イベントに関する一般的なベストプラクティスについては、を参照してください。 Server & Workload Protectionのイベント。
Server & Workload Protectionで取得された変更監視イベントを表示するには、[イベントとレポート]>[イベント]>[変更監視イベント] の順に選択します。
変更監視イベントについて表示される情報を教えてください。
これらの列は、[変更監視イベント] 画面に表示されます。 [列] をクリックして、テーブルに表示する列を選択できます。
- 時間: コンピュータでイベントが発生した時刻。
- コンピュータ名: このイベントが記録されたコンピュータ。 (コンピュータが削除されている場合、このエントリは「不明なコンピュータ」と表示されます)。
- 理由: このイベントに関連付けられている変更監視ルール。
- タグ: このイベントに適用されるイベントタグ。
- 変更: 整合性ルールによって検出された変更。 [作成]、[更新]、[削除]、または [名前変更] のいずれかを指定できます。
- ランク: ランキングシステムは、イベントの重要度を数値化する方法を提供します。 「アセット価値」をコンピュータに割り当て、「重要度」をルールに割り当てることにより、イベントの重要度 (「ランク」) は、2つの値を掛け合わせることによって計算されます。これにより、イベントをランク順に並べ替えることができます。
- [重大度:] 監視ルールの重要度の値
- 種類: イベントの発生元のエンティティの種類
- キー: イベントの発生元のパスとファイル名またはレジストリキー
- ユーザ: ファイル所有者のユーザID
- プロセス: イベントの発生元プロセス
- イベント送信元: イベントの発生元である Server & Workload Protection コンポーネント
すべての変更監視イベントのリスト
|
ID
|
重大度
|
イベント
|
備考
|
|
8000
|
情報
|
完全なベースラインの作成
|
エージェントがベースラインの作成を要求されたとき、または変更監視ルールが0からnになったときに作成されます (ベースラインが作成されます)。このイベントには、検索に要した時間
(ミリ秒) とカタログ化されたエンティティの数に関する情報が含まれます。
|
|
8001
|
情報
|
部分的なベースラインの作成
|
1つ以上の変更監視ルールが変更されたセキュリティ設定がエージェントにある場合に作成されます。このイベントには、検索に要した時間 (ミリ秒) と、カタログ化されたエンティティの数に関する情報が含まれます。
|
|
8002
|
情報
|
変更の検索の完了
|
完全または部分的なオンデマンド検索の実行がエージェントに要求されたときに作成されます。このイベントには、検索に要した時間 (ミリ秒) とカタログ化された変更の数に関する情報が含まれます。
(ファイルシステムドライバまたは通知に基づく変更の継続的な検索では、8002イベントは生成されません)。
|
|
8003
|
エラー
|
変更監視ルール内の不明な環境変数
|
ルールで ${env.EnvironmentVar} が使用され、「EnvironmentVar」が既知の環境変数ではない場合に作成されます。このイベントには、問題を含む変更監視ルールのID、変更監視ルールの名前、および不明な環境変数の名前が含まれます。
|
|
8004
|
エラー
|
変更監視ルール内の不正なベース値
|
ルールに無効なベースディレクトリまたはキーが含まれている場合に作成されます。たとえば、基数が「c:\\foo\\d:\\bar」のFileSetを指定すると、このイベントが生成されます。または、無効な値が環境変数の置換の結果である可能性があります。このイベントには、問題を含む変更監視ルールのID、変更監視ルールの名前、および不正な基本値が含まれます。
|
|
8005
|
エラー
|
変更監視ルール内の不明なエンティティ
|
変更監視ルールで不明なEntitySetが検出された場合に作成されます。このイベントには、問題を含む変更監視ルールのID、変更監視ルールの名前、検出された不明なEntitySet名のカンマ区切りリストが含まれます。
|
|
8006
|
エラー
|
変更監視ルール内のサポートされていないエンティティ
|
変更監視ルールで既知でサポートされていないEntitySetが検出された場合に作成されます。このイベントには、問題を含む変更監視ルールのID、変更監視ルールの名前、および検出されたサポートされていないEntitySet名のカンマ区切りリストが含まれます。
RegistryKeySetなどの一部のEntitySetタイプは、プラットフォーム固有です。
|
|
8007
|
エラー
|
変更監視ルール内の不明な機能
|
変更監視ルールで不明な機能が検出された場合に作成されます。このイベントには、問題を含む変更監視ルールのID、変更監視ルールの名前、エンティティセットの種類 (FileSetなど)、および検出された不明な機能名のカンマ区切りのリストが含まれます。有効な機能値の例は、「whereBaseInOtherSet」、「status」、および「executable」です。
|
|
8008
|
エラー
|
変更監視ルール内のサポートされていない機能
|
変更監視ルールでサポートされていない既知の機能が検出された場合に作成されます。このイベントには、問題を含む変更監視ルールのID、変更監視ルールの名前、エンティティセットの種類
(FileSetなど)、および検出されたサポートされていない機能名のカンマ区切りのリストが含まれます。 「ステータス」 (Windowsサービスの状態に使用) など、一部の機能値はプラットフォーム固有です。
|
|
8009
|
エラー
|
変更監視ルール内の不明な属性
|
変更監視ルールで不明な属性が検出された場合に作成されます。このイベントには、問題を含む変更監視ルールのID、変更監視ルールの名前、エンティティセットの種類 (FileSetなど)、および検出された不明な属性名のカンマ区切りのリストが含まれます。有効な属性値の例は、「created」、「lastModified」、「inodeNumber」などです。
|
|
8010
|
エラー
|
変更監視ルール内のサポートされていない属性
|
変更監視ルールでサポートされていない既知の属性が検出された場合に作成されます。このイベントには、問題を含む変更監視ルールのID、変更監視ルールの名前、エンティティセットの種類
(FileSetなど)、および検出されたサポートされていない属性名のカンマ区切りのリストが含まれます。 「inodeNumber」などの一部の属性値はプラットフォーム固有です。
|
|
8011
|
エラー
|
変更監視ルール内のエンティティセットの不明な属性
|
変更監視ルールで不明なEntitySet XML属性が検出された場合に作成されます。このイベントには、問題を含む変更監視ルールのID、変更監視ルールの名前、エンティティセットの種類
(ファイルセットなど)、検出された不明なエンティティセット属性名のコンマ区切りリストが含まれます。次のように記述した場合、このイベントを取得します。<FileSet
dir="c:\foo">の代わりに<FileSet base="c:\foo">
|
|
8012
|
エラー
|
変更監視ルール内の不明なレジストリ文字列
|
存在しないレジストリキーをルールが参照する場合に作成されます。このイベントには、問題を含む変更監視ルールのID、変更監視ルールの名前、および不明なレジストリ文字列の名前が含まれます。
|
|
8013
|
エラー
|
WQLSetが無効です。名前空間またはWQLクエリが見つかりませんでした。
|
変更監視ルールXMLの形式が正しくないため、WQLクエリ内に名前空間が見つからないことを示しています。WQLクエリを使用および監視するカスタム変更監視ルールが使用される、高度な事例でのみ発生します。
|
|
8014
|
エラー
|
WQLSetが無効です。不明なプロバイダ値が使用されています。
|
|
|
8015
|
警告
|
適用できない変更監視ルール
|
プラットフォームの不一致、存在しないターゲットディレクトリやファイル、サポートされていない機能など、いくつかの理由によって発生する可能性があります。
|
|
8016
|
警告
|
2番目に最適な変更監視ルール検出
|
|
|
8050
|
エラー
|
正規表現をコンパイルできませんでした。無効なワイルドカードが使用されています。
|
|