ログ ファイルのコンテンツを監視する

パフォーマンス監視ルールには、ログ ファイルを監視するオプションがあります。この監視エージェントは管理 Windows デバイスのログ ファイルをスキャンして特定の文字列や式を検出し、アラートを生成します。ログ ファイルでトレースできる特定の状況が存在する場合にアラートで通知されるようにするのに便利です。

任意のアプリケーションで生成されたテキスト ファイル、.htm ファイル、および .xml ファイルを監視できます (ただし、Unicode ファイルは監視できません)。監視するファイルを指定し、標準式を使ってルールを定義すると、ファイルは logfile 監視ルールがそのデバイスで有効なルールセットに含まれる限り監視されます。

ログ ファイルのテキストが正規表現に初めて一致した場合にアラートが生成されます。同一ファイル内で複数回一致した場合でも、アラートが生成されるのは 1 回のみです。その後ファイルが変更されてテキストが正規表現に一致する状況でなくなった場合は、再度スキャンが開始され、次に一致した箇所でアラートが生成されます。

ログ ファイルが大きくなり、ファイル内のエントリが別のファイル (「ローリング」ログ ファイル) に追加されるようになると作成される、ログ バックアップ ファイルをスキャンすることもできます。ただし、1 つのログ ファイル内に新しいエントリを追加するために古いエントリを削除する、「要約済みの」ログ ファイルはサポートされていません。

この監視オプションでは、監視デバイスのファイルの保存場所と正確なファイル名を指定し、検索条件を正規表現で指定する必要があります。ファイルの文字列がその表現に一致すると、ログ ファイル監視アラート タイプを適切なアラート ルールセットで定義している場合はアラート アクションが生成されます。

ログ ファイルの監視は定義済みのどのアラート ルールセットにも追加できます。以下の標準プロセスは、ログ ファイルの監視をセットアップする 5 つのステップです。

  1. アラート ルールセットにログ ファイルの監視ルールを作成する。
  2. 管理デバイスで監視するログ ファイルを指定する。
  3. 標準式を使ってそのファイルの監視ルールを定義する。
  4. ルールの重要度レベルを選択し、アラートで認識できるようにするため、インスタンスに名前を付ける。
  5. アクションと時刻ルールを適用し、アラート ルールセットに保存する。
ログ ファイルの監視ルールを設定するには
  1. コアサーバ コンソールで、[ツール] > [構成] > [エージェント設定] の順にクリックします。
  2. 編集するルールセットを [アラート ルールセット] から選択し、ツールバーの [編集] をクリックします。
  3. [アラート ルールセット] ウィンドウの左側の列で、[アラート] をクリックします。アラート リストの [監視] フォルダで、[ログファイルの監視] をクリックします。
  4. ツールバーで、[新規] をクリックします。
  5. [ログ ファイルの監視] ダイアログ ボックスで、ログ ファイル監視ルールの名前と説明を入力します。
  6. 項目の監視頻度を変更するには、[ポーリング間隔] の設定を修正します。
  7. [ログ ファイルの設定] をクリックして、監視するログ ファイル、監視対象、およびアラート通知方法を指定します。
    正規表現を使用して、監視するログ ファイルの内容を定義します。監視サービスが、標準式に一致する項目をログ ファイルから検出した場合、アラート ルールに従って通知を送信します。
  8. [管理] をクリックします。[正規表現の管理] ダイアログ ボックスで、わかりやすい名前と標準式を入力し、[追加] をクリックします。ログ ファイルの監視に使用するそれぞれの標準式で上記の手順を繰り返します。すべて追加した後、[OK] をクリックします。
    このダイアログ ボックスでは、任意の数の正規表現を追加できます。検索する標準式ごとに新しいルールを作成する必要があります。各ルールは 1 つのログ ファイルのみに適用されます。つまり各ルールには標準式とログ ファイルがそれぞれ 1 つずつ含まれます。
  9. [標準式] ドロップダウン リストから標準式を選択します。
  10. 監視するログ ファイルへのパスとファイル名を [ログ ファイルのパス] ボックスに入力します。ファイル名は固有の名前でなければなりません。このファイル名のみが監視されます (例 c:\logs\error.txt)。
  11. ログ ファイルのバックアップ ファイルを含める場合は、そのバックアップ ファイルのパスと正確なファイル名を [バックアップ ログ ファイル パス] ボックスに入力します (このステップはオプションです)。このステップでも、特定ファイルへのパスとファイル名を正確に入力する必要があります。
  12. [インスタンス] 名を入力します (わかりやすい名前)。インスタンス名は、受信したアラート通知のログ ファイル監視ルールを認識するために必要となります。
  13. このアラート ルールに適用する重要度レベルを選択します。
  14. ログ ファイルの新しいエントリだけを (監視ルールがデバイスに配布された時点から) 監視するときは [ログ ファイルの変更を監視する] をクリックします。(通常このオプションは、エージェントが同じ既存のテキストを繰り返しスキャンしないように、ログ ファイルに対して使用します。)
    ログ ファイルのすべての既存エントリおよびすべての新しいエントリを監視するには、[ログ ファイル全体を監視] をクリックします。)
  15. [OK] をクリックしてルールをログファイル監視ルールのリストに追加します。
  16. 手順 4 ~ 15 を繰り返して、他のログ ファイル監視ルールを追加します。
    ログ ファイル監視ルールを作成した後は、ルールセットに追加する必要があります。ログ ファイルがトリガ アラートを変更したときに受信する通知の形式に基づいて、複数の監視ルールを追加してアクションと時刻ルールを適用できます。
  17. [OK] をクリックして、変更を保存し、[アラート ルール] ダイアログボックスを終了します。
  18. [ルール サマリ] リストで、作成したルールを選択し、ツールバーの [編集] をクリックします。
  19. 必要に応じて、時刻を調整します。[状態] アイコンをクリックし、通知が必要な状態を選択します。単色表示の状態は通知をトリガしません。デバイスの正常性ステータスに影響を与えるアラートとして使用するには [正常性] チを選択します。
  20. [保存] をクリックして、完了したときにダイアログ ボックスを終了します。
  21. 作成したアラート エージェント設定を配布します。[エージェント設定] ウィンドウ ツールバーで、[タスクの作成] ボタンをクリックしてから [設定の変更] をクリックします。
  22. タイプ列で [アラート] をクリックし、その横で新しいアラート エージェント設定を選択します。
  23. [保存] をクリックすると、新しい変更設定タスクが選択された状態で、[スケジュール タスク] ウィンドウが開きます。
  24. ターゲットをタスクに追加してから、タスクを右クリックして、[今すぐ開始] > [すべて] をクリックします。
  25. タスクの進行状況を監視します。タスクが完了するときには、対象のデバイスで新しいアラート ルールセットがアクティブになります。
メモ
  • ログ ファイルの監視機能は管理 Windows デバイスのみでサポートされます。
  • ルールを編集または削除するときには、影響を受けるデバイスは、次回のセキュリティ スキャンまで更新されません。更新までの時間を短くする場合は、修正したアラート設定のエージェント設定更新をスケジュールします。
  • このオプションはログ ファイルをメモリにマッピングして、検索時に使用されるメモリが少なくなるようにします。リニアに正規表現の検索が行われると、これに対してランタイム メモリが割り当てられます。ログ ファイルをメモリにマップすると Windows によりファイルがロックされるため、一部のアプリケーションでは問題が発生する場合があります。