サービス監視

サービス監視には以下の機能がございます。 

z サービス・ステータスの変更の検出（停止=>実行、一時停止=>停止、他） 

z サービス追加/削除の検出 

z サービス設定が自動起動か起動していないか、検出 

z 常時サービスが要求されたステータスにあるか（停止または実行）確認  z サービス・ステータスの追跡とデータベース内のアクティビティ 

EventSentry が監視ドライバーに構成された場合、サービスもまたドライバーを参照します。

（詳細は下記）全てのサービスアクティビティは Application Event Log へ記録されます。その 為、1 つ以上のログフィルターでアプリケーションイベントログを監視しているか、ご確認する必要があり ます。 

サービス監視 

全サービス監視か、特定のサービスのみ監視するか、監視しないか、選択可能です。 

全サービスを監視 全てのサービスを監視。リストボックスに記載されたものは除外  選択したサービスのみ

監視 

リストボックス内で表示されたものに限り監視。リストボックスが空白の場合、

サービス監視は活動しません。 

サービス監視しない  サービスは監視されません。またリストボックスからの全サービスは 削除さ れます。 

      58 

グローバルオプションで Enable Boot scan を有効化すると、リブート中や EventSentry サービス再起動 中、サービス・ステータスの変更が監視されます。 例えば、EventSentry サービス停止時にサーバー サービスステータスが実行中だとします。 ところが EventSentry サービスが起動したらステータスが停 止します。 このステータス変更は記録されます。 

リスト内の表示名とサービスキー名称の両方で、サービスは表示されます。サービスがドライバーの場 合、ドライバー欄に Yes と表示されます。 ドライバーでない場合は No です。 

リストのサービス追加と削除 

サービス監視（または除外）リストにサービスを追加するには、リストの右側にあるプラスボタン（+）をク リックします。プラスボタンをクリックするとダイアログが表示されます。ドロップからリストに追加するサ ービス（またはドライバー）が選択できます。 アスタリクス（*）で始まるサービスにご注意下さい。 上 記のサービスはドライバーであることを示します。ドライバーが本リストに表示されるのは、Monitor  Drivers チェックボックスにチェックを入れた場合に限ります。 

サービスを削除するには、リスト内より該当サービスを選択してマイナス（-）ボタンをクリックします。 

サービス名を入力するだけで Service Display Name リストに記載されていない  サービスも追記できます。これが可能なのは以下のケースです。サービスが監視対象  サーバーにインストール済みですが、管理ワークステーションにインストールされていない場合。 

リモートエージェントはインストールされていない監視サービスは単純に無視されます。 

監視インターバル 

独自の監視インターバルを設定できます。デフォルトは 60 秒です。監視インターバルは秒数で指定しま す。設定は 10 秒/倍数でおこないます。（自動的に変換されます。） 

      59  監視対象 

サービス・ステータス変更、及び SCM（サービスコントロールマネージャー）データベース変更、のどちら か、または両方を監視できます。ドライバー監視も選択できます。 

Monitor Status Changes:サービス・ステータスが変化すると、アプリケーションイベントログ内にイベント ログが作成されます。 例えば、メッセンジャーサービスが停止した場合、EventSentry はメッセンジャー

（のステータス）が実行から停止に変化した事を示します。 

Monitor SCM Changes:サービスが追加、または削除されると、EventSentry はアプリケーションイベント ログ内に１イベント記録します。 

Monitor Driver:デバイスドライバーを監視する場合は、このオプションを選択します。 

Log Change As 設定で、どのセベリティイベントをアプリケーションイベントログに記録するか設定できま す。 

  Log to ODBC action 

全てのデータベースアクティビティをデータベースに記録する場合、この機能を活性化し、ODBC アクシ ョンを選択します。 

  上級オプション 

詳細は 上級オプション をご参照下さい。 

サービスステータスコントロール 

サービスステータスコントロールにおいて、特定のサービスが常時実行中または停止サービス・ステー タス（サービスごとに個別設定可能）であるか、ご確認下さい。 

サービスをコントロールするには、+ボタンをクリックし、リストからサービスを選択します。要求されたサ ービスがリストになければ、 Service Display Name フィールドにサービスキー名を入力します。次に必 要なサービス状態（例；Running）を指定して、OK ボタンをクリックします。サービスが常時要求された状 態にあるか、EventSentry は保障しかねます。 

      60  下の例では、iPodService が実行中にも関わらず、停止ステータスです。 Sophos Anti-Virus サービス は停止しているにも関わらず、起動しています。 

サービスが要求された状態でないとエージェントが判断する度に要求に従って状態（State）を変更しよ うとします。  またイベントログへメッセージを書き込みます。Log Service Control Attempts As 設定でイ ベントログへ書き込む上記メッセージのセベリティを決定します。 

  制限 

監視インターバルの間、サービス・ステータスが 2 度変更したら、ステータスの変更は EventSentry では 検出できません。 

例えば、監視インターバルが 10 秒で設定、メッセンジャーサービスが停止し最新の監視パスの直後に 再起動した、とします。 次回の EventSentry サービス監視パスではこのアクションは認識されません。 

システム負荷の影響 

サービス監視にはシステム負荷に大きな影響はありません。 推奨設定はレギュラーサービスに対す るサービス監視インターバルは 20 秒以内です。ミッションクリティカルサーバーであれば 10 秒以内で す。 

5.5.1.1 上級オプション

On Startup, check if services set to AUTO are running 

Windows で自動的に起動するように設定された全てのサービスが本当に実行するか、自動的に照合で きます。この機能を有効にする場合、Startup Delay（Start monitoring…）も設定することを推奨します。

EventSentry 起動時は、（EventSentry と同時、または後で起動する）多くのサービスやドライバーは実 行されません。ですが数分後に実行します。 ディレイの設定はハードウェアや、利用する OS、監視対 象サービスの数に依存します。ファオルトの 120 秒を推奨します。 

Decrease monitoring interval temporarily to 10 sec when activity is detected 

サービス変更を検出すると、自動的に監視インターバルが 10 秒に減少します。この機能は役立ちます。 

多くの場合、サービス・ステータスの変更は他の連続サービス・ステータス変更の引き金になるからで す。より短い監視インターバルで更に検出可能になります。 

      61 

  5.5.1.2 イベントログ

以下のイベントログレコードは Service Monitoring カテゴリーの本機能で記録します。 

  Event 

ID  イベント表記 例 

10100  A service status changed 

BITS（Background Intelligent Transfer Service）サービスの  ステータスが Start Pending から実行中へ変更。 

10101  A service was added 

以下のサービスが追加されました：Gateway IPMonitor  (ゲートウェイ IP モニター)。現在のステータスは実行中 

10102  A service was removed 

以下のサービスが削除されました：Gateway IPMonitor  (ゲートウェイ IP モニター)。最終のステータスは実行中 

10103  A service is being monitored  EventSentry サービスは現在監視中 

10104  A service is not being monitored   anymore 

Cdaudio サービスは今後監視しません。 

最終ステータスは停止。 

10105  Service configured for auto start    are not running 

以下の３サービスは自動起動で設定されていますが  現時点では停止中： 

Cdaudio 

Digital CD Audio Playback Filter Driver  Sfloppy 

10106  Unable to connect to SCM 

サービスコントロールマネージャー（SCM）へ接続不可、 

サービスは監視できません。 

10107  Unable to enumerate service 

羅列サービス不可。 

サービスは監視できません。 

10108  Successfully changed service state

USB マスストレージドライバーのサービス状況は実行中  要求された状況は停止。EventSentry はサービス状況を  停止に変更しました。 

10109  Unable to change service state 

iPodService サービスの状況は起動を一時停止 

要求された状況は停止。EventSentry は以下のエラーにより 

      62 

サービス状況を変更できませんでした。：サービス一時停止 

10110  A service startup type changed  自動からマニュアルへ PDAgent サービスの起動タイプが変更