イベントログの監視(Windows)
http://extstrg.asabiya.net/pukiwiki/index.php?%A5%A4%A5%D9%A5%F3%A5%C8%A5%ED%A5%B0%A4%CE%B4%C6%BB%EB%A1%CAWindows%A1%CB目次
概要 †
イベントログはエージェントのアクティブチェック機能を使用する。
1.4系・1.6系は日本語対応できていない。1.8系ではUTF-8に対応する模様(2009/11)
アイテム設定 †
- システム
タイプ ZABBIXエージェント(アクティブ) キー eventlog[system] データ型 ログ
- アプリケーション
タイプ ZABBIXエージェント(アクティブ) キー eventlog[application] データ型 ログ
- セキュリティ
タイプ ZABBIXエージェント(アクティブ) キー eventlog[security] データ型 ログ
トリガー設定 †
トリガーには以下の項目が設定可能
- ログの出力元アプリケーションを指定
書式 {%HOST%:eventlog[system].logsource(文字列)}=判定 判定 1=文字列にマッチする 0=文字列にマッチしない
- ログ内の文字列を指定
書式 {%HOST%:eventlog[system].iregexp(文字列)}=判定 判定 1=文字列にマッチする 0=文字列にマッチしない
- ログ内の深刻度(重要度)を指定
書式 {%HOST%:eventlog[system].logseverity()}=判定 判定 1=情報 2=警告 3= 4=エラー
動作試験 †
任意のイベントを登録 †
PowerShellを管理者権限で起動し、以下のコマンドにて任意のイベントログを作成することができる。
- 書式
Write-EventLog -LogName 【イベントログ名】 -Source "【イベントソース名】" -EventID 【イベントID】 -EntryType 【レベル】 -Message "【メッセージ】"
- 例(SystemにZabbixソースでID 9999を警告レベルで登録する)
Write-EventLog -LogName System -Source "Zabbix" -EventID 9999 -EntryType Warning -Message "Zabbixで警告が発生しました"
- 例(ApplicationにZabbixソースでID 1024をエラーレベルで登録する)
Write-EventLog -LogName Application -Source "Zabbix" -EventID 1024 -EntryType Error -Message "Zabbixで警告が発生しました"
イベントソースを追加 †
イベントソースが登録されていない状態でイベントを生成すると、以下のエラーが発生する。
Write-EventLog : ソース名 "Zabbix Agent" はコンピューター "localhost" に存在しません。 発生場所 行:1 文字:1 + Write-EventLog -LogName System -Source "Zabbix Agent" -EventID 999 ... + ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ + CategoryInfo : InvalidOperation: (:) [Write-EventLog]、InvalidOperationException + FullyQualifiedErrorId : Microsoft.PowerShell.Commands.WriteEventLogCommand
この様なエラーが発生する場合には、イベントソースの登録を行った後にイベントを登録する。
- 書式
New-EventLog -LogName 【イベントログ名】 -Source "【イベントソース名】"
- 例(SystemにZabbix Agentを登録する)
New-EventLog -LogName System -Source "Zabbix Agent"
参考 †
http://www.zabbix.com/wiki/doku.php?id=howto:monitoringwindows
Last-modified: 2020-03-30 (月) 01:54:11 (1482d)