OpManager ナレッジベース

ManageEngine > サポート > OpManager ナレッジベース > トラブルシューティング > Windowsイベントログ監視でアラートが発生しない
戻る

Windowsイベントログ監視でアラートが発生しない

  • 作成日:2013年10月10日 | 更新日:2022年11月10日

現象

Windowsイベントログ監視でアラートが発生しない。

解決方法

ビルドごとに対応方法が変わります。ビルド番号の確認方法はこちら

ビルド12.5.150以降の場合

弊社サポートまでご連絡いただけますでしょうか。

ビルド12.2~12.4.196の場合

画面説明に関する参考URL:
ユーザーガイド - v12 画面説明
http://help.opmanager.jp/screen_desc_v12

【原因】
Windowsイベントログ監視では、監視を行うために以下の1と2の設定が必要となります。

1. [設定] - [監視] - [監視] - [イベントログ]

ここでは、監視対象サーバ上で発生するイベントログをWMIで検知する時に情報を読み取り、
ここで作成するイベントログルールに照らし合わせマッチングするかどうか判定します。

2. 装置スナップショット - [監視] - [イベントログ] - [+] - [適用 監視]

ここでは、[設定] - [監視] - [監視] - [イベントログ]で作成したイベントログルールについて、
監視対象の装置がどのイベントログルールを監視するか選択します。
デフォルトでは、どのルールも監視を行わない設定(チェックボックスのチェック無し)になっております。

3.イベントログルールのマッチング文字列において、"[]"や"()"などの記号が用いられている場合、
OpManagerではそれを正規表現と捉えるため、文字通りマッチングせず、それによりイベントログルールに適合せず
イベントログアラームが発生しません。

4.次の既知の不具合に適合している場合、アラームが発生しません。

5.イベントログのメッセージのサイズが大きすぎて、DBテーブルに格納できない。
その際以下のエラーが発生する。
OpManager\logs\stderr.txt

参考)
 INSERT INTO Event_2012_11_20_11(ID,TEXT,CATEGORY, ・・・
以下エラーが出力されています。
ERROR: value too long for type charactervarying(4000)

【解決方法】
以下の項目をすべて確認します。
以下のいずれかが満たされない場合、イベントログの監視は行えません。

1) OpManager上で、監視対象装置のWMI認証が成功しているかどうか確認。

確認箇所) 装置スナップショット - [認証設定の変更] - [認証テスト]

2) [設定] - [監視] - [監視] - [イベントログ]において、監視したいイベントログルールの内容が
監視対象サーバ上で実際に発生しているイベントログの内容とマッチングしているかどうか確認。

3) 監視対象装置の装置スナップショット - [監視] - [イベントログ]にて、
監視したいイベントログ監視が有効になっていることを確認。

4) [設定] - [監視] - [監視] - [イベントログ]のマッチング文字列において、"[]"や"()"などの正規表現で使用される記号を用いていないかどうか確認し、用いているのであればエスケープ処理します。(正規表現を使用しない場合)

参考ナレッジ)
イベントログルールのマッチング文字列が動作しない
https://www.manageengine.jp/support/kb/OpManager/?p=4149

5)実際にエラーログが発生していることを確認した場合、次の手順を実行します。

手順)
1.下記ナレッジの通りバックアップを取得
http://www.manageengine.jp/support/kb/OpManager/?p=609
2.OpManagerを起動
3.コマンドプロンプトのアイコンを右クリックして管理者として実行から起動
4.OpManager\pgsql\binに移動
5.以下のコマンドを実行
psql -U postgres -h 127.0.0.1 -p13306 OpManagerDB
6.以下の6つのクエリを実行
  • ALTER TABLE Alert ALTER COLUMN MMESSAGE varchar(8000);
  • ALTER TABLE Event ALTER COLUMN TEXT varchar(8000);
  • ALTER TABLE SystemLog ALTER COLUMN LOGMESSAGE varchar(8000)
  • ALTER TABLE <Alert META> ALTER COLUMN MMESSAGE varchar(8000);
  • ALTER TABLE <Event META>  ALTER COLUMN TEXT varchar(8000);
  • ALTER TABLE <SystemLog META>  ALTER COLUMN LOGMESSAGE varchar(8000)
下記テーブルは、動的テーブルのため確認される場合は、保守サポートまでお問い合わせください。
  • <Alert META>
  • <Event META>  
  • <SystemLog META>
7.以下のコマンドを実行しpostgreSQLからログアウト
\q
 8.OpManagerを再起動

 

注意)

【解決方法】3) の設定抜けが非常に多くなっております。必ずご確認ください。
・複数の装置に対し一括でイベントログルールの監視設定を行いたい場合には
[設定] - [監視] - [一括設定] -「イベントログルール」より設定を行います。

 

問題が解決しない場合

上記各項目を確認しても事象が修正されない場合、以下の資料をサポートまでお送りください。

  • 問題の発生している装置スナップショット画面のスクリーンショット画像
  • 問題の発生している装置スナップショット - [認証設定の変更] - [認証テスト]を実行し、表示された結果画面のスクリーンショット画像
  • 問題の発生している装置スナップショット - [監視] - [イベントログ]で表示された画面のスクリーンショット画像
  • [設定] - [監視] - [監視] - [イベントログ]にて、検知されないイベントログルールの編集画面のスクリーンショット画像
  • 監視対象のWindows OSのイベントビューアの機能で、該当のイベントログのレコードを右クリックから[イベントのプロパティ]を選択し表示された全般の画面のスクリーンショット
  • [設定] - [監視] - [監視] - [イベントログ]における画面全体のスクリーンショット (正しいイベントログカテゴリの下でイベントログルールが作成されているかどうか確認のため)
  • ログ - 以下ナレッジ手順で作成されるサポート情報ファイルをお送りください。
    調査用ログの取得手順
    https://www.manageengine.jp/support/kb/OpManager/?p=2326

ビルド11600の場合

【原因】
Windowsイベントログ監視では、監視を行うために以下の1と2の設定が必要となります。

1. [管理]-[イベントログルール]

ここでは、監視対象サーバ上で発生するイベントログをWMIで検知する時に情報を読み取り、
ここで作成するイベントログルールに照らし合わせマッチングするかどうか判定します。

2. [装置スナップショット]-[アクション]-[イベントログルール]

ここでは、[管理-[イベントログルール]で作成したイベントログルールについて、
監視対象の装置がどのイベントログルールを監視するか選択します。
デフォルトでは、どのルールも監視を行わない設定(チェックボックスのチェック無し)になっております。

3.イベントログルールのマッチング文字列において、"[]"や"()"などの記号が用いられている場合、
OpManagerではそれを正規表現と捉えるため、文字通りマッチングせず、それによりイベントログルールに適合せず
イベントログアラームが発生しません。

4.次の既知の不具合に適合している場合、アラームが発生しません。

【解決方法】
以下の項目をすべて確認します。
以下のいずれかが満たされない場合、イベントログの監視は行えません。

1) OpManager上で、監視対象装置のWMI認証が成功しているかどうか確認。

確認箇所)[装置スナップショット]-[パスワードの設定]-[認証テスト]

2) [管理]-[イベントログルール]において、監視したいイベントログルールの内容が
監視対象サーバ上で実際に発生しているイベントログの内容とマッチングしているかどうか確認。

3) 監視対象装置の[装置スナップショット]-[アクション]-[イベントログルール]にて、
監視したいイベントログルールの監視が有効になっていることを確認。

4)  [管理]-[イベントログルール]のマッチング文字列において、"[]"や"()"などの正規表現で使用される記号を用いていないかどうか確認し、用いているのであればエスケープ処理します。(正規表現を使用しない場合)

以下のナレッジを参照)
https://www.manageengine.jp/support/kb/OpManager/?p=4149

注意)

【解決方法】の3)の設定抜けが非常に多くなっております。必ずご確認ください。
・複数の装置にて一括でイベントログルールの監視設定を行いたい場合には
その設定方法について以下のドキュメントを確認します。

Op Manager ユーザーガイド
http://help.opmanager.jp/quick_config_wizard
「複数装置にイベントログルールを設定」項目を確認

問題が解決しない場合

上記各項目を確認しても事象が修正されない場合、以下の資料をサポートまでお送りください。

  • 問題の発生している装置スナップショット画面のスクリーンショット
  • 問題の発生している装置スナップショット画面 - パスワードの設定 において、認証テストを実行し表示された結果画面のスクリーンショット
  • 問題の発生している装置スナップショット画面 - アクション - イベントログルールで表示された画面のスクリーンショット
  • [管理]-[イベントログルール]において、対象のイベントログのルールを編集した画面のスクリーンショット
  • 監視対象のwindows OSのイベントビューアの機能で、該当のイベントログのレコードを右クリックからイベントのプロパティを選択し表示された全般の画面のスクリーンショット
  • [管理]-[イベントログルール]における画面全体のスクリーンショット(正しいイベントログカテゴリの下でイベントログルールが作成されているかどうか確認のため)
  • ログ - 以下ナレッジ手順で作成されるサポート情報ファイルをお送りください。
    調査用ログの取得手順
    https://www.manageengine.jp/support/kb/OpManager/?p=2326

【対応リリース】 x.x

★-----------------------------------------------------------------------------★
OpManager 製品紹介ページはこちら ↓
https://www.manageengine.jp/products/OpManager/
★-----------------------------------------------------------------------------★

このナレッジの総閲覧回数: 5,261

関連ナレッジ:

  1. 通知プロファイルのコマンド/プログラムのディレクトリパス内のが全角になる
  2. 装置認証情報のバックスラッシュが全角で表示される。
  3. アラームメッセージのクリア、削除、確認が取得できない。
  4. 装置のスナップショットページを表示できない

タグ: