Solaris PC NetLink 管理マニュアル

3.5 イベントモニター

イベントは、システム (またはアプリケーション) で発生するさまざまな状態の変化です。いくつかの重要なイベントは画面上にメッセージで表示されます。直ちに対処する必要がないイベントは、イベントログに記録されます。イベントログの記録は SunLink Server プログラムを起動すると自動的に開始します。SunLink Server Manager ツールで表示されるイベントログにより、さまざまな問題の障害追跡をしたり、SunLink Server のセキュリティーイベントを監視することができます。

SunLink Server ソフトウェアは次の種類のログにイベントを記録します。

システムログ - SunLink Server システムコンポーネントで記録されたイベントを含みます。たとえば、起動している間のサービス開始の失敗はシステムログに記録されます。システムコンポーネントで記録されるイベントの種類は、SunLink Server プログラムによって決められます。

セキュリティーログ - 有効または無効なログオンの試みや、ファイルや他のオブジェクトを作成したり、開いたり、削除したりするときに使用する資源に関連したイベントが記録されます。

アプリケーションログ - アプリケーションで記録されたイベントを含みます。たとえば、データベースプログラムがファイルエラーをアプリケーションログに記録することなどが考えられます。どのイベントを監視するかは、アプリケーションの開発者によって決められます。

システムログとアプリケーションログは、すべてのユーザーが表示することができます。セキュリティーログはシステム管理者のみがアクセスすることができます。

3.5.1 イベントの解釈

イベントログは ヘッダー、 イベント記述 (イベントの種類をベースにした)、追加データで構成されます。ほとんどのセキュリティーログエントリは、ヘッダーと記述で構成されます。

SunLink Server Manager は、イベントを各ログごとに別々に表示します。各行は、1 つのイベントについて、日付、時刻、発生元、カテゴリ、イベント ID、ユーザーアカウント、コンピュータ名などの情報を提供します。

3.5.1.1 イベントヘッダー

1 つのイベントヘッダーには以下の情報が含まれています。

日付 - イベントが発生した日付。

時刻 - イベントが発生した時間。

発生元 - イベントを記録したソフトウェアモジュールで、アプリケーション名、またはシステムや大きなアプリケーションのコンポーネントのサービス名です。

カテゴリ - イベントの発生元によるイベントの分類で、この情報は主にセキュリティーログで使用されます。

イベント - 特定のイベントの種類を識別する番号。通常は記述の 1 行目にイベントの種類の名前が記録されます。たとえば、6005 はログサービスが開始されたときに発生するイベントの ID です。このようなイベントの記述の 1 行目は「イベントログのサービスが開始されました」です。イベント ID と発信元は、製品のサポート担当者がシステムの問題を解決するときに使用されます。

ユーザー - イベントが発生したユーザーのユーザー名。イベントがユーザーによって記録されたものではない場合は、ログを記録した実体のセキュリティー ID が表示されます。

コンピュータ - イベントが発生したコンピュータの名前。

3.5.1.2 イベントの説明

イベントの説明の形式と内容は、イベントの種類によって異なります。説明には、イベントの重要性や何が起こったのかが示されており、最も有益な情報の 1 つといえます。

3.5.1.3 イベントの種類

SunLink Server Manager ログは次のようなイベントの種類を示します。

エラー - データの損失や機能の障害のような重要な問題。たとえば、SunLink Server が起動中にサービスが読み込まれなかった場合にはエラーイベントが記録されます。

警告 - このイベントは必ずしも重要ではありませんが、将来起こる可能性のある問題を示します。たとえば、サーバーの重要なリソースが不足する可能性がある場合に警告イベントが記録されます。

情報 - ごくまれに発生する重要なイベントで、サーバーの主要なサービスの操作が正しく行われたことが記述されます。たとえば、サービスが正しく開始された場合に情報イベントが記録されることがあります。

監査の成功 - 監査されたセキュリティーアクセスが成功したことを示します。たとえば、ユーザーがシステムに正しくログオンすると監査の成功イベントが記録されます。

監査の失敗 - 監査されたセキュリティーアクセスが失敗したことを示します。たとえば、ユーザーがネットワークドライブにアクセスしようとして失敗すると、この試みが監査の失敗イベントとして記録されます。

3.5.1.4 追加データ

データフィールドには、バイトやワードで表示されるバイナリデータが含まれています。この情報はイベント記録の元になるアプリケーションで生成されます。データは 16 進数形式で表示されるので、その意味を解釈することができるのは、元のアプリケーションに詳しい開発者だけです。

3.5.2 SunLink Server Manager を使用してイベントを表示する

SunLink Server Manager のイベントグループで、システムログ、セキュリティーログ、アプリケーションログの中から表示するイベントを選択します。

ログの選択 - 表示するイベントログのアイコンをダブルクリックします。SunLink Server Manager を起動した直後はローカルコンピュータのログが表示されますが、他の SunLink Server コンピュータにログオンすれば、その SunLink Server コンピュータのログを表示することができます。

表示のリフレッシュ - SunLink Server Manager でログファイルを開くと、そのときのログの情報が表示されます。この情報は自動的には更新されません。最新のイベントを表示して上書きされたエントリを削除するには、メニューバーの [表示] アイテムから [リフレッシュ] コマンドを選択します。

イベントの詳細の表示 - イベントをダブルクリックするとイベントの詳細が表示されます。[イベントの詳細] ダイアログボックスに、選択したイベントのテキスト記述と記録されたバイナリデータが表示されます。この情報はイベント記録の元になるアプリケーションで生成されます。データは 16 進数形式で表示されるので、その意味を解釈することができるのは元のアプリケーションに詳しい開発者だけです。すべてのイベントがこのようなデータを生成するわけではありません。

注 -
監査されたセキュリティーイベントの種類を管理するには、Windows NT ツールを使用して監査のポリシーを設定します。監査のポリシーを設定するときには、SunLink Server Manager を使用しないでください。このマニュアルでは設定の方法について説明していません。

3.5.3 イベントログを使用して問題を追跡する

イベントログを注意深く監視すると、システムの問題の発生源を予測して特定することができます。ログはアプリケーションソフトウェアの問題を確認することもできます。Windows NT アプリケーションがクラッシュした場合、Windows NT アプリケーションのイベントログによってクラッシュに至るまでの動作状況をたどることができます。

以下の説明は、イベントログを使用して問題の原因を突き止めるためのガイドラインです。

エラーの発生する頻度を測定します。特定のイベントがシステムの問題と関連していると考えられる場合は、イベントログを検索して同じイベントの別のインスタンスを探し、エラーの頻度を判定します。

イベント ID を書き留めます。これらの番号は、発生元のメッセージファイルのテキスト記述と一致します。購入先に連絡する際、この番号でシステムの問題点を判断することができます。

3.5.3.1 SunLink Server セキュリティーイベントの監視

Windows NT のドメインユーザーマネージャの [監査のポリシー] ダイアログボックスで、イベントを監査することができます。監査を通して、SunLink Server セキュリティーイベントを追跡することができます。一定のアクションが実行されたり、ファイルがアクセスされたりするたびに、監査エントリがセキュリティーイベントログに書き込まれるように指定できます。

監査エントリは、発生したアクティビティ、アクションを起こしたユーザー、そのアクティビティの日付と時間を表示します。試みの成功または失敗をどちらも監査することができます。監査追跡情報には、実際にネットワーク上でアクションを実行したユーザーと、許可されていないアクションを実行しようとしたユーザーを表示することができます。

イベントはデフォルトでは監査されません。管理者の権限があれば、Windows NT のドメインユーザーマネージャツールを使用して、どの種類のシステムイベントを監査するかを指定することができます。

監査のポリシーによって、SunLink Server ソフトウェアが記録するセキュリティーログの量と形式が決まります。ファイルとオブジェクトへのアクセスについては、監視するファイルとプリンタ、監視するファイルとオブジェクトへのアクセスの形式、ユーザーとグループを指定することができます。たとえば、ファイルとオブジェクトへのアクセスの監査が有効なときには、ファイルまたはフォルダのプロパティダイアログボックス (エクスプローラを使用してアクセス) のセキュリティータブを使用して、監査するファイルと監査するファイルへのアクセス形式を指定することができます。

イベントの監視方法

SunLink Server Manager を使用して、イベントログを表示したい SunLink Server システムにログオンします。

詳細は、「SunLink Server Manager を使用してログオンする方法」を参照してください。設定を変更するにはスーパーユーザーとしてログオンする必要があります。

[イベント] をダブルクリックします。

次の画面が表示されます。

表示するログのアイコンをダブルクリックします。

ログの任意の行をダブルクリックすると、特定のイベントについての詳細を見ることができます。

イベントの解釈についての詳細は「3.5.1 イベントの解釈」を参照してください。

コマンドプロンプトからイベントを監視する方法

SunLink Server の elfread コマンドを使用して、システムログ、セキュリティーログ、アプリケーションログを読むことができます。このコマンドは、SunLink Server システムが起動に失敗した場合の障害を追跡するときに便利です (この種類のイベントは、通常システムログに書き込まれます)。elfread コマンドは SunLink Server Manager のバックアップ (予備手段) として使用してください。サーバーが実行中のときにログファイルを表示する方法として推奨されます。

SunLink Server コマンドプロンプトで次のように入力します。

elfread [-od] ログ名

ログ名に、system、security、application のいずれかを指定します。

ログファイルの内容の一覧を古いイベントから表示するには、-o オプションを使用します。イベントについての詳細情報を表示するには、-d オプションを使用します。

オプションが指定されていない場合は、指定したログのすべてのイベントの一覧が新しい順に表示されます。

SunLink Server の情報の表示方法

SunLink Server Manager を使用して、情報を表示する SunLink Server システムにログインします。

詳細は、「SunLink Server Manager を使用してログオンする方法」を参照してください。設定を変更するにはスーパーユーザーとしてログオンする必要があります。

[情報] をダブルクリックします。

次の画面が表示されます。

情報表示で表示されているデータは自動的には更新されません。最新の統計情報を表示するには、[表示] メニューから [リフレッシュ] を選択するか、ナビゲーション区画から再度 [情報] をクリックします。

以下の情報が提供されます。

現在の SunLink Server Manager セッションの Solaris ユーザー名

Solaris サーバー名

Solaris ハードウェアの種類

Solaris のバージョン

SunLink Server サーバー名

SunLink Server のドメイン名

SunLink Server サーバーのロール (BDC の場合、PDC 名前も提供される)

SunLink Server ソフトウェアのバージョン

サーバーの状態 (停止または実行中)

データベース保守スケジュールの状態 (スケジュールされている、またはスケジュールされていない)

上記のような重要な情報に加えて、情報ウィンドウには、さまざまな管理タスクを開始できる 3 つのボタンが含まれています。

プロパティ - このボタンをクリックして、サーバー名、ドメイン名、ドメインのロールを含む SunLink Server システムの構成の変更を開始することができます。「3.3 ドメインの構成と管理」を参照してください。

状態 - SunLink Server プログラムが実行中か停止中かによって、このボタンでプログラムを停止したり開始したりすることができます。「3.2 サービスの開始と停止」を参照してください。

保守 - このボタンをクリックして、データベース保守タスクを SunLink Server プログラムで自動的に実行するようにスケジュールの設定 (または変更) することができます。「5.5 データベース管理タスク」を参照してください。