イベントログ検索

      192  z EventSentry Dashboard Widget 1.exe 

z EventSentry Dashboard Widget 2.exe  z EventSentry Dashboard Widget 3.exe   

それぞれのウィジェットへのユーザーの優先順位や傾向を記録してコンピュータを再起動した後も正し く復元するには、異なる EVE を実行する必要があります。 

ウィジェットを移動する 

右下隅の円かダッシュボード周辺の枠ににウィジェットをドラッグすれば、画面上の他の場所に簡単に 移動出来ます。 

      193  えば"last week"）は無視されます。 

Order By 

このフィールドを使って出力した内容を並び替えることが出来ます。デフォルトでは、出力結果は、Date  and Time に基づいて降順に並べられます。 

Severity、Log 

検索に含めたい重要度とイベントログを選択して下さい。どの重要度もイベントログも選択されない場 合、すべての重要度とイベントログが検索に合致します。 

Search Limits 

データベースを全て検索するかわりに、検索範囲を狭めることを強く推奨します。ドロップダウンリストを 使うと、以下のことが可能です： 

z 実行するレコードの数を制限する 

z どのくらいで検索に戻るかを設定する（この設定を厳しくすれば、検索は早く実行されます） 

z 承認された、もしくは承認されないイベントログレコードのみを表示する（イベント詳細を閲覧する ことで、イベントを承認します） 

z 承認が保留されているイベントログのみを表示する   

     検索を数（例えば、最大 1000 件のレコードを表示する）や時間（例えば、直近の 3 日間のレコー ドを表示する）で区切って制限することを推奨します。これにより、クエリーの完了までにかか る時間が大幅に削減され、特にデータベースが巨大で数百万のレコードがある場合に有効で  す。特定のレコードが直近の 6 時間以内に起こったことがわかっている場合、直近の 6 時間に  検索を制限すれば、素早く結果が得られます。 

イベント詳細の閲覧 

イベント詳細を閲覧するには、興味のあるレコードのイベント番号かイベント時間、メッセージテキストを クリックして下さい（前述の通りです）。そうすると、イベント詳細を表示するポップアップ画面が出てきま す。 

追加機能 

Presetting the Form 

ソースやカテゴリー、ID、コンピュータ、ユーザー名のフィールドをクリックすることによって、イベントの 検索範囲を狭めることが出来ます。ドロップダウンリストから適切な値を自動的に選択します。 

      194 

Highlighted Selections 

イベントソースなどの検索条件を選択すれば、選択されたことを示すための異なる背景画面でフィール ドがハイライトされます。設定値を ANY に戻せば、ハイライトはなくなります。 

出力を Group By でグループ分けする 

1 つかそれ以上のフィールドを選択することにより（複数の選択を行うには、CTRL キーを押したままに して下さい）、"Group By"ボックスから、出力をグループ分けすることが出来ます。 

Show Chart 

"Show Chart"オプションを選択すると、テキストでのレポートに加えて画像のチャートが表示されます。

1 つのフィールドでグループ分けを行うと円グラフが表示され、2 つのフィールドでグループ分けを行うと、

棒グラフが表示されます。3 つ以上のフィールドでグループ分けを行ってもグラフは表示されません。 

Example 

例えば、特定のコンピュータがどのくらいの頻度でデータベースに情報を書き込んでいるのかを知るた めには、Computer の欄で出力をグループ分けします。以下のスクリーンショットは、コンピュータでグル ープ分けされた Security イベントログの検索結果を示します。 

      195 

  上の出力の例では、ホスト WHALE が、49127 個のイベントをセキュリティイベントログに書き込んだこと が分かります。イベントが書き込まれたカテゴリーを含むには、出力を Computer と Category のフィール ドでグループ分けします。Computer と Category のフィールドを選択するには、選んでいる間 CTRL キ ーを押したままにします。この検索の結果は、以下のスクリーンショットのようになります： 

      196 

出力は、デフォルトでは合計欄でソートされます。チャートを見るには、"Show Chart"チェックボックスに チェックを入れる必要があります。 

スタンダードレポートとして検索を保存する 

以前実行した検索を、後で再度アクセスする時のために"Standard Report"として保存することが出来 ます。クエリーを保存するには、"Save as Standard Report"をクリックして、レポートの名前と追加の説 明を指定して下さい。詳細はイベントログレポートをご覧下さい。 

RSS 出力 

イベント検索ページ（スタンダードとカスタム、両方のレポートを含みます）で RSS フィードに登録するこ とが出来ます。RSS リーダーでイベント検索の出力を閲覧するには、RSS ボタンを押して表示された文 字列を RSS リーダーにコピーして下さい。 

      197 

6.7.1 イベントレコード詳細

イベントナンバー、イベントタイム、イベントメッセージテキストをクリックすることで、バイナリデータを含 む、入手可能なすべてのイベント詳細を閲覧出来ます。以下のような画面がポップアップウィンドウで 表示されます： 

  追加情報の検索 

Search の行のリンクの 1 つをクリックすれば、追加情報を検索出来ます。それぞれのリンクは WEB 上 の異なったリソースを検索し、特定のイベントの更なる情報やユーザーのコメントを見つけ出します。 

コメントの追加 

"Add New Comment"フィールドにコメントを記入して SUBMIT ボタンを押せば、イベントログレコードにコ メントを追加することが出来ます。コメントをイベントと関連付けることが出来るので、複数の管理者が WEB レポートを使用する場合に特に役に立ちます。 

      198  Add comment only to this individual record 

デフォルトでは、コメントはイベントレコードのソースと ID に関連付けられるようになっていて、同じイベ ントソースとイベント ID のイベントがすべて表示されます。このチェックボックスをチェックすれば、コメン トを特定のイベントにだけリンクさせることが出来ます。特定のイベントがなぜ起こったのか（特定の日 付でのバックアップの失敗など）、それをどのように解決するのかを説明する必要がある場合に便利で す。 

Also send this comment to myeventlog.com 

コメントがセキュリティ上重要ではなく、他の EventSentry ユーザーに役立つ可能性がある場合、"Also  send this comment to myeventlog.com"のチェックボックスをチェックすることを推奨します。コミュニティ WEB サイト（http://myeventlog.com）では、無料でコメントを投稿したりコメントを検索したり出来るので、

他の多くの管理者にとって貴重な時間を削減する手助けになります。 

イベントの承認 

"Close Window & Acknowledge"リンクをクリックして、イベントを承認出来ます。承認されたイベントには フラグがつきます。検索ページで、承認されたイベント（もしくは承認されていないイベント）だけを検索 することが出来ます。 

6.7.2 カスタムレポート  

レポートを使えば、同じ、もしくは似たような検索を保存したり実行したりすることが出来ます。再度検索 条件を指定する必要はありません。レポートに関する一般的な情報は、Web Reports -> Reportsのペ ージをご覧下さい。 

カスタムレポート 

カスタムレポートを使えば、複数の検索条件を指定することが出来るので、より高度なレポート機能を 使用出来ます。また、どのイベントログデータを出力時に表示するか（イベントログ名を表示しない、な ど）を設定することも出来ます。 

Creating a new Custom Report 

カスタムレポートを作成するには、レポート概観で"EVENTLOG" -> "Reports"に進んで、"Add Custom  Report"ボタンをクリックします。次のようなスクリーンが表示されます： 

      199 

Report Name フィールドでレポート名を指定して、その他のプロパティを設定します。Comment フィール ドに、レポートの簡単な説明を入力することを強く推奨します。レポートを作成する準備が出来てレポー トに条件を追加する場合は Continue ボタンをクリックします。 

Save Report for my user only 

このオプションにチェックを入れると、レポートは WEB レポートにログインした時にのみ表示されます。

匿名では WEB サイトにアクセス出来ず、すべてのユーザーは自分のアカウントでログインする必要が あります。 

Always include in Popular Reports 

デフォルトでは、最もアクセスされているレポートのみが概観ページの"Popular Reports"セクションに 表示されます。このオプションにチェックを入れると、アクセス頻度に関わらずそのレポートが常に

"Popular Reports"セクションに表示されるようになります。 

Adding/Modifying conditions 

Field, Condition を選択して Value を設定することで、レポートに条件を追加することが出来ます（最低 1 つの条件が必須です）。Value フィールドには、データベースに存在するすべての入手可能なオプション が自動的に書き込まれます。ただし、Number と Message のフィールドは例外で、テキストをマニュアル で入力する必要があります。メッセージフィールドではあらゆる文字に合致するように、例えば*IIS*よう にワイルドカード記号*や%を使用出来ます。 

選択が終わったら、Add ボタンをクリックしてレポートに条件を追加します。条件は条件の一覧に表示さ れ、条件の隣の Delete のリンクをクリックすれば削除出来ます。