• [アーティクル]

Windows イベント

 

対象: System Center 2012 R2 Operations Manager、System Center 2012 - Operations Manager、System Center 2012 SP1 - Operations Manager

<_caps3a_sxs _xmlns3a_caps="https://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="ja-JP">多くの Windows ベースのアプリケーションから、Windows イベント ログにあるイベントに情報が記録されます。 「Application」のような標準ログであったり、監視されているアプリケーションに固有のログである場合があります。 イベントは標準形式に従い、多くの場合、特定の問題に関する詳細情報を含みます。 監視しているアプリケーションが特定の問題に応答して Windows イベントを生成した場合、通常このイベントから、Operations Manager 管理パックにおける問題を効果的に検出できる可能性があります。Windows イベントを使用するルールまたはモニターを作成すると、Operations Manager は継続的にログを監視し、特定の条件に一致するイベントが検出されるとすぐに応答します。 これらのイベントにも使用可能な最初に作成した後は保持されます。Operations Manager 読み取った最後の位置をログに記録し、次に、読み取り、その位置から、ログを続行します。 特定のイベントが作成されたときにエージェントでヘルス サービスが実行されない場合は、次回そのエージェントが開始するときに Operations Manager により検出されます。Windows イベント ウィザード以下の表に、Windows イベントに利用可能なウィザードの一覧を示します。管理パック オブジェクト利用可能なウィザードモニター「Event Monitor Reset」の各標準メソッドを使用したシンプルなイベントの検出「Event Monitor Reset」の各標準メソッドを使用した繰り返しイベントの検出「Event Monitor Reset」の各標準メソッドを使用した見つからないイベントの検出「Event Monitor Reset」の各標準メソッドを使用した相関イベントの検出「Event Monitor Reset」の各標準メソッドを使用した見つからない相関イベントの検出ルールアラート生成 Windows イベント ルールイベント収集 Windows イベント ルールWindows イベント ウィザードのオプションWindows イベント ルールまたはモニター ウィザードの実行時に、以下の表の各オプションの値を入力する必要があります。 各表は、ウィザードのページごとのオプションです。全般[全般] ページには、名前、カテゴリ、ターゲット、および保存先の管理パック ファイルなどのルールまたはウィザードの全般設定が含まれています。オプション説明名前ルールまたはモニターに使用される名前。 ルールの名前は [作成] ウィンドウの [ルール] ビューに表示されます。 ビューまたはレポートを作成するとき、この名前を選択してこれにより収集されたデータを使用することができます。 モニターの名前は、ターゲット オブジェクトのヘルス エクスプローラーに表示されます。説明ルールまたはモニターの説明 (省略可能)。管理パックルールやモニターを保存する管理パック ファイル。管理パックの詳細については、「Selecting a Management Pack」を参照してください。ルール カテゴリ (ルールのみ)ルールのカテゴリ。 イベント収集ルールの場合は、[イベント コレクション] を指定します。 アラート ルールには、[アラート] を指定します。親モニター (モニターのみ)ヘルス エクスプローラーで、モニターの上位に配置される集合モニター。 詳細については、「Aggregate Monitors」をご覧ください。Targetルールまたはモニターのターゲットに使用するクラス。 ルールまたはモニターは、このクラスのインスタンスを少なくとも 1 つ持つエージェント上で実行されます。 ターゲットの詳細については、「Targets, Groups, and Objects」を参照してください。ルールを有効にするモニターを有効にするルールまたはモニターを有効にするかどうかを指定します。イベント ログの種類[イベントログの種類] ページには、イベントの作成先のイベント ログの名前が含まれます。 収集ルールやアラート ルール、および手動リセットまたはタイマー リセットを使用したモニターを対象に、単一の [イベント ログの種類] ページが表示されます。 [Windows イベント リセット] を使用するモニターについては、エラー条件と正常条件の両方についてのログを定義する必要があります。 通常は、同じログを両方の条件に指定しますが、異なるログをそれぞれに使用することもできます。[ログの名前] ボックスにイベントログの名前を入力するか、省略記号ボタンをクリックしてログを選択できます。 イベント式Windows イベントを使用するワークフローでは、イベントの取得元のログの名前に加えて、識別される問題に関連する各イベントを識別するために必要となる条件も指定する必要があります。 通常は Event ID と Event Source を指定すると十分です。 これは、モニターによって使用されるターゲットに加えて、アプリケーションが特定のイベントに対して提供する情報の種類により異なります。 特定のエージェントで、モニターのターゲットとして使用されるクラスに複数のインスタンスがあることが予期される場合は、この 2 つのプロパティでは一意に識別するには不十分な可能性があります。 条件がターゲット クラスのキー プロパティを含んでいる場合を除いて、条件はすべてのインスタンスに適用される可能性があります。各イベント ログの種類の収集やアラート ルール、および手動リセットまたはタイマー リセットを使用したモニターを対象に、単一の [イベント ログの種類] ページが表示されます。 [Windows イベント リセット] を使用するモニターについては、エラー条件と正常条件の両方についてのログを定義する必要があります。 通常は、同じログを両方の条件に指定しますが、異なるログをそれぞれに使用することもできます。次の表は Windows イベントで利用可能なプロパティの一覧を示します。 これらのプロパティは、モニターおよびルールの設定のためにアクセスすることが可能で、アラートの説明に含むことができます。正規表現説明イベント ソースイベントのソース。 一般的には、モニターまたはルールの条件で使用されます。ログ名/チャネルイベント ログの名前 (Application や System など)。ログを記録するコンピューターイベントを記録するコンピューターの名前。イベント IDイベントの番号。イベント カテゴリイベントのカテゴリ。イベント レベル次の値の 1 つを使用したイベントの重要度成功 (0)エラー (1)警告 (2)情報 (4)成功の監査 (8)失敗の監査 (16)ユーザーイベントの作成に使用されたユーザー アカウントの名前。イベントの説明完全なイベントの説明。パラメーターイベント パラメーターのコレクション。自動リセット タイマー[自動リセット タイマー] ページはタイマー リセット モニターのみで利用可能です。 アラートが生成された後、アラートが自動的に解決されるまでに経過する必要がある時間の設定が可能です。ヘルスの構成[ヘルスの構成] ページはモニターでのみ利用可能です。 各イベントに設定されるヘルス状態を指定できます。 手動リセット モニターの場合、[手動リセット] 条件は [健全] に設定され、[イベント発生] 条件によりモニターが [警告] または [重大] のどちらの状態に設定されるかを指定できます。 [タイマー リセット] または [Windows イベント リセット] については、各イベントで設定されるヘルス状態を指定できます。 通常、最初のイベントはモニターを [警告] または [重大] に設定し、2 番目のイベントまたはタイマーはモニターを [健全] に設定します。アラートの構成[アラートの構成] ページはモニターおよびアラート ルールでのみ利用可能です。 各オプションについては「Alerts」を参照してください。Windows イベント モニターの作成Windows イベント モニターを作成する方法次の手順を使用し、以下の詳細に基づいて Operations Manager でイベント モニターを作成します。特定のサービスがインストールされているすべてのエージェントで動作する。モニターを設定、 重要な 状態のときのイベントに、 アプリケーション イベント ログのイベント ソースで EventCreateイベント番号 101 が検出されました。モニターを設定、 正常な 状態のときのイベントに、 アプリケーション イベント ログのイベント ソースで EventCreateイベント番号 102 が検出されました。EventCreate は、EventCreate ユーティリティがテスト イベントの作成に使用できるように、イベント ソースとして使用されます。 このユーティリティは Windows コンピューターで使用可能で、ソースが EventCreate のテスト イベントを作成します。 テスト イベントを作成するその他のメソッドがある場合は、異なるソースを使用できます。イベント モニターを作成するには監視対象のアプリケーションに管理パックがない場合は、「Selecting a Management Pack」のプロセスを使用して作成します。「To create a Windows Service template」のプロセスを使用して新しいターゲットを作成します。 テスト エージェントにインストールされたどのサービスでも、このテンプレートに使用できます。オペレーション コンソールで、[作成] ワークスペースを選択します。[管理パック オブジェクト] を選択します。[モニター] を右クリックし、[モニターの作成] を選択し、[ユニット モニター] を選択します。[モニターの種類] ページで、次の操作を行います。[作成するモニターの種類を選択] ボックスで、[Windows イベント]、[シンプルなイベントの検出] の順に展開します。[Windows イベント リセット] を選択します。[管理パック] ドロップダウン リストで、アプリケーションの管理パックを選択します。[次へ] をクリックします。[全般] ページで、次の操作を行います。[名前] ボックスに、「Error event 101」または別のモニター名を入力します。 このテキストがヘルス エクスプローラーに表示されます。[選択]をクリックします。[ターゲット項目の選択] ダイアログ ボックスで、手順 2 で Windows サービス テンプレートに使用した名前を選択します。[親モニター] には常に [可用性] を表示します。 別の親モニターを選択できます。[親モニター] に[可用性] が選択されていることを確認します。モニターが有効になるように [モニターを有効にする] ボックスをオンにします。[次へ] をクリックします。[ベント ログ (異常なイベント)] ページで、次の操作を行います。[ログの名前] ボックスは既定値の「Application」のままにします。[次へ] をクリックします。[イベントの式 (異常なイベント)] ページで、次の操作を行います。[イベント ID] 値には、「101」と入力します。[イベント ソース] 値には、「EventCreate」と入力します。[次へ] をクリックします。[イベント ログ (正常なイベント)] ページで、次の操作を行います。[ログの名前] ボックスは既定値の「Application」のままにします。[次へ] をクリックします。[イベントの式 (正常なイベント)] ページで、次の操作を行います。イベント ID 値を入力 102[イベント ソース] 値には、「EventCreate」と入力します。[次へ] をクリックします。[ヘルスの構成] ページで、次の操作を行います。[FirstEventRaised] で、[ヘルス状態] を [重大] に変更します。[イベント ソース] 値には、「EventCreate」と入力します。[次へ] をクリックします。[アラートの構成] ページで、次の操作を行います。[このモニターのアラートを生成する] を選択します[作成] をクリックします。Event Monitors and Rules Event Monitor Logic Event Monitor Reset Alerts <_caps3a_sxssource locale="en-US">Many Windows-based applications post information to events in a Windows event log. This could be a standard log such as Application or a log specific to the application being monitored. These events follow a standard format and frequently contain detailed information about the particular issue. If the application you are monitoring creates a Windows event in response to a particular issue, then this likely be the most effective way to detect the issue in an Operations Manager management pack.When you create a rule or monitor that uses a Windows event, Operations Manager continuously monitors the log and immediately responds when an event matching the specified criteria is detected. These events are persisted meaning that they are available after they are initially created.Operations Manager will record the last position that it read in the log and continue from that position the next time it reads the log. If the health service on the agent is not running when a particular event is created, Operations Manager will detect it the next time that the agent is started.Windows Event WizardsThe table below lists the wizards that are available for Windows events.Management Pack ObjectWizards AvailableMonitorsSimple Event Detection using each of the standard Event Monitor Reset methodsRepeated Event Detection using each of the standard Event Monitor Reset methodsMissing Event Detection using each of the standard Event Monitor Reset methodsCorrelated Event Detection using each of the standard Event Monitor Reset methodsCorrelated Missing Event Detection using each of the standard Event Monitor Reset methodsRulesAlert Generating Windows event ruleEvent collection Windows event ruleWindows Event Wizard OptionsWhen you run a Windows event rule or monitor wizard, you will need to provide values for options in the following tables. Each table represents a single page in the wizard.GeneralThe General page includes general settings for the rule or wizard including its name, category, target, and the management pack file to store it in.OptionDescriptionNameThe name used for the rule or monitor. For a rule, the name appears in the Rules view in the Authoring pane. When you create a view or report, you can select this name to use the data collected by it. For a monitor, the name appears in the Health Explorer of any target objects.DescriptionOptional description of the rule or monitor.Management PackManagement pack file to store the rule or monitor.For more information on management packs, see Selecting a Management Pack.Rule Category (Rules only)The category for the rule. For an event collection rule, this should be Event Collection. For an alerting rule, this should be Alert.Parent Monitor (Monitors only)The aggregate monitor that the monitor will be positioned under in the Health Explorer. For more information, see Aggregate Monitors.TargetThe class to use for the target of the rule or monitor. The rule or monitor will be run on any agent that has at least one instance of this class. For more information on targets, see Targets, Groups, and Objects.Rule is enabledMonitor is enabledSpecifies whether the rule or monitor is enabled.Event Log TypeThe Event Log Type page includes the name of the event log where you expect the event to be created. There will be a single Event Log Type page for a collection or alerting rule and for a monitor using manual or timer reset. For a monitor using Windows Event Reset, you will have to define the log for both the error condition and for the healthy condition. You will typically specify the same log for both conditions, but a different log could be used for each.You can type in the name of the event log in the Log name box, or you can click the ellipse button and select a log. Event ExpressionIn addition to the name of the log to retrieve events from, workflows using a Windows event must specify sufficient criteria to identify the particular events that relate to the issue being identified. Frequently, the Event ID and the Event Source will be sufficient for this purpose. This depends on the kind of information that the application provides in the particular event in addition to the target that is being used for the monitor. If the class being used as the target for the monitor is expected to have multiple instances on a particular agent, then these two properties are probably insufficient for uniqueness. Unless the criteria included a key property for the target class then the criteria would possibly apply to all instances.There will be a single Event Log Type page for each Event Log Type Page collection or alerting rule and for a monitor using manual or timer reset. For a monitor using Windows Event Reset, you will have to define the log for both the error condition and for the healthy condition. You will typically specify the same log for both conditions, but a different log could be used for each.The following table lists the properties available from Windows Events. These properties can be accessed for setting criteria in monitors and rules and can be included in alert descriptions.ExpressionDescriptionEvent SourceSource of the event. Generally used in the criteria of the monitor or rule.Logname/ChannelName of the event log such as Application or System.Logging ComputerName of the computer logging the event.Event IDNumber of the event.Event CategoryCategory of the event.Event LevelSeverity of the event that uses one of the following values.Success (0)Error (1)Warning (2)Information (4)Success Audit (8)Failure Audit (16)UserName of the user account that was used to create the event.EventDescriptionFull event description.ParameterCollection of event parameters.Auto Reset TimerThe Auto Reset Timer page is only available for timer reset monitors. It allows you to set the time that must pass after the alert is created before the alert is automatically resolved.Configure HealthThe Configure Health page is only available for monitors. It allows you to specify the health state that will be set for each of the events. For a manual reset monitor, the Manual Reset condition will be Healthy, and you can specify whether the Event Raised condition will set the monitor to a Warning or a Critical state. For a Timer Reset or a Windows Event Reset, you can specify the health state set by each event. The first event will typically set the monitor to Warning or Critical while the second event or the timer will set the monitor to Healthy.Configure AlertsThe Configure Alerts page is only available for monitors and alerting rules. Its options are explained in Alerts.Creating Windows Event MonitorsHow to create a Windows event monitorUse the following procedure to create an event monitor in Operations Manager with the following details:Runs on all agents with a particular service installed.Sets the monitor to a critical state when an event in the Application event log with an event source of EventCreateand an event number of 101 is detected.Sets the monitor to a healthy state when an event in the Application event log with an event source of EventCreateand an event number of 102 is detected.EventCreate is used as the event source so that the EventCreate utility can be used to create a test event. This utility is available on any Windows Computer and creates test events with a source of EventCreate. If you have another method of creating test events, then you can use a different source.To create an event monitorIf you don’t have a management pack for the application that you are monitoring, create one using the process in Selecting a Management Pack.Create a new target using the process in To create a Windows Service template. You can use any service installed on a test agent for this template.In the Operations console, select the Authoring workspace.Select Management Pack Objects.Right-click Monitors, select Create and Monitor, and then select Unit Monitor.On the Monitor Type page, do the following:In the Select the type of monitor to create box, expand Windows Events and then Simple Event Detection.Select Windows Event Reset.In the Management Pack dropdown list, select the management pack for the application.Click Next.On the General page, do the following:In the Name box, type Error event 101 or another name for the monitor. This is the text that will appear in the Health Explorer.Click Select.In the Select Items to Target dialog box, select the name that you used for the Windows Service template in step 2.The Parent monitor box should show Availability. You can select a different parent monitor.Ensure that Availability is selected for the Parent monitor.The Monitor is enabled box should be checked so that the monitor is enabled.Click Next.On the Event Log (Unhealthy Event) page, do the following:In the Log Name box, keep the default value of Application.Click Next.On the Event Expression (Unhealthy Event) page, do the following:For the Event ID value, type 101For the Event Source value, type EventCreateClick Next.On the Event Log (Healthy Event) page, do the following:In the Log Name box, keep the default value of Application.Click Next.On the Event Expression (Healthy Event) page, do the following:For the Event ID value, type 102For the Event Source value, type EventCreateClick Next.On the Configure Health page, do the following:For FirstEventRaised, change the Health State to Critical.For the Event Source value, type EventCreateClick Next.On the Configure Alerts page, do the following:Select Generate alerts for this monitor.Click Create.Event Monitors and Rules Event Monitor Logic Event Monitor Reset Alerts