フィルタタイマー

設定された時間内で発生する特定の連続イベントを、−たとえ 1 つでもフィルターに合致しても―フィル タタイマーで該当イベントを無視できます。 この機能が最適に動作するのは、イベントがタイマーを設 定/通過する場合です。 または同じ順番で同じ差込み文字列を含む、タイマーと同じ構造で設定/通 過したイベントです。 

以下の状況にお気をつけて下さい：イベントログ内の１エラーに対して２つのイベントが作成された結果、

重要サービスは停止しますが、1 分以内に自動的に再スタートします。（例：アンチウィルスエンジンが 自立的に更新した後、など）最初にサービスが停止、再びサービスが再起動します。 一斉監視により、

サービス停止を引き起こすこともあります。ですが、再起動する事無くサービスが停止した場合に通知 を必要とする理由で、上記が望ましく無いこともあります。 フィルタタイマーはこの問題の解決を提供 します。 

２つのフィルターを作成する事により発生するこの問題を、フィルタタイマーが解決します。：１フィルター が（連続イベントの）最初のイベントに合致、それに続く連続イベントに対しても合致すると、最初の警 告（アラート）が無効にされます。このようにして、時間制限内にイベントが消去された場合、オリジナル イベントは絶対に通知されません。 

      33  本機能の性質により、タイマー期限（ピリオド）が経過しない限り、タイマー-有効化フィルターに 合致したイベントは通知されません。ご注意下さい。 

タイマーの有効化 

フィルター上のタイマーを有効化するには、フィルターの変更とタイマータブをクリックします。 タイマー タブでは"Enable Timer"を選択して、タイマーを活性化します。次に、タイムアウト期限を特定します

（例：２分）。フィルターを特定、これによりプラスボタン+クリックでタイマーが消去します。 このボタンを クリックすると、ダイアログが現れます。  

このダイアログには全ての適切なフィルタ（例：インクルードフィルタ）が表示されます。 上記をタイマー 消去に利用することが可能です。 

  文字列の挿入 

この機能は様々なイベントに合致するようなフィルタタイマーを作成する場合、非常に役立ちます。 例 えば、 サービス停止/サービス開始 コンビネーション、または 処理終了/処理開始 コンビネーション。 

文字列挿入機能を利用しない場合、監視対象の個々の独自イベント（例：サービス）に対し対称（ペア）

フィルターを作成する必要があります。 

いかなる監視対象のサービスでも 5 分以上停止したら通知を必要とする、というケースを用いて説明し ます。 まず 5 分の時間期限切れした為タイマーにより DNS サーバーが停止した、と仮定します。 さら に DNS サーバーサービスが停止してから 3 分後に同じホストでライセンスログサービスが開始された、

と仮定します。上記 2 つ（のイベント）が共通フィルター サービス開始イベントを発見 に合致した、とい う理由により、タイマーが無効にされ、サービス停止の通知が得られなくなります。 

      34  文字列挿入を利用したとしても、選択された文字列を比較するよう EventSentry に指示できます。比較 する文字列はフィルタタイマーを設定した事により発生したイベントから選択します。この文字列とフィ ルター無効にしようとするタイマーを比較します。 

上記両方が一致するとフィルタタイマーは無効にされます。一致しない場合はそのまま残ります。イベ ント内部の挿入文字列の位置と数量をご確認頂く場合は Event Message ブラウザをご利用することを 推奨します。 

サービス監視と同様にプロセス処理/終了に付随する、以下の EventSentry イベントをご考慮下さい。 

Event Source  Event 

Category  Event ID  Event Description (insertion strings start    with % character) 

EventSentry  Service 

Monitoring  10100  The status for service%1(%2)  changed from%3 to%4 

Security  Detailed 

Tracking  592  A new process has been created: 

        New ProcessID: %1          Image File Name: %2          Creator Process ID: %3 

       User Name: %4 

       Domain: %5 

       Logon ID: %6 

Security  Detailed 

Tracking  593  A process has exited: 

        Process ID: %1 

        Image File Name: %2 

        User Name: %3 

        Domain: %4 

        Logon ID: %5 

EventSentry がサービス・ステータスの変更を記録するたび、イベント 10100 をイベントログとして記録し ます。またステータスが変更したサービス名称を％１で代用します。文字列#１の合致を要求するような 条件では、 DNS Server service により設定されたタイマーを License Logging サービスに属するイベ ントでは無効にできません。 

処理が作成/終了した場合、Windows によりログ化されたイベントにより類似した配置が完成します。イ ベント 592 に基づくフィルター-タイマーを設定し、イベント 593 に基づきタイマーを無効にするフィルター を設定した場合、挿入文字列#1、または#2 を指定します。両方の文字列には同じ情報が存在します。

また両方の挿入文字列を指定することも可能です。 

      35  動作について 

イベントがタイマー有効化フィルターに合致すると、タイムアウト期限（設定済みの通知へイベントをフォ ワードする前）が推移するまで、EventSentry は待機します。 設定された通知の一つが SMTP タイプの 場合、EventSentry は文字列 TIMER-DELAY を E-Mail の件名に追加します。 

本機能の目的として、時間制限内にあるイベントが Filter that can clear this timer リストで指定された フィルターに合致すると、オリジナルフィルタは通知処理されません。 

タイマー有効化フィルターで説明されたフィルターはタイマーを無効する事に限定して 使用し ます。これらのフィルターはイベントを通知へ送る通常のフィルターではありません。 

注意：最初にこのタイプのフィルターを設定する時、通知を特定しなければなりません。 

選択された通知は消えますが、すぐにタイマー-フィルターによりフィルターが参照されます。