テキスト ログ
対象: System Center 2012 R2 Operations Manager、System Center 2012 - Operations Manager、System Center 2012 SP1 - Operations Manager
<_caps3a_sxs _xmlns3a_caps="https://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="ja-JP">"テキスト ログ" はアプリケーションがイベント情報を記録するために使用するテキスト ファイルです。 テキスト ログのデータ ソースを管理パックで使用するためには、ログの各エントリが 1 行である必要があります。 ログ ファイルがこの要件を満たさない場合は、ログの読み込みのために「custom script」を作成する必要があります。ログ ファイルを頻繁に使用するアプリケーションは、各日または 1 つのファイルが一定のサイズに達すると、新しいファイルを作成します。 この機能をサポートするために、モニターやルールは、監視されているテキスト ログの [ディレクトリ] および [パターン] を指定します。 "ディレクトリ" は、テキスト ログが配置されるディレクトリのパスです。 これにはワイルドカード文字のない絶対パスを使用する必要があります。 ログ ファイルへのパスがターゲット クラスのプロパティに保存されている場合は、$Target 変数も使用されます。 "パターン" は、適宜ワイルドカード文字を含むログ ファイルの名前です。たとえば、アプリケーションは「log20100316.txt」のように日付を名前に含めたログ ファイルを日ごとに作成する場合があります。 このようなログのパターンは log*.txt となる場合があり、アプリケーションの名前付けスキームに従ってログ ファイルに適用できます。テキスト ログは "一般テキスト ログ" または "一般 CSV テキスト ログ" のいずれかとして定義されます。 "CSV" は Comma Separated Value (コンマ区切り値) のことですが、区切り値にどの文字でも指定できます。 これら 2 種類のファイルは、"シンプル テキスト ログ"、"区切りテキスト ログ" と呼ばれることもあります。 シンプル テキスト ログでは、各行は単一のエントリとしてみなされます。 区切りテキスト ログでは、1 文字が異なるフィールドを区別するために使用され、各フィールドが個別に解析されます。テキスト ログ ウィザード次の表に、シンプル テキスト ファイルと区切りテキスト ファイルの両方で利用可能なウィザードの一覧を示します。管理パック オブジェクト利用可能なウィザードモニター「Event Monitor Reset」の各標準メソッドを使用したシンプルなイベントの検出「Event Monitor Reset」の各標準メソッドを使用した繰り返しイベントの検出ルールアラート生成ルールイベント コレクション ルールテキスト ログ ウィザードのオプションテキスト ログ ウィザードの実行時に、以下の表の各オプションの値を指定する必要があります。 各表は、ウィザードのページごとのオプションです。全般[全般] ページには、名前、カテゴリ、ターゲット、および保存先の管理パック ファイルなどのルールまたはウィザードの全般設定が含まれています。オプション説明名前ルールまたはモニターに使用される名前。 ルールの名前は [作成] ウィンドウの [ルール] ビューに表示されます。 ビューまたはレポートを作成するとき、この名前を選択してこれにより収集されたデータを使用することができます。 モニターの名前は、ターゲット オブジェクトのヘルス エクスプローラーに表示されます。説明ルールまたはモニターの説明 (省略可能)。管理パックルールを保存する管理パック。管理パックの詳細については、「Selecting a Management Pack」を参照してください。ルール カテゴリ (ルールのみ)ルールのカテゴリ。 収集ルールの場合は、[イベント コレクション] を指定します。 アラート ルールには、[アラート] を指定します。親モニター (モニターのみ)ヘルス エクスプローラーで、モニターの上位に配置される集合モニター。 詳細については、「Aggregate Monitors」を参照してください。 Targetルールまたはモニターのターゲットに使用するクラス。 ルールまたはモニターは、このクラスのインスタンスを少なくとも 1 つ持つエージェント上で実行されます。 ターゲットの詳細については、「Targets, Groups, and Objects」を参照してください。ルールを有効にするモニターを有効にするルールまたはモニターを有効にするかどうかを指定します。アプリケーション ログのデータ ソース収集ルールやアラートルール、および手動リセットまたはタイマー リセットを使用したモニターを対象に、単一のアプリケーション ログのデータ ソース ページが表示されます。 イベント リセットを使用するモニターについては、エラー条件と正常条件の両方についてのログを定義する必要があります。 通常は、同じログを両方の条件に指定しますが、異なるログをそれぞれに使用することもできます。次の表は、アプリケーション ログのデータ ソースに入力が必要な設定の一覧です。プロパティ名説明ディレクトリログ ファイルがあるディレクトリ。 これは、ワイルドカードなしで 1 つのディレクトリをする必要があります。パターンログ ファイルの名前。 ログ ファイルの名前が変わる場合は、ワイルドカードを含むことができます。 使用するのでしょうか。 1 つの文字を表すワイルドカードです。 複数の文字を表すには、* ワイルドカードを使用します。区切り文字 (区切りログのみ)値を区別するために使用される文字 UTF8イベント式収集ルールやアラート ルール、および手動リセットまたはタイマー リセットを使用したモニターを対象に、単一の式のページが表示されます。 イベント リセットを使用するモニターについては、エラー条件と正常条件の両方についての式を定義する必要があります。テキスト ログ ルールまたはモニターの式は、ログ エントリのテキストに一致する条件を含みます。 一般テキスト ログの場合は、1 行として扱われるログ エントリ全体の検索を含みます。 区切りログ ファイルの場合は、含まれている 1 つ以上のフィールドの検索を含みます。 テキスト ログの内容は、イベントのパラメーターに含まれます。 一般テキスト ログの場合は、パラメーター Params/Param[1] により参照されます。 区切りログは、必要なパラメーターのインデックス番号を使用することで、同じ変数を使用します。 たとえば、1 番目のフィールドは Params/Param[1] で参照され、2 番目のフィールドは Params/Param[2] で参照されます。次の表は、テキスト ログ モニターおよびルールから使用可能な共通プロパティの一覧です。プロパティ名説明ディレクトリログ ファイルがあるディレクトリ。パターンイベントの取得元のログ ファイルの名前。Param[1]一般テキスト ログの完全エントリ。Param[#]一般 CSV テキスト ログの特定のパラメーター。 # はフィールドの番号を表します。式の詳細については、「Expressions」を参照してください。自動リセット タイマー[自動リセット タイマー] ページはタイマー リセット モニターのみで利用可能です。 アラートが生成された後、アラートが自動的に解決されるまでに経過する必要がある時間の設定が可能です。ヘルスの構成[ヘルスの構成] ページはモニターでのみ利用可能です。 各イベントに設定されるヘルス状態を指定できます。 手動リセット モニターの場合、[手動リセット] 条件は [健全] に設定され、[イベント発生] 条件によりモニターが [警告] または [重大] のどちらの状態に設定されるかを指定できます。 [タイマー リセット] または [イベント リセット] については、各イベントで設定されるヘルス状態を指定できます。 通常、最初のイベントはモニターを [警告] または [重大] に設定し、2 番目のイベントまたはタイマーはモニターを [健全] に設定します。アラートの構成[アラートの構成] ページはモニターおよびアラート ルールでのみ利用可能です。 各オプションについては「Alerts」を参照してください。テキスト ログ ルールとモニターの作成次の手順を使用し、以下の詳細に基づいて Operations Manager でテキスト ログのアラート ルールを作成します。特定のサービスがインストールされているすべてのエージェントで動作する。c:\logs ディレクトリにある MyApp*.log の名前付けパターンのコンマ区切りログ ファイルを検索する。「error」という文字がログ メッセージに表示される場合にアラートを生成する。エラー メッセージをアラートの説明に含める。テキスト ファイルの各行の形式を次に示します日付、時刻、メッセージ。区切りテキスト ログのアラート ルールを作成するには監視対象のアプリケーションに管理パックがない場合は、「Selecting a Management Pack」のプロセスを使用して作成します。「To create a Windows Service template」のプロセスを使用して新しいターゲットを作成します。 テスト エージェントにインストールされたどのサービスでも、このテンプレートに使用できます。オペレーション コンソールで、[作成] ワークスペースを選択して、[ルール] を選択します。[ルール] を右クリックして、[新しいルールの作成] をクリックします。[ルールの種類] ページで、次の操作を行います。[アラート生成ルール]、[イベント ベース] の順に展開し、[一般 CSV テキスト ログ (アラート)] をクリックします。手順 1 の管理パックを選択します。[次へ] をクリックします。[全般] ページで、次の操作を行います。[ルール名] ボックスで、「MyApplication Delimited Log Error」と入力します。[ルール カテゴリ] ボックスで、[アラート] を選択します。[ルールのターゲット] の横で、[選択] をクリックして、手順 2 で作成したターゲットの名前を選択します。[ルールを有効にする] が選択されたままにします。[次へ] をクリックします。[アプリケーション ログのデータ ソース] ページで、次の操作を行います。[ディレクトリ] ボックスに「c:\logs」と入力します。[パターン] ボックスに「MyApp*.log」と入力します。[区切り文字] ボックスにコンマを入力します。[次へ] をクリックします。[イベント式の作成] ページで、次の操作を行います。[挿入] をクリックします。[パラメーター名] ボックスに、「Params/Param[3]」と入力します。[演算子] ボックスの一覧で、[次の値を含む] を選択します。[値] ボックスに「error」と入力します。[次へ] をクリックします。[アラートの構成] ページで、次の操作を行います。[アラートの名前] ボックスに「Error found in MyApplication delimited text log.」と入力します。[アラートの説明] ボックスの横にある、省略記号ボタンをクリックします。[値] ボックスのテキストをクリアします。Data、Params、Param の順に選択します。テキストを置き換える << INT >> で 1です。行の最後まで移動して、SPACE キーを押します。Data、Params、Param の順に選択します。テキストを置き換える << INT >> で 2です。行の最後まで移動して、ENTER キーを押します。Data、Params、Param の順に選択します。テキストを置き換える << INT >> で 3です。[OK] をクリックします。[完了] をクリックします。Event Monitors and Rules Event Monitor Reset Repeating Events Alerts <_caps3a_sxssource locale="en-US">A text log is a text file that an application uses to log event information. In order to use a text log data source in a management pack, each entry in the log must be on a single line. If the log file does not fit this requirement, then a custom script has to be created to read the log.Applications that use log files frequently create a new file each day or when one file reaches a certain size. To support this functionality, monitors and rules specify a Directory and a Pattern for the text logs being monitored. Directory is the path of the directory where the text logs will be located. This must be an absolute path without wildcard characters. A $Target variable could also be used if the path to the log files is stored in a property of the target class. Pattern is the name of the log file including wildcard characters as appropriate.For example, an application might create a log file each day with the date included in the name as in log20100316.txt. A pattern for such a log might be log*.txt which would apply to any log file following the application’s naming scheme.A text log can be defined as either a Generic Text Log or Generic CSV Text Log. CSV refers to Comma Separated Values, although you can specify any character as the delimiter. The two kinds of files are also referred as a Simple Text Log and a Delimited Text Log. With a simple text log, each line is considered a single entry. With a delimited text log, a single character is used to separate different fields of data, and each field can be analyzed separately.Text Log WizardsThe table below lists the wizards that are available for both simple and delimited text files.Management Pack ObjectWizards AvailableMonitorsSimple Event Detection using each of the standard Event Monitor Reset methodsRepeated Event Detection using each of the standard Event Monitor Reset methodsRulesAlert Generating ruleEvent collection ruleText Log Wizard OptionsWhen you run a text log wizard, you will need to provide values for options in the following tables. Each table represents a single page in the wizard.GeneralThe General page includes general settings for the rule or wizard including its name, category, target, and the management pack file to store it in.OptionDescriptionNameThe name used for the rule or monitor. For a rule, the name appears in the Rules view in the Authoring pane. When you create a view or report, you can select this name to use the data collected by it. For a monitor, the name appears in the Health Explorer of any target objects.DescriptionOptional description of the rule or monitor.Management PackManagement pack to store the rule.For more information on management packs, see Selecting a Management Pack.Rule Category (Rules only)The category for the rule. For a collection rule, this should be Event Collection. For an alerting rule, this should be Alert.Parent Monitor (Monitors only)The aggregate monitor that the monitor will be positioned under in the Health Explorer. For more information, see Aggregate Monitors. TargetThe class to use for the target of the rule or monitor. The rule or monitor will be run on any agent that has at least one instance of this class. For more information on targets, see Targets, Groups, and Objects.Rule is enabledMonitor is enabledSpecifies whether the rule or monitor is enabled.Application Log Data SourceThere will be a single application log data source page for a collection or alerting rule and for a monitor using manual or timer reset. For a monitor using event reset, you will have to define the log for both the error condition and for the healthy condition. You will typically specify the same log for both conditions, but a different log could be used for each.The following table lists the settings that must be provided for an application log data source:Property NameDescriptionDirectoryDirectory that the log file is located in. This must be a single directory with no wildcardsPatternName of the log file. This can include wildcards if the name of the log file will change. Use the ? wildcard to represent a single character. Use the * wildcard to represent multiple characters.Separator (Delimited Logs only)The character that is used to separate the UTF8Event ExpressionThere will be a single expression page for a collection or alerting rule and for a monitor using manual or timer reset. For a monitor using event reset, you will have to define an expression for both the error condition and for the healthy condition.The expression for a text log rule or monitor will include criteria that matches text in the log entry. For a Generic Text Log this includes a search of the whole log entry treated as a single line. For a delimited log file, this will include a search of one or more of the included fields. The contents of a text log are included in the parameters of the event. For a generic text log, this is referenced by the parameter Params/Param[1]. A delimited log uses the same variable by using the index number of the required parameter. The first field would be referenced with Params/Param[1], the second field would be referenced with Params/Param[2], and so on.The following table lists the common properties available from text log monitors and rules:Property NameDescriptionDirectoryDirectory that the log file is located in.PatternName of the log file that the event was taken from.Param[1]Complete entry in a generic text log.Param[#]Specific parameter in a generic CSV text log. # represents the number of the field.For more information about expressions, see Expressions.Auto Reset TimerThe Auto Reset Timer page is only available for timer reset monitors. It allows you to set the time that must pass after the alert is created before the alert is automatically resolved.Configure HealthThe Configure Health page is only available for monitors. It allows you to specify the health state that will be set for each of the events. For a manual reset monitor, the Manual Reset condition will be Healthy, and you can specify whether the Event Raised condition will set the monitor to a Warning or a Critical state. For a Timer Reset or an Event Reset, you can specify the health state set by each event. The first event will typically set the monitor to Warning or Critical while the second event or the timer will set the monitor to Healthy.Configure AlertsThe Configure Alerts page is only available for monitors and alerting rules. Its options are explained in Alerts.Creating Text Log Rules and MonitorsUse the following procedure to create a text log alerting rule in Operations Manager with the following details:Runs on all agents with a particular service installed.Looks for a comma delimited log file with the naming pattern MyApp*.log in the c:\logs directory.Generates an alert if the word “error” appears in the log message.Includes the error message in the alert description.The format of each line of the text file is as follows: Date,Time,MessageTo create a delimited text log alert ruleIf you don’t have a management pack for the application that you are monitoring, create one using the process in Selecting a Management Pack.Create a new target using the process in To create a Windows Service template. You can use any service installed on a test agent for this template.In the Operations console, select the Authoring workspace, and then select Rules.Right-click Rules and select Create a new rule.On the Rule Type page, do the following:Expand Alert Generating Rules, expand Event Based, and then click Generic CSV Text Log (Alert).Select the management pack from step 1.Click Next.On the General page, do the following:In the Rule Name box, type MyApplication Delimited Log Error.In the Rule Category box, select Alert.Next to Rule Target click Select and then select the name of the target that you created in step 2.Leave Rule is enabled selected.Click Next.On the Application Log Data Source page, do the following:In the Directory box, type c:\logs.In the Pattern box, type MyApp*.log.In the Separator box, type a COMMA.Click Next.On the Build Event Expression page, do the following:Click Insert.In the Parameter Name box type Params/Param[3].In the Operator box select Contains.In the Value box type error.Click Next.On the Configure Alerts page, do the following:In the Alert name box, type Error found in MyApplication delimited text log..Click the ellipse button to the right side of the Alert description box.Clear the text in the Value box.Select Data, then Params, then Param.Replace the text <<INT>> with 1.Move to the end of the line and press the SPACE bar.Select Data, then Params, then Param.Replace the text <<INT>> with 2.Move to the end of the line and press the ENTER key.Select Data, then Params, then Param.Replace the text <<INT>> with 3.Click OK.Click Finish.Event Monitors and Rules Event Monitor Reset Repeating Events Alerts