locked
テキストログ監視でアラートが生成されない RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票

    SCOM2007R2を使用しています。

    テキストログの監視テストを行っていますが、以下の場合にアラートが生成されなくなります。

    ・ログサイズの上限に達して、ログファイルの先頭から上書きでログ出力された場合

    ・ログサイズの上限に達して、ログファイルの内容をクリアしてログ出力された場合

    ・ログサイズの上限に達して、ログファイルをReNameし、元のファイル名と同名のログファイルを作成してログ出力された場合

     

    ルールは「一般的な CSV テキスト ログの収集ルール」にて設定しており、特定の列に"エラー"が出力された場合にアラートを生成するようにしています。

    ログサイズの上限に達するまでは正常にアラートが生成されます。

     

    どなたか対策方法をご存知の方、ご教授をお願いします。

     

    2010年9月3日 14:52

回答

  • Question
    サインインして投票
    0
    サインインして投票

    ねこパンチ さん、こんにちは。
    フォーラムオペレーターの三沢健二です。

    少し私の方で調べてみたところ、海外のフォーラムに関連のありそうな投稿がありましたので、ご紹介させていただきますね。

    - 参考情報
    Bug in SCOM Log file monitor
    http://social.technet.microsoft.com/Forums/en-US/operationsmanagergeneral/thread/827464fd-ff06-495d-8ac6-4a6e337314d3


    (個人的な推測も含まれます)上記スレッドを要約させていただきますと、SCOM はどこまでチェックしたか(ログファイルの最終行)を覚えていて、ログファイルに追加された行(line)を監視するような動作になっているので、中身を削除された場合には監視が出来なくなる場合があるようです。
    (動作の詳細については 弊社有償サポート へお問い合わせください)

    なお、LayneR さんの回答の中に、最終行からではなくログファイルの最初から監視するようなスクリプトのリンクが案内されていましたので、もしよろしければお試しいただければと思います。

    - 参考スクリプト
    Reading a logfile with a 3 state monitor
    http://contoso.se/blog/?p=1187


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2010年10月7日 1:11
    2010年9月8日 8:04
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    ねこパンチ さん、こんにちは。
    ご返信ありがとうございます。

    追加のご質問についてですが、、、
    他に回避策などないか調べてみましたが、残念ながら私が調べた限りでは、前回ご案内した内容以上に詳細な情報は見当たりませんでした。

    そのため、より詳細な情報をお求めであれば、弊社有償サポートへご相談される事をお勧めします。
    (一般に得られる範囲内では、System Center 系についての情報はまだあまり多くないですね。。)

    ・マイクロソフトのサポート サービス
    http://www.microsoft.com/japan/services/support/default.mspx


    もし他に何か情報をお持ちの方がいらっしゃいましたら、引き続きアドバイスいただければと思います。
    よろしくお願いいたします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2010年10月7日 1:11
    2010年9月10日 4:56
    モデレータ

すべての返信

  • Question
    サインインして投票
    0
    サインインして投票

    ねこパンチ さん、こんにちは。
    フォーラムオペレーターの三沢健二です。

    少し私の方で調べてみたところ、海外のフォーラムに関連のありそうな投稿がありましたので、ご紹介させていただきますね。

    - 参考情報
    Bug in SCOM Log file monitor
    http://social.technet.microsoft.com/Forums/en-US/operationsmanagergeneral/thread/827464fd-ff06-495d-8ac6-4a6e337314d3


    (個人的な推測も含まれます)上記スレッドを要約させていただきますと、SCOM はどこまでチェックしたか(ログファイルの最終行)を覚えていて、ログファイルに追加された行(line)を監視するような動作になっているので、中身を削除された場合には監視が出来なくなる場合があるようです。
    (動作の詳細については 弊社有償サポート へお問い合わせください)

    なお、LayneR さんの回答の中に、最終行からではなくログファイルの最初から監視するようなスクリプトのリンクが案内されていましたので、もしよろしければお試しいただければと思います。

    - 参考スクリプト
    Reading a logfile with a 3 state monitor
    http://contoso.se/blog/?p=1187


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2010年10月7日 1:11
    2010年9月8日 8:04
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    三沢様

    ご返信ありがとうございます。

    案内のありました海外フォーラムとスクリプトを確認しました。

     

    スクリプトは、SCOMの代わりにテキストログ監視を行い、異常ログが見つかったときにSCOMにアラート生成指示を行うもののようです。

    (解釈が間違っていたらごめんなさい)

     

    テキストログを監視する部分はSCOMが行うべきだと思いますのでスクリプトの導入には抵抗があります。

    そもそも、主要機能をスクリプトに委ねたらSCOMを導入した意味が半減してしまいますし...

     

    同一ファイル名でラップアラウンドできないのはSCOMの仕様のようですが、

    検証を行った際は、ログファイルを削除して一定時間経過した後だと、同じファイル名でログファイルを作成しても先頭行から監視を行うことが確認できました。

    ただ、何分経過すれば良いのかは判っていません。

     

    何らかの手段でログの最終行にあるポインタを強制的にクリアして先頭行に戻すことはできないのでしょうか?

    2010年9月9日 14:57
  • Question
    サインインして投票
    0
    サインインして投票

    ねこパンチ さん、こんにちは。
    ご返信ありがとうございます。

    追加のご質問についてですが、、、
    他に回避策などないか調べてみましたが、残念ながら私が調べた限りでは、前回ご案内した内容以上に詳細な情報は見当たりませんでした。

    そのため、より詳細な情報をお求めであれば、弊社有償サポートへご相談される事をお勧めします。
    (一般に得られる範囲内では、System Center 系についての情報はまだあまり多くないですね。。)

    ・マイクロソフトのサポート サービス
    http://www.microsoft.com/japan/services/support/default.mspx


    もし他に何か情報をお持ちの方がいらっしゃいましたら、引き続きアドバイスいただければと思います。
    よろしくお願いいたします。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次 2010年10月7日 1:11
    2010年9月10日 4:56
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    三沢様

    いろいろとご協力ありがとうございました。

    解決に向けてもう少し対策方法を検討しようかと思います。

     

    もし、どなたか解決情報をお持ちの方がいましたらご教授をお願いします。

     

    2010年9月10日 13:35
  • Question
    サインインして投票
    0
    サインインして投票

    ねこパンチ さん、

    こんにちは。
    フォーラム オペレーターの服部 清次です。

    ねこパンチ さんがこちらの質問を投稿されてから少し経ちましたが、
    その後の状況はいかがでしょうか?

    今回のご質問に関しましては、どうも正確な情報が少ないようですので、、、
    もし ねこパンチ さんが詳細をご希望とのことであれば、
    弊社の三沢のアドバイスにもありますように、
    サポート窓口へのお問い合わせをご検討いただくのが良いかもしれませんね。。。

    なお今回、1つの情報として、弊社の三沢健二の回答が他の方にとっても
    参考になるのではないかと思いましたので、勝手ながら、
    私の方で [回答としてマーク] させていただきました。

    また何か疑問や質問がありましたら、ぜひ TechNet フォーラムをご利用ください。
    今後とも、よろしくお願いします。
    それでは、また。


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    • 編集済み 服部清次 2010年10月7日 1:27 一部修正
    2010年10月7日 1:14