SCOM 2012 R2 での Windows テキスト ログ監視の設定方法
こんにちは、日本マイクロソフト System Center Support Team の久保です。
System Center 2012 R2 Operations Manager (SCOM) 上にある、テキスト ログの監視の設定方法についてお伝えいたします。
SCOM では、テキスト ログの監視を行うことができます。
テキスト ログは、アプリケーションがイベント情報を記録するために使用するテキスト ファイルです。
テキスト ログは、“一般的なテキスト ログ (所謂、テキスト ファイル)” と “一般的な CSV テキスト ログ (所謂、CSV ファイル)” のいずれかとして定義されます。
テキスト ログに特定の文字列が出力されたことを受けてアラートを発生したり、出力された文字列をイベントとして収集および一覧表示したりといったことが可能です。
今回ご紹介する設定により、テキスト ログに含まれる特定の文字列のヘルス状態を指定することができ、オペレーション マネージャーから監視することができます。
今回は、一般的なテキスト ファイル(.txt) に出力される、特定のアプリケーション のログを監視するためのモニターの作成手順を紹介いたします。
テキスト ファイルの中に”エラー” という文字列が含まれている場合には 「重大」、”情報” という文字列が含まれている場合には「健全」 と検出するように、ヘルス状態の指定をします。
作成したモニターは”監視” ウィンドウから監視することが可能です。
以下、モニターの作成手順です。
========== 手順 ==========
1. SCOM Operations Manager を起動します。
2. “作成” ウィンドウで、[作成] – [管理パックオブジェクト] の順に展開し、[モニター] をクリックします。
3. [スコープ] をクリックします。
4. ”管理パック オブジェクトのスコープ設定” ダイアログ ボックスで、”検索対象” ボックスに「Windows コンピューター」と入力し、[Windows コンピューター] ターゲット チェック ボックスをオンにして、[OK] をクリックします。
5. [モニター] ウィンドウで、[Windows コンピュータ]、[エンティティのヘルス] の順に展開し、[可用性] を右クリックして [モニターの作成] をポイントしてから [ユニット モニター] をクリックします。
6. “ユニット モニターの作成” ウィザードの “モニターの種類を選択します” ページで、[ログ ファイル] - [テキスト ログ] - [シンプルなイベントの検出] の順に展開し、[イベント リセット] をクリックしてから 、”目的の管理パックの選択” にて「ルールを保存する管理パック」を選択した上で、[次へ] をクリックします。
7. “全般プロパティ” ページで、[名前] ボックスにユニット モニターの名前を入力し、必要に応じて説明を入力します。
8. [親モニター] 矢印をクリックし、適切な親モニターを選択して、[次へ] をクリックします。
# 今回は、ステップ 5 の通り、『可用性』を選択します。
9. (最初のGenericLog) “アプリケーション ログのデータ ソース” のページで、 [ディレクトリ] ボックスに、ログ ファイルが格納されている場所へのパスを入力します。
10. [パターン] ボックスに、ログ ファイルを選択するパターン文字列を入力し、必要に応じて [UTF8] を選択し、[次へ] をクリックします。
Ex.) 今回は”C:\logfiles” の中にある”application.log” のテキスト ファイルを監視します。
11. (最初の式の作成) “イベント判別式の作成” ページで、[挿入] をクリックし、次の設定を行い、設定を行った後、[次へ] をクリックします。
---
a. [パラメータ名] (左側) に、「Params/Param[1]」と入力します。
b. [演算子] の下でアラート アイコンをクリックし、演算子の矢印をクリックしてプルダウンより適切な演算子を選択します。
# 今回は「次のワイルドカード一致する」を選択しました。
c. [値] の下でアラート アイコンをクリックし、[…] ボタンをクリックして値を選択するか、式を入力します。
---
* Params/Param[x] について
一般的なテキスト ファイルの場合、[x] のパラメーターは 1 となります。
csv ファイルの場合には、どのフィールドのパラメーターを監視するのかを指定します。
Ex.) 今回は一般的なテキストファイル内の中に書かれている「エラー」を検出したいので、下記のように入力します。
パラメーター名 : Params/Param[1]
演算子 : 次の値を含む
値 : エラー
12. (2 番目のGenericLog) “アプリケーション ログのデータ ソース” のページで、 [ディレクトリ] ボックスに、ログ ファイルが格納されている場所へのパスを入力します。
# 手順 9 で指定したパスを入力します。
13. [パターン] ボックスに、ログ ファイルを選択するパターン文字列を入力し、必要に応じて [UTF8] を選択し、[次へ] をクリックします。
# 手順 10 で指定したパスを入力します。
14. (2 番目の式の作成) [イベント判別式の作成] ページで、[挿入] をクリックし、次の設定を行います。設定を行い、[次へ] をクリックします。
---
a. [パラメータ名] (左側) に、「Params/Param[1]」と入力します。
b. [演算子] の下でアラート アイコンをクリックし、演算子の矢印をクリックしていずれかの演算子を選択します。
c. [値] の下でアラート アイコンをクリックし、[…] ボタンをクリックして値を選択するか、式を入力します。
---
Ex.) 手順11 と同様に、下記のように入力します。
パラメーター名 : Params/Param[1]
演算子 : 次の値を含む
値 : 情報
15. “ヘルスの構成” ページで、次の設定を行い、[次へ] をクリックします。
a. “2 番目のイベント発生” 行で、[操作状態] 列にある名前に、この状態の表示名を入力します。
[稼働状態] 列をクリックし、ドロップダウン ボックスを使用して、[重大]、[警告]、または [健全] を選択します。
b. “最初のイベント発生” 行で、[操作状態] 列にある名前に、この状態の表示名を入力します。
[稼働状態] 列をクリックし、ドロップダウン ボックスを使用して、[重大]、[警告]、または [健全] を選択します。
※2つのイベントのうち、どちらかの正常性の状態を [健全] に設定する必要があります。
Ex.) 今回は、”エラー” という文字列が含まれている場合は”重大”、”情報” という文字列が含まれているは”健全” とします。
16. “アラートの構成” ページで、既定の設定をそのまま使用するか、 [作成] をクリックします。
# 作成するモニターでアラートを出したい場合には、[このモニターのアラートを生成する] チェック ボックスをオンにして、必要に応じてカスタムのアラート プロパティを設定して下さい。
※ 今回作成したアラートは、”監視” ウィンドウより、手順 6 の”目的の管理パック” で指定した管理パックより、確認することができます。
* 補足 テキストログ監視を利用する際の留意事項
---------------------------------------
a. テキスト ログ監視においては、ログの何行目まで読んだかという情報 ("high water mark"と呼びます) を SCOM エージェントが保持しております。
b. "high water mark" よりも前の行については、更新がかかっても再度読まれることはありません。
c. ファイルが削除もしくはリネームされてから再作成されれば、"high water mark" は 1 行目にリセットされます。
d. 一定行数までログが入力されたファイルの中身だけを削除し、1 行目からログを再度記録していっても、中身の削除が実施される前の行数に到達するまで監視は実行されません。
e. 上記の理由により、循環形式のログを監視することができません。
f. ? や * を使って監視対象ファイル名の条件を指定した場合で、かつ条件に合致するファイルが複数存在した場合、それらのうちひとつのログにだけ書き込みが実行されるようにしておく必要があります。条件に合致する複数のファイルに並行して書き込みが実行された場合、"high water mark" のリセットによって古いログの読み直しが発生する可能性があります。
以下は今回の内容に関連する公開情報です。
> Text Logs
https://technet.microsoft.com/en-us/library/hh457567.aspx
> テキスト ログ (機械日本語翻訳版)
https://technet.microsoft.com/ja-jp/library/hh457567.aspx
> テキストログ監視および CSV ログ監視について https://blogs.technet.com/b/systemcenterjp/archive/2012/05/01/3495392.aspx
> Monitoring Text and CSV log files in System Center Operations Manager
https://support.microsoft.com/en-us/kb/2691973