ビュー:
変更監視モジュールは、ディレクトリレジストリ値レジストリキー、サービス、プロセスインストールされたソフトウェアポートグループユーザファイル、およびエージェント上のWQLクエリステートメントに対する予期しない変更をスキャンします。
変更監視を有効にして設定するには、変更監視のセットアップを参照してください。
ServiceSet要素はサービスのセットを表します。Windowsでのみ利用可能です。サービスはサービス名によって識別され、[サービス]管理ツールに表示される名前列とは異なります。サービス名はサービスのプロパティで確認でき、名前列に表示される値よりも短いことが多く、実際にはサービスの[表示名]です。例えば、エージェントのサービス名はds_agentで、表示名はTrend Micro Deep Security Agentです。

タグ属性

次の表は、変更監視ルールによって監視されるエンティティの属性ではなく、タグ自体のXML属性のリストと説明を示しています。
属性
説明
必須
初期設定値
設定できる値
onChange
リアルタイムで監視
いいえ
false
true、false

エンティティセットの属性

変更監視ルールで監視できるエンティティ属性は次のとおりです。
  • Permissions: サービスのセキュリティ記述子 (SDDL形式)。
  • Owner: サービス所有者のユーザID。
  • Group: サービス所有者のグループID。
  • BinaryPathName: Windowsがサービスを開始するために使用するパスとオプションのコマンドライン引数。
  • DisplayName: サービスのプロパティパネルに表示されるサービスの表示名。
  • 説明: [サービス]パネルに表示される説明。
  • State: サービスの現在の状態。次のいずれか: 停止, 開始中, 停止中, 実行中, 継続保留中, 一時停止保留中, 一時停止。
  • StartType: サービスはどのように開始されますか?自動、無効、手動のいずれかです。
  • LogOnAs: サービスプロセスが実行される際にログオンするアカウントの名前。
  • FirstFailure: サービスが初めて失敗したときに取るべきアクション。フォーマットは delayInMsec,action で、action は None、Restart、Reboot、RunCommand のいずれかです。
  • SecondFailure: サービスが2回目に失敗したときに取るべきアクション。形式は「delayInMsec,action」で、actionはNone、Restart、Reboot、RunCommandのいずれかです。
  • SubsequentFailures: サービスが3回目またはそれ以降に失敗した場合に取るべきアクション。フォーマットはdelayInMsec,actionで、actionはNone、Restart、Reboot、RunCommandのいずれかです。
  • ResetFailCountAfter: 失敗がない場合に失敗回数をゼロにリセットするまでの時間 (秒単位)。
  • RebootMessage: 再起動サービスコントローラのアクションに対応して、サーバユーザに再起動前に送信するメッセージ。
  • RunProgram: RunCommandサービスコントローラーアクションに対応して実行するプロセスの完全なコマンドライン。
  • DependsOn: サービスが依存するコンポーネントのカンマ区切りリスト
  • LoadOrderGroup: このサービスが属するロード順序グループです。システムのスタートアッププログラムは、他のグループに対して指定された順序でサービスのグループをロードするためにロード順序グループを使用します。ロード順序グループのリストは、次のレジストリ値に含まれています: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrder
  • ProcessId: サービスをホストするプロセスの数値ID。多くのサービスは単一のWindowsプロセス内に存在する可能性がありますが、独自のプロセスで実行されるサービスについては、この属性の監視により、システムがサービスの再起動を記録できます。

簡略記法属性

エンティティの略記属性と、それらが解決される属性を次に示します。
  • STANDARD: 権限, 所有者, グループ, BinaryPathName, 説明, 状態, 開始タイプ, LogOnAs, 初回失敗, 2回目の失敗, 以降の失敗, 失敗カウントのリセット, プログラムの実行, 依存関係, ロード順序グループ, プロセスID

キーの意味

キーはサービスの名前です。これは、サービス管理ツール (このツールにはサービスの表示名が表示されます) に表示される名前の列と同じである必要はありません。サービス名はサービスのプロパティに表示され、多くの場合、名前の列に表示される値よりも短くなります。
これは階層的なエンティティセットではありません。パターンはサービス名にのみ適用されます。その結果、**パターンは適用されません。

サブエレメント

  • 含む
  • Exclude
変更監視ルール言語の一般的な説明については、許可されている属性とサブ要素を含めて参照してください。ここには、このエンティティセットクラスに関連するインクルードとエクスクルードに特有の情報のみが含まれています。

ServiceSetのincludeおよびexcludeに固有の属性

state: サービスの状態 (停止、開始中、停止中、実行中、継続保留中、一時停止保留中、一時停止中) に基づいて含めるか除外します。次の例では、実行中のサービスのセットを変更のためにモニタします。
<ServiceSet>
<include state="running"/>
</ServiceSet>