詳細設定

ここでは、ThirdEyeのバックアップやグローバル設定、基本設定より詳細な監視設定を紹介します。

いろいろな監視設定をする

Webサイトを監視する

HTTPリクエストを送信し、Webポートの監視や特定のサイトの監視を行うことができます。

  1. [デバイス]タブの監視対象機器一覧から、モニターを設定する機器をダブルクリックします。

{width=“4.5569444444444445in” height=“2.6416666666666666in”}

  1. 左下の[+(追加)]をクリックし、「HTTP」をクリックします。

  1. 任意のモニター名とインターバルを設定します。

  1. 以下の項目を入力します。

項目 説明

スキーム HTTPまたはHTTPSを選択します。

ポート Webポートを指定します。

パス 監視するサイトのパスを入力します。

  1. [トリガー]をクリックし、[しきい値判定]をクリックします。

  1. 各項目を設定します。

以下の画面の条件では、ステータスコードが「200」以外の場合がアラート対象になります。

※各項目の詳細については、「5.3.4しきい値を設定して監視する」を参照してください。

  1. [保存]をクリックします。

保存後、リクエストが開始され正常に取得できればデバイス詳細画面にデータが表示されます。

{width=“4.528472222222222in” height=“1.3583333333333334in”}

TCPポートを監視する

TCPポートにsynメッセージを送信し、応答があるかを確認することができます。

  1. 左下の[+(追加)]をクリックし、「TCPポート」をクリックします。

{width=“4.528472222222222in” height=“1.3583333333333334in”}

  1. 任意のモニター名とインターバルを設定します。

  1. 監視するポート番号を設定します。

{width=“4.528472222222222in” height=“1.3583333333333334in”}

  1. [トリガー]をクリックし、[しきい値判定]をクリックします。

{width=“4.528472222222222in” height=“1.3583333333333334in”}

  1. 各項目を設定します。

以下の画面の条件では、レスポンスが1000ミリ秒より大きい場合がアラート対象になります。

※各項目の詳細については、「5.3.4しきい値を設定して監視する」を参照してください。

{width=“4.528472222222222in” height=“1.3583333333333334in”}

  1. [保存]をクリックします。

{width=“4.528472222222222in” height=“1.3583333333333334in”}

保存後、リクエストが開始され正常に取得できればデバイス詳細画面にデータが表示されます。

{width=“4.528472222222222in” height=“1.3583333333333334in”}

計算式を使用した監視をする

ThirdEyeでは、カスタム計算式を使用して取得したデータを自動で計算することができます。例えば、標準MIBであるHOST-RESOURCE-MIBにはサーバのディスクのサイズと使用量のMIBはありますが、使用率(%)のMIBはありません。カスタム計算式を使用することで、ディスクのサイズと使用量を計算して使用率を出すことができます。ここでは、HOST-RESOURCE-MIBを例に手順を記載します。

  1. [デバイス]タブの監視対象機器一覧から、モニターを設定する機器をダブルクリックします。

{width=“4.528472222222222in” height=“2.6416666666666666in”}

  1. 左下の[+(追加)]をクリックし、「SNMP」をクリックします。

  2. 任意のモニター名とインターバルを設定します。

  1. [追加]->[MIBライブラリ]をクリックします。

  1. OID検索に「hrstorage」と入力し、検索結果から「hrStorageSize」と「hrStorageUsed」を選択し[OK]をクリックします。

{width=“4.528346456692914in” height=“2.78043416447944in”}

  1. [算出メトリック]→[カスタム計算式]をクリックします。

  1. 名前と計算式を入力し、タイプを選択します。

タイプは、IntegerまたはFloatを選択できます。Integerでは整数を使用し、Floatでは小数点第二位まで使用します。

{width=“4.52755905511811in” height=“2.3167060367454066in”}

  1. [保存]をクリックします。

{width=“4.52755905511811in” height=“2.3167060367454066in”}

保存後、データ収集が開始され結果が表示されます。

{width=“4.528472222222222in” height=“1.3583333333333334in”}

カスタム計算式を使用しても、計算後の値に対して、しきい値を設定することができます。しきい値設定については、「5.3.4しきい値を設定して監視する」を参照してください。

トラップ受信時に特定のトラップインシデントを自動でクリアする

相関関係にあるトラップを受信した際に、自動で障害をクリアし、マップ上のアイコンの色やステータスアイコンを通常な状態に戻すことができます。例えば、LinkDownトラップとLinkUpトラップです。LinkDownトラップを受信し障害としてインシデントが発生した後、LinkUpトラップを受信した時点でLinkDownトラップをクリアします。

  1. LinkDownトラップのモニターを作成します。

  2. LinkUp用のSNMPトラップモニターを作成します。

  3. [トリガー]をクリックし、[アラート解除]をクリックします。

{width=“4.528472222222222in” height=“1.3583333333333334in”}

  1. 解除するトラップの[MIBライブラリ]をクリックし、LinkDownトラップを追加します。

  1. [保存]をクリックします。

{width=“4.528472222222222in” height=“1.3583333333333334in”}

トラップに含まれる値でアクションを変える

監視対象機器は、トラップを送信する際に様々な情報をトラップに入れて送信します。その内容によっては、障害として検知したくない場合もあります。ThirdEyeでは、条件指定してフィルタリングすることができます。以下の例では、Cisco社機器のSyslogトラップを使用してトラップをフィルタリングしています。

  1. SNMPトラップモニターを追加します。

{width=“4.528472222222222in” height=“1.4902777777777778in”}

  1. 任意のモニター名を表示します。

{width=“4.528472222222222in” height=“1.4902777777777778in”}

  1. [MIBライブラリ]をクリックします。

{width=“4.528472222222222in” height=“1.4902777777777778in”}

  1. OID検索に「clogmessage」と入力し、検索結果から「clogMessageGenerated」を選択し[OK]をクリックします。

{width=“4.330708661417323in” height=“2.6431867891513563in”}

  1. 障害発生時のメッセージを入力します。
  • 以下では、トラップに含まれるclogHitMsgText(メッセージ内容)を表示します。

{width=“4.528472222222222in” height=“1.4902777777777778in”}

  1. [トリガー]をクリックし、[アラート発報]をクリックします。

{width=“4.528472222222222in” height=“1.4902777777777778in”}

  1. 「条件」にチェックを入れます。

{width=“4.528472222222222in” height=“1.4902777777777778in”}

  1. 赤枠に「条件」を入力します。

上図の例では、clogHistSeverityがerror以上(emergency、alert、critical)であり、かつclogHistMsgTextの値に「LogicVein」が含まれない場合がアラートの対象となります。

Note:

メモ: clogHistSeverity の条件式について

なぜ「clogHistSeverity < error」がemergencyalertcriticalとなるのか?

機器から送信される clogHistSeverity の情報は、数値として送信されます。ThirdEyeでは、この数値をMIB定義に基づいて文字列に変換して表示します。

MIBファイルでは、clogHistSeverity の値は以下のように定義されています。

SYNTAX INTEGER {
 emergency(1),
 alert(2),
 critical(3),
 error(4),
 warning(5),
 notice(6),
 info(7),
 debug(8)
}

この定義に基づき、条件式「clogHistSeverity < error (4)」の場合、error(4) より小さい値である emergency (1)alert (2)critical (3) がアラート対象となります。

  1. ポリシーと重大度を設定します。

  1. [保存]をクリックします。

Agent-Dを使用したサーバ監視をする

Agent-Dは、サーバ監視用のエージェントです。WindowsまたはLinuxベースのOSにAgent-Dをインストールすることで、サーバのCPUやメモリ、ログなどを監視できるようになります。

エージェントによる監視は、監視対象デバイスに対してエージェントをインストールする必要があります。そのため、監視対象デバイスが多い場合は、インストール作業に時間がかかることがあります。ThirdEyeでは、この作業負担を軽減するために、複数の監視対象デバイスに対して Agent-D を一括で配布してインストールできます。

Windowsにインストールする

(1) Agent-Dを手動でインストールする

ThirdEyeからインストーラをダウンロードし、任意のWindowsサーバにインストールします。サポートされているWindows OSは、Windows Server 2016/2019/2022です。

  1. グローバルメニューの[設定]をクリックします。

{width=“3.4340277777777777in” height=“1.707638888888889in”}

  1. [Agent-D]をクリックし、[Download Windows Standalone Installer]をクリックします。

{width=“3.5375in” height=“2.877083333333333in”}

  1. ダウンロードしたファイルをインストールするWindowsサーバにコピーします。

  2. ダウンロードしたファイルを解凍し、「agent-d-standalone.msi」をダブルクリックして実行します。

{width=“3.716666666666667in” height=“1.8020833333333333in”}

  1. [Next]をクリックします。

  1. ThirdEyeのIPアドレスまたはホスト名を入力し、[Proceed]をクリックします。

  1. インストールが開始されます。

  1. [Finish]をクリックします。

(2) ドメインコントローラーのグループポリシーを利用して、Agent-Dを配布およびインストールする

新規または既存の Active Directory のグループポリシーを使用して、複数のサーバ上に一括して Agent-D をインストールできます。グローバルメニューの[設定]→[Agent-D]→[Download Windows Domain Installer]をクリックすると、MSIファイルをダウンロードできます。

{width=“3.5375in” height=“2.877083333333333in”}

詳細についてはMicrosoft Docsの案内をご確認ください。

Microsoft Docs:「グループ ポリシーを使用してソフトウェアをリモートでインストールする」

https://docs.microsoft.com/ja-jp/troubleshoot/windows-server/group-policy/use-group-policy-to-install-software

Linuxにインストールする

ThirdEyeからAgent-Dを配布およびインストールする

Linuxの場合、ThirdEyeからLinuxにSSH接続できる環境であれば、Agent-DをThirdEyeのメニューからインストールできます。コンフィグバックアップなどと同様にデバイスを一括選択することで、多数のデバイスに一括配布することができます。

  1. SSH接続するための認証情報(ユーザ名/パスワード)を設定します。
  • 追加方法については、「5.1 クレデンシャルを設定する」を参照してください。以下の画像は、ダイナミッククレデンシャルを使用した場合の一例です。

{width=“3.983464566929134in” height=“2.383464566929134in”}

  1. 監視対象のLinuxデバイスしを追加します。
  • 追加方法については、「5.2 デバイスを追加する」を参照てください。以下の画像は、1台ずつ登録する場合の一例です。

{width=“3.2263888888888888in” height=“1.1791666666666667in”}

  1. 監視対象のLinuxデバイスが選択された状態で、デバイスメニューの[Agent-D Linuxインストーラ]をクリックします。

{width=“4.726388888888889in” height=“1.9430555555555555in”}

Note:

[Agent-D Linuxインストーラ]がグレーアウ トして選択できない場合、選択しているデバイスにLinuxアダプタ が割り当てられていない可能性があります。対象デバイスにLinuxアダプタが割り当てられていることを確認してください。デバイスメニューの[デバイスプロパティの編集]から確認できます。

  1. [インストール/更新]を選択し、[実行]をクリックします。

{width=“1.773611111111111in” height=“0.9340277777777778in”}

  1. インストールが実行され、画面下半分に結果が表示されます。

{width=“4.726388888888889in” height=“3.1979166666666665in”}

Agent-Dを手動でインストールする

ThirdEyeからインストーラをダウンロードし、任意のLinuxにインストールします。サポートされているOSは、RedHat Linux 7/8、CentOS 7/8、Ubuntu です。

  1. グローバルメニューの[設定]をクリックします。

{width=“3.3020833333333335in” height=“1.6319444444444444in”}

  1. [Agent-D]をクリックし、[Download Linux Standalone Installer]をクリックします。

{width=“3.5375in” height=“2.877083333333333in”}

  1. ダウンロードしたファイルをインストール先のLinuxサーバにコピーします。

  2. unzipコマンドを使用してダウンロードしたファイルを解凍します。

{width=“5.520833333333333in” height=“1.8346511373578303in”}

  1. install.shを実行します。

  1. ThirdEyeのIPアドレスを入力し、「Enter」キーを押します。

CPU監視

Agent-Dを使用して、インストールされているサーバのCPU情報を取得します。CPU使用率などにしきい値を設定することで、しきい値を超過した時にアラートを発報することができます。[モニター]→[テンプレート]には、あらかじめ以下のテンプレートがCPU監視用のモニターとして登録されています。

  • Linux CPU Stats
  • Windows CPU Stats

ここでは、[Agent-D]→[Linux CPU]プラグインをCentOSデバイスのモニターとして設定する場合を例に説明します。モニターセットを利用する場合は、「5.3.7 モニターセットを使用して多数の機器に対して監視設定をする」を参照してください。

  1. モニターを設定するデバイスをダブルクリックし、デバイス詳細を開きます。

{width=“4.726388888888889in” height=“2.783333333333333in”}

  1. [+(追加)]をクリックし、[Agent-D]をクリックします。

{width=“4.726388888888889in” height=“1.9715277777777778in”}

  1. 任意のモニター名を入力し、[インターバル]および[データ保存期間]を設定します。

{width=“4.716666666666667in” height=“1.8020833333333333in”}

  1. [Plugin Library…]をクリックします。

  1. [Linux CPU]を選択し、[OK]をクリックします。

{width=“3.9340277777777777in” height=“2.415277777777778in”}

  1. Plugin Configで取得する項目にチェックを入れます。

{width=“4.716666666666667in” height=“1.707638888888889in”}

±-------------±------------------------------------------------------+ | 項目 | 説明 | +==============+=======================================================+ | 生のCPU時 | CPUが使用 | | 間メトリック | された時間を収集します。チェックがない場合は、Output | | を収集します | fieldsでtime_か | | | ら始めるFieldにチェックを入れても値は表示されません。 | | (colle | | | ct_cpu_time) | | ±-------------±------------------------------------------------------+ | 生の非アイド | Idle/guest/guest_nice以外の | | ルCPU状態の | 値の合計値を算出します。チェックがない場合は、Output | | 合計を計算し | fieldsでtime_active | | て表示します | /usage_activeにチェックを入れても値は表示されません。 | | | | | (re | | | port_active) | | ±-------------±------------------------------------------------------+

  1. Output Fieldsで取得する項目にチェックを入れ、[保存]をクリックします。

{width=“4.716666666666667in” height=“1.707638888888889in”}

Note:

Agent-Dの[Output Fields]では、一般的な監視項目にデフォルトでチェックが入っています。その他の監視項目を表示するには、[詳細表示]をクリックします。 以上で、Agent-DからCPUの情報が送信され、デバイス詳細で確認することができます。

{width=“5.905555555555556in” height=“1.792361111111111in”}

CPU全体の使用率を取得する

Agent-DのCPUモニターは、コア毎の情報を取得します。CPU全体の使用率を取得するためには、算出メトリックを使用します。

  1. CPUモニターをダブルクリックで開きます。

  2. [usage_active]をOutput Fieldsからクリックします。

{width=“4.726388888888889in” height=“2.0569444444444445in”}

  1. [算出メトリック]→[全要素メトリクス]→[複数インデックスの集約]をクリックします。

  1. メトリック名(ここではusage_active-aggregate)を分かりやすい名前に変更し、集約タイプを選択します。

{width=“4.716666666666667in” height=“2.0569444444444445in”}

  1. [保存]をクリックします。

{width=“4.716666666666667in” height=“2.0569444444444445in”}

以上で、各インデックス(各コア)のusage_acticveを集約した値を表示することができます。これに対してしきい値を設定することでCPU全体の利用率の監視が可能です。

{width=“5.896527777777778in” height=“1.9902777777777778in”}

メモリ監視

Agent-Dを使用して、インストールされているサーバのメモリ情報を取得します。メモリ使用率などにしきい値を設定することで、しきい値を超過した時にアラートを発報することができます。[モニター]→[テンプレート]には、あらかじめ以下のテンプレートがメモリ監視用のモニターとして登録されています。

  • Linux Memory Stats
  • Windows Memory Stats

ここでは、[Agent-D]→[Windows Memory]プラグインをWindowsサーバのモニターとして設定する場合を例に説明します。モニターセットを利用する場合は、「5.3.7 モニターセットを使用して多数の機器に対して監視設定をする」を参照してください。

  1. モニターを設定するデバイスをダブルクリックし、デバイス詳細を開きます。

{width=“4.726388888888889in” height=“2.763888888888889in”}

  1. [+(追加)]をクリックし、[Agent-D]をクリックします。

{width=“4.726388888888889in” height=“1.9902777777777778in”}

  1. 任意のモニター名を入力し、[インターバル]および[データ保存期間]を設定します。

{width=“4.726388888888889in” height=“1.792361111111111in”}

  1. [Plugin Library…]をクリックします。

{width=“4.726388888888889in” height=“1.792361111111111in”}

  1. [Windows Memory]を選択し、[OK]をクリックします。

{width=“3.9340277777777777in” height=“2.415277777777778in”}

  1. [Output Fields]でデータを取得する項目にチェックを入れ、[保存]をクリックします。

{width=“4.716666666666667in” height=“2.01875in”}

Note:

Agent-Dの[Output Fields]では、一般的な監視項目にデフォルトでチェックが入っています。その他の監視項目を表示するには、[詳細表示]をクリックします。 以上で、Agent-Dからメモリの情報が送信され、デバイス詳細で確認することができます。

{width=“5.896527777777778in” height=“1.9902777777777778in”}

HDD監視

Agent-Dを使用して、インストールされているサーバのHDD情報を取得します。HDDの空き容量や使用率などにしきい値を設定することで、しきい値を超過した時にアラートを発報することができます。[モニター]→[テンプレート]には、あらかじめ以下のテンプレートがHDD監視用のモニターとして登録されています。

  • Linux Disk Stats
  • Windows Disk Stats

ここでは、[Agent-D]→[Linux Disk]プラグインをCentOSデバイスのモニターとして設定する場合を例に説明します。モニターセットを利用する場合は、「5.3.7モニターセットを使用して多数の機器に対して監視設定をする」を参照してください。

  1. モニターを設定するデバイスをダブルクリックし、デバイス詳細を開きます。

{width=“4.726388888888889in” height=“2.783333333333333in”}

  1. [+(追加)]をクリックし、[Agent-D]をクリックします。

{width=“4.726388888888889in” height=“1.9715277777777778in”}

  1. 任意のモニター名を入力し、[インターバル]および[データ保存期間]を設定します。

{width=“4.716666666666667in” height=“1.707638888888889in”}

  1. [Plugin Library…]をクリックします。

{width=“4.716666666666667in” height=“1.707638888888889in”}

  1. [Linux Disk]を選択し、[OK]をクリックします。

{width=“3.8583333333333334in” height=“2.3680555555555554in”}

  1. [ignore_fs]欄で、データ収集から除外するファイルシステムを指定します。
  • 除外リストには、あらかじめいくつかのファイルシステムが設定されています。必要に応じて[+(追加)]、[×(削除)]で編集します。

{width=“4.716666666666667in” height=“1.707638888888889in”}

  1. [Output Fields]で取得する項目にチェックを入れ、[保存]をクリックします。

{width=“4.716666666666667in” height=“1.707638888888889in”}

Note:

Agent-Dの[Output Fields]では、一般的な監視項目にデフォルトでチェックが入っています。その他の監視項目を表示するには、[詳細表示]をクリックします。 以上で、Agent-DからHDDの情報が送信され、デバイス詳細で確認することができます。

{width=“5.905555555555556in” height=“2.0097222222222224in”}

プロセス監視

Agent-Dを使用して、インストールされているサーバのプロセスの情報を取得します。プロセスのステータスやメモリ使用量などにしきい値を設定することで、しきい値を超過した時にアラートを発報することができます。[モニター]→[テンプレート]には、あらかじめ以下のテンプレートがプロセス監視用のモニターとして登録されています。

  • Linux Process Stats
  • Windows Process Stats

ここでは、[Agent-D]→[Windows Process]プラグインをWindowsサーバのデバイスのモニターとして設定する場合を例に説明します。モニターセットを利用する場合は、「5.3.7 モニターセットを使用して多数の機器に対して監視設定をする」を参照してください。

  1. モニターを設定するデバイスをダブルクリックし、デバイス詳細を開きます。

{width=“4.726388888888889in” height=“2.783333333333333in”}

  1. 追加をクリックし、[Agent-D]をクリックします。

  1. 任意のモニター名を入力し、[インターバル]および[データ保存期間]を設定します。

  1. [Plugin Library…]をクリックします。

  1. [Windows Process]を選択し、[OK]をクリックします。

{width=“3.9340277777777777in” height=“2.415277777777778in”}

  1. 監視するプロセス名を[Processes]欄に入力して追加します。

{width=“4.716666666666667in” height=“1.707638888888889in”}

  1. [Output Fields]で取得する項目にチェックを入れ、[保存]をクリックします。

{width=“5.896527777777778in” height=“1.9902777777777778in”}

Note:

Agent-Dの[Output Fields]では、一般的な監視項目にデフォルトでチェックが入っています。その他の監視項目を表示するには、[詳細表示]をクリックします。 以上で、Agent-Dからプロセスの情報が送信され、デバイス詳細で確認することができます。

{width=“5.896527777777778in” height=“1.9902777777777778in”}

プロセス数を監視する

実行中のプロセス数を監視する場合、プロセス数をカウントするためのメトリックを追加する必要があります。

  1. プロセスのモニターをダブルクリックで開きます。

  2. [算出メトリック]→[全要素メトリクス]→[条件合格の合計]の順にクリックします。

{width=“5.263888888888889in” height=“1.9715277777777778in”}

  1. countメトリック名を分かりやすい名前に変更し、計算式を設定します。

(下図では、メトリック名が初期値の「count-metric」から「notepad-count」に変更しています)

{width=“4.726388888888889in” height=“1.773611111111111in”}

■ Windowsの場合、プロセス名は「Process」に対して設定します。

(設定例)

計算式: Process contains {プロセス名}

■ Linuxの場合、プロセス名は「process_name」に対して設定します。

(設定例)

計算式: process_name contains {プロセス名}

  1. [トリガー]→[しきい値判定]をクリックします。

{width=“4.726388888888889in” height=“1.773611111111111in”}

  1. 作成した count メトリックを使用して条件を設定します。

{width=“4.716666666666667in” height=“1.8680555555555556in”}

±-------------±------------------------------------------------------+ | 項目 | 説明 | +==============+=======================================================+ | 条件 | 以下の項目を使って、条件を指定することができます。 | | | | | | - is (等しい) | | | | | | - is not (等しくない) | | | | | | - > (より小さい、右の値のほうが小さい) | | | | | | - < (より大きい、右の値のほうが大きい) | ±-------------±------------------------------------------------------+

  1. そのほかの項目(アラートポリシー/重大度/期間/カウント/メッセージ)を設定します。

{width=“4.716666666666667in” height=“1.8680555555555556in”}

±--------------±-----------------------------------------------------+ | 項目 | 説明 | +===============+======================================================+ | 期間 | 処 | | | 理を実行するための期間を設定します。(最小値:1分) | | | | | | 定めら | | | れた期間内に何回失敗(カウント)したらポリシーに定義 | | | された処理を実行するのか、カウントの基準となる期間。 | ±--------------±-----------------------------------------------------+ | カウント | 設定期間内に何回失 | | | 敗したら処理を実行するかを設定します。(最小値:1) | ±--------------±-----------------------------------------------------+ | アラ | アラートポリシーを指定します。 | | ートポリシー | | ±--------------±-----------------------------------------------------+ | 重大度 | 重大度を次の中から選択します。(初期値:ワーニング) | | | | | | 「エマージ | | | ェンシー」、「アラート」、「クリティカル」、「エラー | | | 」、「ワーニング」、「通知」、「情報」、「デバッグ」 | ±--------------±-----------------------------------------------------+ | メッセージ | 障害検知時に表示されるメッセージを設定します。 | | | | | | ※メッセー | | | ジを表示させるためには、アラートポリシーに「インシデ | | | ント登録」アクションが定義されている必要があります。 | ±--------------±-----------------------------------------------------+

  1. [保存]をクリックします。

{width=“4.716666666666667in” height=“1.8680555555555556in”}

Windowsサービス監視

Agent-Dを使用して、インストールされているWindowsサーバのWindowsサービスの情報を取得します。サービスのステータスにしきい値を設定することで、しきい値を超過した時にアラートを発報することができます。[モニター]→[テンプレート]には、あらかじめ以下のテンプレートがWindowsサービス監視用のモニターとして登録されています。

  • Windows Service Status

ここでは、[Agent-D]→[Windows Services]プラグインをWindowsサーバのデバイスのモニターとして設定する場合を例に説明します。モニターセットを利用する場合は、「5.3.7 モニターセットを使用して多数の機器に対して監視設定をする」を参照してください。

  1. モニターを設定するデバイスをダブルクリックし、デバイス詳細を開きます。

{width=“4.726388888888889in” height=“2.783333333333333in”}

  1. [+(追加)]をクリックし、[Agent-D]をクリックします。

{width=“4.726388888888889in” height=“1.9715277777777778in”}

  1. 任意のモニター名を入力し、[インターバル]および[データ保存期間]を設定します。

{width=“4.716666666666667in” height=“0.8208333333333333in”}

  1. [Plugin Library…]をクリックします。

  1. [Windows Services]を選択し、[OK]をクリックします。

{width=“3.9340277777777777in” height=“2.415277777777778in”}

  1. 監視するサービス名を[service_names]欄に入力して追加します。サービス名は完全一致です。(大文字小文字の区別はありません)

{width=“4.716666666666667in” height=“2.1131944444444444in”}

  1. [Output Fields]で取得する項目にチェックを入れ、[保存]をクリックします。

{width=“4.716666666666667in” height=“2.1131944444444444in”}

以上で、Agent-Dからサービスの情報が送信され、デバイス詳細で確認することができます。

{width=“5.905555555555556in” height=“1.9902777777777778in”}

テキストログ監視

Agent-Dを使用して、インストールされているサーバのログ情報を取得します。特定の文字列を含むログを検出した時にアラートを発報することができます。[モニター]→[テンプレート]には、あらかじめ以下のテンプレートがログ監視用のモニターとして登録されています。

  • Linux Syslog Monitor
  • Windows Log File Monitor

ここでは、[Agent-D]→[Log Fie Monitor]プラグインをLinuxデバイスのモニターとして設定する場合を例に説明します。

  1. モニターを設定するデバイスをダブルクリックし、デバイス詳細を開きます。

{width=“4.726388888888889in” height=“2.783333333333333in”}

  1. [+(追加)]をクリックし、[Agent-D]をクリックします。

{width=“4.726388888888889in” height=“1.9715277777777778in”}

  1. 任意のモニター名を入力し、[インターバル]および[データ保存期間]を設定します。

{width=“4.726388888888889in” height=“0.8965277777777778in”}

  1. [Plugin Library.…]をクリックします。

{width=“4.726388888888889in” height=“0.9055555555555556in”}

  1. [Log Fie Monitor]を選択し、[OK]をクリックします。

{width=“3.9340277777777777in” height=“2.415277777777778in”}

  1. [files]欄に監視するログファイルを絶対パスで追加します。

※Agent-Dプログラムが対象のログファイルを読み取れるように、事前にセキュリティ設定を行う必要があります。Windowsでは「SYSTEM」ユーザとして実行され、Linuxでは「telegraf」ユーザとして実行されます。

{width=“4.726388888888889in” height=“1.8298611111111112in”}

  1. grok_patternsおよびgrok_custom_patternsを入力します。

{width=“4.726388888888889in” height=“1.8208333333333333in”}

±------------------±-------------------------------------------------+ | 項目 | 説明 | +===================+==================================================+ | grok_patterns | grok | | | _patternを使用して、1行のログを分割し、指定したf | | | ieldと一致した文字を入れるための式を入力します。 | | | | | | grok_patternとは、 | | | | | | 「%{PATTERN_NAME:FIELD | | | _NAME:MODIFIER(optinon)}」で構成され、正規表現を | | | 定義したPATTERN_NAMEにマッチした内容をFIELD_NAME | | | に入れます。 | | | | | | 例:ログメッセージ「Aug 20 11:15:40 192.168.0.1 | | | ERROR systemd: Started Hostname Service.」 | | | | | | 式: | | | %{SYSL | | | OGTIMESTAMP:timestamp}
s%{IPORHOST:iporhost}
s | | | %{ LOGLEVEL:level}
s%{GREEDYDATA:message} | | | | | | - 「Aug 20 | | | 11:15:40」をSYSLOGTIMESTAMPというパ | | | ターンを使用してtimesというfieldに値を保存する。 | | | | | | grok_pattern: %{SYSLOGTIMESTAMP:timestamp}  | | | | | | - 「192.168.0.1」をIPORHOSTというパター | | | ンを使用してiporhostというfieldに値を保存する。 | | | | | | grok_pattern: %{IPORHOST:iporhost}  | | | | | | - 「ERROR」をLOGLEVELというパ | | | ターンを使用してlevelというfieldに値を保存する。 | | | | | | grok_pattern: %{LOGLEVEL:level} | | | | | | - 「systemd: Started Hostname | | | Service.」をGREEDYDATAというパタ | | | ーンを使用してmessageというfieldに値を保存する。 | | | | | | grok_pattern: %{GREEDYDATA:message} | ±------------------±-------------------------------------------------+ | gr | grok_patternで使用するPATTERN_NAMEを新たに | | ok_custom_patterns | 定義することができます。以下の構文で作成します。 | | | | | | PATTERN_NAME (正規表現) | ±------------------±-------------------------------------------------+

  1. [Output Fields]で取得する項目にチェックを入れ、[保存]をクリックします。

{width=“4.716666666666667in” height=“1.773611111111111in”}

以上で、Agent-Dからログ情報が送信され、デバイス詳細で確認することができます。

{width=“5.905555555555556in” height=“1.8020833333333333in”}

Windowsイベントログ監視

Agent-Dを使用して、インストールされているWindowsサーバのWindowsイベントログ情報を取得します。特定の文字列を含むイベントログを検出した時にアラートを発報することができます。[モニター]→[テンプレート]には、あらかじめ以下のテンプレートがWindowsイベントログ監視用のモニターとして登録されています。

  • Windows Event Log Monitor
  1. モニターを設定するデバイスをダブルクリックし、デバイス詳細を開きます。

{width=“4.726388888888889in” height=“2.783333333333333in”}

  1. [+(追加)]をクリックし、[Agent-D]をクリックします。

{width=“4.726388888888889in” height=“1.9715277777777778in”}

  1. 任意のモニター名を入力し、[インターバル]および[データ保存期間]を設定します。

{width=“4.726388888888889in” height=“0.9340277777777778in”}

  1. [Plugin Library.…]をクリックします。

{width=“4.726388888888889in” height=“0.9430555555555555in”}

  1. [Windows Eventlog]を選択し、[OK]をクリックします。

{width=“3.9340277777777777in” height=“2.415277777777778in”}

  1. 監視するイベントログにチェックを入れます。

{width=“4.716666666666667in” height=“1.7548611111111112in”}

  • 「高度な設定を使用」をクリックするとXML形式で指定することができます。

{width=“4.716666666666667in” height=“1.8208333333333333in”}

  1. [Output Fields]で取得する項目にチェックを入れます。

{width=“4.726388888888889in” height=“1.8208333333333333in”}

  1. [保存]をクリックします。

{width=“4.716666666666667in” height=“1.8298611111111112in”}

以上で、Agent-Dからイベントログの情報が送信され、デバイス詳細で確認することができます。

{width=“5.905555555555556in” height=“1.9902777777777778in”}

任意の文字列が含まれる場合にアラート発報する

Windowsイベントログの[全般]タブの内容は、Agent-D「Windows Eventlog」プラグインの「message」フィールドに表示されます。この「message」フィールドに特定の文字列が含まれるというフィルタ条件を設定することで、Windowsイベントログに任意の文字列が含まれている場合にアラート発報させることができます。

  1. イベントログのモニターをダブルクリックで開きます。

  2. [トリガー]→[しきい値判定]をクリックします。

  1. Agent-Dの「message」を使用して条件を設定します。

±-------------±------------------------------------------------------+ | 項目 | 説明 | +==============+=======================================================+ | 条件 | 以下の項目を使って、条件を指定することができます。 | | | | | | contains (含む) | | | | | | そのほかの条件式(「is」, 「is not」, 「>」, 「<」, | | | 「not | | | contains」)を選択できますが、特定の文字列を含む | | | 条件を設定する場合は「contains」を使用してください。 | ±-------------±------------------------------------------------------+

  1. そのほかの項目(アラートポリシー/重大度/期間/カウント/メッセージ)を設定します。

±-----------±--------------------------------------------------------+ | 項目 | 説明 | +============+=========================================================+ | 期間 | 処理を実行するための期間を設定します。(最小値:1分) | | | | | | 定 | | | められた期間内に何回失敗(カウント)したらポリシーに定 | | | 義された処理を実行するのか、カウントの基準となる期間。 | ±-----------±--------------------------------------------------------+ | カウント | 設定期間内に何 | | | 回失敗したら処理を実行するかを設定します。(最小値:1) | ±-----------±--------------------------------------------------------+ | アラー | アラートポリシーを指定します。 | | トポリシー | | ±-----------±--------------------------------------------------------+ | 重大度 | 重大度を次の中から選択します。(初期値:ワーニング) | | | | | | 「エマ | | | ージェンシー」、「アラート」、「クリティカル」、「エラ | | | ー」、「ワーニング」、「通知」、「情報」、「デバッグ」 | ±-----------±--------------------------------------------------------+ | メッセージ | 障害検知時に表示されるメッセージを設定します。 | | | | | | ※メッ | | | セージを表示させるためには、アラートポリシーに「インシ | | | デント登録」アクションが定義されている必要があります。 | ±-----------±--------------------------------------------------------+

  1. [保存]をクリックします。

特定のレベル以上のログが発生した場合にアラート発報する

「重大」や「エラー」など、特定のログレベルのイベントがWindowsイベントログで発生した場合にアラート発報させることができます。ここでは、ログレベルが「エラー」以上のイベントが発生した時にアラート発報させる設定を例に説明します。

  1. イベントログのモニターをダブルクリックで開きます。

  2. [トリガー]→[しきい値判定]をクリックします。

  1. Agent-Dの「level」を使用して条件を設定します。

±--------------±-----------------------------------------------------+ | 項目 | 説明 | +===============+======================================================+ | 条件 | 以下の項目を使って、条件を指定することができます。 | | | | | | is (等しい) | | | | | | is not (等しくない) | | | | | | > (より小さい、右の値のほうが小さい) | | | | | | < (より大きい、右の値のほうが大きい) | ±--------------±-----------------------------------------------------+

  1. そのほかの項目(アラートポリシー/重大度/期間/カウント/メッセージ)を設定します。

±-----------±--------------------------------------------------------+ | 項目 | 説明 | +============+=========================================================+ | 期間 | 処理を実行するための期間を設定します。(最小値:1分) | | | | | | 定 | | | められた期間内に何回失敗(カウント)したらポリシーに定 | | | 義された処理を実行するのか、カウントの基準となる期間。 | ±-----------±--------------------------------------------------------+ | カウント | 設定期間内に何 | | | 回失敗したら処理を実行するかを設定します。(最小値:1) | ±-----------±--------------------------------------------------------+ | アラー | アラートポリシーを指定します。 | | トポリシー | | ±-----------±--------------------------------------------------------+ | 重大度 | 重大度を次の中から選択します。(初期値:ワーニング) | | | | | | 「エマ | | | ージェンシー」、「アラート」、「クリティカル」、「エラ | | | ー」、「ワーニング」、「通知」、「情報」、「デバッグ」 | ±-----------±--------------------------------------------------------+ | メッセージ | 障害検知時に表示されるメッセージを設定します。 | | | | | | ※メッ | | | セージを表示させるためには、アラートポリシーに「インシ | | | デント登録」アクションが定義されている必要があります。 | ±-----------±--------------------------------------------------------+

  1. [保存]をクリックします。

Syslog監視

Agent-Dを使用して、ThirdEyeに転送されるSyslog情報を取得します。特定の文字列を含むイベントログを検出した時にアラートを発報することができます。[モニター]→[テンプレート]には、あらかじめ以下のテンプレートがSyslog監視用のモニターとして登録されています。

  • ThirdEye Syslog Monitor

Agent-DはThirdEyeにあらかじめインストールされていますが、デフォルトでは無効になっています。ThirdEye自身のAgent-Dの有効/無効を変更する場合、ThirdEyeを再起動する必要があります。

ここでは、ThirdEye自身のAgent-Dを有効にし、[テンプレート]→[ThirdEye Syslog Monitor]をモニターとして設定する場合を例に説明します。

  1. [設定]をクリックします。

{width=“3.6319444444444446in” height=“1.6319444444444444in”}

  1. [ネットワークサーバ]を選択し、[このサーバのAgent-Dを有効にする]にチェックを入れ、[OK]をクリックします。

{width=“3.5375in” height=“2.8868055555555556in”}

  1. 再起動の確認画面で[OK]をクリックします。

Warning:

設定を反映させるには、ThirdEyeを再起動する必要があります。[OK]をクリックすると、ThirdEyeが自動的に再起動します。

  1. 「サービスを再起動しています.…」のメッセージを確認し、数分待ちます。

{width=“4.320833333333334in” height=“2.5284722222222222in”}

  1. ログイン画面が表示されます。ログイン後、デバイスタブをクリックします。

  2. [インベントリ]→[デバイス追加]からThirdEye自身のIPアドレスを監視対象機器として登録します。

  3. ダブルクリックし、デバイス詳細を開きます。

{width=“4.726388888888889in” height=“2.783333333333333in”}

  1. [+(追加)]をクリックし、[テンプレートから追加]をクリックします。

{width=“4.726388888888889in” height=“1.9715277777777778in”}

  1. [ThirdEye Syslog Monitor]を選択し、[OK]をクリックします。

{width=“2.0659722222222223in” height=“2.839583333333333in”}

  1. [Output Fields]で取得する項目にチェックを入れ、[保存]をクリックします。
  • テンプレートにすでに設定されている[files]や[grok_patterns]の設定を変更する必要はありません。

{width=“4.716666666666667in” height=“1.8333333333333333in”}

以上で、ThirdEyeに送信されたSyslog情報が取得できます。Syslogのメッセージは「description」fieldに表示されます。

{width=“5.223509405074366in” height=“1.7604166666666667in”}

任意の文字列が含まれる場合にアラート発報する

Syslogメッセージの内容は、Agent-D「Log File Monitor」プラグインの「description」フィールドに表示されます。この「description」フィールドに特定の文字列が含まれるというフィルタ条件を設定することで、Syslogメッセージに任意の文字列が含まれている場合にアラート発報させることができます。

  1. [ThirdEye Syslog Monitor]モニターをダブルクリックで開きます。

  2. [トリガー]→[しきい値判定]をクリックします。

  1. 「description」を使用して条件を設定します。

±-------------±------------------------------------------------------+ | 項目 | 説明 | +==============+=======================================================+ | 条件 | 以下の項目を使って、条件を指定することができます。 | | | | | | contains (含む) | | | | | | そのほかの条件式(「is」, 「is not」, 「>」, 「<」, | | | 「not | | | contains」)を選択できますが、特定の文字列を含む | | | 条件を設定する場合は「contains」を使用してください。 | ±-------------±------------------------------------------------------+

  1. 「違反の発生を自動的に1つの違反にまとめる」のチェックを外します。

ThirdEyeの特性上、同じトリガー、同じIndexで違反が発生した場合、同じ違反に集約されますが、このチェックボックスを無効にすると、条件にマッチしたログごとに違反が発生します。そのため、1つの違反にまとめられた場合よりも多くの違反やメール送信が発生します。

ただし、ログ監視ではIndexが監視されるログファイル名となるため何か違反発生後、別のメッセージを検知しても、最初の違反がクリアされていないと集約されてしまい、後から検知されたメッセージがわかりにくくなるため、チェックボックスをオフにすることをおすすめします。

  1. そのほかの項目(アラートポリシー/重大度/期間/カウント/メッセージ)を設定します。

±---------------±----------------------------------------------------+ | 項目 | 説明 | +================+=====================================================+ | 期間 | 処 | | | 理を実行するための期間を設定します。(最小値:1分) | | | | | | 定められた | | | 期間内に何回失敗(カウント)したらポリシーに定義さ | | | れた処理を実行するのか、カウントの基準となる期間。 | ±---------------±----------------------------------------------------+ | カウント | 設定期間内に何回失 | | | 敗したら処理を実行するかを設定します。(最小値:1) | ±---------------±----------------------------------------------------+ | ア | アラートポリシーを指定します。 | | ラートポリシー | | ±---------------±----------------------------------------------------+ | 重大度 | 重 | | | 大度を次の中から選択します。(初期値:ワーニング) | | | | | | 「エマージェン | | | シー」、「アラート」、「クリティカル」、「エラー」 | | | 、「ワーニング」、「通知」、「情報」、「デバッグ」 | ±---------------±----------------------------------------------------+ | メッセージ | 障害検知時に表示されるメッセージを設定します。 | | | | | | ※メッセージを | | | 表示させるためには、アラートポリシーに「インシデン | | | ト登録」アクションが定義されている必要があります。 | ±---------------±----------------------------------------------------+

  1. [保存]をクリックします。

{width=“4.726388888888889in” height=“2.0569444444444445in”}

WMIを使用したサーバ監視をする

ThirdEyeでは、HTTP/SOAPベースのWS-Managementプロトコルを使用してWMIオブジェクトを取得します。現時点で取得できるオブジェクトは以下の通りです。

Win32_PerfFormattedData_PerfOS_Processor(CPU監視)

Win32_PerfFormattedData_PerfDisk_LogicalDisk(ディスク監視)

Win32_PerfFormattedData_PerfOS_Memory(メモリ監視)

Win32_PerfFormattedData_PerfProc_Process (プロセス監視)

Windows上での設定

Windowsシステムをリモートから管理するため、Windowsリモート管理(WinRM)サービスが必要です。現在、Microsoft社でサポートされているシステムにはあらかじめWinRMがインストールされています。

はじめに、「winrm quickconfig」コマンドをコマンドプロンプトまたはPowershellから実行します。このコマンドはWinRMの規定の構成を設定します。コマンド実行後、「winrm get winrm/config/service」を実行することで現在の構成を確認できます。

PS C:\Users\Administrator> winrm get winrm/config/service
Service
 RootSDDL = O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)
 MaxConcurrentOperations = 4294967295
 MaxConcurrentOperationsPerUser = 1500
 EnumerationTimeoutms = 240000
 MaxConnections = 300
 MaxPacketRetrievalTimeSeconds = 120
 AllowUnencrypted = false
 Auth
 Basic = false
 Kerberos = true
 Negotiate = true
 Certificate = false
 CredSSP = false
 CbtHardeningLevel = Relaxed
 DefaultPorts
 HTTP = 5985
 HTTPS = 5986
 IPv4Filter = *
 IPv6Filter = *
 EnableCompatibilityHttpListener = false
 EnableCompatibilityHttpsListener = false
 CertificateThumbprint
 AllowRemoteAccess = true

PS C:\Users\Administrator>

また、「winrm enumerate winrm/config/listener」を実行することで、現在のリスナーの構成を取得できます。

PS C:\Users\Administrator> winrm enumerate winrm/config/listener
Listener
 Address = *
 Transport = HTTP
 Port = 5985
 Hostname
 Enabled = true
 URLPrefix = wsman
 CertificateThumbprint
 ListeningOn = 127.0.0.1, 192.168.40.66, ::1, 2001:0:348b:fb58:1077:394:3f57:d7bd, fd14:5839:664d:40:58c0:c882:310d:3

非セキュア HTTP 接続設定

規定の設定では、暗号化されたトラフィックのみ許可されています。HTTPを使用して監視を行う場合には、「winrm set winrm/config/service ‘@{AllowUnencrypted="true"}’」を実行し、暗号化されていないトラフィックを許可します。

PS C:\Users\Administrator> winrm set winrm/config/service '@{AllowUnencrypted="true"}'
Service
 RootSDDL = O:NSG:BAD:P(A;;GA;;;BA)(A;;GR;;;IU)S:P(AU;FA;GA;;;WD)(AU;SA;GXGW;;;WD)
 MaxConcurrentOperations = 4294967295
 MaxConcurrentOperationsPerUser = 1500
 EnumerationTimeoutms = 240000
 MaxConnections = 300
 MaxPacketRetrievalTimeSeconds = 120
 AllowUnencrypted = true
 Auth
 Basic = false
 Kerberos = true
 Negotiate = true
 Certificate = false

認証設定

Basic認証を使用する場合には、「winrm set winrm/config/service/auth ‘@{Basic="true"}’」を実行します。システムがドメインに参加していない場合(WORKGROUP)には、Basic認証を有効にします。

PS C:\Users\Administrator> winrm set winrm/config/service/auth '@{Basic="true"}'
Auth
 Basic = true
 Kerberos = true
 Negotiate = true
 Certificate = false
 CredSSP = false
 CbtHardeningLevel = Relaxed

監視設定

(1) クレデンシャル設定

認証に使用するユーザ名とパスワードをクレデンシャルに登録します。ユーザ名はVTY Username、パスワードはVTY Passwordに設定します。

{width=“3.2024343832020996in” height=“1.4879997812773402in”}

(2) モニター設定

WMIを使用したモニターは、以下の監視をサポートしています。

  • Windows Disk (ディスク使用率のメトリックを収集)
  • Windows Memory (システムメモリのメトリックを収集)
  • Windows Processor (CPU使用率のメトリックを収集)
  • Windows Process (プロセスのメトリックを収集)
  • Windows Service (サービスのメトリックを収集)

モニターは他のモニターと同様にデバイス詳細画面やモニターセットに追加することができます。以下では、モニターセットを使用して追加する手順を記載しています。

  1. [モニター]->[セット]タブを開きます。

  2. [追加]をクリック、モニターセットを追加します。

{width=“3.2290255905511813in” height=“1.1644499125109362in”}

  1. 追加されたモニターセットをクリックし、[モニターを追加]から[WMI]をクリックします。

{width=“5.708661417322834in” height=“2.253943569553806in”}

  1. 任意のモニター名を入力し、[インターバル]および[データ保存期間]を設定します。

  1. 各項目を設定します。

項目 説明

ポート WMIのポートを指定します。デフォルトでは、暗号化に「https」が選択されている場合には"5986"、「なし」の場合には"5985"が指定されます。

暗号化 環境に合わせて、「https」または「なし」を選択します。

パス サーバ側でパスを変更している場合には、パスを変更します。デフォルトでは、「/wsman」です。

認証方法 環境に合わせて、「Negotiate」または「Http Basic」を選択します。

ADレルム レルムを入力します。(認証方法が「Negotiate」の場合のみ)

ADドメイン ドメインを入力します。(認証方法が「Negotiate」の場合のみ)

  1. [Plugin Library…]をクリックします。

  2. プラグインを選択し、[OK]をクリックします。

{width=“4.834251968503937in” height=“2.9791338582677165in”}

  1. 取得するメトリックを選択します。

{width=“5.708661417322834in” height=“2.2807469378827645in”}