージェントは要
The EventSentry Heartbeat agent was
求された HTML テンプレートファイルを発見
unable to find the required HTML
できませんでした。
template files and is not configured to またデータベースにハートビートステータス
11007 log heartbeat status information to a
情報を記録するための設定ができません
database. The heartbeat agent will
でした。
only notify you of host status changes
ハートビートエージェントははイベントログ
through the event log.
を通してホストのステータス変更を通知し
ます。
The ODBC action specified for the
heartbeat monitoring service is invalid
ODBC アクションはハートビート監視サービ
and database logging has been
スが壊れていると、特定しました。
11008 disabled.
またデータベースログインも無効です。 ハ
Please review the configuration and
ートビート監視サービスの設定見直しの
restart the heartbeat monitoring
上、再起動して下さい。
service.
11050
11051
The PING status of host %1(%2)
remains at %4 due to error"%5"
The AGENT status of host %1(%2)
remains at %4 due to error"%5"
ホスト mail.somedomain.com の PING ス
テータスは ERROR のままです。
理由は 100% パケットの消失
ホスト DC1(DomainControllers)の AGENT
ステータスは ERROR のままです。理由は
Agent 停止
ホスト www.yourdomain.com(DMZ) の TCP
11052
The TCP status of host %1(%2)
ステータスは ERROR のままです。
remains at %4 due to error"%5"
理由は TCP コネクション設立不能
(10060)(TCP ポート 25) です。
5.8
環境監視
EventSentry は温度、湿度、振動、煙、水、を監視できます。シリアルポートに接続した外部センサーを
通して監視します。ハードウェアセンサーは別売りされます。弊社までお問い合わせ下さい。
以下の機能はマネージメントアプリケーションの Environment Container を通して、設定と利用が出来ま
す。環境監視機能で作成された全アラートは アプリケーションイベントログ をご参照下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
145
USB コネクタは電力を供給します。温度/湿度/他、はシリアルポートを利用して測定します。
センサーを使用するためにも、USB とシリアルコネクタ両方を使用して下さい。
必要条件
振動、煙、水センサーには RJ-45 コネクタがあります。その為、最低 1 以上 RJ-45 アダプタが必要です。
1-ポート、2-ポート、4-ポートシリアルアダプタをお勧めします。(4-ポートは)1つのシリアルポートで 4
つまで独自センサーを接続できます。(この場合、一台のコンピュータ対して、一度に同じタイプのセン
サーを接続できません)
温度監視
z
温度が設定範囲外のときにアラート送信
z
データベースに温度を記録。Web レポートでグラフィカルチャート確認できます。
z
摂氏/華氏をサポート
温度+湿度監視
z
湿度が設定範囲外のときにアラート送信
z
データベースに湿度を記録。Web レポートでグラフィカルチャート確認できます。
振動センサー
z
振動を探知するとアラート送信
z
振動アクティビティをデータベースに記録
z
シリアルアダプタ必須
煙センサー
煙センサーはシリアルポートに接続します。煙を探知するとアラート送信します。煙センサーはシリアル
アダプタが必須です。
水センサー
水センサーはシリアルポートに接続します。水を探知するとアラート送信します。水センサーはシリアル
アダプタが必須です。
5.8.1
温度/湿度
温度と湿度監視の設定は Environment コンテナーをクリックして行います。コンテナーはルートコンピ
ューターコンテナーの真下にあります。
© <2002 - 2008> ... NETIKUS.NET ltd
146
General Setting
センサーを接続するシリアルポートを設定します。また温度範囲を設定します。ご購入頂いたセンサー
の種類により、温度、湿度または両方を監視できます。
温度センサーまたは湿度センサーを接続した場合、どちらのセンサーを接続するか、シリアルアダプタ
の個々のポジションを選択してください。アダプタが 1 センサーのみサポートする場合、常にポジション
は1、実際のアダプタを指し示します。
温度&湿度センサーを接続する場合、両方のポジションフィールドは曖昧になります。センサーは常時
ポジション1と2を内部で使用するからです。
Current Measurements
センサーをローカルマシンに接続した場合、これら 2 つのバーは最新の温度/湿度を示します。エージ
ェントからのレポートを読み込みます。
© <2002 - 2008> ... NETIKUS.NET ltd
147
Limits
温度と湿度アラートはイベントログにエラーイベントとして書き込まれます。これは設定範囲外に値を計
測する度に行います。計測した値が設定範囲内に戻ると、イベントログに情報イベントを記録します。
これにより、アラートは消去します。
Enable Temperature Alart:
このボックスをチェックすると、温度が設定した範囲外になるととアラートが発生します。温度アラートは
好きな温度範囲で設定できます。例えば華氏 60-70 度。設定した範囲外を計測するとすぐにアラートを
受けます。
最低温度がいらない場合、0で設定できます。範囲の一番下です。
Enable Humidity Alart:
このボックスをチェックすると、湿度が設定した範囲外になるととアラートが発生します。湿度アラートは
好きな湿度範囲で設定できます。例えば湿度 10-60%。設定した範囲外を計測するとすぐにアラートを
受けます。
最低湿度がいらない場合、0で設定できます。範囲の一番下です。
Notify me most every XX:
温度/湿度が設定範囲外になった場合のイベントログへの書き込み頻度を設定します。
Database
閾値を超過すると、追加で通知されます。 現時点での温度と湿度をデータベース記録します。これに
より現時点の動向と履歴を確認できます。
履歴を書き込む場所として ODBC アクションを選択します。また現在のデータをデータベースに書き込
む頻度も選択します。
Location
社内で複数の温度/湿度センサーを使用する場合、ロケーションを指定します。ロケーションはイベント
ログに記録するアラートも含みます。これは Web レポートには表示されません。
5.8.2
振動監視
振動監視は Environment コンテナーをクリックして設定します。コンテナーはルートコンピューターコン
テナーの真下にあります。
© <2002 - 2008> ... NETIKUS.NET ltd
148
Connection Setting
シリアルアダプタを接続するシリアルポートを選択します。センサーを接続するポジション(1-4)を指示
します。 アダプタが 1 センサーのみサポートする場合、常にポジションは1、実際のアダプタを指し示し
ます。
Alart Setting
継続して振動を検知した場合、どのくらいの頻度でアラートを作成するか選択します。
Database
振動情報を書き込む場所として ODBC アクションを選択します。また振動を継続して検知する時に、デ
ータベースに書き込む頻度も選択します。
Location
© <2002 - 2008> ... NETIKUS.NET ltd
149
社内で複数の振動センサーを使用する場合、ロケーションを指定します。ロケーションはイベントログに
記録するアラートも含みます。これは Web レポートには表示されません。
5.8.3
煙/水
煙と水監視は Environment コンテナーをクリックして設定します。コンテナーはルートコンピューターコ
ンテナーの真下にあります
Connection Setting
シリアルアダプタを接続するシリアルポートを選択します。センサーを接続するポジション(1-4)を指示
します。 アダプタが 1 センサーのみサポートする場合、常にポジションは1、実際のアダプタを指し示し
ます。
General Setting
継続的に水や煙を検知した場合、どのくらいの頻度でアラートを作成するか選択。
Location
社内で複数の煙/水センサーを使用する場合、ロケーションを指定します。ロケーションはイベントログ
に記録するアラートも含みます。これは Web レポートには表示されません。
5.8.4
イベントログ
以下のイベントログレコードは環境監視機能により記録されます。
Event ID Severity
10903 Error
10904 Error
イベント表記
No environment monitor
found
例:
シリアルポート COM1 条で温度または湿度
センサーが見つかりませんでした。 デバイ
スが正確に接続しているか、ご確認下さい。
database interval too
環境監視に対するデータベースの書込みイ
small
ンターバルの設定が少な過ぎます。インター
© <2002 - 2008> ... NETIKUS.NET ltd
150
バルは自動的に 900 秒で調整されます。
The temperature has
10908 Error
fallen outside the
configured range
The humidity has fallen
10909 Error
outside the configured
range
the temperature is back
10910 Error
inside the configured
range
The humidity is back
10911 Information inside the configured
range
10912 Error
Motion detected
10913 Error
Smoke detected
10914 Error
Water detected
現時点の温度は設定範囲(60F〜76F)外で
す。 現在の温度は 83.58F です。
現時点の湿度は設定範囲(10%〜60%)外で
す。 現在の湿度は 9%です。
現時点の温度は設定範囲(60F〜76F)内に
戻りました。 現在の温度は 74.57F です。
現時点の湿度は設定範囲(10%〜60%)内に
戻りました。 現在の湿度は 12%です。
振動センサー(サーバー室 ABC)は振動を感
知しました。
煙センサー(サーバー室 ABC)は煙を感知し
ました。
水センサー(サーバー室 ABC)は水を感知し
ました。
煙センサーはセルフ検査により検知不可に
なりました。 検査は 24 時間実行します。
10915 Error
Smoke sensor failed self
test
少なくとも 30 秒、煙センサーの TEST ボタン
を押してください。
センサーが正確に動作しているか、
EventSentry によりアラートが作成している
か、ご確認下さい。
接続された水センサーがエラーを報告、また
10916 Error
Sensor error
はセンサーが接続されていません。 この機
能は終了します。
© <2002 - 2008> ... NETIKUS.NET ltd
151
5.9
Syslog Daemon
EventSentry は Unix/Linux シスログサーバーを列挙します。このサーバーはリモートのシスログ対応デ
バイスやホストからのシスログメッセージが受信可能です。 Syslog Daemon は UDP 接続と TCP 接続
をサポートします。更に、受信したシスログメッセージをアプリケーションイベントログに記録するか、デ
ータベースに保存できます。
Syslog Daemon を活性化するには、 Syslog Daemon タブにあるチェックボックス Enable Syslog UDP
か Enable Syslog TCP をクリックします。次に database か event log 機能どちらかを設定します。
Syslog Daemons
リモートのシスログ対応デバイスからの UDP 接続や TCP 接続を受信するよう、Syslog Daemon を設定
します。どちらかのプロトコルを活性化するには、適切なチェックボックスをチェックします。 シスログプ
ロトコルに対するデフォルトポートは 514 ですが、ポート番号変更で、UDP 接続や TCP 接続両方のポー
トに変更可能です。
Threshold Setting
Syslog Daemon で処理されたシスログメッセージ数を制限するには、 maximum number of message を
変更し、適切な Time Period にします。ここで指定したカウント数を超過したら、Syslog Daemon は受信
パケットを減らします。
© <2002 - 2008> ... NETIKUS.NET ltd
152
Authorized IP Address/Networks
セキュリティを強化するには、どのホストから Syslog Daemon がパケットを受信するか、指定しなけれ
ばなりません。ご注意下さい。ホスト名はこのリストでは無効です。IP アドレスに限り、指定できます。
IP アドレスを入力します。その際サブネットビットを付けても、付けなくても構いません。例えば、IP アド
レス 184.23.22.11 と 184.23.22.43 に 2 台のサーバーだけを追加したい場合、この 2 つの IP アドレスをリ
ストに追加します。
サブネット全体を有効にするには、例えば IP アドレス 184.23.22.1-184.23.22.254,
184.23.22.0/24 を追記します。 184.23.22.128-184.23.22.254 の範囲で有効化したい場合、
184.23.22.128/25 と指定します。
サブネットマスクの判断が難しい場合、以下を推奨します。Wild packets IP Calculator(フリー)のダ
ウンロード、または TCP/IP についての書籍を購入して下さい。
Compatibility
EventSentry Syslog daemon が十分に動作するのは、各種 Unix Syslog daemon(あらゆる Linux, Solaris,
OSX,…)や Syslog プロトコル(例;シスコルーターやスイッチ)がサポートするネットワークデバイスです。
また以下のオペレーションシステムにおいても検証が成功しました。
z
LinuxⒸ(RedHatⒸ、SUSEⒸ、UbuntuⒸ)
z
BSD(OpenBSD)
z
SunⒸ Solaris 8
z
AppleⒸ OSX 10.3
z
各種 Cisco デバイス
(上記のオペレーションシステムに限り Syslog Daemon が動作する、という意味ではありません。上記
OS で弊社の Syslog Daemon の検証が成功しました。)
5.9.1
Syslog からデータベースへ
シスログパケットをデータベースに記録するには、 Syslog to Database タブをクリックします。
次に Add ボタンをクリックして、データベースリストから 1 つ以上のデータベースを追加します。
デフォルトでは、エージェントは全てのシスログパケットをデータベースに記録します。
© <2002 - 2008> ... NETIKUS.NET ltd
153
Setting
デフォルトでは、受信したシスログメッセージは指定されたデータベースへ送信されます。 この動作を
変更するには、2 つの方法があります。特定メッセージを除外してデータベースに記載。 もう一つは特
定のシスログメッセージに限りデータベースへ送信します。 +アイコンをクリックして、除外する、または
組み込むシスログメッセージの文字列を追加します。
Include: Log all Syslog messages to the database, except for exclusions below
デフォルト設定。全てのシスログメッセージはデータベースへ送信されます。シスログメッセージに存在
する文字列の内、下段でリストアップされた文字列はデータベースへ送信されません。
不必要なシスログメッセージを除外して、データベース容量を節約できます。
Exclude: Only log Syslog messages to the database that are included below
この設定は更に厳格です。限られたシスログメッセージのみデータベースへ送信します。送信メッセー
ジは下段でリストアップします。フィルターに合致したメッセージに限りデータベースへ送信します。
グローバルオプション(デフォルト)でワイルドカードサポートを有効化した場合、
文頭と語尾に*を忘れずに付けて下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
154
5.9.2
Syslog からイベントログへ
イベントログへシスログパケットを記録するには、 Syslog to Eventlog タブをクリックします。
チェックボックス Log to the APPLICATION Event Log をチェックします。また、セベリティ配置の設定
ができます。シスログプロトコルの定義を8から3セベリティへ置き換えます。
EventSentry はイベント ID9999 とソース EventSentry、カテゴリーSyslog でアプリケーションイベントログ
へ全メッセージを記録します。
Severity Mapping
EventSentry が Windows イベントログへシスログメッセージを記録する為には、Windows イベントログの
エラーレベルに対応するシスログのエラーレベルを指定する必要があります。
Unix シスログは 8 個のセベリティレベルを設定しています。
z
Emergency
z
Alert
z
Critical
z
Error
z
Warning
z
Notice
z
Info
z
Debug
© <2002 - 2008> ... NETIKUS.NET ltd
155
Windows のイベントログは 3 個のセベリティのみ設定しています。(Success は Information と基本的に
イコールになる、とは記載されていません)
z
Error
z
Warning
z
Information
z
Ignore()
特例のエラーレベル(例:debug)を Windows イベントログへの書き込みを禁止する場合、
対応 Windows カラムに指定します。これにより指定されたエラーレベルからの全パケットは脱落しま
す。
イベントログに記録されることもありません。
Settings
デフォルトでは、受信したシスログメッセージはイベントログへ送信されません。+アイコンをクリックして、
イベントログアラートの引き金になる文字列を記入します。
Include: Log all Syslog messages to the database, except for exclusions below
この設定により、全てのシスログメッセージはデータベースへ送信されます。シスログメッセージに存在
する文字列の内、下段でリストアップされた文字列はデータベースへ送信されません。
アプリケーションイベントログに敏速に記入する方法として、この設定は推奨できかねます。
Exclude: Only log Syslog messages to the database that are included below
デフォルト設定。限られたシスログメッセージのみデータベースへ送信します。送信メッセージは下段で
リストアップします。フィルターに合致したメッセージに限りデータベースへ送信します。
グローバルオプション(デフォルト)でワイルドカードサポートを有効化した場合、
文頭と語尾に*を忘れずに付けて下さい。
5.9.3
Unix/Linux コンフィグレーション
Unix/Linux ホストが EventSentry へシスログメッセージを送信可能にする為には、送信できるように設
定しなければなりません。 多くの Unix フレーバーの主要コンフィグレーションファイルは Syslog.conf で
す。通常/etc.ディレクトリで見つかります。
このファイル対応するシンタクスは Unix バージョンごとに微妙に違います。その為、EventSentry は
RedHatⒸリナックスコンフィグレーションのみカバーします。
© <2002 - 2008> ... NETIKUS.NET ltd
156
1.
Unix/Linux ボックスで EventSentry 実行中のホストが Ping しているか、ご確認下さい。Ping されて
いない場合、/etc/host ファイルを更新するか、サービスプロバイダに変更に必要な名称をご確認
下さい。
2.
ファイル/etc/Syslog.conf を変更。以下の行を追記してください。
*.debug
@yourhostname
正確なタブナンバーでこの行をフォーマットして下さい。
*debug は単なる見本です。これにより Linux ボックスから各シングルメッセージが送信されます。これを
減少させるには、*.notice.のような高レベルを選択します。指定レベル並びにそれ以上のレベルからの
全てのメッセージを Syslog daemon は送信します。低いレベルからは送信されません。当然ファシリティ
(Kern や Mail 等)を指定できます。Syslog.conf の設定方法についての詳細は シスログ管理 をご参
照下さい
3.
Syslog Daemon を再起動。/etc/init.d/sylog restart と入力します。
4.
いくつかの UnixOS は Logge と呼ばれる、コマンドラインユーティリティがあります。これにより、独自
のログエントリーを作成できます。これは検証用として非常に役立ちます。Logger ‐p auth.notice
TESTMESSAGE と、Limux 上で入力すれば、ファシリティ auth とセベリティ"notice"に対して、
TESTMESSAGE を含むメッセ-ジを作成できます。同じまたは類似のユーティリティが存在するか、
オペレーションシステムのドキュメントをご確認下さい。このコマンドに対するシンタクスは別プラッ
トフォームにおいては変化しますので、ご注意下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
157
6章
WEB レポート
IIS ベースの WEB レポートは、ユーザーと EventSentry のデータベースのグラフィカル・インターフェース
として機能します。WEB ページをどのようにセットアップしてインストールするかは、インストール->Web
レポートをご覧下さい。http://www.eventsentry.com/livedemo で、サンプルデータを含むこれらのペー
ジの実際のデモ画面を閲覧出来ます。
CSV 出力
Event Search ページを含む様々なページの出力結果を CSV で閲覧出来ます。これによって、好きな表
計算アプリケーションに情報をインポートすることが出来、さらなる処理が可能です。プロファイルエディ
タでデフォルトの CSV セパレーターを変更する必要がある場合もあります。
言語
以下の言語の中から WEB レポートを表示する言語を設定出来ます:
z
英語
z
ドイツ語
z
フランス語
z
ポルトガル語
z
日本語
z
韓国語
WEB レポートを使えば、サポートされたブラウザで以下の情報を閲覧出来ます:
ホーム
z
ネットワークの概観を閲覧
z
ネットワークのステータスを閲覧
z
コンピュータの概観を閲覧
z
コンピュータのダッシュボードを閲覧
イベントログ
z
イベントログデータベースを検索し、イベントログの統計を閲覧
z
シスログデータベースを検索
z
イベントログや他の検索のレポートを作成
z
レポートの履歴を閲覧
© <2002 - 2008> ... NETIKUS.NET ltd
158
z
アクショントリガー履歴
ハートビート監視
z
ネットワークのハートビート/稼働時間の現在のステータスの閲覧
z
ハートビート履歴の検索
z
ハートビート稼働時間の統計の閲覧
z
Ping 応答時間の閲覧
追跡
z
プロセス追跡情報の閲覧/検索
z
ログオン追跡情報の閲覧/検索
z
プリント追跡情報の閲覧/検索
ディスク容量監視
z
ディスク容量レポートの閲覧
z
ディスク容量チャートの閲覧
z
フォルダステータスの閲覧
パフォーマンス監視
z
パフォーマンスステータス情報の閲覧
z
生のパフォーマンスデータの閲覧
z
パフォーマンスチャートの閲覧
ファイル監視
z
区切られたログファイルデータの閲覧
z
区切られていないログファイルデータの閲覧
z
監視対象ファイルの現在のステータスの閲覧
z
監視対象ファイルの履歴の閲覧
サービス監視
z
サービスの現在のステータスの閲覧
z
サービス履歴の検索
z
サービスの稼働時間の統計の閲覧
一覧
z
インストールされたソフトウェアの閲覧/検索
© <2002 - 2008> ... NETIKUS.NET ltd
159
z
ソフトウェアのインストレーション履歴の検索
z
ハードウェア一覧の閲覧
z
Nessus 情報の閲覧(有効であれば)
メンテナンス
z
メンテナンスウィザードによる古いデータの削除
z
プロファイルエディタによるデフォルトの設定
6.1
認証
EventSentry の WEB レポートは、多くの場合セキュリティ上重要な情報を含むので、WEB レポートへの
アクセスは制限されるべきです。以下の 2 つの方法で WEB レポートへのアクセスを制限出来ます:
z
組み込み認証(デフォルトであり推奨されます)
z
NTFS 承認
組み込み認証
組み込み認証を使えば、ユーザーとグループを作成して、それぞれを細かく認証することが出来ます。
WEB レポートへのアクセス権を持たないユーザーを、重要な情報を含まないページにのみアクセスさ
せることも出来ます。さらに、認証はコンピュータオブジェクトにアサインさせることが出来、認証された
ユーザーだけが特定のコンピュータで作成された情報にアクセス出来ます。これにより、サービスを監
視するホストプロバイダーがカスタマーポータルをセットアップするのが簡単かつ安全になります。
さらに、組み込み認証を使えば、ユーザーはカスタマイズした WEB レポートの設定を保持することが出
来、今後のセッションに引き継がれます。
NTFS 承認
組み込み認証が利用できない場合、EventSentry インストレーションディレクトリの Web サブフォルダで
ファイルの NTFS 承認を調整することによって WEB レポートへのアクセスを制限出来ます。結果、ファイ
ルにアクセス出来るユーザーのみが WEB レポートにアクセス出来るようになります。詳細は WEB レポ
ートをご覧下さい。
これまでの NTFS 承認より、多くのメリットのある組み込み認証を強く推奨します。
© <2002 - 2008> ... NETIKUS.NET ltd
160
6.1.1
認証のセットアップ
新しく EventSentry をインストールすると、組み込み認証は自動的に有効になります。組み込み認証の
切り替えは、オプションのドロップダウンからアカウントマネージャーに進んで、WEB レポートから行うこ
とが出来ます。
初期セットアップの設定
一度組み込み認証を有効にすれば、次は管理者アカウントの設定を行います。組み込み認証には
SMTP 情報が必要であり、入手可能なプロファイルで SMTP 情報が検出されない場合、結果としてこの
情報が要求されます。
© <2002 - 2008> ... NETIKUS.NET ltd
161
マニュアルで認証を有効にする
WebReportsUsers.xml ファイルを編集するもう 1 つの方法は、テキストエディタです。このファイルは、
EventSentry のインストレーションディレクトリ(デフォルトでは C:\Program Files\EventSentry)にあり
ます。組み込み認証を有効/無効にするには、AUTHENTICATION の値を、0(無効)か 1(有効)に設定
して下さい。
<AUTHENTICATION>1</AUTHENTICATION>
匿名のアクセスを有効にする
認証を有効にすると、IIS から組み込まれた匿名のユーザーのアカウント(IUSR̲....)が WEB レポートに
アクセス出来るようになります。WEB レポートは自ら認証を行うので、NTFS 承認で WEB レポートをプロ
テクトする必要はありません。
EventSentry を新しくインストールした場合、ファイル承認は自動的に適用されますが、EventSentry の
以前のバージョンで WEB レポートをセットアップしていてこれから組み込み認証を有効にする場合は、
マニュアルで設定する必要があります。ファイル承認を正しく設定するには、
enable̲anonymous̲access̲iis5̲iis6.cmd か enable̲anonymous̲access̲iis7.cmd(使っている OS によりま
す)を実行して下さい。
匿名のユーザーアカウントを承認しない場合は、WEB レポートにアクセスするために 2 度認証を行わな
くてはなりません。最初に WEB サーバー(ファイル承認)、それから WEB レポートへの承認です。
© <2002 - 2008> ... NETIKUS.NET ltd
162
管理者アカウント
最初に WEB レポートにアクセスすると、E メールサーバーや E メールアドレスに加えて組み込まれた管
理者アカウントのパスワードを設定するように求められます。これらは新しいユーザーアカウント(ウェ
ルカム E メールを受信します)を作成したり、ユーザーがパスワードを忘れてパスワードをリセットしたり
する際に使用されます。初期のパスワードが設定されると、自動的に管理者として WEB レポートにログ
インします。
EventSentry の WEB レポートに接続するには SSL を使用することを推奨します。そうでない場合、
ブラウザと WEB サーバーの間でユーザー名とパスワードはプレーンテキストで送信されます。
6.1.2
ユーザーアカウントの管理
認証を有効にした場合、WEB レポートにログインするにはユーザーアカウントが必要になります。1 つ
かそれ以上のユーザーアカウントを作成するには、Options -> AccountManager で"Account Manager"
にアクセスして下さい。アカウントマネージャーは、現在、英語でのみ利用出来ます。
ユーザーの管理
ユーザーアカウントを作成するには、アカウントマネージャーで"Add user"ボタンをクリックして下さい。
ユーザー名、初期パスワード、ユーザーの E メールアドレスとフルネームを指定して下さい。ユーザー
がパスワードをリセットする場合、E メールアドレスが要求されます。
ユーザーアカウントを削除するには、リストからユーザーを選択して、"Remove user"ボタンをクリックし
て下さい。ユーザーアカウントを削除すると、ユーザーと、ユーザーがカスタマイズした設定がすべて削
除されます。
グループの管理
グループを使えば、WEB レポートの承認の管理に関する管理の諸経費を削減出来ます。ユーザーをグ
ループにアサインして、グループに承認をアサインすることで、個別のユーザーアカウントごとに承認を
変更する必要がなくなります。
グループを作成するには、アカウントマネージャーで最初に Group タブをクリックして"Add group"をクリ
ックします。新しいグループが作成されると、グループにはどのユーザーアカウントも含まれていませ
ん。
グループを削除するには、リストからグループを選択して、"Remove group"ボタンをクリックして下さ
い。
© <2002 - 2008> ... NETIKUS.NET ltd
163
ユーザー承認とグループ承認
ユーザーが複数のグループのメンバーである場合や承認がユーザーレベルとグループレベル両方に
アサインされている場合、許可されたページやブロックされたページのような承認は、蓄積されます。ブ
ロックされた機能(例えば、ブロックされたページ、レポート、コンピュータ)は、許可された機能より常に
優先されます。
下図は、ユーザーレベルの承認と、複数のグループのメンバーの認証が有効な承認にどのように統合
されるかの違いを示しています:
© <2002 - 2008> ... NETIKUS.NET ltd
164
6.1.3
承認
WEB レポートへのアクセスは、いくつかの異なる方法で管理することが出来、承認と特権はユーザーア
カウントとグループアカウント両方にアサインすることが出来ます。適用出来る制限の一覧は下記にな
ります:
1.
選択したページ数のみアクセスを許可
2.
WEB レポートで選択したページをブロック
3.
選択したレポートにのみアクセスを許可
4.
選択したレポートをブロック
5.
特定のコンピュータから収集されたデータにのみアクセスを許可
6.
特定のコンピュータから収集したデータをブロック
7.
特定の特権を許可、もしくはブロック
上記の制限と、より細かな管理を組み合わせることが出来ます。例えば、ユーザーにディスクレポート
へのアクセス権のみを与え、ページで示されるコンピュータへのアクセスは制限することが出来ます。
特定のページへのアクセスのブロックと許可
EventSentry の WEB レポートは、ディスクレポートやイベント検索などの多くの異なるページで構成され
ます。この機能を以下の 2 つの方法のうち 1 つで使用出来ます:
z
認証されるページを指定し、その他はブロックする
z
ブロックするページを指定し、その他のページへのアクセスは許可する
認証されるページの指定
ユーザーが WEB レポートの一部のページにのみアクセスする必要があり他のページにはアクセスする
© <2002 - 2008> ... NETIKUS.NET ltd
165
必要がない場合、このユーザーのアクセスを許可するページを一覧に出来ます。許可するページの一
覧にないページは、すべて自動的にブロックされます。
ブロックされるページの指定
ユーザーが多くのページにアクセスする必要があり、特定の制限されたページのみ閲覧すべきでない
場合、このユーザーのアクセスをブロックするページを一覧に出来ます。このユーザーは、ブロックされ
るページを除いてすべてのページにアクセス出来ます。
選択したレポートのブロックと許可
個別のページへのアクセスの管理と同様に、同じ方法でレポートへのアクセスも制限出来ます。この機
能を以下の 2 つの方法のうち 1 つで使用出来ます:
z
認証されるレポートを指定し、その他はブロックする
z
ブロックするレポートを指定し、その他のレポートへのアクセスは許可する
認証されるレポートの指定
ユーザーが WEB レポートの一部のレポートにのみアクセスする必要があり他のレポートにはアクセス
する必要がない場合、このユーザーのアクセスを許可するレポートを一覧に出来ます。許可するレポ
ートの一覧にないレポートは、すべて自動的にブロックされます。
ブロックされるレポートの指定
ユーザーが多くのレポートにアクセスする必要があり、特定の制限されたレポートのみ閲覧すべきでな
い場合、このユーザーのアクセスをブロックするレポートを一覧に出来ます。このユーザーは、ブロック
されるレポートを除いてすべてのレポートにアクセス出来ます。
特定のコンピュータから収集されたデータへのアクセスのブロックと許可
個別のページやレポートへのアクセスの管理に加えて、特定のコンピュータから収集したすべてのデー
タへのアクセスもブロックしたり認証したり出来ます。これは、顧客に WEB レポートへのアクセス権を提
供したいが同時に彼らのマシンで作成されたデータのみ閲覧できるようにしたい場合に、特に有効です。
この場合、1 つかそれ以上のコンピュータをブロックすれば、これらのコンピュータは原則的にすべての
© <2002 - 2008> ... NETIKUS.NET ltd
166
ページから存在ないかのようにフィルターで除去されます。
この機能を以下の 2 つの方法のうち 1 つで使用出来ます:
z
認証されるコンピュータを指定し、その他はブロックする
z
ブロックするコンピュータを指定し、その他のコンピュータからのデータの閲覧は許可する
この機能はすべてのページに影響を与えるため、制限されたコンピュータからのデータは、ユーザーが
アクセスを承認されたページにも表示されなくなります。
認証されるコンピュータの指定
ユーザーが WEB レポートで選択されたコンピュータからのデータにのみアクセスする必要があり他のコ
ンピュータからのデータにはアクセスする必要がない場合、このユーザーのアクセスを許可するコンピ
ュータを一覧に出来ます。許可するコンピュータの一覧にないコンピュータは、すべて自動的にフィルタ
ーにかけられます(隠されます)。
ブロックされるコンピュータの指定
ユーザーが多くのコンピュータからのデータにアクセスする必要があり、特定の制限されたコンピュータ
から収集されたデータのみ閲覧すべきでない場合、このユーザーのアクセスをブロックするコンピュー
タを一覧に出来ます。このユーザーは、ブロックされるコンピュータからのデータを除いてすべてのデー
タにアクセス出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
167
6.1.4
特権
ページへのアクセスを管理するだけでなく、ユーザーやグループに特権をアサインすることが出来ます。
以下の特権が利用出来ます:
1.
コメントの編集
2.
アカウントの管理
3.
レポート管理者
4.
オプションのエクスポート
5.
プロファイルの編集
6.
RSS と Widget アクセス
コメントの編集
この特権を持ったユーザーは、イベントログのエントリに追加されたコメントを編集出来ます。この特権
がないと、新しいコメントを追加することと既存のコメントを閲覧することしか出来ません。
アカウントの管理
この特権を持ったユーザーやグループは、ユーザーやグループのアカウントを作成したり削除したり、
特権を修正したりすることが出来ます。
レポート管理者
レポート管理者は、新しいレポートを作成したり、既存のレポートを削除したりすることが出来ます。他
のユーザーが作成したレポートも含みます。あらゆるレポートの所有権を得ることも出来ます。
オプションのエクスポート
ユーザーが認証されたあらゆるページから CSV ファイルにデータをエクスポート出来るようになります。
プロファイルの編集
ユーザーがプロファイルを追加したり既存のプロファイルを削除したり管理したり出来るようになりま
す。
© <2002 - 2008> ... NETIKUS.NET ltd
168
RSS と Widget アクセス
ユーザーが RSS フィードにアクセスしたりウィジェットで情報にアクセスしたり出来るようになります。こ
れは、例えば ウィジェットのむ のユーザーアカウントを作成する場合に役立ちます。
6.2
コモンエレメント
レポート以上で表示されるすべての検索オプションとエレメントをここで説明します。
タイプ
フォームのリセット
条件付検索
カレンダー
選択されたフィールド
フィールドトグル
否定トグル
新しいウィンドウ
メッセージをさらに表示
スクリーンショット
説明
フォームのデフォルト設定をリセットしま
す。どのフォームでも利用出来ます。
選択したレコード数や期間で検索対象
を制限します。このオプションは、デー
タに基づくテキストデータ(イベントログ
やログオン追跡など)に対応するすべ
てのフォームで利用出来ます。
日付と時間で表示するレコードを制限
します。アイコンをクリックすると、実
際にカレンダーを見ることが出来ま
す。カレンダーで設定された条件は、
条件付検索で設定した条件よりも優
先されます。
フォームでフィールドを選択すると、フ
ィールドの背景がオレンジ色で表示
され、ANY に設定されていないことが
わかります。
トグル機能を使えば、プルダウンメニ
ューを入力欄に変更することが出来
ます。逆も可能です。予め設定された
項目をリストから選ぶのではなく、(部
分的に)名前を入力して検索を行うこ
とが出来ます。
例えば、MSExchange ではじまる全て
のイベントカテゴリーを検索するに
は、イベント検索ページのカテゴリ一
覧の隣にあるトグルボタンをクリック
して、カテゴリーフィールドに
MSExchange と入力します。
否定トグルをクリックすると、右のフィ
ールドで選択した内容に合致しない
項目を検索します。
イベント検索ページを探して、新しい
ウィンドウでイベントを表示します。
イベント検索ページを探して、新しい
ウィンドウは開かずにメッセージ全
体を他の省略されたメッセージと一
緒に行間に同時にロードします。
© <2002 - 2008> ... NETIKUS.NET ltd
169
RSS
このアイコンをクリックすると、現在の
ページの RSS フィードを作成します。
このアイコンをクリックすると、現在の
出力結果を CSV ASCll ファイルにエク
スポートします。
動的コンテンツがロードされていること
を示します。
ページがロードされていることを示しま
す。
CSV
ロード
ページロード
コンピュータタイプ
DC, SRV, WKS
コンピュータのドメインロール(タイプ)
です。以下のうちのどれかになります:
DC…ドメインコントローラSRV…サーバー
WKS…ワークステーション
© <2002 - 2008> ... NETIKUS.NET ltd
170
6.3
コンテクストメニュー
EventSentry の WEB レポートの多くのページには、オンザフライで結果の列を表示したり隠したりする
オプションがあります。WEB レポートの多くのページには、画面上に表示するには多すぎる情報を含む
行があります。また、ある特定の状況では関連性があっても他の状況では関係のない行も多数ありま
す。このオプションを使えば十分に管理出来ます。Save Current Columns を選択すると、これらの設定
がユーザーアカウントに記録されます。
一般的な使い方
この機能を使用するには、オレンジ色の結果のヘッダーを右クリックして、利用できる列を表示して下さ
い。列が隠れている場合、ページ上に残っている限り列は残ったままです。違うページに進んだりブラ
ウザを閉じたりすると、設定は失われます。ユーザーアカウントに設定を記録するには、Save Current
Columns オプションをクリックして下さい。
複数の行を隠した後
重複する情報を表示する複数の行は、より有効な情報を表示するために削除されます。
© <2002 - 2008> ... NETIKUS.NET ltd
171
全てを表示
全ての行を一度に表示させたい場合、このオプションを選択して Save Current Columns を選択して下さ
い。
6.4
同時ソート
EventSentry の WEB レポートの多くのページで、ページをリロードせずにそれぞれの行を同時に並び替
える機能があります。並び替えたい行を左クリックすることで、この機能を利用出来ます。
一般的な使い方
この機能を使用するには、オレンジ色の結果のヘッダーを右クリックして、列を並べ替えて下さい。並び
替えられた行は、青い背景で表示され、どの順番で並び替えたかも表示されます。並び替えの選択は、
フォームが再度実行された場合は保存されません。
© <2002 - 2008> ... NETIKUS.NET ltd
172
レポート
6.5
レポートを使えば同じ、もしくは似たような検索を保存して実行出来ます。、検索条件を再度指定する
必要はありません。EventSentry は、スタンダードレポートとカスタムレポートを区別します。さらに、レポ
ートは
z
カテゴリーにアサイン出来ます。
z
非公開に出来ます。
z
レビューを要求するように出来ます。
レポートの履歴も保存され、作成されたすべてのレポートの履歴を確認出来ます。
レポートはカテゴリーでグループ分けされ、カテゴライズされたレポートはすべてカテゴリーバーで表示
/非表示を切り替えることが出来ます。
スタンダードレポート
イベントログ、パフォーマンス、追跡やその他を含むあらゆる検索を スタンダードレポート として保存
出来ます。レポートとして検索を保存するには、結果の画面の下の方にある Save this search ボタンを
クリックして下さい。
Report Name, Comment
レポートの名前やコメントを指定します。コメントは推奨されますが必須ではありません。
Category
新しく作成されたレポートを既存のカテゴリーにアサインするには、ドロップダウンリストから選択して下
さい。新しいカテゴリーを作成するには、"or create new"フィールドで名前を指定して下さい。
Review
レポートが定期的にレビューされる必要がある場合、Require Review チェックボックスにチェックを入れ
て、レビュー要件を指定して下さい。
Save Report for my user only
チェックすると、レポートはあなただけが見ることが出来ます。他のユーザーは見ることが出来ません。
Always include in Popular Reports
チェックすると、レポートがどれだけの頻度で実行されるかに関わらず Network Overview ページの
© <2002 - 2008> ... NETIKUS.NET ltd
173
Popular Reports のセクションに表示されるようになります。
カスタムレポート
カスタムレポートは、イベントログ検索のためだけに作成され、イベント検索ページで利用できる検索よ
り、さらに高度な検索を作成出来ます。詳細は、Event Log Searches -> Custom Reports をご確認下さ
い。
複数のレポートの管理
それぞれのチェックボックスにチェックを入れて Delete か Require Review ボタンをクリックすると、複数
のレポートでレビューオプションを削除したり変更したりすることが出来ます
レビュー
必要な場合、レポートが定期的にレビューを要求するように設定出来ます。定められた期間の間レビュ
ーが実行されなかったレポートは、レポートページで印がつけられ、Network Overview ページの
Overdue Reports のセクションにも表示されます。
レポートのレビューを設定するには、レポートボックスの Review ボタンをクリックするだけです。複数の
レポートにレビューを要求する場合、レポートを選択して印をつけてページ上部の Review ボタンをクリッ
クして下さい。
スコープ
Save Reports for my user only オプションでレポートを作成すると、レポートはあなたのユーザーアカウ
ントのみ閲覧出来、他のユーザーはレポートを閲覧出来ません。
インポート/エクスポート
レポートは XML ファイルとしてエクスポート出来ます。また、WEB レポートに再度インポートすることも出
来ます。EventSentry のインストレーションの初期設定では、レポートは含まず、スタンダードレポートは
EventSentryReports.xml ファイルからロード出来ます。このファイルは、EventSentry インストレーション
のサブディレクトリの Reports にあります。
レポート履歴
レポートが実行される度に、レポート実行の詳細がレポート履歴に追加されます。以下の情報がレポー
ト履歴から確認出来ます:
z
日付/時間
z
レポート名
© <2002 - 2008> ... NETIKUS.NET ltd
174
z
ユーザー名
z
ロード時間
z
返送結果(適用している場合)
z
閲覧時間(利用可能な場合、レポートが閲覧されている時間)
6.6
6.6.1
概観
ネットワーク概観
Network Overview ページには、最近マシンで発生した事柄の一般的な概観が表示されます。
エレメント
Summary
監視間隔を含みます。
Heartbeat Status
Heartbeat ステータスがネガティブのマシンを一覧にします。
Heartbeat History
直近の Heartbeat の変更です。
Disk Alerts
Lower Limit(プロファイルエディタで設定します)以下のドライブをチ
ェックします。
Performance Alerts
設定閾値(マネージメントコンソールで設定します)を越えるカウンタ
ーをチェックします。
Popular Reports
よく実行するレポートを含みます。
Overdue Reports
設定された間隔を超える期間実行されなかったレポートを表示しま
す。
Recently Installed Applications
Most Active Machines
最近追加されたソフトウェアです。
直近 3 時間で収集されたイベントの数とそれを他のマシンとどのよう
に比較するかを表示します。
Failure Trend
直近 24 時間以内に失敗した監査の履歴です。
Error Trend
直近 24 時間以内の Errors と Warnings の履歴です。
Most Recent Events
システムで起こった最新のイベントです。
Recent Event Comments
最近のコメントを含みます。
© <2002 - 2008> ... NETIKUS.NET ltd
175
デフォルト値
それぞれのエレメントには、プロファイルエディタでアサインされているデフォルトの数字があり、これは
いくつの初期値がロードされているかを表しています。Network Overview ページの値は、Overview タブ
の下に表示されます。
© <2002 - 2008> ... NETIKUS.NET ltd
176
アニメーション
このオプションは、Failure Trend と Error Trend チャートをロードする時アニメーションを含むか含まない
かを切り替えます。
エレメントの並び替え
Network Overview でそれぞれのエレメントのヘッダーをクリックすることで、ページ上でエレメントをドラ
ッグして並び替えることが出来ます。順番はプロファイルエディタの Item Order オプションに保存されま
す。順番をリセットしてデフォルトに戻すには、ページの下の方の Restore default order オプションを使
います。
© <2002 - 2008> ... NETIKUS.NET ltd
177
プロファイルエディタからアイテムの順番を変更することも可能です。それぞれのアイテムには、Item
Order フィールドで変更できる数値があります。このフィールドの下は、アイテムが視覚的に指定された
順番に表示され、並び替えることも可能です。
並び替えの情報や Show More/Show Fewer 情報を保存するには WebReportsConfig.xml ファイ
必須
条件
ルが書き込み可能であることが必須条件です。
Show More/Show Fewer
Show More/Show Fewer のオプションが表示されているエレメントでは、このセクションにオンザフライで
同時に多くの値をロード出来ます。どちらかのオプションをクリックすると、アップデートされた値が設定
の値に書き込まれ、保存されます。
6.6.2
ネットワークのステータス
Network Status ページには、ネットワーク全体が単純化された一覧として、WEB レポートで最も少ない
スクリーンスペースを使って表示されます。このページを一目見れば、どのマシンの CPU 負荷が高い
のか、どのマシンのディスク容量が不足しているのかを簡単に知ることが出来ます。値が最新であるよ
うに、このページは自動的にアップデートされます。
© <2002 - 2008> ... NETIKUS.NET ltd
178
コンピュータ
このセクションに掲載されたマシンをこのページに含むためには、ディスク容量とパフォーマンス監視が
必要です。必要のないコンピュータを非表示にするには、以下の手順を参照して下さい。
OS
現在マシンがどの OS を実行しているかを簡略化して表示します。この情報は、ハードウェア一覧のペ
ージにも元々含まれています。
ハートビート
この値は、現在応答している場合、リモートホストの応答時間を表しています。リモートマシンが利用出
来ない場合、応答時間の代わりに"ERROR"が表示されます。
リミット
パフォーマンスのリミットは、マネージメントコンソールの設定値に決まります。リミットが存在しない場
合、ネットワークステータスページは与えられたデフォルト値を使います。
CPU
このページは、最初は情報を得るためにパフォーマンスのカウンターProcessor(*)¥% Processor Time
を探します。それが利用できない場合、EventSentry のマネージメントコンソールの CPU カウンターを参
照します。これは、監視対象のマシンが英語版でない Window を実行している場合に役立ちます。デフ
ォルトでの重要な CPU 値のリミットは 90%以上です。
メモリ
このページは、最初は情報を得るためにパフォーマンスのカウンターMemory¥Available Mbytes を探し
ます。それが利用できない場合、EventSentry のマネージメントコンソールの System Memory カウンタ
ーを参照します。これは、監視対象のマシンが英語版でない Window を実行している場合に役立ちます。
デフォルトでの重要なメモリのリミットは 100MB 以下です。
ディスクキュー
このページは、最初は情報を得るためにパフォーマンスのカウンターPhysicalDisk(*)¥Avg. Disk Queue
Length を探します。それが利用できない場合、EventSentry のマネージメントコンソールの Disk
Utilization カウンターを参照します。これは、監視対象のマシンが英語版でない Window を実行している
場合に役立ちます。デフォルトでの重要なディスクキューの長さのリミットは 10 以上です。
サービス
すべての自動サービスが現在実行している場合、値は OK になります。そうでない場合、自動に設定さ
© <2002 - 2008> ... NETIKUS.NET ltd
179
れている中で停止しているサービスの数が表示されます。
ログオン
現在マシンにログオンしているユーザーの数を示します。情報を関連付けるために、1 週間以上ログオ
ンしているユーザーは無視されます。
ソフトウェア
本日インストールされたアプリケーションやパッチの数を示します。
ディスク容量
マシンの全体のディスク容量をビジュアル化して表示します。
必要のないマシン
ネットワークステータスページに関心のないコンピュータが表示されたり、ネットワークがとても大きかっ
たりする場合、それらのコンピュータを非表示に出来ます。"Hide Computer's"オプションをクリックする
と、さらなるメニューを選択出来るようになります。削除したいマシンやフィルターから除外したいコンピ
ュータの隣のチェックボックスの Hide をクリックして下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
180
非表示にしたコンピュータは、プロファイルエディタの Hidden Computers から削除すれば表示出来ま
す。
マシンを元に戻す
フィルター処理したマシンは、、プロファイルエディタの Hidden Computers フィールドから削除すればネ
ットワークステータスのリストに戻せます。
自動更新
デフォルトでは、それぞれの個別の値は、60 秒ごとにチェックされます。値のどれかが変わっている場
合、アップデートされ、遷移効果とともに表示されます。デフォルトでは、それぞれの個別の値は、60 秒
ごとにチェックされます。値のどれかが変わっている場合、アップデートされ、遷移効果とともに表示さ
© <2002 - 2008> ... NETIKUS.NET ltd
181
れます。プロファイルエディタには、値の変化とどのくらいの頻度で値がチェックされたかの表示方法を
管理するためのオプションがいくつかあります。
リンク
ネットワークステータスページのそれぞれのアイテムには、WEB インターフェースで詳細ページへのリ
ンクが貼ってあります。
非表示メニュー
このオプションを使うと、ネットワークステータスページ上でメニューを無効に出来ます。このメニューを
使えば、OK ではないと考えられるコンピュータにページを制限するか、利用出来る欄で並び替えること
が出来ます。
デフォルトでのロード
このオプションが On になっていると、ページがロードされる時、結果もロードされます。大きなネットワー
クでネットワークステータスを使用する場合は、このオプションは Off に設定することを推奨します。
グループのネットワークステータス
WEB レポートの他ページと同様に、このページもグループ機能を活用出来ます。これを使えば、ワーク
ステーションからサーバーを分けることが出来ます。このページから、どのサーバーがパッチのインスト
レーションを行うべきか、どの端末サーバーが最も多くのユーザーにログオンされているかをすぐに特
定することが出来ます。
6.6.3
コンピュータ概観
Computer Overview ページには、指定されたマシンに最近起こった現象の概要が表示されます。選択
したコンピュータを変更するには、一覧からコンピュータを選択するだけです。
© <2002 - 2008> ... NETIKUS.NET ltd
182
エレメント
Summary
選択されたコンピュータのシステム情報を提供します。
Performance
既定のカウンターに直近 24 時間の間に記録されたパフォーマンス
の値のグラフです。
Services
自動に設定されていて停止しているすべてのサービスの一覧です。
Processes
最近実行したプロセスです。
Logged on users
選択されたコンピュータに現在ログオンしているユーザーです。
Diskspace
最近のディスクスペースの使用量です。
© <2002 - 2008> ... NETIKUS.NET ltd
183
Recently Installed Applications
最近追加されたアプリケーションの一覧です。
Error Trend
直近 24 時間以内の Errors と Warnings です。
Failure Trend
直近 24 時間以内に失敗した監査です。
Common Errors
直近のエラーソースを表示します。
Most Recent Events
最近のイベントを含みます。
パフォーマンス
このページで EventSentry の即時利用可能なカウンターを閲覧出来るだけでなく、監視しているあらゆ
るカスタムカウンターを読み込むようにチャートを変更出来ます。カウンターかインスタンスの名前をペ
ージ上でクリックして、同時に読み込みたいすべてのカウンターのチェックボックスを選択します。興味
のあるカウンターかインスタンスを選択して、OK を押すと、チャートを再度読み込むだけでなく、プロフ
ァイルエディタの設定をアップデートします。
© <2002 - 2008> ... NETIKUS.NET ltd
184
デフォルト値
それぞれのエレメントには、プロファイルエディタでアサインされたデフォルト値があります。プロファイ
ルエディタには、いくつの初期値がロードされるかが表示されます。Computer Overview ページは、
Overview タブの下にあります。ここでどのコンピュータが最初にロードされるかの設定に加えて、ロード
されるデフォルトのパフォーマンスカウンターの設定が可能です。
Show More / Show Fewer
Show More/Show Fewer のオプションが表示されているエレメントでは、このセクションにオンザフライで
© <2002 - 2008> ... NETIKUS.NET ltd
185
まとめて同時に多くの値をロード出来ます。どちらかのオプションをクリックすると、アップデートされた
値が設定の値に書き込まれ、保存されます。
エレメントの並び替え
それぞれのエレメントのヘッダーをクリックすることで、ページ上でエレメントをドラッグして並び替えるこ
とが出来ます。順番はプロファイルエディタの Item Order オプションに保存されます。
順番をリセットしてデフォルトに戻すには、ページの下の方の Restore default order オプションを使いま
す。プロファイルエディタからアイテムの順番を変更することも可能です。Swap オプションを使うと、ペー
ジ上でエレメントが反転します。これを使ってどちらのサイドにパフォーマンスカウンターをロードするか
を選択します。
並び替えの情報や Show More/Show Fewer 情報を保存するには WebReportsConfig.xml ファ
必須
条件
6.6.4
イルが書き込み可能であることが必須条件です。
ダッシュボード
ダッシュボードスクリーンを一目見れば、サーバーのヘルスステータスを完璧に把握出来ます。以下の
情報が確認出来ます:
z
ハートビートステータス
z
現在の CPU 利用(トータル)
z
現在のシステムメモリ利用
z
現在のディスクキュー時間
z
空き容量を含めるすべてのハードディスク
z
基本的なシステム情報(CPU 形式とカウント、インストールされている OS とサービスパック、インス
トールされたメモリと全体で利用可能な空き容量など)。
© <2002 - 2008> ... NETIKUS.NET ltd
186
ダッシュボードは、データベースに書き込まれたディスク容量やシステム情報、パフォーマン
スに依存します。以下のデータが存在している必要があります:
1.ディスク容量データは、少なくとも 12 時間ごとにデータベースに書き込まれる必要
があります。
2.システム情報が、データベースに書き込まれる必要があります。
必須
条件
3.以下のパフォーマンスカウンターは、少なくとも 30 分ごとにデータベースに書き込まれる必要
があります。
z
Processor(*)¥% Processor Time
z
Memory¥Available Mbytes
z
PhysicalDisk(*)¥Avg. Disk Queue Length
さらに、古いデータを正しく認識するには、ダッシュボードに MacromediaR Shockwave Playerv8 以降が
インストールされている必要があります。
ダッシュボードの表示モード
ダッシュボードは使用しているコンピュータを 3 つの方法で表示出来ます。
z
EventSentry のコンピュータグループからすべてのコンピュータを表示する
z
お気に入りからすべてのコンピュータを表示する
z
1 つのコンピュータを表示する
コンピュータグループ
グループのすべてのコンピュータを閲覧するには、Groups のドロップダウンリストから適切なグループ
を選択して Display をクリックします。 アイコンをクリックすれば、お気に入りからグループにコンピュー
タを追加出来ます。コンピュータがすでにお気に入りに含まれている場合、黄色い星のアイコン
が表
示されます。
お気に入り
デフォルトでは、ダッシュボードを訪れるとお気に入りからコンピュータが表示されます。長方形の右端
の上部に表示される灰色の星のアイコン( )をクリックすると、コンピュータをお気に入りに追加出来ま
す。また、黄色い星(
)をクリックすると、お気に入りから削除出来ます。さらに、プロファイルエディタ
を使ってお気に入りの中のコンピュータを修正出来ます(カンマ区切りのリストを使用します)。
© <2002 - 2008> ... NETIKUS.NET ltd
187
1 つのコンピュータ
1 つのコンピュータだけを表示するには、Computers のドロップダウンリストからコンピュータを選択して、
Display をクリックします。
古いデータの自動検出
監視対象コンピュータからのデータが古い場合、それぞれのゲージにオレンジ色のエクスクラメーショ
ンマーク(!)が表示されます。データが存在しない場合は、代わりに赤いエラーの記号が表示されま
す。
古いデータの印は、Flash の v8.x かそれ以降のバージョンを使っている場合にだけ表示されま
す。Flash の以前のバージョン(例えば v7)を使用している場合、絵の印は表示されず、ダッシュ
ボードに表示されているデータが最新のものであるかを知ることは出来ません。
追加機能
すべてのダッシュボードゲージをクリックしてさらなる情報を引き出せます:
z
CPU ゲージ:Processor(*)¥% Processor Time パフォーマンスチャートを表示します。
z
メモリゲージ:Memory¥Available MBytes パフォーマンスチャートを表示します。
z
ディスクの平均待ち行列の長さ:PhysicalDisk(*)¥Avg. Disk Queue Length パフォーマンスチャート
を表示します。
z
ディスクシリンダー:チェックされたドライブのディスク容量チャートを表示します。
z
ハートビートバルブ:ハートビートステータスページを表示します。
Events、Heartbeat、Disk、Performance、Services、Applications ボタンをクリックすると、それぞれのペ
ージに飛べます。コンピュータアイテムは予め選択されています。
© <2002 - 2008> ... NETIKUS.NET ltd
188
6.6.4.1
レガシーウィジェット
新しいウィジェットに関する情報はこちらをクリックして下さい。
ダッシュボードウィジェットは、まだインストレーションパッケージに含まれていますが、すでに終
息していてアップデートは行われず、サポートされません。しかし、バックエンド WEB ページはま
だ WEB レポートに含まれています。これらのウィジェットは、EventSentry インストレーションの
Widgets¥Legacy サブフォルダにあります。
EventSentry のダッシュボードウィジェットを使えば、デスクトップのダッシュボードで利用できるのと同
様のパフォーマンスケージを、WEB ページを開くことなく閲覧出来ます。ウィジェットには、容量を節約す
るために System Information は表示されませんが、それ以外はダッシュボードと同じ情報が表示されま
す。
ダュシュボードウィジェットには、2 種類あります。
z
Stand-Alone バージョン
z
DesktopX バージョン
Stand-Alone バージョン
ウィジェットのスタンドアローンバージョンは、あらゆる Windows マシン上で動作し、他のウィジェット技術
とは違い、コンピュータにウィジェットエンジンが存在する必要がありません。簡単にウィジェットを立ち
上げることが出来、その後はそのウィジェットがデスクトップに存在します。スタンドアローンウィジェット
は、EventSentry をインストールした Widgets サブフォルダで利用出来、"StandAlone"の文字列を含み
© <2002 - 2008> ... NETIKUS.NET ltd
189
ます。
ウィジェットエンジン(Stardock により開発されました)の制限により、ウィジェットのスタンドアロ
ーンバージョンを実行するには管理者権限で書き込む必要があります。
DesktopX バージョン
ウィジェットの DesktopX バージョンでウィジェットを使用するには、コンピュータに DesktopX がインスト
ールされている必要があります。DesktopX は無料であり、
http://www.stardock.com/products/desktopx/downloads.asp からダウンロードすることが出来ます。2
つ以上のウィジェットを同時に使いたい場合や、DesktopX コミュニティで提供される他のウィジェットを
使いたい場合は、DesktopX を使うことを推奨します。DesktopX ウィジェットは、EventSentry をインスト
ールした Widgets サブフォルダで利用出来ます。
ウィジェットの設定
ウィジェットを設定するには、EventSentry Dashboard Widget 1.exe(もしくは EventSentry Dashboard
Widget StandAlone 1.exe)を起動するだけです。起動すると、ウィジェットの初期のヘルプ画面が表示さ
れます:
右角下の小さな○を右クリックして、"Properties"を選択して下さい。ウィジェットの設定画面が表示さ
れます:
© <2002 - 2008> ... NETIKUS.NET ltd
190
Preferences Tab: URL, Profile, Computer
、ウィジェットのプロパティで表示される WEB レポートのパス(URL)、プロファイル(Profile)コンピュータ
(Computer)を指定します。
© <2002 - 2008> ... NETIKUS.NET ltd
191
プロファイル名は大文字小文字を区別しますので、プロファイルエディタに表示されているのと
全く同じ名前に指定することが大切です。
Appearance Tab: Accessibility
Taskbar:このオプションを Taskbar に設定すると、他のアプリケーションを開くのと同じようにウィジェット
がタスクバーに表示されます。このオプションは推奨しません。
Systray:このオプションを Systray に設定すると、ウィジェットが Systray に表示され、Systray のアイコ
ンをクリックすればいつでもウィジェットを表示したり表示にしたりすることが出来ます。1 つか 2 つのウィ
ジェットを同時に表示する場合は、このオプションを推奨します。
None:このオプションを None に設定すると、ウィジェットはデスクトップにのみ表示され、ウィジェットを見
るにはデスクトップを閲覧するか F10 を押す必要があります。2 つかそれ以上のウィジェットを閲覧する
場合、このオプションを推奨します。
Run automatically when Windows starts
このオプションは"when I login"と呼ばれ、ログインするたびにウィジェットを自動的に表示したい場合、
このオプションを設定することを推奨します。
ウィジェットに設定したあらゆるオプションは、自動的に DesktopX に記録され、ウィジェットを再度開くた
びに復元されます。ウィジェットが正しく設定されている場合、下図のようになります:
2 つ以上のウィジェットを同時に閲覧する
最大 8 つまでの EventSentry Dashboard Widgets を閲覧出来ますが、異なる.exe ファイルを実行する必
要があります。DesktopX バージョンでも Stand-Alone バージョンでも、Widget サブフォルダには 8 つ
の.exe ファイルが含まれています。例えば、デスクトップで 3 つのサーバーのステータスを見るには、以
下のファイルを実行します:
© <2002 - 2008> ... NETIKUS.NET ltd
192
z
EventSentry Dashboard Widget 1.exe
z
EventSentry Dashboard Widget 2.exe
z
EventSentry Dashboard Widget 3.exe
それぞれのウィジェットへのユーザーの優先順位や傾向を記録してコンピュータを再起動した後も正し
く復元するには、異なる EVE を実行する必要があります。
ウィジェットを移動する
右下隅の円かダッシュボード周辺の枠ににウィジェットをドラッグすれば、画面上の他の場所に簡単に
移動出来ます。
6.7
イベントログ検索
Event Log Search ページでは、検索条件に合致するイベントをデータベースから検索出来ます。メッセ
ージテキストを含むイベントログのすべてのプロパティを検索出来ます。検索条件を指定しない場合、
すべてのイベントログレコードが検索されます。
Source、Category、Event ID、Computer、Username
上記のフィールドのうち 1 つかそれ以上を選択すると、選択に合致するイベントログレコードのみが表
示されます。選択した項目の隣の感嘆符(!)を選択すると、選択に合致しないイベントログレコードだ
けが表示されます。
Message
このフィールドには、イベントメッセージ(詳細)の一部分かすべてを入力することが出来ます。より複雑
な検索のためにワイルドカード(* %)もサポートされています。デフォルトでは、指定したテキストがイベ
ントログメッセージに現れた場合、フィールドが合致します。
From、To
検索範囲を特定の時間や日付に絞ることが出来ます。カレンダーのアイコンをクリックすると、カレンダ
ーが表示されます。From/To のフィールドを使って日付範囲を設定する場合、あらゆる制限の設定(例
© <2002 - 2008> ... NETIKUS.NET ltd
193
えば"last week")は無視されます。
Order By
このフィールドを使って出力した内容を並び替えることが出来ます。デフォルトでは、出力結果は、Date
and Time に基づいて降順に並べられます。
Severity、Log
検索に含めたい重要度とイベントログを選択して下さい。どの重要度もイベントログも選択されない場
合、すべての重要度とイベントログが検索に合致します。
Search Limits
データベースを全て検索するかわりに、検索範囲を狭めることを強く推奨します。ドロップダウンリストを
使うと、以下のことが可能です:
z
実行するレコードの数を制限する
z
どのくらいで検索に戻るかを設定する(この設定を厳しくすれば、検索は早く実行されます)
z
承認された、もしくは承認されないイベントログレコードのみを表示する(イベント詳細を閲覧する
ことで、イベントを承認します)
z
承認が保留されているイベントログのみを表示する
検索を数(例えば、最大 1000 件のレコードを表示する)や時間(例えば、直近の 3 日間のレコー
ドを表示する)で区切って制限することを推奨します。これにより、クエリーの完了までにかか
る時間が大幅に削減され、特にデータベースが巨大で数百万のレコードがある場合に有効で
す。特定のレコードが直近の 6 時間以内に起こったことがわかっている場合、直近の 6 時間に
検索を制限すれば、素早く結果が得られます。
イベント詳細の閲覧
イベント詳細を閲覧するには、興味のあるレコードのイベント番号かイベント時間、メッセージテキストを
クリックして下さい(前述の通りです)。そうすると、イベント詳細を表示するポップアップ画面が出てきま
す。
追加機能
Presetting the Form
ソースやカテゴリー、ID、コンピュータ、ユーザー名のフィールドをクリックすることによって、イベントの
検索範囲を狭めることが出来ます。ドロップダウンリストから適切な値を自動的に選択します。
© <2002 - 2008> ... NETIKUS.NET ltd
194
Highlighted Selections
イベントソースなどの検索条件を選択すれば、選択されたことを示すための異なる背景画面でフィール
ドがハイライトされます。設定値を ANY に戻せば、ハイライトはなくなります。
出力を Group By でグループ分けする
1 つかそれ以上のフィールドを選択することにより(複数の選択を行うには、CTRL キーを押したままに
して下さい)、"Group By"ボックスから、出力をグループ分けすることが出来ます。
Show Chart
"Show Chart"オプションを選択すると、テキストでのレポートに加えて画像のチャートが表示されます。
1 つのフィールドでグループ分けを行うと円グラフが表示され、2 つのフィールドでグループ分けを行うと、
棒グラフが表示されます。3 つ以上のフィールドでグループ分けを行ってもグラフは表示されません。
Example
例えば、特定のコンピュータがどのくらいの頻度でデータベースに情報を書き込んでいるのかを知るた
めには、Computer の欄で出力をグループ分けします。以下のスクリーンショットは、コンピュータでグル
ープ分けされた Security イベントログの検索結果を示します。
© <2002 - 2008> ... NETIKUS.NET ltd
195
上の出力の例では、ホスト WHALE が、49127 個のイベントをセキュリティイベントログに書き込んだこと
が分かります。イベントが書き込まれたカテゴリーを含むには、出力を Computer と Category のフィール
ドでグループ分けします。Computer と Category のフィールドを選択するには、選んでいる間 CTRL キ
ーを押したままにします。この検索の結果は、以下のスクリーンショットのようになります:
© <2002 - 2008> ... NETIKUS.NET ltd
196
出力は、デフォルトでは合計欄でソートされます。チャートを見るには、"Show Chart"チェックボックスに
チェックを入れる必要があります。
スタンダードレポートとして検索を保存する
以前実行した検索を、後で再度アクセスする時のために"Standard Report"として保存することが出来
ます。クエリーを保存するには、"Save as Standard Report"をクリックして、レポートの名前と追加の説
明を指定して下さい。詳細はイベントログレポートをご覧下さい。
RSS 出力
イベント検索ページ(スタンダードとカスタム、両方のレポートを含みます)で RSS フィードに登録するこ
とが出来ます。RSS リーダーでイベント検索の出力を閲覧するには、RSS ボタンを押して表示された文
字列を RSS リーダーにコピーして下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
197
6.7.1
イベントレコード詳細
イベントナンバー、イベントタイム、イベントメッセージテキストをクリックすることで、バイナリデータを含
む、入手可能なすべてのイベント詳細を閲覧出来ます。以下のような画面がポップアップウィンドウで
表示されます:
追加情報の検索
Search の行のリンクの 1 つをクリックすれば、追加情報を検索出来ます。それぞれのリンクは WEB 上
の異なったリソースを検索し、特定のイベントの更なる情報やユーザーのコメントを見つけ出します。
コメントの追加
"Add New Comment"フィールドにコメントを記入して SUBMIT ボタンを押せば、イベントログレコードにコ
メントを追加することが出来ます。コメントをイベントと関連付けることが出来るので、複数の管理者が
WEB レポートを使用する場合に特に役に立ちます。
© <2002 - 2008> ... NETIKUS.NET ltd
198
Add comment only to this individual record
デフォルトでは、コメントはイベントレコードのソースと ID に関連付けられるようになっていて、同じイベ
ントソースとイベント ID のイベントがすべて表示されます。このチェックボックスをチェックすれば、コメン
トを特定のイベントにだけリンクさせることが出来ます。特定のイベントがなぜ起こったのか(特定の日
付でのバックアップの失敗など)、それをどのように解決するのかを説明する必要がある場合に便利で
す。
Also send this comment to myeventlog.com
コメントがセキュリティ上重要ではなく、他の EventSentry ユーザーに役立つ可能性がある場合、"Also
send this comment to myeventlog.com"のチェックボックスをチェックすることを推奨します。コミュニティ
WEB サイト(http://myeventlog.com)では、無料でコメントを投稿したりコメントを検索したり出来るので、
他の多くの管理者にとって貴重な時間を削減する手助けになります。
イベントの承認
"Close Window & Acknowledge"リンクをクリックして、イベントを承認出来ます。承認されたイベントには
フラグがつきます。検索ページで、承認されたイベント(もしくは承認されていないイベント)だけを検索
することが出来ます。
6.7.2
カスタムレポート
レポートを使えば、同じ、もしくは似たような検索を保存したり実行したりすることが出来ます。再度検索
条件を指定する必要はありません。レポートに関する一般的な情報は、Web Reports -> Reports のペ
ージをご覧下さい。
カスタムレポート
カスタムレポートを使えば、複数の検索条件を指定することが出来るので、より高度なレポート機能を
使用出来ます。また、どのイベントログデータを出力時に表示するか(イベントログ名を表示しない、な
ど)を設定することも出来ます。
Creating a new Custom Report
カスタムレポートを作成するには、レポート概観で"EVENTLOG" -> "Reports"に進んで、"Add Custom
Report"ボタンをクリックします。次のようなスクリーンが表示されます:
© <2002 - 2008> ... NETIKUS.NET ltd
199
Report Name フィールドでレポート名を指定して、その他のプロパティを設定します。Comment フィール
ドに、レポートの簡単な説明を入力することを強く推奨します。レポートを作成する準備が出来てレポー
トに条件を追加する場合は Continue ボタンをクリックします。
Save Report for my user only
このオプションにチェックを入れると、レポートは WEB レポートにログインした時にのみ表示されます。
匿名では WEB サイトにアクセス出来ず、すべてのユーザーは自分のアカウントでログインする必要が
あります。
Always include in Popular Reports
デフォルトでは、最もアクセスされているレポートのみが概観ページの"Popular Reports"セクションに
表示されます。このオプションにチェックを入れると、アクセス頻度に関わらずそのレポートが常に
"Popular Reports"セクションに表示されるようになります。
Adding/Modifying conditions
Field, Condition を選択して Value を設定することで、レポートに条件を追加することが出来ます(最低 1
つの条件が必須です)。Value フィールドには、データベースに存在するすべての入手可能なオプション
が自動的に書き込まれます。ただし、Number と Message のフィールドは例外で、テキストをマニュアル
で入力する必要があります。メッセージフィールドではあらゆる文字に合致するように、例えば*IIS*よう
にワイルドカード記号*や%を使用出来ます。
選択が終わったら、Add ボタンをクリックしてレポートに条件を追加します。条件は条件の一覧に表示さ
れ、条件の隣の Delete のリンクをクリックすれば削除出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
200
カスタムレポートを閲覧するには、最低 1 つの条件を追加する必要があります。レポートに追加
する条件の数に現在上限はありません。
Showing/Hiding Columns
レポートにすべての列を表示する必要がない場合、閲覧する必要のない列のチェックを外すことが出
来ます。レポートには、チェックされたすべての列のデータが表示され、チェックされていない列は表示
されません。
Category
既存のカテゴリーにレポートをアサイン出来ます。ドロップダウンリストからカテゴリーを選択するか、or
create new フィールドにカテゴリー名を入力して新しいカテゴリーを作成出来ます。
レポート名やカテゴリーなどのレポートのプロパティを変更する時は、右上部隅の Update ボタ
ンをクリックして設定を保存する必要があります。
Running Custom Reports
レポート概観ページの Run ボタンか Run のリンクをクリックすると、カスタムレポートを実行出来ます。
頻繁に使用されるレポートは、WEB レポートの概観ページにも表示されます。
ハートビート監視
6.8
6.8.1
ハートビートステータス
ハートビートステータスページには、以下の情報を含むすべての監視対象コンピュータの現在のステー
タスが表示されます:
z
Status:ホストの全体のステータス*
z
Ping:PING の現在のステータス、監視されていない場合は"n/a"
z
Agent:EventSentry エージェントの現在のステータス、監視されていない場合は"n/a"
z
TCP:TCP の現在のステータス、監視されていない場合は"n/a"
z
Ports:監視されているすべの TCP ポート
z
Ports Failed:失敗したすべての TCP ポート
© <2002 - 2008> ... NETIKUS.NET ltd
201
z
Ping Round trip:現在の PING の往復時間
z
Information:入手できる場合最後のエラーの拡張情報
z
Last Check:ホストが確認された最後の時刻と、どのホストに確認されたか
ハートビートステータスページを、ステータスやグループ、ロケーション(有効の場合)でフィルターリング
を行うことが出来ます。上の全てのフィールドにより出力をソート出来ます。
データベースにハートビート情報を書き込むためには、グローバルオプションが設定されてい
必須
条件
る必要があります。
*全体のステータスは、次のように算出されます:
ステータス
説明
OK
すべての監視対象サービスは正常です。
WARNING
1 つかそれ以上、しかしすべてではない監視対象サービスに ERROR が報告されてい
ます。
ERROR
6.8.2
すべての監視対象サービスに ERROR が報告されています。
ハートビート履歴
ハートビート履歴ページには、特定の監視対象アイテム(TCP ポート、PING など)が変更された場合、
その変更が表示されます。ハートビート履歴ページには、以下の情報が表示されます:
z
Date / Time:ステータス変更の日時
z
Type:ステータス変更があった監視対象サービス(PING、エージェント、TCP)
z
Old Status:監視対象サービスの古いステータス
© <2002 - 2008> ... NETIKUS.NET ltd
202
z
New Status:監視対象サービスの新しい(現在の)ステータス
z
Description:ステータス変更の理由。ステータス変更がポジティブなものであった場合、このフィー
ルドは空欄になります。
データベースにハートビート情報を書き込むためには、グローバルオプションが設定されてい
必須
条件
6.8.3
6.8.3.1
る必要があります。
アベイラビリティ
ネットワークアベイラビリティ
ネットワークアベイラビリティページには、ハートビート履歴ページからデータとして PING イベントを使用
してホストの稼働時間が表示されます。稼働時間ページには、以下の情報が表示されます:
z
ホストがどのくらいの時間稼動しているか
z
ホストがどのくらいの時間ダウンしているか
z
ホストがどのくらいの時間監視されているか
z
アベイラビリティのパーセンテージ
稼働時間統計データの出力を、アベイラビリティ、グループ、コンピュータ、ロケーションでソート出来ま
す。さらに、その結果をグループやロケーション、日付でフィルタリングを行うことが出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
203
アベイラビリティ
リミットを示すために使う赤やオレンジ、グリーンの色を、プロファイルエディタでカスタマイズ出来ます。
データベースにハートビート情報を書き込むためには、グローバルオプションが設定されてい
必須
条件
る必要があります。
稼働時間ページは、PING 履歴をデータとして使用するため、このページを使用するにはホスト
を PING で監視していることが必須です。さらに、それぞれのホストのハートビート履歴が、OK 以
外のステータスから OK に変更しているといるステータス変更で始まっている必要があります
(例えば、"NEWLY ADDED HOST"から"OK")。
EventSentry の v2.6 以降は、自動的にこの機能を開始します。稼動時間算出ページで信頼出来
る情報を入手するためには、v2.6(またはそれ以降のバージョン)にアップデートする必要があり
ます。
6.8.3.2
稼働時間履歴
稼働時間履歴ページには、監視対象ホストの再起動のサイクルが表示されます。これはホストそのも
ののネットワークアベイラビリティに関わらず、OS によって報告された情報です。頻繁に再起動を行っ
ているホストを発見して、監視対象ホストのそれぞれの稼働時間を比べるのに便利です。
稼働時間履歴を見ることで、他のネットワークアベイラビリティやヘルスチェックではわからない問題が
明らかになることもあります。例えば、15 日ごとに再起動しているサーバーは、ハードウェアのエラーの
ために 2 時間ダウンしているサーバーよりも、高度なネットワークアベイラビリティを有しているかもしれ
ません。しかし、多くの場合、最近サーバーが再起動を要求されたことや稼動時間履歴によりそれが明
らかになることは、望ましいことではありません。
© <2002 - 2008> ... NETIKUS.NET ltd
204
稼働時間のデータをデータベースに書き込むためには、"Log Uptime"で設定されたソフトウェ
必須
条件
ア監視オブジェクトを含むシステムヘルスパッケージが 1 つかそれ以上のコンピュータにアサ
インされている必要があります。
稼働時間履歴を使えば、次のレポートが作成出来ます:
z
選択されたコンピュータか、グループの全てのコンピュータの稼動時間履歴
z
2 つかそれ以上のコンピュータを並べて比較
ホストの現在の稼働時間は、ハードウェア一覧でも閲覧出来ます。
グループの全てのコンピュータの稼働時間履歴
以下のスクリーンショットには、サーバーグループの全てのコンピュータの稼働時間が表示されていま
す。左側のチャートには、直近 15 回分の再起動の履歴が表示され、右側の図には設定された制限に
応じて再起動の完全な履歴が表示されます。"Chart Size"を"Full Width"に設定することで、チャートに
表示する再起動の数を増やすことが出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
205
並べて比較
一覧からコンピュータを選択することで(複数のコンピュータを選択する場合、CTRL ボタンを押したまま
にして下さい)、個別のホストの稼働時間を比べることが出来ます。グループの選択は"None"に設定
するようにして下さい。以下のスクリーンショットには、MSSQL と MySQL データベースサーバーの稼働
時間が表示されていて、3 ヶ月以上の間、稼動時間が同じであることが分かります。
レポートにより、どちらのサーバーも、通常火曜日の午前 9 時頃のパッチ適応の後に再起動しています
が、9/3 と 9/16 には 2 回イレギュラーな再起動があり(黄色で印が付いています)、イベント検索を使っ
てこれを調査出来ます。
チャートの右側に向かっている点線が、現在の稼働時間を示しています。
© <2002 - 2008> ... NETIKUS.NET ltd
206
6.8.4
ハートビートレスポンスタイム
ハートビート PING 追跡ページには、1 つかそれ以上のホストからの PING 往復履歴が表示されます。こ
の情報はデフォルドでは記録されない情報で、グループやコンピュータの PING オプションで"Log to
Database"を有効にする必要があります。
PING 追跡ページには、以下の情報が表示されます:
z
ホストのレスポンスタイムの履歴
z
2 つかそれ以上のホストのレスポンスタイムの比較
z
指定された間隔でレスポンスタイムを表示
コンプライアンス追跡
6.9
6.9.1
プロセス追跡
プロセス追跡をデータベースに書き込むように設定した場合、プロセス追跡ページでプロセス履歴を検
索するためのクエリーを実行することが出来ます。
プロセス追跡ページでは、以下のレポートを作成出来ます:
z
どのプロセス(アプリケーション)がネットワークで使用されているか
z
ユーザーごと、コンピュータごとのプロセス履歴
© <2002 - 2008> ... NETIKUS.NET ltd
207
z
ユーザーごと、コンピュータごとの現在実行しているアプリケーション
z
どのアプリケーションが 60 分以上実行されているか
z
どのユーザー、もしくはコンピュータが特定のアプリケーションを実行しているか
z
その他のレポート
プロセス追跡のクエリーページを使えば、データベースのクエリーページと同様の柔軟性が得られます。
数回のクリックで、強力なクエリーを実行出来ます。
プロセス追跡のデータをデータベースに書き込むためにはプロセス追跡オブジェクトを含む追
必須
条件
跡パッケージが 1 つかそれ以上のコンピュータにアサインされている必要があります。
Filename、File Path、Computer、Domain、Username
上記のうち 1 つ、もしくはそれ以上のフィールドを選択することで、選択したフィールドに合致するプロセ
スのみを表示することが出来ます。選択したフィールドの隣の感嘆符(!)を選択すると、選択に合致し
ないプロセスのみが表示されます。
From、To
検索範囲を特定の時間や日付に絞ることが出来ます。カレンダーのアイコンをクリックすると、カレンダ
ーが表示されます。From/To のフィールドを使って日付範囲を設定する場合、あらゆる制限の設定(例
えば"last week")は無視されます。
Order By
このフィールドを使って出力した内容を並び替えることが出来ます。デフォルトでは、出力結果は、Date
and Time に基づいて降順に並べられます。
Process ID、Creator Process ID
指定したプロセス ID かクリエイタープロセス ID のプロセスのみを表示します。
Duration
指定した期間に実行されたプロセスのみを表示します。
Don't Truncate Path
デフォルトでは、プロセスディレクトリの最初の 50 文字だけが表示されます。このチェックボックスにチェ
ックを入れると、パスを全て表示します。
© <2002 - 2008> ... NETIKUS.NET ltd
208
Incomplete Data
オレンジの行は、プロセスの実際の期間が表示される実際の数と同じかそれ以上であることを示して
います。EventSentry のサービスがプロセスに関する十分な情報を取得出来ない場合にこのようになり
ます。例えば、サービスの再起動が行われた場合やセキュリティイベントログが誤って設定されている
場合、十分な情報が手に入らない場合などに起こります。しかし、期間以外のすべてのプロセス情報
は信頼出来ます。
Group By
1 つかそれ以上のフィールドを選択することにより(複数の選択を行うには、CTRL キーを押したままに
して下さい)、"Group By"ボックスから、出力をグループ分けすることが出来ます。
Show Chart
"Show Chart"オプションを選択すると、テキストでのレポートに加えて画像のチャートが表示されます。
1 つのフィールドでグループ分けを行うと円グラフが表示され、2 つのフィールドでグループ分けを行うと、
棒グラフが表示されます。3 つ以上のフィールドでグループ分けを行ってもグラフは表示されません。
プロセスに関する追加情報の検索
プロセスを閲覧する"Process"欄に不慣れな場合は、プロセス名をクリックして
http://www.fileresearchcenter.com/の中でファイルを自動的に検索出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
209
ログオン追跡
6.9.2
コンソールログオン
6.9.2.1
ログオン追跡をデータベースに書き込むように設定した場合、ログオン追跡ページでログオン情報を検
索するためのクエリーを実行することが出来ます。
ログオン追跡ページには、以下の情報が表示されます:
z
現在どのユーザーがどのネットワークにログオンしているか
z
ある期間に渡って、特定のユーザーがどのくらいの時間ログオンしているか
z
どのユーザーが Terminal Services、またはコンソールからログオンしているか
z
その他のログオンレポート
ログオン追跡のデータをデータベースに書き込むためにはログオン追跡オブジェクトを含む追
必須
条件
跡パッケージが 1 つかそれ以上のコンピュータにアサインされている必要があります。
Computer、Domain、Username
上記のうち 1 つ、もしくはそれ以上のフィールドを選択することで、選択したフィールドに合致するプロセ
スのみを表示することが出来ます。選択したフィールドの隣の感嘆符(!)を選択すると、選択に合致し
ないプロセスのみが表示されます。
From、To
検索範囲を特定の時間や日付に絞ることが出来ます。カレンダーのアイコンをクリックすると、カレンダ
ーが表示されます。From/To のフィールドを使って日付範囲を設定する場合、あらゆる制限の設定(例
えば"last week")は無視されます。
Order By
このフィールドを使って出力した内容を並び替えることが出来ます。デフォルトでは、出力結果は、Date
and Time に基づいて降順に並べられます。
Logon ID、Logon Type
指定したログオン ID(特定のログオン ID を入力します)かログオン形式のログオンのみを表示します。
EventSentry は現在 Console と Terminal Services のログオン形式を区別します。
© <2002 - 2008> ... NETIKUS.NET ltd
210
Duration
指定した期間に実行されたログオンのみを表示します。
Incomplete Data
オレンジの行は、Windows がイベントログにログオフを記録しない場合、正確なログオフの時間はわか
らないことを示しています。その場合、EventSentry ではユーザーがいつログオフしたかはわからず、例
えばコンピュータがシャットダウンした時やユーザーが再度ログオンした時に、ログオフしたことを推測
します。
Group By
1 つかそれ以上のフィールドを選択することにより(複数の選択を行うには、CTRL キーを押したままに
して下さい)、"Group By"ボックスから、出力をグループ分けすることが出来ます。
Show Chart
"Show Chart"オプションを選択すると、テキストでのレポートに加えて画像のチャートが表示されます。
1 つのフィールドでグループ分けを行うと円グラフが表示され、2 つのフィールドでグループ分けを行うと、
棒グラフが表示されます。3 つ以上のフィールドでグループ分けを行ってもグラフは表示されません。
ログオン ID のどれかをクリックすれば、指定されたログオンから実行されたすべてのプロセス
を即座に表示出来ます。この機能を使うにはプロセス追跡が有効である必要があります。
ウィークリーレポート
このオプションを使えば、指定した週の間に収集したログオンイベントを整理して、ユーザーに基づいて
総計することが出来ます。入手可能なそれぞれのユーザーの日毎のログオンの値をすべて組み合わ
せて、24 時間以上の総計を算出出来ます。ウィークリーレポートも、日々の平均とコンソールログオン
とターミナルログオンイベントの割合を合計します。WEB ブラウザで閲覧したり CSV にエクスポートした
© <2002 - 2008> ... NETIKUS.NET ltd
211
りするにはオプションも利用出来ます。
6.9.2.2
ネットワークログオン
ネットワークログオン追跡を設定した場合、多くのネットワークログオンイベントを検索するためのクエリ
ーを、Compliance -> Logons セクションの以下のページのうちの 1 つで実行することが出来ます:
z
ネットワークログオン
z
ログオン失敗
z
タイプによるログオン
すべてのネットワーク追跡ページに共通のフィールド
# (Event Number)
OS によって記録された、アカウントの変更を示す Windows のイベント番号です。対応するフィルタ
ーがこのイベントを取得するように設定されていれば、イベント番号をクリックすると、イベントを表
示出来ます。
Computer
ログオンするコンピュータです。このフィールドのコンピュータが常にドメイン・コントローラーです。
Source Computer
ソースコンピュータは、ログオンの起こるコンピュータです。ソースコンピュータはどのコンピュータ
でも構いません。
Domain、Username
ログオンしたユーザーのアカウントです。
ネットワークログオン
Email
取得可能な場合は、[email protected] フォームのユーザー名です。
Authentication Type
認証形式です。通常は、Kerberos か Kerberos TGT か NTLM です。
© <2002 - 2008> ... NETIKUS.NET ltd
212
Protocol
ログオンに使われるプロトコルです。通常は、Kerberos か NTLM です。
ログオン失敗
Protocol
ログオンに使われるプロトコルです。通常は、Kerberos か NTLM です。
失敗の理由
ログオンが失敗した理由です。この情報は OS の言語にローカライズされ、印刷されます。
認証形式
認証の形式です。通常は NTLM Logon, Pre-Authentication Failure か、Authentication Ticket
Request です。
形式によるログオン
ログオン形式
Batch、Service、Interactive などのログオンの形式です。
ログオンプロセス
User32、IIS、IAS などのログオンのプロセスです。
成功/失敗
ログオンが成功すると"Success"と表示され、ログオンが失敗した場合は失敗の理由が表示され
ます。
6.9.3
印刷追跡
印刷追跡をデータベースに書き込むように設定した場合、印刷追跡ページで印刷ジョブ情報を検索す
るためのクエリーを実行することが出来ます。また、印刷追跡機能を使えば、印刷キューを費用と関連
付けることが出来、印刷の請求書を作成することが出来ます。
印刷追跡ページには、以下の情報が表示されます:
z
どの文書がどのユーザーからどの印刷キューで印刷されるか
© <2002 - 2008> ... NETIKUS.NET ltd
213
z
何バイト、もしくは何ページの文書が印刷されるか
z
請求書形式のレポート
印刷追跡のデータをデータベースに書き込むためには印刷追跡オブジェクトを含む追跡パッ
必須
条件
ケージが 1 つかそれ以上のコンピュータにアサインされている必要があります。
Computer、Domain、Username、Document、Print Queue
上記のうち 1 つ、もしくはそれ以上のフィールドを選択することで、選択したフィールドに合致するセクシ
ョンのみを表示することが出来ます。選択したフィールドの隣の感嘆符(!)を選択すると、選択に合致
しないセクションのみが表示されます。
From、To
検索範囲を特定の時間や日付に絞ることが出来ます。カレンダーのアイコンをクリックすると、カレンダ
ーが表示されます。From/To のフィールドを使って日付範囲を設定する場合、あらゆる制限の設定(例
えば"last week")は無視されます。
Order By
このフィールドを使って出力した内容を並び替えることが出来ます。デフォルトでは、出力結果は、Date
and Time に基づいて降順に並べられます。
Size、Pages
指定されたサイズやページ数の印刷ジョブのみを表示します。
Group By
1 つかそれ以上のフィールドを選択することにより(複数の選択を行うには、CTRL キーを押したままに
して下さい)、"Group By"ボックスから、出力をグループ分けすることが出来ます。この機能は、"View
as invoice"にチェックが入っている場合、自動的に設定されます。
Show Chart
"Show Chart"オプションを選択すると、テキストでのレポートに加えて画像のチャートが表示されます。
1 つのフィールドでグループ分けを行うと円グラフが表示され、2 つのフィールドでグループ分けを行うと、
棒グラフが表示されます。3 つ以上のフィールドでグループ分けを行ってもグラフは表示されません。
© <2002 - 2008> ... NETIKUS.NET ltd
214
View as Invoice
View as invoice のチェックボックスにチェックを入れると、検索を実行する前に印刷ジョブを請求書とし
て閲覧出来ます。請求書は、以下のスクリーンショットのように表示されます:
© <2002 - 2008> ... NETIKUS.NET ltd
215
View Detailed Invoice のリンクをクリックすると、追加情報と一緒に同じ請求書が表示されます。これを
見れば、どのコンピュータ/印刷キューで、どのくらいの枚数がどこで印刷されたかがわかります:
Manage Cost Mapping
デフォルトでは、印刷キューの費用は、1 ページあたり 5 セント(0.05 ドル)に設定されています。しかし、
このデフォルトの設定をプロファイルエディタで変更することが出来ます。この機能を使うと、設定した
印刷費用を他の印刷キューに適用することが出来ます。Manage Cost Mapping のリンクをクリックする
と、次のようなページが表示され、費用のマッピングを簡単にカスタマイズ出来ます:
費用のマッピングを追加するには、印刷サーバーを選択して、ページの価格を設定して Add ボタンをク
リックします、新しい費用のマッピングは、下図のように表示されます。再び費用のマッピングを削除す
る(そしてデフォルトのマッピングを使用する)には、費用からリンクしている DELETE のリンクをクリック
して下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
216
6.9.4
ファイルアクセス追跡
ファイルアクセス追跡をデータベースに書き込むように設定した場合、ファイルアクセス追跡ページでフ
ァイルのアクセス履歴を検索するためのクエリーを実行することが出来ます。
ファイルアクセス追跡ページでは、以下のレポートを作成出来ます:
z
監視対象ディレクトリのファイルへの完全なアクセス履歴
z
どのフォルダが最も頻繁にアクセスされているか
z
どのユーザーがフォルダのファイルにアクセスしたりファイルを変更したりしているか
z
どのプロセスがファイルを変更しているか
z
修正されたファイルのファイルチェックサム(有効な場合)
z
その他のレポート
さらに、多くの場合レポートには以下の情報が含まれます:
z
どのコンピュータや IP から変更が起こっているか
z
どのユーザーが変更しているか
z
ログオンイベントに戻るファイルの変更を追跡するためのログオン ID
ファイルアクセス追跡クエリーのページを使えば、データベースのクエリーページと同様の柔軟性が得
られます。数回のクリックで、強力なクエリーを実行出来ます。
ファイルアクセス追跡のデータをデータベースに書き込むためにはファイルアクセス追跡(後リ
必須
条件
ンク)オブジェクトを含む追跡パッケージが 1 つかそれ以上のコンピュータにアサインされてい
て、監視される必要のあるディレクトリに対する監査が有効になっている必要があります。
Computer
アクセスされたファイルが物理的に存在するコンピュータです。ファイルには、ローカルにも(例えば、ワ
ークステーション、もしくはターミナルサーバーから)、リモートにも(例えば、ファイルサーバーで共有す
るファイルから)、アクセス出来ます。
Source Computer
ソースコンピュータは、ファイルの変更を要求したコンピュータです。ファイルの変更がファイルシェアで
行われた場合、ソースコンピュータ名はコンピュータ名とは異なります。このフィールドは、パッケージが
ソースコンピュータと IP アドレスを取得するように設定されている場合にのみ追加されます。
© <2002 - 2008> ... NETIKUS.NET ltd
217
Domain, Username
ファイルの変更を最初に行ったユーザーのアカウントです。ユーザー名が最後に$記号を含む場合、フ
ァイルの変更はコンピュータそのもの(例えばサービス)によって開始されたものだということを示しま
す。
File Path
ファイルが修正されたディレクトリ、もしくはファイルのアクセスがディレクトリのみに関連するのみであ
る場合は変更されたディレクトリを表示します。
Filename
アクセスされたファイル名です。
Caller File Path, Caller Filename
ファイルが(ネットワークシェアではなく)ローカルプロセスで直接アクセスされた場合、このフィールドに
プロセス名とパス(入手出来る場合)が表示されます。ネットワークシェアでアクセスされた場合は、この
フィールドは無効です。
Logon ID
ファイルにアクセスしたユーザーのログオン ID です。これで、ファイルアクセスアクティビティを、プロセ
スアクティビティやネットワークログオンなどのその他のアクションに関連付けることが出来ます。
Action
ファイルに適用されたことを EventSentry が検出したアクションです。Windows、特に Windows Server
2003 かそれ以前のバージョンのイベントログでは、実際にどのアクションが実行されたかはわかりませ
ん。EventSentry は、ファイルに適用されたアクションを検出しようとします。これは、監視されているディ
レクトリがイベント分析を"Normalize & Verify"か"Normalize, Verify and Filter"に設定している場合にの
み利用出来ます。
Verified
検索対象を、EventSentry のエージェントによって検証された、もしくは検証されていないファイルアクセ
ス情報のみに絞ることが出来ます。ファイルアクションは、、監視されているディレクトリがイベント分析
を"Normalize & Verify"か"Normalize, Verify and Filter"に設定している場合にのみ"Verified"になりま
す。
Access Mask
アクセスマスクは、アクセス追跡イベントのオブジェクトで通知されます。検索結果をフィルタリングする
© <2002 - 2008> ... NETIKUS.NET ltd
218
際、完全なアクセスマスクを指定することも、あらゆるアクセスマスクを確認することも出来ます。
Examples
以下の図は、検証され File Path フィールドでグループ分けされたすべてのファイルアクセスを表示しま
す:
6.9.5
アカウント管理追跡
アカウント管理追跡を設定した場合、アカウント管理に関する多くのアクティビティを検索するためのク
エリーを、Compliance -> Account Changes セクションの以下のページのうちの 1 つで実行することが出
来ます:
z
コンピュータアカウント
z
グループアカウント
z
ユーザーアカウント
すべてのアカウント管理ページに共通のフィールド
# (Event Number)
OS によって記録された、アカウントの変更を示す Windows のイベント番号です。対応するフィルタ
© <2002 - 2008> ... NETIKUS.NET ltd
219
ーがこのイベントを取得するように設定されていれば、イベント番号をクリックすると、イベントを表
示出来ます。
Computer
ユーザー、グループ、コンピュータのアカウントが変更されたコンピュータです。このフィールドのコ
ンピュータが常にコンピュータアカウントのドメイン・コントローラです。
Source Computer
アカウントの変更が最初に行われたソースコンピュータです。
Domain、Username
ログオンしたユーザーのアカウントです。この情報は、"Retrieve Source IP Address and Computer
Name"のチェックボックスにチェックが入っていて、関連するログオンイベントが事前に
EventSentry によって監視されている場合にのみ入手出来ます。
Action
実行されたアクションの形式です。例えば、"Account Created"や "Member Added"などです
Target Account、Target Domain
ドメインを含む、変更されたアカウント(ユーザー、グループ、コンピュータ)です。修正されたユー
ザーやグループのアカウントがローカルの場合、ドメインは、コンピュータ名と同じです。
Target Account ID、Target Account SID
変更したアカウントのアカウント ID は、通常ターゲットドメインとターゲットアカウントの組み合わせ
です。アカウントの SID はターゲットアカウント ID にマウスポインターをあわせれば表示されます。
また、ターゲットアカウント ID が入手出来ない場合は、その場所にアカウント SID が表示されます。
Caller User、Caller Domain、Caller Logon ID
変更を最初に行ったアカウントのユーザー名、ドメイン、ログオン ID です。
コンピュータ&ユーザーアカウント管理
Details
入手できる場合実行されたアクションの詳細が表示されます。例えば、アカウントが設定したパス
ワードも含まれます:"Password Last Set=4/22/2008 1:53:13 PM"
© <2002 - 2008> ... NETIKUS.NET ltd
220
グループアカウント管理
Group Type
変更されたグループの形式です。Security か Distribution のどちらかになります。
Group Scope
変更されたグループのスコープです。Local、Global、Universal のどれかになります。
Member Account ID
メンバーがグループに追加されたりグループから削除されたりした場合、メンバーのアカウント ID
が表示されます。
Member Name
メンバーがドメインの一員である場合、再度フォーマットされた DN が一覧で表示されます。例え
ば、yourdomain.local¥MyBusiness¥Users¥Support¥JonDoe などです。
Group Type Change
グループのスコープが変更されている場合、変更の詳細が表示されます。
6.9.6
ポリシー変更追跡
ポリシー変更追跡を設定した場合、ポリシーに関する多くのアクティビティを検索するためのクエリーを、
Compliance -> Policy Changes セクションの以下のページのうちの 1 つで実行することが出来ます:
z
監査ポリシー
z
ドメインポリシー
z
Kerberos ポリシー
z
トラストリレーションシップ
z
ユーザー/ログオン権限
すべてのポリシー変更追跡ページに共通のフィールド
# (Event Number)
OS によって記録された、アカウントの変更を示す Windows のイベント番号です。対応するフィルタ
ーがこのイベントを取得するように設定されていれば、イベント番号をクリックすると、イベントを表
示出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
221
Computer
ポリシー、ユーザー権限等が変更されたコンピュータです。このフィールドのコンピュータが常にド
メインと Kerberos ポリシー変更のドメイン・コントローラです。
Source Computer
変更が最初に行われたソースコンピュータです。このカテゴリーにおいてこのページは通常空欄で
す。この情報は、"Retrieve Source IP Address and Computer Name"のチェックボックスにチェック
が入っていて、関連するログオンイベントが事前に EventSentry によって監視されている場合にの
み入手出来ます。
監査ポリシー
Policy、Subcategory、Subcategory GUID、Success、Failure
変更された監査ポリシーです。Success & Failure 欄には、リスト内のポリシーに有効な(新しい)
設定が設定が一覧で表示されます。
Windows 2003 かそれ以前の Windows
利用可能な 9 つのポリシーのカテゴリーすべてと成功と失敗両方の有効値を一覧にします。
Vista、Windows 2008 かそれ以降の Windows
Vista とそれ以降の OS には、それ以前のバージョンの Windows よりも、多くの監査カテゴリーが
含まれているため、ポリシーの変更も異なった形で記録されます。カテゴリーすべてを一覧にす
るのではなく、値が変更されたカテゴリーのみを一覧にします。Subcategory と Subcategory
GUID フィールドには、変更されたポリシーに関するより詳細な情報が表示されます。
ドメインポリシー
Change Type
変更されたドメインポリシーの形式です。可能値は"Password Policy"と"Lockout Policy"を含み
ます。
Details
ドメインポリシーの変更に関する詳細を表示します。Windows XP を含むいくつかの Windows の
バージョンでは、詳細が入手出来ず空欄になります。
© <2002 - 2008> ... NETIKUS.NET ltd
222
Kerberos 変更
Kerberos Changes
Kerberos の変更に関する詳細です。
トラストリレーションシップ変更
Target Domain
トラストが設置されたり削除されたりしたドメインです。
Target Domain ID
ターゲットドメインの SID です。
Operation Type
実行されたトラストリレーションシップの変更の内容です。例えば、新しいトラストが作成された、
既存のトラストが削除された、などです。
Trust Type、Trust Direction、Trust Attributes
トラストの形式(例えば Uplevel)、トラストのディレクション(例えば Outbound)、トラストの特性で
す。
SID Filtering
SID フィルタリングがトラストに有効かそうでないかを表示します。SID フィルタリングを無効にす
ると、セキュリティに影響があるかもしれません。
ユーザー/ログオン権限変更
Policy
ユーザーやログオン権限が変更されたかを表示します。
Operation
ユーザーやログオン権限が追加されたり削除されたりしたかを表示します。
User/Logon Right
SeUndockPrivilege のように、影響を受けたユーザーやログオン権限の短い名前を表示します。
© <2002 - 2008> ... NETIKUS.NET ltd
223
User/Logon Right Description
Remove computer from docking station のように、影響を受けたユーザーやログオン権限の長
い名前(説明)を表示します。
Target User
ユーザーやログオン権限が変更されたユーザーのユーザー名です。
Caller User
ユーザーやログオン権限の変更を実行したユーザーです。ユーザー名が$で終わる場合、変更
は OS によって行われたということです。
6.10
6.10.1
ディスク容量監視
ディスク容量レポート
ディスク容量監視をデータベースに書き込むように設定した場合(Configuring EventSentry ->System
Health -> Disk Space Monitoring -> Trend History Collection)、ディスク容量レポートを Disk Reports ペ
ージで閲覧することが出来ます。全ての値は、MB(メガバイト)で表示されます。
Display drives from
この機能を使えば、クエリーを行うコンピュータを、1 つかそれ以上選択出来ます(複数のコンピュータ
名を選択する場合は、Ctrl キーを押したままにして下さい)。
Only show drives with free space below
空き容量が指定したパーセンテージより少ないドライバの情報だけを閲覧します。
Output
Display ボタンを押すと、選択したコンピュータからすべてのドライバのレポートを閲覧出来ます。レポー
トには、空き容量、使用容量、総容量、空き容量の割合を示すバーが表示されます。
Additional Features
コンピュータ欄のコンピュータ名をクリックすると、(選択したコンピュータの)すべてのドライバのディス
クのチャートを閲覧出来ます。また、ドライブ名をクリックすると、そのドライブのディスクのチャートを閲
覧出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
224
感嘆符(!)は、データベースのディスクの最後のレコードが期限切れであることを示しています。
感嘆符の上にマウスをあわせれば(IE のみです)、何時間前に最後のレコードが記録されたか
が表示されます。
プロファイルエディタを使って閾値を調整出来ます。
6.10.2
ディスク容量チャート
ディスク容量監視をデータベースに書き込むように設定した場合(Configuring EventSentry ->System
Health -> Disk Space Monitoring -> Trend History Collection)、ディスク容量の動向を Disk Charts ペー
ジで閲覧することが出来ます。全ての値は、MB(メガバイト)で表示されます。
© <2002 - 2008> ... NETIKUS.NET ltd
225
以下のオプションを設定出来ます:
Source:レビューを行いたいドライブのコンピュータを選択します。
Drive:1 つかそれ以上の論理ドライブを選択します。
From/To:時間間隔を指定します(オプション)。カレンダーを表示するには、カレンダーのアイコンをク
リックします。
Display Drive Space as:ドライブの空き容量や使用容量を確認出来ます。"Show Drive Capacity"にチ
ェックを入れると、チャートにはドライブの全容量を示す列が追加で表示されます。
Y Axis Range:デフォルトでは、0 から実際の空き容量/使用容量までのすべての範囲を表示するので
はなく、垂直軸の最大値と最小値は現在の動向の列に応じて自動的に調整されます。これにより、小
さな変化もよくわかります。
Y 軸にすべての値を表示する場合、"Static"オプションを選択して下さい。MB ではなく割合で動向を閲
覧するには、"Display as Percent"を選択して下さい。
Detail Level:収集したデータが多い場合、チャートにそれぞれの値を表示することが出来ない場合が
あります。その代わり、それぞれ"Max # of Points"が表示されます。
例えば、表示の間隔が 100 のエントリーを含んでいて"Max # of Points"が 20 に設定されている場合、
それぞれ 5 番目のデータのみが表示されます。最大ポイントを 50 に変更した場合、それぞれ 2 つ目の
値が表示されます。
このオプションを"First X Points"に設定すると、データベースから最初の"Max # of Points"のみが読み
出され、後の値は無視されます。
© <2002 - 2008> ... NETIKUS.NET ltd
226
Chart Size & Type:チャートのサイズや形式を調整します。
基本的なクエリーは以下のように表示されます。全容量が出力結果の上部に赤で表示されます:
Line チャートの形式だと、以下のスクリーンショットのように表示されます:
© <2002 - 2008> ... NETIKUS.NET ltd
227
© <2002 - 2008> ... NETIKUS.NET ltd
228
6.10.3
フォルダステータス
Folder Status ページを見れば、指定のフォルダの現在のサイズがわかります。
Folder Status ページのメニューを使えば、サブフォルダの数、論理サイズ、物理サイズ、ファイルの数
で結果をフィルタリングすることが出来ます。
6.11
パフォーマンス監視
パフォーマンス監視ページには、以下のために必要なパフォーマンス情報がすべて表示されます。
z
コンピュータのすべてのカウンターの現在のパフォーマンスステータスを確認する。
z
複数のコンピュータにおける特定のカウンターのパフォーマンスステータスを確認する。
z
パフォーマンスのデータを分析する。
z
過去の動向を確認して将来の動向を予測するためにパフォーマンスのチャートを閲覧する。
パフォーマンスデータは HTML で出力して閲覧することも、CSV フォーマットとしてエクスポートすること
も出来るので、好きな表計算アプリケーションにインポート出来ます。
パフォーマンスデータをデータベースに書き込むためにはデータベースに対応したパフォーマ
必須
条件
ンス監視オブジェクトを含むヘルスパッケージが 1 つかそれ以上のコンピュータにアサインさ
れている必要があります。
6.11.1
パフォーマンスステータス
Performance Status ページには、以下の現在のパフォーマンスステータスが(分かれて)表示されま
す:
© <2002 - 2008> ... NETIKUS.NET ltd
229
z
すべて、もしくは 1 つのコンピュータ上のすべての監視対象パフォーマンスカウンター
z
1 つ、もしくはすべてのコンピュータ上の選択されたパフォーマンスカウンター
1 つかそれ以上のコンピュータ上のパフォーマンスカウンターのクエリーを行う
1 つかそれ以上のコンピュータ上で 1 つのカウンターのパフォーマンスステータスのクエリーを行うには、
パフォーマンスカウンター(もしパフォーマンスに 1 つ以上のインスタンスがある場合、インスタンスも選
択します)とコンピュータを選択するだけです。コンピュータフィールドを ANY に設定して、すべての監視
対象コンピュータのパフォーマンスステータスを閲覧することが出来ます:
上記のレポートを見れば、4 つの監視対象コンピュータにおいて Memory¥Available Mbytes の現在の数
値がひとめでわかります。また、数値をデータベースに最後に書き込んだ時間も表示されるため、現在
のデータを考慮するだけですみます。
選択したコンピュータ上のパフォーマンスカウンターのクエリーを行う
1 つのコンピュータ上ですべての監視対象カウンターのステータスを確認するには、コンピュータを選択
して、DISPLAY ボタンをクリックします:
6.11.2
パフォーマンス検索
パフォーマンス検索を使えば、EventSentry のパフォーマンス監視機能でレポートされた生のデータを
閲覧することが出来ます。画面上で結果のデータを閲覧することも、データを CSV ファイルにエクスポ
ートして好きな表計算アプリケーションで閲覧することも可能です。
© <2002 - 2008> ... NETIKUS.NET ltd
230
Computer、Counter、Instance
上記のうち 1 つ、もしくはそれ以上のフィールドを選択することで、選択したフィールドに合致するパフォ
ーマンスデータのみを表示することが出来ます。
From、To
検索範囲を特定の時間や日付に絞ることが出来ます。カレンダーのアイコンをクリックすると、カレンダ
ーが表示されます。From/To のフィールドを使って日付範囲を設定する場合、あらゆる制限の設定(例
えば"last week")は無視されます。
Order By
このフィールドを使って出力した内容を並び替えることが出来ます。デフォルトでは、出力結果は、Date
and Time に基づいて降順に並べられます。
6.11.3
パフォーマンスチャート
Performance Charts ページでパフォーマンスデータをグラフチャートで閲覧し、過去の動向を分析して
将来の動向を予想することが出来ます。Performance Charts ページで読み出されるデータは、
Performance Search ページと同じものですが、そのデータをグラフ形式で表示します。
パフォーマンスチャートを以下の 2 つの方法で閲覧出来ます:
z
選択したコンピュータの 1 つかそれ以上のパフォーマンスカウンターを閲覧する
z
複数のコンピュータの 1 つのパフォーマンスカウンターを閲覧する
Computer、Instance
上記のうち 1 つ、もしくはそれ以上のフィールドを選択することで、選択したフィールドに合致するパフォ
© <2002 - 2008> ... NETIKUS.NET ltd
231
ーマンスデータのみを表示することが出来ます。
Counter
表示する 1 つかそれ以上のカウンターを選択します。異なるカウンターのデータを並べて表示する場合
は、同じような間隔でパフォーマンスデータを収集することを推奨します。
Detail Level
Average Points
データベースは通常表示されるより多くのデータを内包しているため、チャートはそれぞれ X 番目ごと
のレコードのみをデータベースから表示します。例えば、検索の結果 10,000 個のレコードが検出された
けれど 100 の区切りでデータを表示したい場合、チャートには 100 番目ごとのレコードのみが表示され
ます。
First X Points
このオプションを使えば、検索結果の中の最初から数えて X 番目までのレコードのみを表示します。そ
れ以降のレコードは無視します。
Last X Points
このオプションを使えば、検索結果の中の最後から数えて X 番目までのレコードのみを表示します。こ
れは、最新の正確なデータを取得する必要がある場合に役に立ちます。
Max # of Points
チャートにいくつの区切りを表示したいかを指定します。検索結果のデータが選択したより少ない(区切
り)場合、チャートには可能な限り多くのデータが表示されます。
From、To
検索範囲を特定の時間や日付に絞ることが出来ます。カレンダーのアイコンをクリックすると、カレンダ
ーが表示されます。From/To のフィールドを使って日付範囲を設定する場合、あらゆる制限の設定(例
えば"last week")は無視されます。
© <2002 - 2008> ... NETIKUS.NET ltd
232
© <2002 - 2008> ... NETIKUS.NET ltd
233
6.12
6.12.1
ファイル
区切られていないログファイル
Log File Simple ページで、EventSentry で監視しているあらゆるログファイルを閲覧出来ます。
このページの主な目的は、ログファイルを特定の文字列で素早く検索出来るようにすることです。複数
のログファイルの中から、文字列で検索を行ったり、特定のログファイルに焦点を合わせたりするオプ
ションがあります。
メニューを使えば、WEB インターフェースの他のページに見られる多数の共通の要素、例えば
Computer、Filepath、Filename、Contents で検索を実行する機能などを利用出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
234
デフォルトのオプションで並び替えると、コンピュータとファイルは、検索結果の上部の 1 箇所にまとめ
て表示されます。その次の行には、行数とタイムスタンプの値が表示されます。デフォルトのオプション
以外で並び替えると、それぞれの行にコンピュータとファイル名が表示されます。
6.12.2
区切られたログファイル
File Delimited ページでは、区切られたログファイルを、系統立てた形式で閲覧出来ます。カンマ区切り
のログファイルの典型例は、IIS のログファイルです。この値をデータベースの異なるフィールドに分け
ることにより、Log File Delimited ページを使って、IIS の特定のエリアに焦点を当てることが出来ます。
最初は、ページをロードしても File Type はロードません。スタートするには、ドロップダウンリストからフ
ァイルタイプを選択して下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
235
選択した後、EventSentry のマネージメントコンソールで設定したルーティングに基づいて同時にメニュ
ーオプションがリロードされます。列の名前は、Group By オプションと Sort By オプションにリロードされ
ます。この時点で、いずれの値も選ばないで検索を実行することが可能です。
Revision
EventSentry のマネージメントコンソールのファイル定義に変更が生じた場合、WEB レポートで修正点
が通知されます。改定番号を変更することにより、これまでの履歴やその間に書き込まれたデータを閲
覧出来ます。
Input option
上記のスクリーンショットのオプションのように、Date や Time などの項目を使えば、検索の際に文字列
の値を追加することが出来ます。ワイルドカードを指定しない限り、デフォルトではこのフィールドに追
加された文字列に完全に一致するように検索します。
2007-05-25 日付が完全に一致する値を検索します。
2007-05-2* 2007-05-20 から 2007-05-29 までのデータを検索します。
2007-0*-2* 1 月から 9 月の間の、20 日から 29 日までの日付を検索します。
*も%も、ワイルドカードとして使えます。
Select options list
このフィールド内のデータベースに記録した値を、マネージメントコンソールで Lookup Text に設定する
項目として選択するオプションがあります。デフォルトのオプションでは、ANY に設定され、空の状態で
ロードされます。
ファイルタイプを選択する際、上記のような警告メッセージが表示されます。これは、選択したボックス
が空で、データを追加するためにはクリックする必要があることを示します。書き込まれたログファイル
には多くの種類が存在するため、この機能がない場合、IIS でロードしたそれぞれのページの URI クエリ
© <2002 - 2008> ... NETIKUS.NET ltd
236
―(パラメータ)を行うと、ほとんど使用出来ないページを表示するための多くのデータが生成されてし
まいます。このオプションを使えば、興味のあるデータのみをロードすることが出来るので、ページのロ
ードがとても早くなります。
Results
EventSentry の v2.80 以降、WEB レポートには、テーブルヘッダーの X をクリックすることにより列を表
示に出来るオプションが追加されました。このオプションを使えば不要なデータをレポート上で非表示に
出来るので、区切られたログファイルのようなページを閲覧する際にはとても便利です。このページで
は、誰がどのファイルにアクセスしているのかやその IP アドレス、更には IIS が応答しているプロトコル
のステータスを確認することが出来ます。
Group By
このページでとても便利なオプションは、Group By オプションです。このオプションを使えば、生成され
たデータを、俯瞰して閲覧することが出来ます。このページでは、監視している区切られたフィールドご
とに、グループにわけるオプションを利用出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
237
GET メソッドを使えば、ページにアクセスしたユーザーの大多数を確認することが出来ます。
6.12.3
ファイルステータス
File Status ページには、ファイル監視システムヘルス項目下で監視されている現在のファイルのスナッ
プショットも含まれています。このページにはファイルのハッシュ値の他に現在のファイルサイズも表示
されます。
メニューには、コンピュータ、ファイルサイズ、ハッシュ値、ファイルの場所に基づいてフィルタリングを
行うオプションもあります。
© <2002 - 2008> ... NETIKUS.NET ltd
238
Results
ここで、監視対象ファイルの現在のファイルサイズやハッシュ値を確認することが出来ます。
6.12.4
ファイル履歴
File History ページでは、監視しているファイルに対して行われたアクションの履歴を閲覧出来ます。
メニューを使えば、適用されたアクションの履歴をどのように閲覧するかを様々な方法で管理出来ます。
このページでは、どのファイルが追加されたり削除されたりしたのか、どのファイルが増加してどのファ
イルが減少したのか、さらにはチェックサムが変更されたかどうかを閲覧出来ます。このページには、
古いハッシュ値や新しいハッシュ値の範囲、古いファイルや新しいファイルのサイズの範囲を設定する
オプションもあります。ファイルの場所やコンピュータ、アクションによってグループわけを行うオプション
もあります。
© <2002 - 2008> ... NETIKUS.NET ltd
239
Actions
ファイルに対して行われたあらゆる変更が表示されます。フォルダに追加した、削除した、ファイルサイ
ズが大きくなった、ファイルサイズが小さくなった、チェックサムが変更された、などの情報が含まれま
す。
Hash
ハッシュ値は、ファイルに与えられたチェックサムです。
Results
結果の画面では、ファイルに対して行われたそれぞれの変更に関する情報が詳細な一覧で表示され
ます。ここで以前の値に加えて現在のファイルサイズやハッシュ値を確認出来ます。
Group By
© <2002 - 2008> ... NETIKUS.NET ltd
240
By grouping the Action オプションにより、監視しているフォルダにどんな変化が起こったかを確認出来
ます。この場合、削除されるより遥かに多くのファイルが追加されたことがわかります。
6.13
6.13.1
サービス監視
サービスステータス
Service Status ページには、すべての監視対象サービスの現在のステータスが表示され、以下のよう
な情報を閲覧出来ます:
z
すべての監視対象ホストのサービスの現在のステータス
z
指定されたホストのすべてのサービスの現在のサービスステータス
z
監視対象ホストのすべてのドライバの現在のサービスステータス
z
"Automatic Startup"に設定されていて現在停止しているすべてのサービス
サービス情報をデータベースに書き込むためにはデータベースに対応したサービス監視(後リ
必須
条件
ンク)オブジェクトを含むヘルスパッケージが 1 つかそれ以上のコンピュータにアサインされて
いる必要があります。
Computer、Service、Startup Type、Status
上記のうち 1 つ、もしくはそれ以上のフィールドを選択することで、選択したフィールドに合致するサービ
スのデータのみを表示することが出来ます。
Sort By
このフィールドを使って出力した内容を並び替えることが出来ます。デフォルトでは、出力結果は、Date
and Time に基づいて降順に並べられます。
© <2002 - 2008> ... NETIKUS.NET ltd
241
6.13.2
サービス履歴
Service History には、記録したサービスのステータスの変更がすべて表示されます。
サービス情報をデータベースに書き込むためにはデータベースに対応したサービス監視(後リ
必須
条件
ンク)オブジェクトを含むヘルスパッケージが 1 つかそれ以上のコンピュータにアサインされて
いる必要があります。
Computer、Service、Startup Type
上記のうち 1 つ、もしくはそれ以上のフィールドを選択することで、選択したフィールドに合致するサービ
スのデータのみを表示することが出来ます。
Sort By
このフィールドを使って出力した内容を並び替えることが出来ます。デフォルトでは、出力結果は、Date
and Time に基づいて降順に並べられます。
© <2002 - 2008> ... NETIKUS.NET ltd
242
サービス稼動時間
6.13.3
Service Uptime には、1 つかそれ以上のサービスの稼働時間が表示されます。サービス履歴がデータ
として使用されます。稼働時間ページには、以下の情報が表示されます:
z
サービスがどのくらいの時間稼動しているか
z
サービスがどのくらいの時間ダウンしているか
z
アベイラビリティの割合
出力された稼働時間の統計データをアベイラビリティやグループ、コンピュータ、ロケーションに基づい
て並び替えることが出来ます。さらに、結果をグループやロケーション、日付でフィルタリングすることが
出来ます。
サービス情報をデータベースに書き込むためにはデータベースに対応したサービス監視(後リ
必須
条件
ンク)オブジェクトを含むヘルスパッケージが 1 つかそれ以上のコンピュータにアサインされて
いる必要があります。
Computer
コンピュータを選択することで、選択したフィールドに合致するサービスのデータのみを表示することが
出来ます。
From、To
検索範囲を特定の時間や日付に絞ることが出来ます。カレンダーのアイコンをクリックすると、カレンダ
ーが表示されます。From/To のフィールドを使って日付範囲を設定する場合、あらゆる制限の設定(例
えば"last week")は無視されます。
© <2002 - 2008> ... NETIKUS.NET ltd
243
Sort By
このフィールドを使って出力した内容を並び替えることが出来ます。デフォルトでは、出力結果は、Date
and Time に基づいて降順に並べられます。
Service、Hide zero percent
稼働時間の算出の際に含むサービスを 1 つかそれ以上選択出来ます。稼働時間が 0%のサービスを非
表示にしたい場合は、Hide zero percent のチェックボックスにチェックを入れて下さい。
6.14
一覧
ソフトウェア監視機能を ODBC 通知と組み合わせて使うことによって、インストールしたソフトウェアと基
本的なハードウェアの情報の一覧を作成出来ます。ソフトウェア監視機能ページでは、以下の情報を
取得出来ます:
z
ソフトウェアのライセンス取得を完璧に行うために、どのソフトウェアがどのコンピュータにインスト
ールされているかを把握する
z
複数のコンピュータにおいて、インストールされたソフトウェアのバージョンを明確にする
z
特定のソフトウェアがいつインストール、もしくはアンインストールされたかを把握する
z
インストールされたソフトウェアの古いバージョンを明確にする
z
インストールされたソフトウェアをメーカーでグループに分ける
z
1 つかそれ以上のホストにどのサービスパックがインストールされているかを把握する
z
インストールの容量、プロセッサタイプなどのハードウェアの基本的な情報を把握する
ソフトウェアとハードウェアの情報をデータベースに書き込むためにはデータベースに対応し
必須
条件
たソフトウェア監視オブジェクトを含むヘルスパッケージが 1 つかそれ以上のコンピュータにア
サインされている必要があります。
© <2002 - 2008> ... NETIKUS.NET ltd
244
6.14.1
インストールされているソフトウェア
Installed Software ページには、どのコンピュータにどのソフトウェアがインストールされているかが表示
されます。それぞれのソフトウェアのインストーラによって書き込まれた情報の量に応じて、以下の情報
を確認出来ます:
z
インストールされているソフトウェアの名前
z
メーカー
z
インストレーションディレクトリ
z
バージョン
Computer、Application、Publisher
コンピュータを選択することで、選択したフィールドに合致するソフトウェアのデータのみを表示すること
が出来ます。
Sort By
このフィールドを使って出力した内容を並び替えることが出来ます。デフォルトでは、出力結果は、Date
and Time に基づいて降順に並べられます。
Hide Microsoft Updates
このチェックボックスにチェックを入れると、Microsoft のアップデートはすべて表示されず、実際にイン
ストールされたソフトウェアパッケージのアップデートのみが表示されます。
Hide GUIDs
このチェックボックスにチェックを入れると、実際のソフト名ではなく GUID で登録されたソフトウェアはイ
ンストールされているソフトウェアとしては表示されません。GUID が通常有効でないアプリケーションの
みを一覧で表示します。
Don't Truncate Path
デフォルトでは、インストレーションディレクトリの最初の 50 文字だけが表示されます。このチェックボッ
クスにチェックを入れると、パスを全て表示します。
© <2002 - 2008> ... NETIKUS.NET ltd
245
Show Not Installed
このオプションにチェックを入れると、指定したアプリケーションがインストールされていないコンピュータ
の一覧を検出します。
Group By
1 つかそれ以上のフィールドを選択することにより(複数の選択を行うには、CTRL キーを押したままに
して下さい)、"Group By"ボックスから、出力をグループ分けすることが出来ます。
Show Chart
"Show Chart"オプションを選択すると、テキストでのレポートに加えて画像のチャートが表示されます。
1 つのフィールドでグループ分けを行うと円グラフが表示され、2 つのフィールドでグループ分けを行うと、
棒グラフが表示されます。3 つ以上のフィールドでグループ分けを行ってもグラフは表示されません。
Example
以下のチャートは、監視対象のマシンに現在 Mozilla Firefox のどのバージョンがインストールされてい
るかを表示します:
6.14.2
ソフトウェア履歴
ソフトウェア履歴ページには、コンピュータにソフトウェアがインストール、もしくはアンインストールされ
た履歴が表示されます。それぞれのソフトウェアのインストーラによって書き込まれた情報の量に応じ
て、以下の情報を確認出来ます:
© <2002 - 2008> ... NETIKUS.NET ltd
246
z
インストールされているソフトウェアの名前
z
メーカー
z
インストレーションディレクトリ
z
バージョン
Computer、Application、Publisher
上記のうち 1 つ、もしくはそれ以上のフィールドを選択したフィールドに合致するソフトウェアのデータの
みを表示することが出来ます。
Sort By
このフィールドを使って出力した内容を並び替えることが出来ます。デフォルトでは、出力結果は、Date
and Time に基づいて降順に並べられます。
Hide Microsoft Updates
このチェックボックスにチェックを入れると、Microsoft のアップデートはすべて表示されず、実際にイン
ストールされたソフトウェアパッケージのアップデートのみが表示されます。
Hide GUIDs
このチェックボックスにチェックを入れると、実際のソフト名ではなく GUID で登録されたソフトウェアはイ
ンストールされているソフトウェアとしては表示されません。GUID が通常有効でないアプリケーションの
みを一覧で表示します。
6.14.3
ハードウェア
ハードウェア一覧ページには、監視対象コンピュータのハードウェアや OS に関する様々な情報が表示
されます。以下のような情報が入手可能です:
© <2002 - 2008> ... NETIKUS.NET ltd
247
z
エディションやサービスパックの情報を含む OS
z
インストールされた CPU(速度や複数のコアなどの情報を含む)、インストールされたメモリ
z
MAC アドレスを含む、インストールされたディスクコントローラ、ネットワークアダプタ
z
メーカー、モデル、BIOS タイプ、BIOS バージョン
z
インストールされた光学式ドライブ
z
インストールされたグラフィックス・アダプタ
z
現在の稼働時間、最長稼働時間
利用可能なすべての機能の一覧はこちらをクリックして下さい。
Computer、CPU Speed、CPU Count、Memory、Service Pack、Graphics Adapter、Screen Resolution
上記のうち 1 つ、もしくはそれ以上のフィールドを選択したフィールドに合致するコンピュータのみを表示
することが出来ます。
Processor Type、OS、Bios Version/Serial Number
特定の文字列を指定して、合致するプロセッサタイプや OS を検索出来ます。例えば、"2000"を指定す
ると、Windows 2000 のマシンのみを検索します。
Sort By
このフィールドを使って出力した内容を並び替えることが出来ます。
Group By
1 つかそれ以上のフィールドを選択することにより(複数の選択を行うには、CTRL キーを押したままに
して下さい)、"Group By"ボックスから、出力をグループ分けすることが出来ます。
Show Chart
"Show Chart"オプションを選択すると、テキストでのレポートに加えて画像のチャートが表示されます。
1 つのフィールドでグループ分けを行うと円グラフが表示され、2 つのフィールドでグループ分けを行うと、
棒グラフが表示されます。3 つ以上のフィールドでグループ分けを行ってもグラフは表示されません。
© <2002 - 2008> ... NETIKUS.NET ltd
248
Results
コンピュータを 1 つ選択すると、show details オプションが自動的に展開されます。show/hide details リ
ンクをクリックすると、利用出来るメモリスロット、ネットワーク名、ディスクコントローラなどの詳細を切り
替えることが出来ます。
Wake On LAN
このオプションを使えば、コンピュータがダウンしている時に、Wake On LAN リクエストをリモートサーバ
ーに送信出来ます。WEB レポートを見れば、EventSentry のハートビートエージェントから記録される
値によって、リモートサーバーがダウンしているかもわかります。ハートビートエージェントでマシンを監
視していない場合、WEB レポートは、マシンがダウンしていると通知する前に、リモートサーバーに 2 つ
ping を送信します。
6.14.4
WakeOnLAN
EventSentry には、WakeOnLan のためのユーティリティファイルがあります。WakeOnLan が、リモートコ
ンピュータをオンにする簡単な方法です。デフォルトインストレーションでは、以下の URL に進めば、簡
単にファイルにアクセス出来ます。
http://localhost/EventSentry/eventsentry̲wake.asp
© <2002 - 2008> ... NETIKUS.NET ltd
249
複数の Mac アドレスが存在するコンピュータのイベントでは、ネットワークカードを使う時、上記の確認
画面が出ます。
Built-in Authenication
このページは、基本認証を受け付ける数少ないページの 1 つです。Mac アドレスパラメータでページが
自動的にロードされるようにスクリプトが設定されている場合に役立ちます。
Mobile Devices
職場に到着する前に、ワークステーションの電源がオンにするように携帯電話を設定出来ます。これは、
インターネットアクセスや VPN 接続が可能なスマートフォンを使っている場合、特に便利です。
EventSentry の WEB レポートのホストであるマシンにローカルホストを置き換えて、Mac アドレスパラメ
ータを置き換えるかコンピュータ名を追加してください。リンクにリクエストが成功したことが表示された
ら、URL をお気に入りに保存して、コンピュータを起動させたい時に実行して下さい。
http://localhost/EventSentry/eventsentry̲wake.asp?PROFILE=DEFAULT&computer=&mac=00-1e-4f
c3-12-4e&Submit=Submit
以下のメッセージが表示されます:
6.15
Nessus
EventSentry の v2.71 以降、既存の EventSentry のレポートシステムに Nessus 2.x か 3.x を簡単に統合
出来ます。これによって、Nessus スキャンによって提供される情報に、より効率的かつ簡単にアクセス
出来るようになりました。次のような情報や機能が提供されます:
© <2002 - 2008> ... NETIKUS.NET ltd
250
z
Nessus の基準により、すべてのホストにおいて特定の脆弱性を検索する
z
CVSS やリスクレベル、重要度での並び替えやフィルタリングを行ったホストごとの脆弱性を閲覧
する
z
時系列を閲覧して、いくつかのホスト、もしくはすべてのホストにおける脆弱性の傾向を確認する
データのインポート
Nessus、EventSentry とはまったく別の製品なので、Nessus の結果ファイル(nbe)から EventSentry の
データベースにデータを手動、もしくは自動でいインポートする必要があります。データのインポートに
は、es̲db̲nessus̲import.exe ユーティリティを使います。このユーティリティで nbe ファイルを解析し、デ
ータを再フォーマットし、EventSentry のデータベースに挿入します。詳細は、このコマンドラインユーテ
ィリティの構文で、nbe ファイルからのデータのインポートをご覧下さい。
Nessus レポートの閲覧
Nessus レポートを閲覧する前に、WEB レポートで Nessus がレポートを実行できるようにする必要があり
ます。この機能はデフォルトでは有効になっていません。この機能を有効にするには、プロファイルエデ
ィタを起動して、Nessus のタブで、"Enable Nessus"を"On"に設定します。この機能を有効にすると、
"Inventory"のメニューに"Nessus"オプションが表示されます。
Nessus レポ^トを作成する方法の詳細は、"Nessus Reports"をご覧下さい。
6.15.1
NBE ファイル、XML ファイルからのデータのインポート
EventSentry は、Nessus と一緒に出荷されず Nessus のコードも含んでいないため、Nessus に作成され
た出力ファイル(nbe か xml)を、EventSentry のデータベースにインポートする必要があります。それに
は、es̲db̲nessus̲import.exe コマンドラインアプリケーションを使います。このユーティリティは、
EventSentry と一緒に出荷され、EventSentry のインストレーションディレクトリにあります。
ユーティリティには、2 つのコマンドラインの因数が含まれています。EventSentry のデータベースを指
定する接続文字列/アクション名と、Nessus で作成された、nbe か xml ファイルのパスです。
Nessus のスキャンを自動で実行するようにスケジュールしている場合、es̲db̲nessus̲import.exe ユーテ
ィリティをスクリプトに含めることも出来ます。そうすると、作成されたデータは自動的に EventSentry の
データベースにインポートされます。
es̲db̲nessus̲import.exe <CONNSTRING>¦<ACTION> <NBE FILE>¦<XML FILE>
© <2002 - 2008> ... NETIKUS.NET ltd
251
オプション
<CONNSTRING>
EventSentry のデータベースを指定する接続文字列です。ユーザー名かパスワ
<ACTION>
ードを含んでいる必要があります。もしくは、es̲db̲nessus̲import.exe を実行する
マシンに EventSentry がインストールされている場合、EventSentry のアクション
名を指定することも出来ます。
<NBE FILE>
Nessus の nbe ファイルか xml ファイルへのパスです。データベースにインポート
<XML FILE>
するために必要です。
レポートに複数回表示されてしまうので、同じ Nessus スキャンを 2 回以上インポートしないで下さい。同
じ Nessus レポートをたまたま複数回インポートしてしまった場合、メンテナンスウィザードを使って二重
になったスキャンを削除して再度インポートすることが出来ます。コマンドラインユーティリティからの出
力結果は、通常下図のようになります。ユーティリティには、いくつスキャンが発見されたか、どのくらい
の時間スキャンを行ったか、いくつのラインが処理されたかが表示されます。
6.15.2
Nessus レポート
EventSentry の Nessus レポートには、Nessus スキャンに関する様々な情報が表示され、これを使えば
Nessus で収集されたデータの詳細な検索を実行することが出来ます。Nessus レポートでは、以下の検
索条件に基づくクエリーを実行することが出来ます:
z
ポート
z
プラグイン ID
z
説明
z
危険因子
z
重要度
z
CVSS レベル
z
日時
© <2002 - 2008> ... NETIKUS.NET ltd
252
Computer
選択に合致するコンピュータのみを表示します。
Port
ポートを選択すると、選択したポートが開いているコンピュータのみを表示します。
Plugin ID
プラグインの ID を選択すると、特定のプラグイン ID からの結果のみを表示します。
Scans
このリストからスキャンを選択すると、その特定の Nessus スキャンからの結果のみを表示します。この
選択は、From/To や Limit での選択よりも優先されます。
Description
テキストに、指定した説明(プラグインテキスト)を含む結果のみを表示します。
Risk Factor/Severity
このボックスから 1 つかそれ以上をチェックすると、チェックした危険因子や重要度に合致する結果の
みを表示します。
CVSS
CVSS コードが利用できる場合、選択した CVSS コードに合致する結果のみを表示します。
Sort By
このフィールドを使って出力した内容を並び替えることが出来ます。デフォルトでは、出力結果は、Date
and Time に基づいて降順に並べられます。
Group By
1 つかそれ以上のフィールドを選択することにより(複数の選択を行うには、CTRL キーを押したままに
して下さい)、"Group By"ボックスから、出力をグループ分けすることが出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
253
Show Chart
"Show Chart"オプションを選択すると、テキストでのレポートに加えて画像のチャートが表示されます。
1 つのフィールドでグループ分けを行うと円グラフが表示され、2 つのフィールドでグループ分けを行うと、
棒グラフが表示されます。3 つ以上のフィールドでグループ分けを行ってもグラフは表示されません。
Open Ports/Vulnerabilities
このチェックボックスを使って、オープンポートや脆弱性を含む結果をフィルタリングすることが出来ます。
チェックボックスにチェックを入れない場合、ページには両方を含む結果が表示されます。
Search
通常の検索を行って、テキストフォーマットで出力します。
Chart Trends
このボタンをクリックすると、時系列図を作成して異なる重要度や危険因子の総数を時間ごとに比較す
ることが出来ます。例えば 1 つの重要度を選択することで、作成した時系列図にフィルターを適用する
ことも出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
254
6.16
環境監視
環境センサーを 1 つ以上購入して環境データをデータベースに書き込むように EventSentry を設定して
いる場合、温度や湿度、動作のチャートを閲覧出来ます。現在、環境監視で利用できるレポートは以下
の通りです:
z
温度チャート
z
湿度チャート
z
動作チャート
環境レポートを使って、以下のことを実行出来ます。
z
温度と湿度を時間ごとに追跡して、長期、または短期の傾向を把握する
z
細かなロケーションでのアクセスログを確認して、特定のロケーションで動作が検出された時間を
正確に把握する
z
動作の統計データを閲覧して、指定した日や 2 週間以上の間で動作がどのように行われたかを比
較する
詳細は以下のチャプターをご覧下さい。
6.16.1
温度/湿度
環境モニターを購入して環境監視をデータベースに書き込むように EventSentry を設定している場合、
温度や湿度の履歴を環境チャートページで閲覧出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
255
以下のオプションを設定出来ます:
Current Values:Display ボタンをクリックすると、最新の温度と湿度の値が表示されます。
Source:温度や湿度を監視するコンピュータを選択します。
Display:温度や湿度を閲覧するかを選択します。
Temperature Scale:温度を閲覧する際、カ氏とセ氏どちらで表示するかを選択します。
From/To:時間間隔を指定します(オプション)。カレンダーを表示するには、カレンダーのアイコンをク
リックします。
Detail Level:収集したデータが多い場合、チャートにそれぞれの値を表示することが出来ない場合が
あります。その代わり、それぞれ"Max # of Points"が表示されます。
例えば、表示の間隔が 100 のエントリーを含んでいて"Max # of Points"が 20 に設定されている場合、
それぞれお 5 番目のデータのみが表示されます。最大ポイントを 50 に変更した場合、それぞれ 2 つ目
© <2002 - 2008> ... NETIKUS.NET ltd
256
の値が表示されます。
このオプションを"First X Points"に設定すると、データベースから最初の"Max # of Points"のみが読み
出され、後の値は無視されます。
Chart Size & Type:チャートのサイズや形式を調整します。
直近 3 日間のクエリーは、通常下図のように表示されます:
© <2002 - 2008> ... NETIKUS.NET ltd
257
同じく直近 3 日間の湿度のグラフは下図のようになります:
6.16.2
動作
付属の動作センサーで動作が検出されると、動作検索ページに表示され、以下の情報が確認出来ま
す:
z
動作が検出された正確な時間
z
2 週間の動作検出の総括がわかる棒グラフサマリー
z
1 回以上動作が検出された日それぞれの動作の詳細のサマリー
Computer
動作を監視するコンピュータを選択します。どのコンピュータにも合致させるには ANY を選択します。
Location
センサーからの結果の検索範囲を絞るために場所を選択します。
© <2002 - 2008> ... NETIKUS.NET ltd
258
Motion Output
動作検索の出力結果は、下記のスクリーンショットのように表示されます。
Motion Summary
その週のそれぞれの日に動作が何回検出されたか示す、2 週間分のサマリーです(図 1)。棒にマウス
をあわせると、その日に検出された動作の回数が確認出来ます。
Detailed Motion Search
詳細結果(図 2)には、動作センサーが動作を検出した正確な時刻が表示されます。出力される際には、
日毎にグループ分けされ、場所、コンピュータ、アクセス時間が表示されます。1 時間ごとのグラフを見
るには、"View detailed chart"をクリックします。
動作のデータは、CSV 形式でも表示出来ます。
Hourly Chart
1 つ以上のコンピュータで動作が検出された時間の 1 時間ごとのグラフです(図 3)。
図1
図2
© <2002 - 2008> ... NETIKUS.NET ltd
259
図3
メンテナンス
6.17
6.17.1
メンテナンスウィザード
メンテナンスウィザードを使えば、EventSentry のデータベースから、必要のなくなったデータを削除す
ることが出来ます。サポートされているデータベースで、自動的に古いデータを削除することも出来ま
す。
メンテナンスウィザードで削除されたデータは、すべて完全に消去され、データベースのバックア
ップを行っていない限り復元出来ません。メンテナンスウィザードでは、すべてのタスクに対して
データベースの管理者のログインやパスワード(例えば、sa、root、SYSTEM)の入力が求められ
ます。
© <2002 - 2008> ... NETIKUS.NET ltd
260
メンテナンスウィザードを使って、以下のデータを削除出来ます:
z
選択したコンピュータからすべてのデータを削除する
z
コンピュータから選択したインスタンスを削除する
z
パフォーマンスカウンターを削除する
z
論理ドライブからデータを削除する
z
Nessus スキャンを削除する
z
イベントログコメントを削除する
z
バイナリデータを削除する
z
フィルターを削除する
z
失効した(古い)データを削除する
z
イベント形式を削除する
コンピュータからすべてのインスタンス(データ)を削除する
コンピュータで収集したすべてのデータを削除します。そのコンピュータがもはや使われなくなった場合
に便利です。同時に複数のコンピュータを選択することも可能です。
© <2002 - 2008> ... NETIKUS.NET ltd
261
グループが Active Directory にリンクされていて、コンピュータが削除されると、残されて孤立したコンピ
ュータには印が付きます。チェックボックスをクリックすると、すべての孤立したコンピュータが選択され
ます。
コンピュータから特定のインスタンスだけを削除する
コンピュータで収集した特定のデータを削除します。例えば、選択したコンピュータからすべてのディス
ク容量データやすべてのパフォーマンスデータを削除することが出来ます。
パフォーマンスカウンターを削除する
選択したコンピュータ、もしくはすべてのコンピュータからすべてのパフォーマンスカウンターのデータを
削除します。
© <2002 - 2008> ... NETIKUS.NET ltd
262
論理ドライブを削除する
選択した論理ドライブからすべてのデータを削除します。例えば、ディスクが削除されたドライブが名画
変更された時などに使います。
Nessus スキャンを削除する
Nessus スキャンに関連するすべてのデータデータベースから削除します。選択したスキャンの間に収
集されたすべてのデータが、データベースから削除されます。
コメントを削除する
データベースからコメントを削除します。
© <2002 - 2008> ... NETIKUS.NET ltd
263
フィルターを削除する
データベースからフィルターを削除します。このフィルターに関連するすべてのイベントログデータを削
除するわけではありません。フィルターの一覧から選択したフィルターを削除するだけです。
バイナリデータを削除する
データベースのイベントログメッセージから収集したバイナリデータを削除します。関連するすべてのイ
ベントログメッセージが削除されるわけではありません。バイナリデータが削除されるだけです。
古いデータを削除する
データベースから古いデータを削除します。例えば、選択したコンピュータ、もしくはすべてのコンピュー
タから、古いイベントログデータや古いディスク容量データを削除出来ます。データベースのスピードや
サイズにもよりますが、古いデータの削除には時間がかかることが多いので、日中の仕事が忙しい時
間にこの機能を使うことは推奨しません。サポートされているデータベースで、自動的に古いデータを
削除することも出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
264
イベント形式を削除する
形式に基づいてデータベースをからデータを削減出来ます。情報のイベントを削除してエラーメッセー
ジや警告メッセージを残しておきたい時に便利です。
© <2002 - 2008> ... NETIKUS.NET ltd
265
SQL
選択に関わらず、SQL を閲覧したり削除したり出来るオプションがあります。SQL を選択すると、メンテ
ナンスウィザードが、選択を削除するために必要な、ふさわしい SQL 文を作成します。大量のデータを
削除する際、これらの命令文を MySQL Query Browser や SQL Server Management Studio のような利
用可能なデータベースツールにコピーする場合に役立ちます。SQL を使う際、認証は必要ありません。
削除
データベースからデータを削除するためには、SQL Server の sa や MySQL の root のような管理者パス
ワードが必要です。メンテナンスウィザードには、削除される WEB レポートのそれぞれのエリアのプロ
グレスバーが表示されます。それぞれのエリアは個別に削除されるため、以前のバージョンのメンテナ
ンスウィザードで発生したタイムアウトの問題は、今は起こりません。Copy SQL to clipboard をクリック
すると、そのエリアを削除するために使用された SQL 文がクリップボードにコピーされ、利用できるデー
タベースツールで使うことが出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
266
There was a problem
イベントに上記のメッセージが表示された場合、メッセージをクリックすると詳細が表示されます。このメ
ッセージは、WEB レポートからコンピュータを削除するけれど情報を書き込むエージェントは WEB レポ
ートにまだ存在する場合によく表示されます。この場合、コンピュータを削除すると制約に違反してしま
うことになります。
© <2002 - 2008> ... NETIKUS.NET ltd
267
6.17.2
データベース利用
Database Usage ページには、EventSentry のデータベースのサイズに関する詳細な情報が表示されま
す。このページでは、EventSentry のどのエリアがデータベースの容量を消費しているかの詳細を俯瞰
して確認出来るようになっています。それぞれのデータベースで利用できる統計データは異なる場合が
あります。このページは、Microsoft SQL Server か MySQL でのみ利用出来ます。
6.17.3
データベースのセットアップ
Database Setup を使えば、WEB レポートで EventSentry のデータベースを作成したりアップデートしたり
出来ます。このページは、Microsoft SQL Server か MySQL でのみ利用出来ます。
新しいデータベースの作成
New Database を選択すると、WEB レポートはインストーラと同じ SQL 文を使ってデータベースを作成し
ます。データベースが作成されると、与えられたクレデンシャルに基づいて自動的にプロファイルを作
成するオプションが利用出来ます。
© <2002 - 2008> ... NETIKUS.NET ltd
268
既存データベースのアップデート
Update Database を選択すると、WEB レポートはインストーラと同じ SQL 文を使ってデータベースをアッ
プデートします。
© <2002 - 2008> ... NETIKUS.NET ltd
269
詳細なロギング
Verbose Logging のチェックボックスにチェックを入れると、Database Setup にデータベースを作成したり
アップデートしたりするのに使用した SQL 文が表示されます。
© <2002 - 2008> ... NETIKUS.NET ltd
270
© <2002 - 2008> ... NETIKUS.NET ltd
271
6.18
6.18.1
オプション
プロファイルエディタ
プロファイルエディタを使えば、XML 設定ファイルである WebReportsConfig.xml でプロファイルの設定を
管理出来ます。WEB レポートが正常に動作するには、最低 1 つのプロファイルが必要です。
プロファイルには、以下のような情報が含まれます:
z
データベース接続情報(データベースサーバーホスト名、ログインなど)
z
言語
z
デフォルト検索設定
通常は XML ファイルに 1 つのプロファイルがあれば十分ですが、複数のプロファイルがあると便利な場
合もあります。特に、2 名以上の管理者が定期的に WEB レポートを利用する場合に便利です:
z
WEB レポートで異なるユーザーが異なる言語を使用する
z
同じサーバーで複数のデータベースにアクセスしたい
z
異なるユーザーが異なるフォントサイズを使用したい
z
WEB レポートで異なるユーザーが異なるデフォルトの設定を使用したい
z
異なるダッシュボードの異なるプロファイル
プロファイル概説
使用したい数だけプロファイルを作成出来ます。また、メニューバーのプルダウンを使って複数のプロ
ファイルを切り替えることが出来ます:
結果を閲覧している間にプロファイルを変更しても、現在の出力結果は変わりません。新しいプロファイ
ルを有効にするには、新しく選択するか検索を実行する必要があります。
© <2002 - 2008> ... NETIKUS.NET ltd
272
プロファイルに直接アクセスする
以下の構文の URL 名にプロファイル名を加えれば、デフォルトではないプロファイルに直接アクセス出
来ます:
?PROFILE=ProfileName
ProfileName の個所には、プロファイル名が入ります。例えば、異なるプロファイルのダッシュボードにア
クセスするには以下のアドレスにアクセスして下さい。
http://localhost/EventSentry/eventsentry̲dashboard.asp?PROFILE=ProfileName
組み込み認証
組み込み認証がオンになっているイベントでは、オフの場合と同様にプロファイルエディタはそれぞれ
のユーザーにデフォルト値を設定します。組み込み認証により、それぞれのユーザーが、現在プロファ
イルに存在している多くの値に対する User Overrides を再度作成出来ます。しかし、データベース接続
は、プロファイルエディタで表示されるだけです。
プロファイルの作成と削除
新しいプロファイルの作成
新しいプロファイルを作成するには、プロファイルエディタで Create New Profile をクリックするだけです。
プロファイルのすべての設定を指定して、スクリーンの右端の Apply ボタンをクリックします。
プロファイルの削除
プロファイルを削除するには、プロファイルエディタで削除したいプロファイルを選択して Edit Selected
Profile ボタンをクリックします。プロファイルを削除するには、プロファイルの詳細スクリーンで Delete
Current Profile ボタンをクリックします。
© <2002 - 2008> ... NETIKUS.NET ltd
273
デフォルト値の変更
デフォルトの設定を変更するには、数値を変更して右隅の下の Apply ボタンをクリックするだけです。多
くの数値に関しては画面を見ればすぐわかります。いくつかの数値に関する説明は、下記をご覧下さ
い。
デフォルトプロファイル
1 つのプロファイをプロファイルのデフォルトに設定出来ます。このオプションは、2 つ以上のプロファイ
ルが設定されている場合にのみ便利です。プロファイルを指定せずに WEB レポートにアクセスした場
合(例えば、http://localhost/EventSentry)、自動的にデフォルトプロファイルがロードされます。
ロケーションの表示
有効にすると、コンピュータにロケーションをアサインして、ロケーションに基づいて情報を検索出来ま
す。ロケーション機能をサポートアするすべてのペ−ジ(例えばイベント検索ページ)でロケーションを作
成してコンピュータにロケーションをアサイン出来ます。ロケーションを有効にする際は、以下の 2 点に
注意してください:、
z
ロケーション機能を有効にすると、特定のデータベースのクエリーにかかる時間が長くなるかもし
れません。この機能を有効にしてクエリーのスピードが遅くなり、クエリーのスピードを優先したい
場合は、機能を無効にして下さい。
z
コンピュータがロケーションにアサインされていない場合、そのコンピュータはいかなるクエリーに
も表示されません。データベースのすべてのコンピュータを常にロケーションにアサインするように
して下さい。
© <2002 - 2008> ... NETIKUS.NET ltd
274
詳細
様々なフォームの要素に焦点を当てると、フィールドの右側の Help のボックスに詳細が表示されます。
6.18.2
アカウントマネージャー
アカウントマネージャーは、組み込み認証の有効/無効を切り替えたり、ユーザーやグループアカウント
の権限/承認の設定を行ったりするために設計されています。詳細は認証のセクションをご確認下さ
い。
© <2002 - 2008> ... NETIKUS.NET ltd
275
6.18.3
アカウント設定
Account Settings ページは、EventSentry の組み込み認証が有効な場合にのみ利用出来ます。このペ
ージでは、権限や承認の状況を閲覧したり、パスワードを変更したり、変更を管理したり出来ます。
General
このタブでは、認証グループのアサインメントを閲覧するだけでなく、ユーザー名やメールアドレス、パ
スワードを変更出来ます。グループアサインメントもアカウントステータスもこのページから変更すること
は出来ません。
Privileges
このタブでは、権限や承認を閲覧出来ます。読み取り専用です。
© <2002 - 2008> ... NETIKUS.NET ltd
276
Options
このタブは、Account Settings ページで最も便利な部分です。それぞれのユーザーが、好みに応じてオ
プションを上書きすることが出来ます。Computer Overview ページで特定のパフォーマンスカウンター
や項目がロードされた順番を閲覧したい場合、上書きを有効にして設定出来ます。以下の図は、
Default Record Limit と Default Time Limit を上書きした例です。
© <2002 - 2008> ... NETIKUS.NET ltd
277
© <2002 - 2008> ... NETIKUS.NET ltd