5.2.1.3.4.8. イベントログフィルタ定義¶
イベントログフィルタ一覧
イベントログフィルタ一覧とその内容を下記に示します。
項目 |
内容 |
---|---|
「名称」フィールド |
イベントログフィルタの名称を表示します。 |
「情報、警告、エラー、重大、詳細、成功の監査、失敗の監査」フィールド |
"抑止"、"空白"、"送信メッセージID"の3つの値をとります。イベントログの種類が「情報、警告、エラー、重大、詳細、成功の監査、失敗の監査」のそれぞれの内容について、フィルタで定義した条件をどのようにフィルタリングで使用するかを表示します。 |
「下へリンク」 |
イベントログフィルタ判定条件画面へ遷移します。 |
「プロパティリンク」 |
各イベンログフィルタのプロパティを表示させたい場合にクリックします。イベンログフィルタプロパティを表示します。 |
イベントログフィルタのプロパティ
イベントログフィルタのプロパティとその内容を下記に示します。
項目 |
内容 |
---|---|
「イベントログフィルタ名」フィールド |
イベントログフィルタの名称を表示します。 |
「正規表現」フィールド |
フィルタで定義した、すべての監視項目の検索文字列を、正規表現として解釈するかしないかを表示します。 |
「正規表現種別」フィールド, |
|
項目 |
内容 |
---|---|
「種類」フィールド |
判定条件の対象となる、イベントログの種類を表示します。 |
「処理」フィールド |
|
「送信メッセージID」 |
判定条件にマッチした際に送信するメッセージIDを表示します。リンクからメッセージのプロパティ画面に遷移します。詳しくは メッセージ定義 を参照してください。 |
項目 |
内容 |
---|---|
「処理」フィールド |
発生したイベントのログが、判定条件で定義した条件に一致した場合の動作を表示します。 |
「送信メッセージID」フィールド |
送信するメッセージIDを表示します。リンクからメッセージのプロパティ画面に遷移します。詳しくは メッセージ定義 を参照してください。 |
「付加メッセージ」フィールド |
付加メッセージを表示します。 |
「判定条件」フィールド |
検索対象となる、ソース、タスクのカテゴリ、イベントID、ユーザー、コンピュータ、キーワード、オペコード、説明フィールドの検索文字列の一覧がカンマ(,)で区切られて、表示されます。 |
5.2.1.3.4.8.1. イベントログフィルタの新規作成、変更と削除¶
イベントログフィルタの新規作成/変更
イベントログフィルタの新規作成/変更とその内容を下記に示します。
項目 |
内容 |
---|---|
「イベントログフィルタ名」フィールド |
イベントログフィルタの名称です。 |
「正規表現を使用」チェックボックス |
フィルタで定義した、すべての監視項目の検索文字列を、正規表現として解釈する際にチェックします。 |
「正規表現種別」選択ラジオボタン |
“基本正規表現”と“高度な正規表現”の 2 つの値をとり、検索文字列を正規表現として解釈する際、どちらの正規表現を使用するか指定しています。 |
「送信種別」 フィールドの「情報・警告・エラー・重大・詳細・成功の監査・失敗の監査」フレームの「デフォルト送信、デフォルト抑止」選択ラジオボタン |
“デフォルト送信”と“デフォルト抑止”の 2 つの値をとり、各イベントログの種類の内容に関して、フィルタで定義した条件をどのようにフィルタリングで使用するかを指定しています。 |
「情報・警告・エラー・重大・詳細・成功の監査・失敗の監査」フレームの「送信メッセージ ID」フィールド |
「デフォルト送信」を選択した場合、送信メッセージ ID を指定できます。省略した場合は、「 !SYSL30~!SYSL37」が送信メッセージとなります。 |
「処理順序」 フィールド |
処理順序を変更できます。 |
フィールド |
使用可能な文字 |
文字数 |
省略 |
---|---|---|---|
「イベントログフィルタ名」 |
半角英大文字数字、 '_' |
32 文字まで |
不可 |
「送信メッセージ ID」 |
半角英数字、 ’!’(ただし、先頭1文字のみ) |
7 文字固定 |
可 |
項目 |
内容 |
---|---|
「処理スイッチ」ラジオボタン |
イベントログがこの判定条件で定義した条件に一致した場合の動作を指定します。 |
「送信メッセージ ID」フィールド |
判定条件にマッチし、メッセージを送る際に付加されるメッセージ ID です。 |
「判定条件」フィールドの「種類」 |
検索対象となるイベントログの種類です。「詳細」「情報」「警告」「エラー」「重大」「成功の監査」「失敗の監査」のいずれかを選択、もしくは検索文字列を指定します。 |
「判定条件」フィールドの「ソース」 |
イベントログの「ソース」部分の検索文字列を指定します。 |
「判定条件」フィールドの「タスクのカテゴリ」 |
イベントログの「タスクのカテゴリ」部分の検索文字列を指定します。 |
「判定条件」フィールドの「イベントID」 |
イベントログの「イベントID」部分の検索文字列を指定します。 |
「判定条件」フィールドの「ユーザー」 |
イベントログの「ユーザー」部分の検索文字列を指定します。 |
「判定条件」フィールドの「コンピュータ」 |
イベントログの「コンピュータ」部分の検索文字列を指定します。 |
「判定条件」フィールドの「キーワード」 |
イベントログの「キーワード」部分の検索文字列を指定します。 |
「判定条件」フィールドの「オペコード」 |
イベントログの「オペコード」部分の検索文字列を指定します。 |
「判定条件」フィールドの「検索文字列」 |
検索文字列を指定します。 |
フィールド |
使用可能な文字 |
文字数 |
省略 |
---|---|---|---|
「送信メッセージ ID」 |
半角英数字、 ’!(ただし、先頭1文字のみ) |
7 文字固定 |
不可 |
「種類」 |
‘&&’、 ’TAB’以外のすべての文字 |
64 バイトまで |
不可 |
「ソース」 |
‘&&’、 ’TAB’以外のすべての文字 |
64 バイトまで |
可 |
「イベントID」 |
‘&&’、 ’TAB’以外のすべての文字 |
64 バイトまで |
可 |
「ユーザー」 |
‘&&’、 ’TAB’以外のすべての文字 |
64 バイトまで |
可 |
「コンピュータ」 |
‘&&’、 ’TAB’以外のすべての文字 |
64 バイトまで |
可 |
「検索文字列」 |
‘&&’、 ’TAB’以外のすべての文字 |
450 バイトまで |
不可 |
警告
イベントログフィルタ ID の変更はできません。
イベントログフィルタの新規作成/変更の確認とその内容を下記に示します。
データを入力した後に、「OK」ボタンを押すと、入力確認画面を表示します。
イベントログフィルタの削除
イベントログフィルタの削除とその内容を下記に示します。
イベントログフィルタ一覧画面にて、「削除」ボタンを押すことで、選択するイベントログフィルタを削除することができます。
5.2.1.3.4.8.2. イベントログフィルタ判定条件¶
イベントログフィルタ判定条件画面
イベントログフィルタ判定条件画面とその内容を下記に示します。
項目 |
内容 |
---|---|
「処理」フィールド |
発生したイベントのログが、判定条件で定義した条件に一致した場合の動作を表示します。 |
「送信メッセージID」フィールド |
送信するメッセージIDを表示します。 |
「付加メッセージ」フィールド |
送信するメッセージに付加する、範囲を表示します。常に「(全体)」と表示され、イベントログの全情報(イベントログの書き込み日時、ソース、種類、タスクのカテゴリ、イベントID、ユーザー、コンピュータ、説明、キーワード、オペコード)がメッセージに付加されます。 |
「判定条件」フィールド |
検索対象となる、ソース、タスクのカテゴリ、イベントID、ユーザー、コンピュータ、キーワード、オペコード、説明フィールドの検索文字列の一覧がカンマ(,)で区切られて、表示されます。 |