System Center Operations Manager 2012 R2 イベントログ監視について
こんにちは、日本マイクロソフト システムセンターサポートの新木です。
今日は、System Center Operations Manager 2012 R2 (以下 SCOM) において、監視対象コンピューター上で記録されたイベント ログを監視する場合の「アラート生成ルール」作成に対する考え方をまとめます。
以下 (A) から (D) のシナリオをもとに説明したいと思います。
(A) 特定のソースとID をもつイベントを監視したい場合
(B) 特定のソースとID をもつイベントにおいて、説明に特定の文字列が出力されたときのみを監視したい場合
(C) 特定のソースの中で、複数のイベントID を範囲指定して監視したい場合
(D) 特定のソースにて、イベントのレベルが「エラー」であるものをすべて監視したい場合
*********************************************************************
(A) 特定のソースとID をもつイベントを監視したい場合
*********************************************************************
例えば Hyper-V 環境において、ゲスト OS の再起動やリセットを検知する際に記録されるイベントをトリガにしてアラートを検知したい場合を例に手順を説明します。
このイベントの種類は "Microsoft-Windows-Hyper-V-Worker-Admin"、ソースは "Microsoft-Windows-Hyper-V-Worker"、イベント ID は"18514" となります。
ソース: "Microsoft-Windows-Hyper-V-Worker" かつ イベント ID :"18514" の監視をするルールの作成手順は以下のとおりです。
1. SCOM 管理コンソールの [作成] タブを開きます。
2. [管理パックオブジェクト] - [ルール] を右クリックし、[新しいルールの作成]をクリックします。
3. [ルールの作成ウィザード] ウインドウで、[アラート生成ルール] - [イベント ベース] - [NT イベント ログ(アラート)] を選択します。
4. ルールを保存する管理パックを指定し、[次へ] をクリックします。
5. "全般" ページでは、以下のとおり設定します。
ルール名:任意のルール名を設定します。
説明 : 必要に応じて、ルールの説明を入力します。
ルール カテゴリ:"アラート" を選択します。
ルールのターゲット:"Hyper-V ホスト" を選択します。
ルールを有効にする:チェックを付けます。
6. [次へ] をクリックします。
7. "イベント ログの種類" ページにて、ログ名に "Microsoft-Windows-Hyper-V-Worker-Admin" を 入力し、[次へ] をクリックします。
※この設定は、[...] ボタンからイベントログの種類を指定することもできますし、手入力でログ名を入力しても構いません。
8. "イベントの式の作成" ページにて、以下のように設定します。
|パラメーター名 | 演算子 | 値 |
|イベント ID | 次の値と等しい | 18514 |
|イベント ソース| 次の値と等しい | Microsoft-Windows-Hyper-V-Worker|
9. [次へ] をクリックします。
10. "アラートの構成" ページにて、以下のように設定し、[作成] をクリックします。
アラート名:任意のアラート名を入力します。
アラートの説明:任意の説明を設定します。
優先順位:任意の優先順位を選択します。
重要度:任意の重要度を選択します。
アラートの抑制:重複したアラートの検知を抑制したい場合のみ設定します。今回は、[イベント ID] と [イベント ソース] がアラート検知の条件となっていますので、この 2 つのフィールドをチェックし、[OK] をクリックします。
【アラート抑制についての補足】
アラートの抑制が有効になっていると、最初のアラートだけが送信され、そのアラートが未解決状態で追加のアラートが作成された場合、そのアラートは抑制されます。抑制されたアラートは SCOM コンソールには表示されません。そのかわり、アラートの繰り返し回数が増加します。アラートの抑制では、アラートを一意に識別する最小数のフィールドを指定すべきです。重複アラートとして抑制するためには、抑制条件に明記されたフィールドが完全に同一でなければなりません。同じルールによって作成されたアラートで、かつ解決されないアラートでなければ、重複アラートとは見なされません。
イベントログを監視する場合の「アラート生成ルール」作成手順は、基本的には上記 (A) の手順通りです。
以下に (B) (C) (D) のルールの作成方法をお伝えしますが、上記手順のステップ 8 がポイントとなります。あとの手順については、(A) と同じですので割愛します。
(B) 特定のソースとID をもつイベントにおいて、説明に特定の文字列が出力されたときのみを監視したい場合
(C) 特定のソースの中で、複数のイベントID を範囲指定して監視したい場合
(D) 特定のソースにて、イベントのレベルが「エラー」であるものをすべて監視したい場合
*********************************************************************
(B) 特定のソースとID をもつイベントにおいて、説明に特定の文字列が出力されたときのみを監視したい場合
*********************************************************************
ソース: "Microsoft-Windows-Hyper-V-Worker"、イベント ID :"18514" のイベントは、説明欄に、対象の仮想マシン名が表示されます。
特定の仮想マシンに対してこのイベントが記録されたときのみアラートを出力したいという場合は、"イベントの式の作成" ページにて、以下のように設定します。
|パラメーター名 |演算子 |値 |
|イベント ID |次の値と等しい |18514 |
|イベント ソース |次の値と等しい |Microsoft-Windows-Hyper-V-Worker|
|EventDescription |次の値を含む |<監視対象の仮想マシン名> |
"EventDescription"のパラメーター設定方法は以下のとおりです。
1. [挿入] をクリックし、新しく追加された条件の [...] をクリックします。
2. "イベント プロパティの選択" 画面にて、[上で指定されていないパラメーター名を指定する] を選択し、"EventDescription" と入力の上、[OK] をクリックします。
3. "EventDescription" の演算子として "次の値を含む" を選択し、値として監視対象の仮想マシン名を指定します。
*********************************************************************
(C) 特定のソースの中で、複数のイベントID を範囲指定して監視したい場合
*********************************************************************
例えば、ソース: "Microsoft-Windows-Hyper-V-Worker"、かつ、イベント ID が "18500" から "18599" の範囲にあるイベントログを監視したいといった場合、正規表現を用いて、イベントIDの条件を設定することができます。"イベントの式の作成" ページにて、以下のように設定します。
|パラメーター名 |演算子 | 値 |
|イベント ID |次の正規表現と一致する | 185.. |
|イベント ソース |次の値と等しい |Microsoft-Windows-Hyper-V-Worker|
※ 値で指定している「 . 」は任意の 1 文字を意味します。「 5 」で始まる 4 桁の ID のイベントを収集したい場合には「 5... 」と指定します。
※ [次の正規表現と一致しない]という演算子もあります。
※ SCOM で使用可能な正規表現については、英語の情報となりますが以下の公開資料をご参考ください。
Regular expression support in System Center Operations Manager
https://support.microsoft.com/en-us/kb/2702651
*********************************************************************
(D) 特定のソースにて、イベントのレベルが「エラー」であるものをすべて監視したい場合
*********************************************************************
例えば、ソース: "Microsoft-Windows-Hyper-V-Worker" のイベントで、レベルが「エラー」であるものをすべて監視したいといった場合は、"イベントの式の作成" ページにて、以下のように設定します。
|パラメーター名 |演算子 | 値 |
|イベント ソース |次の値と等しい |Microsoft-Windows-Hyper-V-Worker|
|イベントのレベル |次の値と等しい |エラー |
※ イベントのレベル "重大" については、SCOM が "エラー"と同等と見なして処理致します。
従いまして "重大" レベルのイベントを監視対象に含めるためには、プルダウン メニューで "エラー" を指定する必要があります。
ただし "重大" を "エラー" と同等と見なしているため、"重大" レベルのイベントのみを個別にフィルタ条件に指定することはできません。
また、"重大" レベルのイベントを SCOM 側で収集あるいはアラートを出力した場合の表示は "エラー" となります。
*********************************************************************
補足:作成しようとしているルールが、弊社で公開している管理パックに存在するかもしれません。
*********************************************************************
監視対象のイベントログが Windows ログであるか、Exchange Server などのアプリケーション、または Hyper-V などの機能に特化したイベントであるかを判断します。
Windows ログである場合は、Windows OS 用の管理パック内に、対象のイベントログを監視するルール/モニターが既に存在するかどうか確認します。
Exchange Server や Hyper-Vなどのアプリケーションや機能に特化したイベントである場合は、対象アプリケーションのSCOM 用監視パックが存在するかどうか、存在する場合は、対象のイベントを監視するルール/モニターが既に存在するかどうかを確認します。
存在する場合は、管理パックを使用した監視を行うというのも一つの方法です。
ただし、正直なところ、管理パックの中身を詳細に追わないと判断がつかない場合もあります。その際は私たちサポートまでお問い合わせいただければ幸いです。
"Management Pack Guides for Windows Operating Systems and Technologies"
https://technet.microsoft.com/en-us/library/dd279602.aspx
"MP WiKi"