〜 2016年8月31日を持ちまして業務を終了いたしました。長い間ご愛顧いただきありがとうございました。       

Ver05.03

有限会社イハラ
 
[会社概要]

TOPWinSyslogEventReporterSyslogビューアUpgradeInsuranceQ & Aシステム構成例サポート

(注意) このサイトは、自然災害(停電等)やセキュリティ対策を行う際に予告なく 停止される場合があります!

製品共通の Q & AWinSyslog の Q & AEventReporter の Q & A便利な機能

Q & A

 

製品共通の Q & A

 
  < ご購入前の Q & A >
  Q. 必要ライセンス数がわからないのですが・・・
  Q. 評価版が欲しいのですが・・・
  Q. 評価期間(30日)終了後、サービスが起動できなくなったのですが・・・
  Q. WinSyslog や EventReporter は、店頭販売されていないのでしょうか?
  Q. ライセンスキーの入手方法を教えてください
 
  < ライセンス登録に関する Q &A >
  Q. ライセンスの登録方法を教えてください
  Q. ライセンス登録が正しく行われたかを確認したいのですが・・・
 
  < バージョンアップに関する Q & A >
  Q. バージョンアップの際、既存のバージョンをアンインストールしなければなりませんか?
  Q. マイナーバージョンアップとメジャーバージョンアップの違いは?
 
  < その他 >
  Q 対応 OS を確認したいのですが・・・
  Q. ログファイルに書き込まれる内容が知りたいのですが・・・
  Q. ログローテーションの機能はありますか?
  Q.「循環ログを使用」のログローテーション方式は?
  Q. 書き込むメッセージの内容(フォーマット)を変更したいのですが・・・
  Q. アクションやフィルタの条件等の内容を変更したのに、反映されていないようなのですが・・・
NEW! Q. ルールセットの設定だけをエクスポートするには・・・
   

WinSyslog の Q & A

Q. WinSyslog で受信可能な文字コードは?

Q. 受信した Syslog を送信元デバイス毎に別のファイルに保存できますか?

Q. EventReporter から受信した Syslog(イベントログ)をタイプ別にファイル保存したいのですが・・・

 

EventReporter の Q & A

<Syslog 転送に関する Q & A>

Q. イベントログのタイプ別に Syslog ファシリティ値を設定したいのですが・・・

Q. Syslog メッセージにイベントIDを追加したいのですが・・・

Q. イベントの重要度は、それぞれどの Syslog プライオリティ に割り当てられますか?

<フィルタの条件に関する Q & A>

Q. 夜間に作成されたイベントログを別のファイルに保存するには・・・

Q. 特定のイベントIDのイベントログだけ除外したい(処理したくない)のですが・・・

<Vista以降の新しいイベントログの処理に関する Q & A>

Q. 重大レベルのイベントログをフィルタリングしたいのですが・・・

 

便利な機能

◆ WinSyslog で Syslog テストメッセージを送信する

◆ EventReporter で特定のアプリケーションを監視し、それをメールで通知する

◆ ユーザー登録番号を簡単に入力する

◆ 月ごとにログファイルを作成する
 

Q.必要ライセンス数がわからないのですが・・・
A. WinSyslog
は、インストールする (ご利用になる)マシンの台数に応じたライセンスが必要となります。
デバイスの数は、 ライセンス数としてカウントしませんが、エディション(ベーシックやプロフェッショナル)の選択に関わってきます。
デバイス数とエディションの関係:
    デバイス10台まで → WinSyslog ベーシック
       〃    100台まで → WinSyslog プロフェッショナル
       〃         無制限 → WinSyslog エンタープライズ


EventReporter
は、インストールする(ご利用になる)マシンの台数、さらにリモートで監視を行なうシステムの台数の合計が必要ライセンス数となります。 (リモートでのイベントログの監視は、EventReporter 8以降でサポートされています)
*リモートによるイベントログ監視をなさる場合には、ご購入前にご相談下さいませ。

TOPへ

Q. 評価版が欲しいのですが・・・
A. WinSyslog と EventReporter は、セットアップしてから 30日間は無料で(評価版 として)お使い頂け るようになっております。
評価版では、全てのエディションの機能をご利用頂けるようになっております。

30日を経過しますと、サービスは起動できなくなります。
インタラクティブ Syslogビューアに関しては、評価期間の終了後も動作しますが、一定の時間が経過すると停止するようになっています。

評価期間の終了後も継続してご使用頂くには、ライセンスキーを購入し、登録して頂く必要がございます。
ライセンス情報の登録方法につきましては、こちら をご参照下さい。

※ 製品の性質上、発行後のライセンスのキャンセルや変更はお受けできませんので、購入に値する製品かどうか十分にご評価くださいませ。

TOPへ

Q. 評価期間(30日)終了後、サービスが起動できなくなったのですが・・・

A. Adiscon 製品は、セットアップ後30日間は試用版として無料でお試し頂けるようになっておりますが、その期間が終了するとサービスが起動できなくなります。(アプリケーションログにエラーが記録されます;下図)

▲アプリケーションログに記録された試用期間終了を通知するエラー

 

この場合、ライセンスをご購入頂き、そちらを設定クライアントで登録して頂けば製品版に切り替わり、その直後からサービスを開始できるようになります。 その際、WinSyslog(または EventReporter)を再インストールする必要はありません。

TOPへ

Q. WinSyslog や EventReporter は、店頭販売されていないのでしょうか?
A. Adiscon製品は、パッケージ化されておりません。(CDやDVDなどのメディアでは、ご提供致しておりません)
したがって、店頭販売はされておりません。

セットアップファイルは、こちら (WinSyslog/EventReporter) からダウンロードして頂くようになっております。
セットアップ後30日間は試用版として、ライセンス登録を行わなくとも稼動します。
それ以降も継続して製品をご使用になりたい場合には、ライセンスをご購入頂く必要があります。

ご購入方法につきましては、こちらをご覧下さい。
ライセンス情報は、お申し込み頂きましたメールアドレス宛に送信させて頂きます。

TOPへ

Q. ライセンスキーの入手方法を教えてください

A. ライセンスキーは、製品ご購入後、メールにてお届け致しております。
以下は、ライセンス情報メールのサンプルです(一部抜粋)。

ライセンスキーは、ユーザー登録名ユーザー登録番号で構成されます。
ユーザ登録名は、ご注文時にオーダーフォーム( 2)  ユーザー登録名
)にてご指定頂いたものでございます。
その登録名に固有のユーザー登録番号が Adiscon社 から発行されます。

TOPへ

Q. ライセンスの登録方法を教えてください

A. ライセンスキーをご登録頂くには、設定クライアントを起動し、ライセンス設定画面にて発行されたユーザー登録名・ユーザー登録番号を 下図のように入力し、保存してください。
インタラクティブ Syslog ビューアのライセンス登録につきましては、マニュアルをご参照ください。
ユーザー登録番号は、ペーストすることもできます。
正しく登録されますと、 製品版として継続してご利用頂けるようになります。


▲ライセンス登録画面(サンプルのユーザー登録名・ユーザー登録番号を入力しています)

なお、UpgradeInsurance ID、および UpgradeInsurance 期間は、ご登録頂く必要はございません。
発行されましたライセンス情報は、お問い合わせの際などに必要となりますので、保存しておいてください。

TOPへ

Q. ライセンス登録が正しく行われたかを確認したいのですが・・・

A. ライセンス情報が正しく登録された場合には、?(下図赤丸印)にカーソルを持って行くと登録されたライセンス情報(エディション、バージョン)が表示されます。 また、Windows アプリケーションログにユーザー登録が行われたことを示すイベントが記録されます。


▲設定クライアント ライセンス登録画面

また、ライセンス登録後は、WinSyslog(または EventReporter)のサービス起動の度、イベントビューア−[アプリケーション ログ] に下図のようなイベントが出力されるようになります。


▲製品モード(ライセンス登録済み)であることを示すイベント

ちなみに、試用期間中は、WinSyslog(または EventReporter)のサービス起動の度、イベントビューア−[アプリケーション ログ] に下図のようなイベントが出力されます。


▲試用モード(上図の場合は残り17日)であることを示すイベント

TOPへ

Q. バージョンアップの際、既存のバージョンをアンインストールしなければなりませんか?

A. アンインストールの必要はありません。
以下の手順にて、バージョンアップを実行して下さい。

1) セットアップファイルをダウンロードする
2) WinSyslog、または EventReporter サービスを停止する
3) セットアップファイルを実行(設定情報は基本的に引継がれます《*1》)
4) クライアントを起動し、設定内容を確認
5)     新バージョンのライセンス情報を入力・保存(*2) ・・・
メジャーバージョンアップの場合
6) サービスを開始

設定情報は、レジストリキーに保存されております。※ 設定情報を保存してからバージョンアップを行うようにしてください ※
設定クライアントで [レジストリーファイルに設定をエクスポート] を実行頂きますと、設定情報が保存 されます。
 

*1 メジャーバージョンアップ等、大幅な変更(機能追加)がある場合や2つ以上バージョンを上げる場合、一部設定が引き継がれないことがございます。メジャーバージョンアップ、マイナーバージョンアップに限らず、バージョンアップ後は設定内容をご確認くださいませ。

 

*2 メジャーバージョンアップの場合、新バージョン対応の「ユーザー登録番号」を設定クライアントの[ライセンス] 登録画面で入力する必要があります。

 

※ もしも、バージョンアップ後に何らかの問題が発生した(エラーが出力される等)場合には、一旦アンインストールしてから再度インストールなさってください。

[レジストリーファイルに設定をエクスポート] で設定情報が保存されている場合には、保存したファイル(.reg ファイル)をダブルクリックすることで、設定を元に戻す(インポートする)ことができます。

アンインストールを実行しても問題が解消されない場合には、お問い合わせください。

 

TOPへ

Q. マイナーバージョンアップとメジャーバージョンアップの違いは?

A. Adiscon製品のマイナーバージョンアップ(例; WinSyslog 9.0→9.2)は、無料となっております。

ですが、メジャーバージョンアップ(例; WinSyslog 9.0 →10.2)は有料です。更新費用は、製品価格の 60%の金額になります。
UpgradeInsurance をお申し込みの場合(期限が切れていない限り)は、このメジャーバージョンアップも無料となります!

TOPへ

Q 対応 OS を確認したいのですが・・・

A. WinSyslog10、EventReporter11は、以下のシステムで利用できます:

Windows 7、Windows Server 2008、Windows Vista、Windows Server 2003、Windows XP、Windows 2000

   ◆ ワークステーション、サーバーを問わず。64bit版OSでも利用できます。

   ◆ SP やR2、Standard などのエディションに関わらずご利用頂けます。

それ以前のバージョンの対応OSは、各製品概要 (WinSyslog/EventReporter)をご参照ください。

TOPへ

Q. ログファイルに書き込まれる内容が知りたいのですが・・・

[ファイルログ]アクションを設定することで、受信した Syslog (WinSyslog)や収集したイベントログ(EventReporter)をログファイルへ保存することができます。

[ファイルログ]アクションでは、[ファイル全体のオプション]の ・・・を含める (青で囲った箇所)にチェックの入ったデータが書き込まれるようになております。


▲ファイルログ アクション 設定画面

デフォルトでは、上図のように [日付と時間を含める]、[Syslogファシリティを含める]、[Syslogプライオリティを含める]、[デバイスからの日付と時間を含める]、[ソースを含める]、[メッセージを含む] が有効になっております。

以下は、ファイルログの設定項目と記載されるデータの対応表です;

ファイルログの設定項目

WinSyslog

EventReporter

日付と時間を含める

Syslog サーバでの受信時刻

EventReporter がログを記録した時間

デバイスのレポートに日付と時間を含む

デバイスのタイムスタンプ

イベントログの作成時間

ソースを含める

ソース名(送信元のIPアドレス、またはホスト名)

ソース名(送信元のIPアドレス)  

Syslogファシリティを含める

Syslogファシリティ

Syslogファシリティ
デフォルトでは、全て Local_0 となっています
 [
イベントログの監視]サービスの高度な設定で
変更可能

Syslogプライオリティを含める

Syslogプライオリティ

Syslogプライオリティ  

メッセージを含む

メッセージ本文

メッセージ本文  

 

ファイルログ アクションの設定内容を変更した場合には、変更を有効にするためにサービスの設定でルールセットの[再書き込み]を行う必要があります。
Syslog
サーバーサービスで使用するルールセットの[再書き込み]を実行した後、WinSyslog (EventReporter) サービスを(再)起動して頂くことで、変更内容が反映されるようになります。

TOPへ

Q. ログローテーションの機能はありますか?

[ファイルログ]アクションには、[循環ログを使用]オプションがあり、こちらを有効にすると、[最大のファイルサイズ(KB)]で指定したファイルサイズに達する毎にログファイルを作成してゆき、[ログファイルの数]で指定した本数分作成されるとファイルが循環 (ローテーション)してゆきます。


▲[ファイルログ]アクション一部抜粋

デフォルト(上図)の設定では、サイズが 4096KB のファイルが10本(WinSyslog1.log、WinSyslog2.log ・・・ WinSyslog10.log まで)作成されると、1本目(WinSyslog1.log)に戻るようになります。

TOPへ

Q.「循環ログを使用」のログローテーション方式は?

デフォルトでは、循環(ファイルを切替える)の際は、内部では「ログファイルを一旦削除した後、同名のファイルを作成し、新たに書き込む」という処理が行われます。
WinSyslog 11.2、EventReporter 12.2 で追加された「ファイル自体を削除せずに、データのみを消去する」オプションを有効にすると、ログファイルのローテーション時、既存のファイル自体は削除されず、中身(データ)のみ消去されるようになります(下図参照)

 

▲[ファイルログ]アクション一部抜粋

 

Q. 書き込むメッセージの内容(フォーマット)を変更したいのですが・・・

[ファイルログ]でログファイルに書き込む内容、[Syslog 転送]で転送するメッセージの内容、[メール送信]で送信するメッセージなどは、プロパティを挿入することにより変更することが可能です。

[挿入]をクリックすると補助メニューが表示されますので、そこから入力するプロパティを選択してください。
ここでは、プロパティの他、通常のテキストも直接入力することができます。

[ファイルログ]アクション:

[ファイルのフォーマット]をカスタムにすることで、[カスタム ライン フォーマット]が有効になり、内容を編集できるようになります。

[Syslog転送]アクション:

[メッセージフォーマット オプション]で[カスタムフォーマット]が選択されているとき、メッセージフォーマットを編集することができます。

[メール送信]アクション:

[メールメッセージ フォーマット]で内容を変更することが可能です。

挿入できるプロパティにつきましては、下記をご参照ください。

WinSyslog で利用できるプロパティ値について

EventReporter で利用できるプロパティ値について

TOPへ

Q. アクションやフィルタの条件等の内容を変更したのに、反映されていないようなのですが・・・

アクション、フィルタの条件など、使用するルールセットの内容を変更した場合には、その設定情報を反映させるためにサービスの設定においてルールの「再書き込み」を実行する必要があります。
「再書き込み」を実行しサービスの保存を行った後、サービスの(再)起動を行って下さい。(下図参照)


▲ イベントログの監視 サービス 設定画面

 

Q. ルールセットの設定だけをエクスポートするには・・・

WinSyslog・EventReporter とも、設定情報全てではなく、特定のルールセットのみXMLファイルとしてエクスポートすることができます。

この機能は、複数のライセンスをお持ちで、各マシンの設定を全てでなく、一部移行したい場合などに役立ちます。


▲ 設定クライアント−Default RuleSet を右クリックした状態

エクスポートしたいルールセットを右クリックし、補助メニューを開きます。

ここで、[XMLファイルのエクスポート]を選択します。

 

 

上図のような画面が現れますので、ファイルを保存する場所を選択し、ファイル名を入力し、保存します。

保存した設定ファイルをインポートするには、ルールセットを右クリックし、補助メニューから[XMLファイルのインポート]を選択します。(下図)

次に現れる画面で、ファイルの場所・ファイルを選択し、[開く]をクリックします。

同じ名前のルールセットが存在する場合には、別の名前を入力するよう促されます。

同様にサービスもXMLファイルとしてエクスポート・インポートすることができます。

※設定全体を保存なさりたい場合には、こちら をご参照ください。

TOPへ

Q. WinSyslog で受信可能な文字コードは?

[Syslog サーバー]サービスでは、Shift-JIS、JIS、EUC-JP、UTF-8*の Syslog を受信、処理することができます。



▲Syslogサーバ サービスの設定画面

[メッセージのエンコードを自動検出する]を有効にすることで、送信文字コードが検出されます。

このオプションがないバージョンでは、UTF-8 のメッセージは処理することができません。

WinSyslog 10.x までのバージョンでは、BOM(Byte Order Mark)のないUTF-8(Syslogd、rsyslog などLinuxマシンから送信されたものなど)は、正しく処理されません。

BOM(Byte Order Mark)のないUTF-8を処理する際は、[メッセージの文字コードを全てUTF-8として処理する]を有効になさってください。

 

Q. 受信した Syslog を送信元デバイス毎に別のファイルに保存できますか?

[ファイルログ]アクションの[ファイル名にソースを含める]を有効にして頂くだけで、作成されるログファイルの名前にソース名が記入され、そのソース別にメッセージが保存されるようになります。

▲ファイルログ アクションの設定画面


※ [循環ログを使用]のオプションをお使いの場合は、[ファイル名にソースを含める]はグレーアウトされてしまい、指定することができません。
その際は、以下のようにプロパティの置換の機能を使用すれば、循環ログとソース別のファイル保存の両方を実行することができます。

1) [ファイル名のプロパティの置換を有効にする]を有効にする

2) ファイルベース名を WinSyslog-%source%- とする

   (%source% は、挿入をクリックし、表示される補助メニューから[ソース]を選択することで入力することができます)

 


▲ファイルログ アクションの設定画面

すると、ファイル名が WinSyslog-ホスト名(またはIPアドレス)-1.log となり、送信ソース別にファイルが作成され、循環ログの設定に従ってファイルが循環するようになります。

 

Q. EventReporter から受信した Syslog(イベントログ)をタイプ別にファイル保存したいのですが・・・

WinSyslog でイベントログのタイプ別にファイル保存を行なうには、EventReporter 側でログタイプ毎に別のファシリティ値を設定し、それらを WinSyslog で受信した後フィルタ機能を利用して振り分けるようにします。

例として、アプリケーションログのファシリティ値を16(LOCAL0)、セキュリティログを17(LOCAL1)、システムログを18(LOCAL2)とし、それぞれ を別のファイル(WinSyslog_application.log、WinSyslog_security.log、WinSyslog_system.log)に保存するとします。

1) EventReporter で、イベントログのタイプ別(アプリケーションログやシステムログなど)にファシリティ値を設定します。
詳細は、[Q. イベントログのタイプ別に Syslog ファシリティ値を設定したいのですが・・・] をご確認ください。

2) WinSyslog で、アプリケーションログ用、セキュリティログ用、システムログ用にルールを3つ作成し、それぞれのフィルタの条件、アクションを設定します。

下図では、「Default RuleSet」 の配下に 「application_log」、「security_log」、「system_log」 という名前でルールを作成しました。
まず、「application_log」ルールのファイル条件で、ファシリティのフィルタを作成し、16(LOCAL0)と設定します。
(「フィルタの追加」 - 「Syslog」 - 「ファシリティ」)

 

次に、各ファイルにどのログが保存されているのかを確認できるよう、ログファイルの名前を変更します。
今回、「application_log」 ルール内のファイルログアクションでは、以下のようにファイルベース名を「WinSyslog_application」へ変更しました。

 


▲ファイルログ アクション 設定画面

同様に、以下のように設定を行いました。

「security_log」ルール
フィルタの条件:ファシリティ値=17のフィルタを設定
ファイルログアクション:ファイルベース名=「WinSyslog_security」へ変更

「system_log」ルール
フィルタの条件:ファシリティ値=18 のフィルタを設定
ファイルログアクション:ファイルベース名=「WinSyslog_system」へ変更

以上のように設定することにより、WinSyslog で受信したイベントログをタイプ別に保存することが可能となります。

TOPへ

Q. イベントログのタイプ別に Syslog ファシリティ値を設定したいのですが・・・

デフォルトでは、全てのイベントログタイプのファシリティ値は、LOCAL_0 に設定されております。
この値をタイプ別に変更する場合には、イベントログの監視サービスの「高度な設定」で変更します。
変更したいイベントログタイプを選択した後、「高度な設定」ボタンをクリックします。
(下図では、アプリケーションのイベントログが選択されています)

 


▲イベントログの監視 サービス 設定画面

すると、以下のような画面が表示されます。


▲イベントログの監視 サービス−高度な設定

Syslogファシリティの項目にて、値を上図のリストより選択して下さい。

TOPへ

Q. Syslog メッセージにイベントIDを追加したいのですが・・・

[Syslog転送]アクションでイベントログを  Syslog サーバーへ転送する場合、必要に応じてその内容を変更できます。

送信するメッセージは、「メッセージフォーマット」で変更することが可能となっております。
デフォルトは %msg% となっており、メッセージのみ転送されるようになります。 (下図参照)

 


▲Syslog 転送 アクション 設定画面

 

メッセージの内容は、[メッセージフォーマット]の[挿入]でプロパティ値を入力することで、変更することが可能となっております。

例えば、イベントID をメッセージに挿入する場合には、[挿入] をクリックし、[イベントログの監視]−[イベントID]を選択します。すると、[メッセージフォーマット] のテキストボックス内に %id% という値が追加されます。

EventReporter で使用できるプロパティ値の詳細につきましては、こちら をご参照下さい。

TOPへ

Q. イベントの重要度は、それぞれどの Syslog プライオリティ に割り当てられますか?

デフォルトでは、イベントの重要度は、下記のようにマッピングされます:

重要度

Syslogプライオリティ

コード

成功の監査

通知: Notice: normal but significant condition

5

失敗の監査

警告: Warning: warning conditions

4

情報

情報提供: Informational: informational messages

6

エラー

エラー: Error: error conditions

3

警告

警告: Warning: warning conditions

4

参照:BSD syslogプロトコル 表2 syslogメッセージのSeverity;http://www.amris.co.jp/netdocs/rfc3164_j.html

 

この値は、イベントログの監視サービスの高度な設定で変更することも可能です。
変更したいイベントログのタイプ(アプリケーションやセキュリティなど)を選択し、高度な設定ボタンをクリックすると下図のような画面が表示されますので、その項目ごと変更したい値を選択して下さい。

 


▲イベントログの監視 サービス−高度な設定

TOPへ

Q. 夜間に作成されたイベントログを別のファイルに保存するには・・・

フィルタの条件を設定して頂くことで、指定の時間内に発生したイベントをログファイルに保存することが可能です。

以下の設定例では、営業時間外(19時〜6時)に発生したイベントログを別のログファイルに保存するように設定を行います。

 1)ルール、アクションの作成  

新たに「Timing Control」という名でルールを作成します。
次に、その配下に「Write at Night」という名のファイルログ アクションを作成します。(下図参照)

 2)フィルタの条件の設定    

1)演算子の変更
「AND」をダブルクリックし、演算子を「OR」に変更します。
(時間が真夜中(0:00:00)を区切りに分かれているため、「OR」のオペレーションが適しています。)

2)フィルタの作成
「OR」を右クリックし、「フィルタの追加」-「Date/時間」-「時間」を選択します。
すると、時間を指定するフィルタが作成されます。


▲フィルタの条件 設定画面

フィルタを選択すると、設定画面の下の方に「詳細」が表示されます。
まず、「オペレーションの比較」で「>」を指定します。
次に、「プロパティに値を設定」にて時間「19:00:00」を指定します。
(これで「19時以降」という時間枠を指定できます)

もう一つフィルタを追加し、詳細で 「オペレーションの比較」を「<」、「プロパティに値を設定」にて時間「6:00:00」を指定して下さい。

この二つのフィルタを設定することで、「19時〜6時」の時間枠を指定できます。

「RuleSet 1」を使用するルールセットとして設定を行っているサービスによって生成された全てのイベントは、この「Timing Control」のフィルタの条件を通過します。

もしも、19:00:01から5:59:59までの間でイベントが発生すれば、「Write at Night」のアクションが実行されます。(つまり、PM7時以降 AM6時以前に発生したイベントで、フィルタの条件で「真(TRUE)」と評価されたものがファイルに書き込まれます。)


この設定条件で、AM8時(8:00:00)にイベントが発生した場合、以下のように評価されます:

設定した条件

受信した時間

評価

Time > 19:00:00

時間 =8:00:00

偽(False)

Time < 6:00:00

時間 =8:00:00

偽(False)

これは、指定した時間枠外のイベントということになり、アクションは実行されません。

一方PM8時(20:00:00)にイベントが発生した場合には、以下のように評価されます:

設定した条件

受信した時間

評価

Time > 19:00:00

時間 =20:00:00

真(True)

Time < 6:00:00

時間 =20:00:00

偽(False)

この場合は、フィルタの条件が「真(True)」となり、アクションが実行されます。

TOPへ

Q. 特定のイベントIDのイベントログだけ除外したい(処理したくない)のですが・・・

ログを管理する上で不要なイベントログは、破棄アクションを利用することで無視することができます。

特定のイベントID を持つログを無視したい場合には、破棄のアクションを設定します。
まず、フィルタの条件でイベントIDのフィルタを作成し、値を入力します。
下の例では、ID=105として設定しています。
さらに、そのフィルタ条件の配下に「破棄」アクションを追加します。

すると、フィルタの条件にマッチしたログは、無視され、その他のログはその下のルールに流れてゆきます。
下の例では、破棄を含むルール(Discard)の下にファイルログのアクションを含むルール(FileLog)がありますので、イベント ID が105でない全てのイベントログがログファイルに記録されるようになります。
なお、Syslog転送のルール(ForwardSyslog)は、Discardより上にあるので、(そのルールでフィルタの条件が何も設定されていなければ)、メッセージは破棄されず全て転送されます。

 

TOPへ

Q. 重大レベルのイベントログをフィルタリングしたいのですが・・・

Windows Vista 以降のOSで新たに追加された「重大(Critical)」レベルのイベントログを絞り込み、処理させたい場合には、従来の[イベント重要度]フィルタではなく、[イベントログの監視V2]の項目内にある[イベントレベル]フィルタを使用します。(下図参照)


▲ フィルタの条件 補助メニュー(右クリックで表示)


▲ ルール内 フィルタの条件 設定画面

ドロップダウンリストから選択する[イベント重要度]フィルタとは違い、[イベントレベル]フィルタでは、[プロパティ値を設定]のボックスに直接文字列を入力しなければなりません。

上図のようにフィルタの条件を設定することで、レベルが重大のであるイベントのみ処理の対象となり、そのフィルタの条件の下に設定されたアクションが実行されるようになります。

※※ ご注意 ※※

Windows Vista 以降の新しいイベントログを処理する場合には、特別な事情がない限り、従来の[イベントログの監視]サービスでなく、[イベントログの監視V2]サービスをご利用ください。
(従来のサービスでは、新たに追加された項目やイベントなど処理できない場合がございます)

 

◆ WinSyslog で Syslog テストメッセージを送信する

WinSyslog には、ルールの設定などをご確認頂けるよう、Syslog 形式のテストメッセージを送信する機能がございます。
(WinSyslog 5.0 バージョン以降でご利用になれます)

「ツール」内の「Syslogテストメッセージを送信」を選択すると、以下のような画面が表示されます。
「Syslogサーバー」にて、送信先のサーバーのIPアドレスをご指定下さい。

その他は、必要に応じて設定内容をご変更下さい。
なお、メッセージ送信数は、1から1000 までご指定頂けます。

「Syslogメッセージに番号を追加する」が有効になっている場合、送信メッセージの後尾に no. 1 (1通目の場合)と追加されます。


▲ Syslog テストメッセージ送信 設定画面

TOPへ

◆ EventReporter で特定のアプリケーションを監視し、それをメールで通知する

korekore.exe (例) というアプリケーションの動作を検出し、そのメッセージをEメールで送信すると仮定します。

EventReporter では、フィルタの条件において、「korekore」という文字列をメッセージフィルタとして設定することで、 このアプリケーションの起動、終了に関するログを収集し、メール送信などの処理を行うことが可能です。

まず、プログラムの動作を監視し、セキュリティログにイベントを記録させるために、Windows側で設定を行う必要があります。
「管理ツール」-「ローカルセキュリティポリシー」-「ローカルポリシー」-「監査ポリシー」の配下にある「プロセス追跡の監査」を選択し、成功、失敗それぞれの監査を有効にします。

 

 

次に、EventReporter でルールを作成し、フィルタの条件を設定し、その配下にメール送信アクションを作成・設定します。
(下図参照:この画面は EventReporter 8.1 にて設定されたものです)

 

 

このフィルタの条件設定により、「korekore」という文字列が受信メッセージ内に含まれている場合、真(True)と評価され、そのマッチしたメッセージに対して「Eメール送信」アクションが実行されます。

TOPへ

◆ ユーザー登録番号を簡単に入力する

WinSyslog 7.1、EventReporter 8.1 バージョンより、ユーザー登録番号をペースト出来る機能が追加されました。

例えば、以下のライセンスキーを入力する場合、99999-99999-000000-00000-111111 を選択コピーして頂き、下図のライセンスの設定画面で赤く印が付いたボタンをクリックして頂くと、自動的に番号が入力されます。

 

TOPへ

◆ 月ごとにログファイルを作成する

WinSyslog 、および EventReporter のファイルアクションで作成されるログは、デフォルトでは一日ごと新たに作成されます。
([独自のファイル名を作成]が有効になっているため)

もしも、一日ごとでなく一ヶ月ごとにログファイルを作成したい場合には、WinSyslog 設定クライアントを起動し、ファイルログを開き、以下の手順にて設定して下さい:(ファイルログの作成方法つきましては、こちらをご参照下さい)

1) [ファイル名のプロパティの置換を有効にする ]をチェックします。

2) [独自のファイル名を作成 ]のチェックを外します。

3) ファイルベース名を [WinSyslog-%timereported:1:7%]とします。
(%timereported% は報告時刻を指定するプロパティ値です。)
%timereported:1:7% は、報告時刻の1文字目から7文字目までを指定するものです。

このように設定して頂きますと、(例) WinSyslog-2007-01.log という名のログファイルが作成され、月ごとにログファイルが作成されるようになります。

%timereported% は、UTCタイムが基準になっておりますので、この場合、ログファイルは、1日の午前9時(GMT 0:00)に切り替わります。
例えば、2007年1月というログファイルには、1月1日午前9:00 から 2月1日の午前8:59:59 までのログが記録されます。

TOPへ

TOP PAGEへ


Copyright (c)2016 Ihara Inc. All Rights Reserved.
Microsoft、MS-DOS、Windows NT、Windowsは米国Microsoft Corporationの米国およびその他の国における登録商標です。
その他、記載されている会社名、製品名は各社の登録商標または商標です。