〜 2016年8月31日を持ちまして業務を終了いたしました。長い間ご愛顧いただきありがとうございました。       

Ver05.03

有限会社イハラ
 
[会社概要]

TOPWinSyslogEventReporterSyslogビューアUpgradeInsuranceQ & Aシステム構成例サポート

(注意) このサイトは、2017年5月31日に閉鎖いたします。 詳細はお知らせをご覧ください。

 

イベントログの監視フィルタの利用に関して

「フィルタの条件」を設定することで、条件を満たしたイベントに対してのみ、ファイルログやSyslog転送、メール送信などのアクションを実行させることができます。つまり、処理するイベントを絞り込むことが可能となります。

 

例えば、特定のイベントIDのものを処理させない(対象から除外)したい場合には、「イベントID」のフィルタを作成し、破棄アクションと組み合わせるようにします。(簡易マニュアル「特定のイベントを無視するには」をご参照ください)

従来のイベントログ(Windows Vista以前)に対して、絞込みを行う際にこちらのフィルタを使用します。
これらのフィルタは、新しいイベントログ(Windows Vista、2008、7)に対しても使用できますが、新しいイベントログでのイベントソースで絞込みを行う場合には「イベントソース」でなく、「イベントログの監視 V2」フィルタにある「イベント Raw ソース」を使用してください。

 


▲イベントログの監視フィルタ

下記は、「イベントログの監視」のフィルタの対応表です。

フィルタ名

プロパティ

内容

実際のデータ (例)
下図のイベントの場合

イベントログの監視

イベントID

%id%

Windows イベントログのイベントID

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

576

イベントタイプ

%NTEventLogType%

このイベントがある Windows イベントログのタイプ
(アプリケーションログやシステムログなど)

→「プロパティ値を設定」ではオプションメニューから値を選択します(下図 例2)

Security

イベントソース

%sourceproc%

イベントを作成したプロセス
(イベントビューアの「ソース」に記載されるデータ)

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

Security

イベント重要度

%severity%

イベントログで示される重要度(severity)
これは、文字列形式で表されます

[INF]   −情報
[AUS]  −成功の監査
[AUF]  −失敗の監査
[WRN]  −警告
[ERR]   −エラー
[NON]  −成功

→「プロパティ値を設定」ではオプションメニューから値を選択します(下図 例2)

[AUS]

イベントカテゴリ

%category%

WindowsイベントログのカテゴリーID(数値)

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

4

イベントカテゴ名

%catname%

Windowsイベントログのカテゴリー名
(イベントビューアの「分類」に記載されるデータ)

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

特権の使用

イベント
レコードナンバー

%recordnum%

各イベントログのレコード番号
(内部カウンターの処理番号)

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

755

イベントユーザー

%user%

イベントログで記録されたユーザー名

→「プロパティ値を設定」ではテキストボックスに値を入力します(下図 例1)

NT AUTHORITY\NETWORK SERVICE

 


▲イベントビューア -セキュリティログ(対応表の参照データ)

 

*この資料は、EventReporter 11.2 をベースに作成しております。

 

Copyright (c)2010 Ihara Inc. All Rights Reserved.
Microsoft、MS-DOS、Windows NT、Windowsは米国Microsoft Corporationの米国およびその他の国における登録商標です。
その他、記載されている会社名、製品名は各社の登録商標または商標です。