イベント ログの監視Monitor Event Log

重要

このバージョンの Orchestrator はサポートが終了しました。 orchestrator 2019 にアップグレードすることをお勧めします。This version of Orchestrator has reached the end of support, we recommend you to upgrade to Orchestrator 2019.

イベントログの監視活動は、指定したフィルターに一致する新しいイベントが Windows イベントログに記録されたときに、runbook を呼び出します。The Monitor Event Log activity invokes runbooks when new events that match a filter that you specify appear in the Windows Event Log. イベントログの監視活動を使用して、Windows イベントログに生成されるイベントに応答して、問題のエスカレーション、調査、または修正を行う runbook を実行できます。You can use the Monitor Event Log activity to run runbooks that will escalate, investigate, or correct any issues in response to events being generated to the Windows Event Log. たとえば、セキュリティログにセキュリティ監査エラーが表示され、その問題を通知する電子メールが管理者に送信されます。For example, a security audit failure appears in the security log which will send an email to an administrator to notify them of the problem. 2番目のモードは、Windows イベントログのサイズが許容される最大サイズに達したときに runbook を呼び出します。The second mode invokes your runbook when the size of the Windows Event Log reaches the maximum size allowed.

イベントログの監視活動の構成Configuring the Monitor Event Log Activity

イベントログの監視活動を構成する前に、次のことを確認する必要があります。Before you configure the Monitor Event Log activity, you need to determine the following:

  • 監視するイベントログの名前Name of the event log you are monitoring

  • Runbook を呼び出すイベントの詳細Details about the events that will invoke the runbook

イベントログの監視活動を構成するには、次の手順に従います。Use the following steps to configure the Monitor Event Log activity.

イベントログの監視活動を構成するにはTo configure the Monitor Event Log activity

  1. [ アクティビティ] ウィンドウで、 イベントログの監視 活動を runbook にドラッグします。From the Activity pane, drag a Monitor Event Log activity to the runbook.

  2. [ イベントログの監視 ] 活動アイコンをダブルクリックして、[ プロパティ ] ダイアログボックスを開きます。Double-click the Monitor Event Log activity icon to open the Properties dialog box.

  3. [ 詳細 ] タブおよび [ 詳細 設定] タブで、設定を構成します。構成の手順については、次の表を参照してください。Configure the settings on the Details tab and on the Advanced tab. Configuration instructions are listed in the following tables.

[詳細] タブDetails Tab

設定Settings 構成の手順Configuration Instructions
コンピューターComputer 監視する Windows イベントログが保存されているコンピューターの名前を入力します。Type the name of the computer that stores the Windows Event Log that you want to monitor. 省略記号ボタン ([. ..]) を使用してコンピューターを参照することもできます。You can also browse for the computer using the ellipsis (...) button. この活動を実行する runbook サーバーは、そのコンピューターの Windows イベントログを監視するための適切な権限を持っている必要があります。The runbook server that runs this activity must have the appropriate rights to monitor the Windows Event Log on that computer.
イベント ログEvent log 監視する Windows イベントログの名前を入力します。Type the name of the Windows Event Log that you are monitoring. 省略記号ボタン ([. ..]) を使用して、Windows イベントログを参照することもできます。You can also browse for the Windows Event Log using the ellipsis (...) button. Windows には、アプリケーション、セキュリティ、システムという3つのイベントログが既定で含まれています。Windows includes three Event Logs by default: Application, Security, and System. 接続先のコンピューターには、他のイベントログが含まれている場合があります。The computer that you are connecting to may contain other Event Logs.
メッセージフィルターMessage filters 一覧には、指定したログで生成されたイベントをフィルター処理するように構成されているすべてのフィルターが表示されます。The list shows all the filters that have been configured to filter the events that are generated in the log that you have specified. リスト内の項目を編集または削除するには、項目を選択し、[ 編集 ] または [適用可能な場合は 削除 ] をクリックします。To edit or remove an item in the list, select it and click Edit or Remove as applicable.

イベントフィルターを追加するにはTo add an event filter
1. [ 追加 ] をクリックして [ フィルターのプロパティ ] ダイアログボックスを開きます。1. Click Add to open the Filter Properties dialog box.
2. フィルター処理の対象となるイベントログエントリのプロパティを選択します。2. Select the property of the event log entry that you are filtering against. イベントに属性が付けられている カテゴリ説明イベント IDソース、および に対してフィルター処理を行うことができます。You can filter against the Category, Description, Event ID, Source, and Type that is attributed to the event.
3. イベントプロパティの値をフィルター値と比較するために使用するリレーションシップを指定します。3. Specify the relation you are using to compare the value of the event property to the filter value. [ カテゴリ]、[ 説明]、[ 種類]、および [ ソース ] を選択した場合は、[ 含む ] または [ 含まない] を指定できます。If you select Category, Description, Type, and Source you can specify Contains or Does not contain. イベント IDには、とは異なる、がに等しい、より小さい、、よりis lower than or equals****大きいまたは以上の値を指定できます。For Event ID you can specify is different than, is equal to , is lower than, is lower than or equals, is more than, and is more than or equals.
4. イベントプロパティと比較するフィルター値を指定します。4. Specify the filter value that you are comparing the event property against. [ カテゴリ]、[ 説明]、[ ソース] には、プロパティに含まれる文字列を入力します。For Category, Description, and Source, enter the string that is contained within the property. [ イベント id] には、イベントの id と比較される数値を入力します。For Event ID, enter the numeric value that will be compared against the ID of the event. [ 種類 ] 条件で、フィルターを適用する特定の種類のイベント ([ エラー]、[ 警告]、[ 情報]、[ 成功の監査]、[失敗の 監査] など) を選択します。For the Type condition, select the specific type of event that you want to filter for such as Error, Warning, Information, Success Audit, or Failure Audit.

公開データPublished Data

次の表は、公開データの項目を一覧にしています。The following table lists the published data items.

項目Item 説明Description
イベントログ名Event log name 監視されている Windows イベントログの名前。The name of the Windows Event Log being monitored.
ComputerComputer Windows イベントログが保存されているコンピューターの名前。The name of the computer where the Windows Event Log is stored.
ログエントリの説明Log entry description イベントログエントリの説明に含まれるテキスト。The text that is contained in the Event Log entry description.
ログエントリ IDLog Entry ID イベントログエントリの ID です。The ID of the Event Log entry.
ログエントリのソースLog Entry source イベントのソース。The source of the event.
ログエントリコンピューターLog Entry computer イベントが発生したコンピューター。The computer where the event occurred.
ログエントリの種類Log Entry type イベントの種類。The type of event.
ログエントリの日付Log Entry date イベントがログに記録された日付。The date the event was logged.
ログエントリの時刻Log Entry time イベントがログに記録された時刻。The time the event was logged.