Winログ詳細

2019年1月1日 2019年11月19日

hasegawa

ログの監視を行います。正規表現キーワードを用いた詳細な監視が可能です。Windows（2000/2003/2008/2012）専用の監視です。

win側にプログラムを設置し監視をおこないます。windows内にあるテキストログを柔軟に監視可能です。

設定方法

監視プログラムの監視対象機器への設置をまずおこないます。プログラムファイル名を変更する事も可能です。｢プログラムの対象機器への設定｣を押下すると、対象機器にプログラムを設置します。

プログラム設置ができた場合、｢監視対象ログファイル｣｢正規表現キーワード｣｢その他の判定｣｢復旧アクション設定｣｢グラフ設定｣｢タイムアウト設定｣の設定をおこないます。

対象機器側の監視をおこないたいログファイル（テキストベースである必要があります）のフルパスを「ファイルパス」に設定します。このとき、ロテート条件など様々なルールでログファイルを指定できます。こちらは、ウェブ画面内の設定例を参考にご設定が簡単に行えます。
「正規表現キーワード」では、ログ内に現れる検知したいキーワードを設定します。
｢その他の判定｣では、ログサイズでの判定、ログ行数での判定、ログの増加での判定等の設定が可能です。
｢復旧アクション設定｣では、エラー状態からの復旧方法を選択することが出来ます。
｢手動で復旧を行う｣（アラート発生後、現在アラート情報画面等から手動で復旧ボタンが押下されるまで、エラー状態のままとなります。）か、｢自動で復旧させる｣（アラート発生後、次回以降の監視時にエラー条件にマッチするログが存在しなければ、その時点で自動的に復旧となります。）のどちらかを選択可能です。
また、手動復旧の場合、アラートを検知したあとは画面上はアラート状態が継続されますが、監視は継続しておこなわれており、内部的には復旧している場合があります。そのためアクションの動作が画面上と違ってしまう場合がありますので、手動復旧の場合は｢アクション実行回数｣を｢制限なし※｣にして頂くか、アクションの実行をしないようにして頂き、運用してください。※｢制限なし｣は連続で300回まで行います。
「グラフ設定」ですが、グラフに現れるプロットデータのタイトルをつける事が可能です。また、ここにプロットされるデータに関してはカスタマイズが可能です。詳しくは画面上の｢監視結果のグラフプロットについて｣をご覧下さい。
「監視対象ログ行数制限」では、監視対象ログ行数を制限することで、突発的に大量にログが出力された場合に監視がタイムアウトするのを防ぐことが出来ます。但し、ここで設定したログ行数以上のログが存在した場合、超えた分のログの検知は次回以降の監視に回されますのでご注意下さい。

上記全て設定が終わった場合、｢監視のテスト実行｣を実施する事により、設定した内容で実際に監視可能か、マッチするかのテストをおこないますので、この機能で監視できるかを確認したうえで監視をおこなってください。

winログ詳細監視は、対象機器にプログラムを設置し、そのプログラムをwinのサービスで動作させます。（サービス名はPatrolClarice Log Matcher(プログラム名)）（※上記サービスは監視時以外は停止状態となっています。）そのため、対象機器の環境や状況により、監視の設定ができない場合や監視がおこなえない場合がございますのでご了承いただきますようお願い致します。
winログ詳細監視は、デフォルトでは検知行数が100行を超える場合、先頭、行末の各50行のみ表示します。変更したい場合、対象機器のシステム環境変数に「CL3011_MAXL=nnn」(※nは数値)を設定して頂ければ表示行数の変更が可能です。
winログ詳細監視は、取得に3秒以上かかるため、タイムアウトを20秒にしていた場合、一つの対象機器に対して一回の監視でおこなえる上限は最大で6個までとなります。分散化機能もしくは指定時間監視で監視間隔をずらして設定して頂くと6個以上の監視も可能です。
winログ詳細監視は、監視削除時には対象機器側のサービス、設置したプログラムに対して自動的に削除を試みますが、もし削除がされなかった場合は対象機器側に設置したプログラムの削除、サービスの削除などをおこなってください。なお、サービスの削除は対象機器のDOSプロンプト上で「sc delete winログ詳細監視のサービス名」とする事でサービスを削除することが可能です。
winログ詳細では、インストール、アンインストール時に445/tcp (microsoft-ds)、139/tcp (netbios) の順に接続を試み、実施します。また、139/tcp時は137/udp、139/udpも利用する場合がございます。

障害の判断

指定秒数内での応答がなかった場合
接続エラーが発生した場合
指定したキーワードにマッチした場合
その他、「エラーコード一覧」のエラー内容を参照して下さい。

その他特徴

分類：内部監視
監視テスト：実行可能
リカバリ確認モードへの移行：可能
グラフ：レスポンスタイムグラフ、P1〜P4グラフ

対応OS

ポイント数：1

RH	WIN	Sol	AIX	Free BSD	vm	AWS	Azure	etc
×	○	×	×	×	×	×	×	×

監視の種類: 内部監視

監視項目: WindowsOS専用、ログ監視

本製品の監視は内部監視、外部監視という種別があります。内部監視の仕組みは監視間隔が同一の場合まとめて監視をおこなう（一回のログインで、複数の監視をおこなう）という仕組みとなっております。これは対象機器に対する負荷の軽減をおこなうための機能となります。

※上記の仕様のため、同一機器の内部監視の同時刻での監視はおこなう内部監視の最大のタイムアウト秒が参照され、実行されます。運用上問題無いようであれば同一機器の内部監視のタイムアウト秒は揃える事をお勧めします。

※linux,unix系では約35秒のタイムアウトとなっております。値の変更はできません。

※内部監視で同一IP上に対して一度におこなえる上限監視数は32個となっております。

※ログ詳細監視等で複数個の監視をおこなった際にタイムアウトエラーが頻発するような場合、指定時間監視を利用し、対象機器の内部監視の実行時間をずらす事によりタイムアウトエラーが軽減される事があります。また、対象機器単位で接続エラー等の同一のエラーが同時期に発生した場合、内部監視のエラーアクションはまとめられ実行されます。これは接続エラー時に大量のメールアクション等が起きないようにするための機能となります。上記のエラーのアクションのまとめ機能は製品出荷時はONの状態となっていますが、エラーのアクションをまとめたく無い場合、マネージャサーバ上で以下のようにクーロン情報を編集することでエラーアクションをまとめなくなります。クーロン情報の一行目に下記例のように「CLARICE_ONEBYONE=1」と記述して頂くと、エラーアクションのまとめ機能が働かなくなります。

※クラリスユーザーはclとして記述していますので読み替えて実行してください。

crontab -u cl -l
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (/tmp/crontab.28134 installed on Tue Oct 6 15:17:52 2009)
CLARICE_ONEBYONE=1
0,10,20,30,40,50 * * * * $HOME/bin/dispatch >> log/lastlog.dispatch 2>&1
0,10,20,30,40,50 * * * * $HOME/bin/rrdreport >> log/lastlog.rrdreport 2>&1
・・・・

※チャット監視は単独でおこなわれるため、上記まとめ機能は働きません。

Winログ詳細

設定方法

障害の判断

その他特徴

対応OS

指定PORT

Rootkit