差分

このページの2つのバージョン間の差分を表示します。

--- ja:documentation:pandorafms:management_and_operation:01_alerts [2025/05/12 12:31] – [Office365 でのメール設定] junichi
+++ ja:documentation:pandorafms:management_and_operation:01_alerts [2025/05/12 13:41] (現在) – [マクロ一覧] junichi
@@ 行 729: / 行 729: @@
 <wrap #ks12_1 />
-===== アラート相関: イベントおよびログアラート =====
+==== イベントアラートの作成 ====
-<WRAP center round tip 60%>
+<WRAP center round important 90%>
-Version NG 741 or higher.
+For the event alerts to work, you have to activate the [[:en:documentation:pandorafms:installation:04_configuration#eventserver|events server]] with the parameter ''eventserver 1'' in the Pandora FMS server configuration file.
 </WRAP>
-<WRAP center round tip 60%>
+<WRAP center round important 90%>
-バージョン NG 741 以上
+イベントアラートが機能するには、Pandora FMS サーバ設定ファイルでパラメータ ''eventserver 1'' を使用して [[:ja:documentation:pandorafms:installation:04_configuration#eventserver|イベントサーバ]] を有効にする必要があります。
 </WRAP>
-Alerts can be built based on the events received or on the data collected with the [[:en:documentation:pandorafms:monitoring:09_log_monitoring|log collection system]]. Simple or more complex alerts can be built, based on a set of rules with logical relationships.
+<wrap :en>**Management → Alerts → Event Alerts**</wrap> menu.
-受信したイベントまたは[[:ja:documentation:pandorafms:monitoring:09_log_monitoring|ログ収集システム]]によって収集されたログに基づくアラートを作成できます。論理関係を持つ一連の表現を用いて、単純なものから複雑なものまでのアラートを作成できます。
+<wrap :ja>**管理(Management) → アラート(Alerts) → イベントアラート(Event Alerts)**</wrap> メニュー。
-This type of alerts allows working from a much more flexible perspective, since alerts are not generated based on the status of a specific Module, but on an event that may have been generated by several different Modules, from different Agents.
+With the <wrap :en>**Create**</wrap> button a new event alert is added and the process is similar to the creation of a [[#ks4|alert template]]. There are five steps for the complete creation of an event alert, some important aspects are:
-このタイプのアラートでは、特定のモジュールの状態に応じてアラートが生成されるだけでなく、異なるエージェントの複数の異なるモジュールによって生成されたイベントに基づいてアラートを生成できるため、かなり柔軟な設定ができます。
+<wrap :ja>**作成(Create)**</wrap> ボタンをクリックすると、新しいイベントアラートが追加されます。手順は [[#ks4|アラートテンプレート]] の作成と似ています。イベントアラートを完全に作成するには、以下の 5 つのステップがあります。重要な点は以下のとおりです。
-Event alerts and/or logs are based on filter rules that use the following logical operators:
+  * Paso 1, <wrap :en>**Configure**</wrap>: It contains the basic data such as name, group of agents to which the event alert will belong and its severity.
+  * Paso 2, <wrap :en>**Conditions**</wrap>: Step where a [[#ks4|alert template]], a [[:en:documentation:pandorafms:technical_annexes:26_pfms_list_of_special_days|list of special days]], the <wrap :en>**Disable event**</wrap> option (the event generated in the alert trigger event view will not be created if this //token// is checked) and //a rule evaluation mode// will be assigned:
-イベントアラートやログは、次の論理演算子を使用するフィルタルールに基づいています。
+  * ステップ 1、<wrap :ja>**設定(Configure)**</wrap>: 名前、イベントアラートが属するエージェントグループ、重要度などの基本データが含まれています。
+  * ステップ 2、<wrap :ja>**条件(Conditions)**</wrap>: [[#ks4|アラートテンプレート]]、[[:ja:documentation:pandorafms:technical_annexes:26_pfms_list_of_special_days|特別日リスト]]、[<wrap :ja>**イベント無効化**</wrap>] オプション (このトークンがチェックされている場合、アラート発報イベント表示で生成されるイベントは作成されません)、およびルール評価モードが割り当てられます。
+When there are two or more event alerts, they are evaluated one by one following the chronological order of creation and, if needed, establishing a hierarchy.
+イベント アラートが 2 つ以上ある場合は、作成日時順に 1 つずつ評価され、必要に応じて階層が確立されます。
+Each event alert has two specific configuration parameters for this purpose:
+各イベント アラートには、この目的のための 2 つの特定の構成パラメータがあります。
+   * <wrap :en>**Rule evaluation mode**</wrap>:It can be <wrap :en>**Pass**</wrap> or <wrap :en>**Drop**</wrap>. The former means that, in case an event meets the [[#ks12_2|rules of an alert]], the rest of the alerts are still evaluated below. **This is the default behavior**. <wrap :en>**Drop**</wrap>, otherwise, means that when an event meets an alert, **stop evaluating** the rest of the alerts.
+  * <wrap :en>**Grouped by**</wrap>: Allows grouping the [[#ks12_2|rules]] by Agent, Group, Module or Module Alert. Thus, if a rule is configured to be triggered when two critical events are received **and grouped by Agent**, two critical events should arrive from the same Agent.
+  * <wrap :ja>**ルール評価モード(Rule evaluation mode)**</wrap>: <wrap :en>**Pass**</wrap> または <wrap :en>**Drop**</wrap> を指定できます。前者は、イベントが [[#ks12_2|アラートのルール]] を満たしている場合、残りのアラートは引き続き評価されます。**これがデフォルトの動作です**。それ以外の場合の <wrap :en>**Drop**</wrap> は、イベントがアラートを満たしている場合、残りのアラートの**評価を停止** することを意味します。
+  * <wrap :ja>**グループごと(Grouped by)**</wrap>: [[#ks12_2|ルール]] をエージェント、グループ、モジュール、またはモジュールアラートごとにグループ化できます。したがって、2 つの重要なイベントを受信したときにルールがトリガーされるように設定され、**エージェントごとにグループ化されている** 場合、2 つの重要なイベントは同じエージェントから到着することになります。
+  * Step 3, <wrap :en>**Rules**</wrap>: [[#ks12_2|Rules within an event alert]].
+  * Step 4, <wrap :en>**Fields**</wrap>: [[#ks12_3|Fields within an event alert]]
+  * Step 5, <wrap :en>**Triggering**</wrap>: [[#ks12_4|Triggered within an event alert]].
+  * ステップ 3、<wrap :ja>**ルール(Rules)**</wrap>: [[#ks12_2|イベントアラート内のルール]]。
+  * ステップ 4、<wrap :ja>**フィールド(Fields)**</wrap>: [[#ks12_3|イベントアラート内のフィールド]]。
+  * ステップ 5、<wrap :ja>**発報(Triggering)**</wrap>: [[#ks12_4|イベントアラート内で発報されます]]。
+When finishing the creation and returning to the global view you will have the list of registered event alerts and information about them, as well as options about them (operate with the action disabled, in <wrap :en>**standby**</wrap> mode, add more actions, edit or delete the corresponding event alert). **It will also be possible to change the order of the different event alerts between them**.
+作成が完了し、全体表示に戻ると、登録済みのイベントアラートのリストとそれらに関する情報、およびそれらに関するオプション（アクションを無効にしてスタンバイモードで操作する、アクションを追加する、対応するイベントアラートを編集または削除する）が表示されます。**また、異なるイベントアラート間の順序を変更することもできます**。
+<wrap #ks12_2 />
+==== イベントアラート内のルール ====
+Event alerts are based on filtering rules using the following logical operators:
+イベントアラートは、次の論理演算子を使用したフィルタリングルールに基づいています。
   * ''and''
-  * ''or''
-  * ''xor''
   * ''nand''
+  * ''or''
   * ''nor''
+  * ''xor''
   * ''nxor''
-These logical operators are used to search for events/expressions in logs that match the configured filter rules, and if matches are found, the alert will be triggered.
+These logical operators are used to search for events and/or expressions that match the configured filtering rules and if matches are found, the alert will be triggered. To define the alert rules it will be necessary to drag the elements on the left side to the <wrap en:>**drop area**</wrap> on the right side to build its rule.
-これらの論理演算子は、設定されたフィルタルールに一致するログ内のイベント/式を検索するために使用され、一致するものが見つかった場合はアラートが発報されます。
+これらの論理演算子は、設定されたフィルタリングルールに一致するイベントや式を検索するために使用され、一致するものが見つかった場合、アラートが発報されます。アラートルールを定義するには、左側の要素を右側の<wrap ja:>**ドロップエリア(drop area)**</wrap>にドラッグしてルールを構築する必要があります。
-<WRAP center round important 60%>
+<WRAP center round important 90%>
-When defining alerts about events, it will be essential to indicate the parameters **agent**, **module** and **event**.
+It will only save the changes when you press the button to advance to the next step (button <wrap en:>**Next**</wrap>).
 </WRAP>
-<WRAP center round important 60%>
+<WRAP center round important 90%>
-イベントに関するアラートを定義する場合、**agent**、**module**、および **event** パラメータを指定することが重要です。
+次のステップに進むためのボタン (ボタン <wrap ja:>**次(Next)**</wrap>) を押した場合にのみ、変更が保存されます。
 </WRAP>
-They also use the templates to define some parameters, such as the days on which the alert will work; however, in this case **the templates do not determine when the event alert is fired**, it is through the filter rules that the matching event alerts will be searched for and fired.
+**Available configuration items**:
-また、アラートが動作する日などのいくつかのパラメーターを定義したテンプレートを利用します。 ただし、この場合、テンプレートは**イベントアラートがいつ発報されるかを定義しません**。フィルタールールを介して一致するイベントが検索され、対応するアラートが発報されます。
+**利用可能な設定項目**:
-<WRAP center round tip 60%>
+{{  :wiki:pfms-event_alerts-available_items.png  }}
-Given the high number of events that the Pandora FMS database can host, the server works on a maximum event window, which is defined in the ''pandora_server.conf'' configuration file through the ''event_window'' and ''log_window'' parameters. Events that have been generated outside this time window will not be processed by the server, so it does not make sense to specify in a rule a time window greater than the one configured on the server.
+These elements will be enabled to guide the user in complying with the grammar of the rule. The following is a simplified explanation of the grammar to be used:
+これらの要素は、ユーザがルールの文法に従うようガイドするために有効になります。以下は、使用される文法の簡単な説明です。
+<WRAP center round box 90%>
+<font inherit/Courier New,Courier,monospace;;inherit;;inherit>S -> R | R + NEXUS +R</font>
+<font inherit/Courier New,Courier,monospace;;inherit;;inherit>R -> FIELD + OPERATOR + C | FIELD + OPERATOR + C + MODIFIER</font>
+<font inherit/Courier New,Courier,monospace;;inherit;;inherit>C -> VARIABLE</font>
 </WRAP>
-<WRAP center round tip 60%>
+Where **S** is the set of rules defined for the event alert.
-Pandora FMS データベースに保存できるイベントの数が多い場合、サーバは、''pandora_server.conf''  設定ファイルで ''event_window'' という名前のパラメータで定義された最大イベントウィンドウで動作します。指定された時間範囲外に生成されたイベントは、サーバで処理されません。そのため、サーバで設定された時間範囲よりも広い時間範囲をルールで指定することには意味がありません。
+ここで、**S** は、イベントアラートに対して定義されたルールのセットです。
+Two buttons are available for clearing and undoing all changes: <wrap en:>**Cleanup**</wrap> and <wrap en:>**Reset**</wrap>.
+すべての変更をクリアして元に戻すためのボタンが 2 つあります: <wrap ja:>**クリーンアップ(Cleanup)**</wrap> と <wrap ja:>**リセット(Reset)**</wrap>。
+<WRAP center round tip 90%>
+The blocks have simultaneity in fulfilling the condition:
 </WRAP>
-<wrap #ks12_1 />
+<WRAP center round tip 90%>
-==== 相関アラートの作成 ====
+ブロックは条件を満たす点で同時性を持っています:
-<WRAP center round important 80%> For the event correlation alerts to work, the event correlation server must be activated with the ''eventserver 1'' parameter in the Pandora FMS server configuration file.</WRAP>
+</WRAP>
-<WRAP center round important 80%> イベント相関アラートが機能するためには、Pandora FMS サーバ設定ファイルのパラメーター ''eventserver 1''  でイベント相関サーバを有効化する必要があります。</WRAP>
+<WRAP center round box 30%>
-<wrap #ks12_1_1 />
+(A and B)
-=== 相関アラート / テンプレート ===
+</WRAP>
-Menu **Management → Alerts → Alert correlation**.
+It forces the analyzed element (event) to comply simultaneously with A and B.
-メニュー **管理(Management) → アラート(Alerts) → アラート相関(Alert correlation)**。
+分析された要素 (イベント) が A と B に同時に準拠するように強制します。
-In this overview, you will have the list of registered correlation alerts and the information about them, as well as options such as operating with the action disabled, in **standby**  mode, adding more actions, editing or deleting the correlated alert.
+<WRAP center round box 30%>
-この概要には、登録済みの相関アラートとそれらに関する情報のリストが表示されるほか、**スタンバイ**モードでアクションを無効化、アクション追、相関アラートの編集または削除などのオプションも表示されます。
+A and B
-With the **Create**  button, a new correlation alert is added, the process is similar to [[#creating_a_template|Alert Template]] creation**. **The configuration parameters of the templates for correlation alerts are similar to those of a Module alert, there are only two specific parameters for event alerts:
+</WRAP>
-**作成(Create)** ボタンで、新しい相関アラートが追加されます。この処理は [[#アラートテンプレート作成|アラートテンプレート]] の作成と似ています。 相関アラートのテンプレートの設定パラメータはモジュールアラートの設定パラメータと似ていますが、イベントアラート固有のパラメータは次の 2 つだけです。
+It forces both rules (A) and (B) to be satisfied in the evaluation window. This means that there must be entries satisfying both rules in the last seconds (defined by the ''event_window'' parameter).
-    * **Rule evaluation mode**: It can be **Pass** or **Drop**. The first means that, in case an event matches an alert, the rest of the alerts continue to be evaluated. **Drop** means that if an event matches an alert, the rest of the alerts are not evaluated.
+評価ウィンドウにおいて、ルール（A）と（B）の両方を満たすことを強制します。つまり、最後の数秒間（''event_window'' パラメータで定義）に、両方のルールを満たすエントリが存在する必要があります。
-   * **Group by**: Allows you to group the rules by Agent, Module, alert or group. For example, if a rule is configured to trigger when two critical events are received and is grouped by Agent, two critical events must arrive from the same Agent. It can be disabled.
-   * **ルール評価モード(Rule evaluation mode)**: **通過(Pass)** と**破棄(Drop)** の 2つのオプションがあります。"通過" とは、イベントがアラートと一致した場合、残りのアラートが引き続き評価されることを意味します。 "破棄" は、イベントがアラートと一致した場合、残ったアラートが評価されなくなることを意味します。
+<WRAP center round tip 90%>
-   * **グループごと(Group by)**: エージェント、モジュール、アラート、またはグループごとにルールをグループ化できます。 例えば。 2つの障害イベントを受信したときにルールがオフになるように設定され、エージェントによってグループ化されている場合、2つの障害イベントが同じエージェントから送信される必要があります。 これは無効にできます。
-<WRAP center round important 90%>
+In the comparison operators ''=='' and ''!=''' the text strings are compared literally. For more flexibility consider using the ''REGEX'' operator which uses Regular Expressions.
-In case of alerts that contain logs rules, it will only affect grouping by Agent. If you choose a different grouping, **alerts based on log entries will never be honored.**</WRAP>
+</WRAP>
-<WRAP center round important 90%>
+<WRAP center round tip 90%>
-ログルールを含むアラートの場合、エージェントによるグループ化にのみ影響します。 別のグループ化を選択した場合、**ログベースのエントリのアラートは決して一致しません** 。
+比較演算子 ''=='' および ''!='' では、テキスト文字列が文字通り比較されます。より柔軟な比較を行うには、正規表現を使用する ''REGEX'' 演算子の使用を検討してください。
 </WRAP>
-Each rule is configured to trigger based on a certain type of event or //match//  from log; when the logical equation defined by the rules and their operators is satisfied, the alert is triggered.
+<wrap #ks12_3 />
-各ルールは、特定のタイプのイベントまたはログの一致により動くように設定されます。 ルールまたはその演算子によって定義された論理評価が満たされると、アラートが発報されます。
+==== イベントアラート内のフィールド ====
-<wrap #ks12_1_2 />
+''Field2'' , ''Field3'', (…) , ''Field//n//'' must be configured, which are used to transfer the information from //template// to //action// and from action to //command//, to finally be used as parameters in the execution of that command.
-=== 相関アラートのルール ===
+''Field2''、''Field3''、(…)、''Field//n//'' を設定する必要があります。これらは、//テンプレート// から //アクション// へ、またアクションから //コマンド// へ情報を転送するために使用され、最終的にそのコマンドの実行時にパラメータとして使用されます。
-To define the alert rules, it will be necessary to drag the elements on the left side to the **drop area** on the right side to build your rule.
+This information is transferred as long as the next step does not already have information defined in its ''Field**n**'' fields. That is, in case of overlapping fields or parameters, it overwrites the action to the template (for example, if the template has ''Field1'' defined and **the action also**, the ''Field1'' of the action //overwrites// the action of the template).
-アラートルールを定義するには、左側の要素を右側の **ドロップエリア** にドラッグしてルールを作成する必要があります。
+この情報は、次のステップの ''Field**n**'' フィールドに既に情報が定義されていない限り、転送されます。つまり、フィールドまたはパラメータが重複している場合、テンプレートのアクションが上書きされます（例えば、テンプレートに ''Field1'' が定義されており、**アクションも**定義されている場合、アクションの ''Field1'' がテンプレートのアクションを//上書き//します）。
-**Available setting items:**
+<WRAP center round info 90%>
-**設定可能な項目**:
+**Version 764 or later**: Macros related to modules and agents are not available in the fields of the <wrap :en>**Alert recovery**</wrap> section since the recovery of these alerts is executed when the <wrap :en>**threshold**</wrap> ends and lacks a **recovery event** to obtain such information.
-{{  :wiki:alertaslog3.png  }}
+</WRAP>
-These elements will be enabled to guide the user in complying with the grammar of the rule. The following is a simplified explanation of the grammar to be used:
+<WRAP center round info 90%>
-これらの要素は、ユーザがルールの文法を満たすようにするガイドをします。ここで、使用される文法についてさらに説明します。
+**バージョン 764 以降**: モジュールおよびエージェントに関連するマクロは、<wrap :ja>**アラート復旧(Alert recovery)**</wrap> セクションのフィールドでは使用できません。これは、これらのアラートの復旧は、<wrap :ja>**しきい値**</wrap> が回復た際に **復旧イベント** がそのような情報を取得せずに実行されるためです。
-<WRAP center round box 90%>
+</WRAP>
-<font inheritance/Courier New,Courier,monospace;;inherit;;inherit>S -> R | R + NEXUS +R</font>
+<wrap #ks12_4 />
-<font inherit/Courier New,Courier,monospace;;inherit;;inherit>R -> FIELD + OPERATOR + C | FIELD + OPERATOR + C + MODIFIER</font>
+==== イベントアラート内での発報 ====
-<font inherit/Courier New,Courier,monospace;;inherit;;inherit>C -> VARIABLE</font>
+In this section you must configure the actions to be performed when the alert is triggered and indicate at what intervals and how often this action will be executed.
-</WRAP>\\
+このセクションでは、アラートが発報されたときに実行されるアクションを設定し、このアクションが実行される間隔と頻度を指定する必要があります。
-Where **S** is the set of rules defined for the correlated alert.
+  * <wrap en:>**Actions**</wrap>: [[#ks3|Action]] that needs to be executed.
+  * <wrap en:>**Threshold**</wrap>: Time interval that has to elapse for the action to be executed again after the alarm has been triggered.
-ここで、**S** は、相関アラートに対して定義されたルールのセットです。
+  * <wrap ja:>**アクション(Actions)**</wrap>: 実行する必要がある [[#ks3|アクション]]。
+  * <wrap ja:>**しきい値(Threshold)**</wrap>: アラートが発報されてから、アクションが再度実行されるまでの経過時間間隔。
-It will be necessary to drag the element over the area of definition of rules, in such a way that the image is similar to this one for example:
+Once the above parameters have been selected, press the <wrap :en>**Add**</wrap> button and then you can select and view the list of configured actions (section <wrap :en>**Select the desired action and mode to view the Triggering fields for this action**</wrap>).
-たとえば次のようなイメージになるように、要素をルール定義の領域にドラッグする必要があります。
+上記のパラメータを選択したら、<wrap :ja>**追加(Add)**</wrap> ボタンを押して、設定されたアクションのリストを選択して表示できます (セクション <wrap :ja>**このアクションの発報フィールドを表示するには、目的のアクションとモードを選択してください**</wrap>)。
-{{ :wiki:alertlogrule.png?800 }}
+<wrap #ks12_5 />
+==== イベントアラートのマクロ ===
+The macros that can be used within the configuration of an event alert are in the [[#ks14|list of macros]].
+イベントアラートの設定内で使用できるマクロは、[[#ks15|マクロ一覧]]にあります。
+<wrap #ks13 />
+===== ログアラート =====
+<wrap :en>**Management → Alerts → Log Alerts**</wrap> menu.
+<wrap :ja>**管理(Management) → アラート(Alerts) → ログアラート(Log Alerts)**</wrap> メニュー。
+Alerts can be built based [[:en:documentation:pandorafms:monitoring:09_log_monitoring|on the received logs]]. These alerts can be simple or complex, based on a set of rules with logical relationships.
+アラートは、[[:ja:documentation:pandorafms:monitoring:09_log_monitoring|受信したログに基づいて]]作成できます。これらのアラートは、論理的な関係を持つ一連のルールに基づいて、単純なものから複雑なものまで作成できます。
+This type of alerts allows working from a much more flexible perspective, since alerts are not generated based on the status of a specific Module, but on a log that may have been generated by several different Modules and even from different Agents.
+このタイプのアラートでは、アラートが特定のモジュールのステータスに基づいて生成されるのではなく、複数の異なるモジュールや異なるエージェントによって生成された可能性のあるログに基づいて生成されるため、より柔軟な観点からの作業が可能になります。
+Each log alert is configured to trigger on a certain type of event; when the logical equation defined by the rules and their operators is met, the alert will be triggered.
+各ログアラートは、特定の種類のイベントで発報されるように設定されています。ルールとその演算子によって定義された論理式が満たされると、アラートが発報されます。
 <WRAP center round tip 90%>
-The comparison operators ''=='' and ''!='' compare text strings literally. For more flexibility consider using the ''REGEX'' operator which uses Regular Expressions.
+Given the high number of logs that can be stored in Pandora FMS, the server works on a maximum event window, parameter [[:en:documentation:pandorafms:installation:04_configuration#log_window|log_window]], which is defined in the configuration file ''pandora_server.conf''. The logs that have been generated out of this time window will not be processed by the server.
 </WRAP>
-<WRAP center round tip 60%>
+<WRAP center round tip 90%>
-比較演算子 ''=='' および ''!='' では、テキスト文字列が文字通り比較されます。 より柔軟な比較には、正規表現を用いる ''REGEX'' の利用を検討ください。
+Pandora FMS データベースが保持できるログが多いため、サーバは最大ログウィンドウ（パラメータ [[:ja:documentation:pandorafms:installation:04_configuration#log_window|log_window]] に基づいて動作します。このウィンドウは設定ファイル ''pandora_server.conf'' で定義されています。このウィンドウ外で生成されたイベントはサーバによって処理されません。
 </WRAP>
-To clean and undo all changes there are two buttons: **Cleanup** and **Reset**.
+<wrap #ks13_1 />
-すべての変更をクリーンアップして元に戻すには、'**クリーンアップ(Cleanup)**' および '**リセット(Reset)**' ボタンを使用します。
+==== ログアラートの作成 ====
 <WRAP center round important 90%>
-It will only save the changes when you click the **Next** button.
+For the log alerts to work, the [[:en:documentation:pandorafms:installation:04_configuration#logserver|logserver]] should be activated with the ''logserver 1'' parameter in the Pandora FMS server configuration file.
 </WRAP>
-<WRAP center round important 60%>
+<WRAP center round important 90%>
-**次(Next)** ボタンを押さないうちは、変更は保存されません。
+ログアラートが機能するには、Pandora FMS サーバ設定ファイルで ''logserver 1'' パラメータを指定して [[:ja:documentation:pandorafms:installation:04_configuration#logserver|logserver]] を有効にする必要があります。
 </WRAP>
+<wrap :en>**Management → Alerts → Log Alerts**</wrap> menu.
+<wrap :ja>**管理(Management) → アラート(Alerts) → ログアラート(Log Alerts)**</wrap> メニュー。
+With the <wrap :en>**Create**</wrap> button a new log alert is added and the process is similar to the creation of a [[#ks4|alert template]]. There are five steps for the complete creation of a log alert, some important aspects are:
+<wrap :ja>**作成(Create)**</wrap> ボタンをクリックすると、新しいログアラートが追加されます。手順は [[#ks4|アラートテンプレート]] の作成と似ています。ログアラートを完全に作成するには、以下の 5 つのステップがあります。重要な点は以下のとおりです。
+  * Step 1, <wrap :en>**Configure**</wrap>: It contains the basic data such as the group of agents to which the log alert will belong, name of the alert and its severity.
+  * Step 2, <wrap :en>**Conditions**</wrap>: Step where a [[#ks4|alert template]], some [[[:en:documentation:pandorafms:technical_annexes:26_pfms_list_of_special_days|list of special days]], the <wrap :en>**Disable event**</wrap> option (the event generated in the alert trigger event view will not be created if this token is checked) and a rule evaluation mode will be assigned:
+  * ステップ 1、<wrap :ja>**設定(Configure)**</wrap>: 名前、イベントアラートが属するエージェントグループ、重要度などの基本データが含まれています。
+  * ステップ 2、<wrap :ja>**条件(Conditions)**</wrap>: [[#ks4|アラートテンプレート]]、[[:ja:documentation:pandorafms:technical_annexes:26_pfms_list_of_special_days|特別日リスト]]、[<wrap :ja>**イベント無効化**</wrap>] オプション (このトークンがチェックされている場合、アラート発報イベント表示で生成されるイベントは作成されません)、およびルール評価モードが割り当てられます。
+When there are two or more log alerts, they are evaluated one by one following the chronological order of creation and, if necessary, establishing a hierarchy.
+ログアラートが 2 つ以上ある場合は、作成日時順に 1 つずつ評価され、必要に応じて階層が確立されます。
+Each log alert has two specific configuration parameters for this purpose:
+各ログアラートには、この目的のための 2 つの特定の構成パラメータがあります。
+   * <wrap :en>**Rule evaluation mode**</wrap>: Choosing <wrap :en>**Pass**</wrap> means that, in case a log meets the [[#ks13_2|rules of an alert]], all other log alerts are still evaluated below. **This is the default behavior**. In the case of choosing <wrap :en>**Drop**</wrap>, when a log meets an alert **all other log alerts will no longer be evaluated**.
+  * <wrap :en>**Grouped by**</wrap>: Allows grouping the [[#ks13_2|rules]] by Agent, Group, Module or Module Alert. Thus, if a rule is configured to be triggered when two critical events are received **and grouped by Agent**, two critical events should arrive from the same Agent.
+  * <wrap :ja>**ルール評価モード(Rule evaluation mode)**</wrap>: <wrap :en>**Pass**</wrap> または <wrap :en>**Drop**</wrap> を指定できます。前者は、ログが [[#ks13_2|アラートのルール]] を満たしている場合、残りのアラートは引き続き評価されます。**これがデフォルトの動作です**。それ以外の場合の <wrap :en>**Drop**</wrap> は、ログがアラートを満たしている場合、残りのログの**評価を停止** することを意味します。
+  * <wrap :ja>**グループごと(Grouped by)**</wrap>: [[#ks13_2|ルール]] をエージェント、グループ、モジュール、またはモジュールアラートごとにグループ化できます。したがって、2 つの重要なログを受信したときにルールがトリガーされるように設定され、**エージェントごとにグループ化されている** 場合、2 つの重要なログは同じエージェントから到着することになります。
+<WRAP center round important 90%>
+For alerts containing //logs// rules, only the grouping by Agent will be affected. If you choose a different grouping, **alerts based on** //logs// **will never be fulfilled**.
+</WRAP>
+<WRAP center round important 90%>
+//ログ// ルールを含むアラートの場合、エージェントによるグループ化のみが影響を受けます。異なるグループ化を選択した場合、**//ログ// に基づく**アラートは**実行されません**。
+</WRAP>
+  * Step 3, <wrap :en>**Rules**</wrap>: [[#ks13_2|Rules within a log alert]].
+  * Step 4, <wrap :en>**Fields**</wrap>: [[#ks13_3|Fields within a log alert]]
+  * Step 5, <wrap :en>**Triggering**</wrap>: [[#ks13_4|Triggered within a log alert]].
+  * ステップ 3、<wrap :ja>**ルール(Rules)**</wrap>: [[#ks13_2|ログアラート内のルール]]。
+  * ステップ 4、<wrap :ja>**フィールド(Fields)**</wrap>: [[#ks13_3|ログアラート内のフィールド]]。
+  * ステップ 5、<wrap :ja>**発報(Triggering)**</wrap>: [[#ks13_4|ログアラート内で発報されます]]。
+When you finish the creation and return to the global view you will have the list of registered log alerts and information about them, as well as options about them (operate with the action disabled, in <wrap :en>**standby**</wrap> mode, add more actions, edit or delete the corresponding log alert). **It is also possible to change the order of the different log alerts**.
+作成が完了し、全体表示に戻ると、登録済みのログアラートのリストとそれらに関する情報、およびそれらに関するオプション（アクションを無効にしてスタンバイモードで操作する、アクションを追加する、対応するログアラートを編集または削除する）が表示されます。**また、異なるログアラート間の順序を変更することもできます**。
+<wrap #ks13_2 />
+==== ログアラート内のルール ====
+Event alerts are based on filtering rules using the following logical operators:
+ログアラートは、次の論理演算子を使用したフィルタリングルールに基づいています。
+  * ''and''
+  * ''nand''
+  * ''or''
+  * ''nor''
+  * ''xor''
+  * ''nxor''
+These logical operators are used to search for logs and/or expressions that match the configured filtering rules and if matches are found the alert will be triggered.
+これらの論理演算子は、設定されたフィルタリングルールに一致するログや式を検索するために使用され、一致が見つかった場合はアラートが発報されます。
+To define the rules of the alert, it will be necessary to drag the elements on the left side to the <wrap en:>**drop area**</wrap> on the right side to build your rule.
+アラートのルールを定義するには、左側の要素を右側の <wrap ja:>**ドロップエリア(drop area)**</wrap> にドラッグしてルールを構築する必要があります。
+<WRAP center round important 90%>
+It will only save the changes when you press the button to advance to the next step ( <wrap en:>**Next**</wrap> button).
+</WRAP>
+<WRAP center round important 90%>
+次のステップに進むためのボタン (ボタン <wrap ja:>**次(Next)**</wrap>) を押した場合にのみ、変更が保存されます。
+</WRAP>
+**Available configuration items**:
+**利用可能な設定項目**:
+{{  :wiki:pfms-event_alerts-available_items.png  }}
+These elements will be enabled to guide the user in complying with the grammar of the rule. The following is a simplified explanation of the grammar to be used:
+これらの要素は、ユーザがルールの文法に従うようガイドするために有効になります。以下は、使用される文法の簡単な説明です。
+<WRAP center round box 90%>
+<font inherit/Courier New,Courier,monospace;;inherit;;inherit>S -> R | R + NEXUS +R </font>
+<font inherit/Courier New,Courier,monospace;;inherit;;inherit>R -> FIELD + OPERATOR + C | FIELD + OPERATOR + C + MODIFIER</font>
+<font inherit/Courier New,Courier,monospace;;inherit;;inherit>C -> VARIABLE</font>
+</WRAP>
+Where **S** is the set of rules defined for the log alert.
+ここで、**S** は、ログアラートに対して定義されたルールのセットです。
+Two buttons are available for cleaning and undoing all changes: <wrap en:>**Cleanup**</wrap> and <wrap en:>**Reset**</wrap>.
+すべての変更をクリアして元に戻すためのボタンが 2 つあります: <wrap ja:>**クリーンアップ(Cleanup)**</wrap> と <wrap ja:>**リセット(Reset)**</wrap>。
 <WRAP center round tip 90%>
-**Remember**: The blocks have simultaneity when fulfilling the condition. Look at the following theoretical examples.
+The blocks have simultaneity in fulfilling the condition:
 </WRAP>
-<WRAP center round tip 60%>
+<WRAP center round tip 90%>
-条件を満たすブロックが同時にあることに注意してください。次の理論的な例を確認してください。
+ブロックは条件を満たす点で同時性を持っています:
 </WRAP>
@@ 行 922: / 行 1117: @@
 </WRAP>
-It forces the analyzed element (whether event or log) to fulfill A and B simultaneously.
+It forces the analyzed element (log) to fulfill simultaneously A and B.
-分析された要素(イベントまたはログ)が A と B を同時に満たすようにします。
+分析された要素 (イベント) が A と B に同時に準拠するように強制します。
 <WRAP center round box 30%>
@@ 行 932: / 行 1127: @@
 </WRAP>
-It forces both rules (A) and (B) to be fulfilled in the evaluation window. This means that there must exist in the last few seconds (defined by the ''log_window'' and ''event_window'' parameters) entries that satisfy both rules.
+It forces both rules (A) and (B) to be satisfied in the evaluation window. This means that there must be entries satisfying both rules in the last seconds (defined by the ''log_window'' parameter).
-評価ウィンドウで両方のルール（A）と（B）が満たされるようにします。 つまり、最後の数秒間（''log_window'' および ''event_window'' パラメータで定義される)には、両方のルールを満たすエントリが存在する必要があります。
+評価ウィンドウにおいて、ルール（A）と（B）の両方を満たすことを強制します。つまり、最後の数秒間（''log_window'' パラメータで定義）に、両方のルールを満たすエントリが存在する必要があります。
-<wrap #ks12_1_3 />
+<WRAP center round tip 90%>
-=== 相関アラートのフィールド ===
+In the comparison operators ''=='' and ''!=''' the text strings are compared literally. For more flexibility consider using the ''REGEX'' operator which uses Regular Expressions.
-<WRAP center round info 60%>
+比較演算子 ''=='' および ''!='' では、テキスト文字列が文字通り比較されます。より柔軟な比較を行うには、正規表現を使用する ''REGEX'' 演算子の使用を検討してください。
-**Version 764 or later**:
+</WRAP>
-The macros related to modules and agents are not available in the Fields of the recovery section since the recovery of these alerts is executed when the threshold ends and lacks an **event** recovery to obtain such information.
+<wrap #ks13_3 />
-</WRAP> \\
+==== ログアラート内のフィールド ====
-<WRAP center round info 60%>
+''Field2'' , ''Field3'', (...) , ''Field//n//'' must be configured, which are used to transfer the information from //template// to //action// and from action to //command//, to finally be used as parameters in the execution of that command.
-**バージョン 764 以降**:
+''Field2''、''Field3''、(…)、''Field//n//'' を設定する必要があります。これらは、//テンプレート// から //アクション// へ、またアクションから //コマンド// へ情報を転送するために使用され、最終的にそのコマンドの実行時にパラメータとして使用されます。
-モジュールとエージェントに関連するマクロは復旧セクションのフィールドでは使用できません。これらのアラートの復旧がしきい値範囲内に戻った際に実行されますが、情報を取得するための復旧**イベント**がないためです。
+This information is transferred as long as the next step does not already have information defined in its ''Field**n**'' fields. That is, in case of overlapping fields or parameters, it overwrites the action to the template (for example, if the template has ''Field1'' defined and **the action also**, the ''Field1'' of the action //overwrites// the action of the template).
+この情報は、次のステップの ''Field**n**'' フィールドに既に情報が定義されていない限り、転送されます。つまり、フィールドまたはパラメータが重複している場合、テンプレートのアクションが上書きされます（例えば、テンプレートに ''Field1'' が定義されており、**アクションも**定義されている場合、アクションの ''Field1'' がテンプレートのアクションを//上書き//します）。
+<WRAP center round info 90%>
+**Version 764 or later**: Macros related to modules and agents are not available in the fields of the <wrap :en>**Alert recovery**</wrap> section since the recovery of these alerts is executed when the <wrap :en>**threshold**</wrap> ends and lacks a **recovery event** to obtain such information.
 </WRAP>
-In the previous section [[#information_flow_in_the_alert_system|"Alerts System"]] the operation of the fields in alerts is explained in more detail.
+<WRAP center round info 90%>
-アラートのフィールド操作に関する詳細は、[[#アラートシステムの情報の流れ|"アラートシステム"]] を参照してください。
+**バージョン 764 以降**: モジュールおよびエージェントに関連するマクロは、<wrap :ja>**アラート復旧(Alert recovery)**</wrap> セクションのフィールドでは使用できません。これは、これらのアラートの復旧は、<wrap :ja>**しきい値**</wrap> が回復た際に **復旧イベント** がそのような情報を取得せずに実行されるためです。
-<wrap #ks12_1_4 />
+</WRAP>
-=== 相関アラートの発報 ===
+<wrap #ks13_4 />
-In this section you must configure the actions that will be carried out when the alert is triggered and indicate at what intervals and how often said action will be executed.
+==== ログアラート内での発報 ====
-ここでは、アラートが発報されたときに実行するアクションを設定と、そのようなアクションを実行する間隔と頻度を設定します。
+In this section you must configure the actions to be performed when the log alert is triggered and indicate at what intervals and how often this action will be executed.
-   * **Actions**: Action that needs to be executed.
+このセクションでは、アラートが発報されたときに実行されるアクションを設定し、このアクションが実行される間隔と頻度を指定する必要があります。
-   * **Number of alerts match**: Number of intervals that have to pass since the alert was triggered for the action to be executed. If you need it to be always, you must leave these fields blank.
-   * **Threshold**: Interval that has to pass for the action to be executed again once the alarm is triggered.
-  * **アクション(Actions)**: 実行したいアクションです。
+  * <wrap en:>**Actions**</wrap>: [[#ks3|Action]] that needs to be executed.
-  * **一致するアラート数(Number of alerts match)**: アクションを実行するためにアラートが発生してから何回分の実行間隔を待つかの設定です。常にアクションを実行する場合は、このフィールドを空白のままにする必要があります。
+  * <wrap en:>**Threshold**</wrap>: Time interval that has to elapse for the action to be executed again after the log alarm has been triggered.
-  * **しきい値(Threshold)**: アラート発報後、アクションが再度実行される状態になるまでの間隔です。
-Then display the list of configured actions. In this listing the **triggering** field shows at which alert intervals the action will be executed, as configured in **number of alerts match**. Also, in the **Options** column you can delete or modify the configured actions.
+  * <wrap ja:>**アクション(Actions)**</wrap>: 実行する必要がある [[#ks3|アクション]]。
+  * <wrap ja:>**しきい値(Threshold)**</wrap>: アラートが発報されてから、アクションが再度実行されるまでの経過時間間隔。
-次に、設定したアクションの一覧を表示します。この一覧の **発報(triggering)** フィールドには、 **一致するアラート数** で設定したアクションが実行される間隔が表示されます。さらに、**オプション** 列で、設定したアクションを削除または変更できます。
+Once you have selected the above parameters, press the <wrap :en>**Add**</wrap> button and then you can choose and view the list of configured actions (section <wrap :en>**Select the desired action and mode to view the Triggering fields for this action**</wrap>).
-<wrap #ks12_1_5 />
+上記のパラメータを選択したら、<wrap :ja>**追加(Add)**</wrap> ボタンを押して、設定されたアクションのリストを選択して表示できます (セクション <wrap :ja>**このアクションの発報フィールドを表示するには、目的のアクションとモードを選択してください**</wrap>)。
-=== 複数の相関アラート ===
+<wrap #ks13_5 />
-When you have multiple alerts, they have a specific evaluation order. They will always be evaluated in order, starting first with the first in the list.
+==== ログアラートのマクロ ===
-複数のアラートがある場合、これらには特定の評価順序があります。それらは常にリストの最初から順番に評価されます。
+The macros that can be used within the configuration of an event alert are in the [[#ks15|list of macros]].
-If the **PASS** rule evaluation mode is configured, if a correlated alert is executed, the following ones will be evaluated as well. It is //normal// mode.
+ログアラートの設定内で使用できるマクロは、[[#ks15|マクロ一覧]]にあります。
-**通過(PASS)** ルール評価モードが設定されている場合、相関アラートが実行されると、次のアラートも評価されます。 これは //通常// のモードです。
+<wrap #ks14 />
-If the **DROP** rule evaluation mode is configured, if a correlated alert configured with this mode is executed, it will stop the evaluation of the rules below it. This feature gives us the possibility of cascading alert protection.
+===== SIEM アラート =====
-**破棄(DROP)** ルール評価モードを設定する場合、このモードで設定された相関アラートが実行されると、次のルールの評価は停止します。 この機能により、関連アラート抑制が可能になります。
+These alerts are evaluated by the SIEM event server at the time of their generation, so for their correct operation, the [[:en:documentation:pandorafms:monitoring:21_siem|SIEM monitoring]] must be enabled and configured.
-The rest of the correlation rules (action fields and application of actions) work similar to the rest of Pandora FMS alerts.
+これらのアラートは生成時に SIEM イベントサーバによって評価されるため、正しく動作するには [[:ja:documentation:pandorafms:monitoring:21_siem|SIEM 監視]] を有効にして設定する必要があります。
-残りの相関ルール(アクションフィールドとアクションアプリケーション)は、他の Pandora FMS アラートと同様に機能するため、追加の説明は行いません。
+<wrap #ks14_1 />
-<wrap #ks12_1_6 />
+==== SIEM アラート管理 ====
-=== イベントアラートマクロ ===
+<wrap :en>**Management → Alerts → SIEM Alerts**</wrap> menu.
-The macros that can be used within the configuration of an event alert are in the [[#ks13|macro list]].
+<wrap :ja>**管理(Management) → アラート(Alerts) → SIEM アラート(SIEM Alerts)**</wrap> メニュー。
-イベントアラートで利用できるマクロはこの章の最後の[[#ks13|マクロ一覧]]を参照ください。
+In this section it is possible to create, edit and delete SIEM alerts. The [[:en:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LW permission]] is required to access this section.
+このセクションでは、SIEMアラートの作成、編集、削除が可能です。このセクションにアクセスするには、[[:ja:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LW権限]]が必要です。
+These alerts are based on the filter system of the SIEM event views, so that any event that was displayed with the configured filter conditions will trigger the alert.
+これらのアラートは SIEM イベント表示のフィルタシステムに基づいているため、設定されたフィルタ条件で表示されたすべてのイベントによってアラートが発報されます。
-<wrap #ks13 />
+For example, if a SIEM alert is configured with a critical event filter, just before the SIEM event server generates one with that condition the alert will be triggered.
+たとえば、SIEM アラートが障害イベントフィルタで設定されている場合、SIEM イベントサーバがその条件でアラートを生成する直前にアラートが発報されます。
+SIEM alerts, like all other alerts, have global configuration options for their triggering.
+SIEM アラートには、他のすべてのアラートと同様に、発報するための全体設定オプションがあります。
+<wrap #ks14_2 />
+==== SIEM アラートの操作 ====
+<wrap :en>**Operation → SIEM → Alerts**</wrap> menu.
+<wrap :ja>**操作(Operation) → SIEM → アラート(Alerts)**</wrap> メニュー。
+In this section it is possible to view, enable/disable and change the standby mode of the SIEM alerts available in the environment. The [[:en:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LM permission]] is required to access this section.
+このセクションでは、環境内で利用可能なSIEMアラートの表示、有効化/無効化、スタンバイモードの変更が可能です。このセクションにアクセスするには、[[:ja:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LM権限]]が必要です。
+<wrap #ks15 />
 ===== マクロ一覧 =====
@@ 行 1232: / 行 1457: @@
 (For Command Macros only)//timestamp// at which the Module's last state change occurred.
+**''_modulelaststatustime_''**
+(For command macros only) date and time when the last Module status change took place.
+**''_lastdatatimestamp_''**
+Last check date and time received by a module (useful for pass to unknown alerts).
+**''_lastdatatime_''**
+Last check date and time received (in Unix time format) by a module (useful for pass to unknown alerts).
 **''_moduletags_'' **
@@ 行 1366: / 行 1603: @@
   * **''_modulestatus_''**:  モジュールの状態。
   * **''_modulelaststatuschange_''**:  モジュールの最後の状態変更日時。
+  * **''_modulelaststatustime_''**: (コマンド マクロの場合のみ) モジュールの状態が最後に変更された日時。
+  * **''_lastdatatimestamp_''**: モジュールが受信した最終チェックの日時 (不明なアラートへのパスに役立ちます)。
+  * **''_lastdatatime_''**: モジュールによって受信された最終チェックの日時 (Unix 時間形式) (不明なアラートを渡す場合に便利です)。
   * **''_moduletags_''**:  モジュールタグに関連付けられた URL。
   * **''_name_tag_''**:  モジュールに関連したタグの名前。
@@ 行 1385: / 行 1625: @@
 [[:ja:documentation:start|Pandora FMS ドキュメント一覧に戻る]]
+===== (OBSOLETE) アラート相関: イベントおよびログアラート =====
+<WRAP center round tip 60%>
+Version NG 741 or higher.
+</WRAP>
+<WRAP center round tip 60%>
+バージョン NG 741 以上
+</WRAP>
+Alerts can be built based on the events received or on the data collected with the [[:en:documentation:pandorafms:monitoring:09_log_monitoring|log collection system]]. Simple or more complex alerts can be built, based on a set of rules with logical relationships.
+受信したイベントまたは[[:ja:documentation:pandorafms:monitoring:09_log_monitoring|ログ収集システム]]によって収集されたログに基づくアラートを作成できます。論理関係を持つ一連の表現を用いて、単純なものから複雑なものまでのアラートを作成できます。
+This type of alerts allows working from a much more flexible perspective, since alerts are not generated based on the status of a specific Module, but on an event that may have been generated by several different Modules, from different Agents.
+このタイプのアラートでは、特定のモジュールの状態に応じてアラートが生成されるだけでなく、異なるエージェントの複数の異なるモジュールによって生成されたイベントに基づいてアラートを生成できるため、かなり柔軟な設定ができます。
+Event alerts and/or logs are based on filter rules that use the following logical operators:
+イベントアラートやログは、次の論理演算子を使用するフィルタルールに基づいています。
+  * ''and''
+  * ''or''
+  * ''xor''
+  * ''nand''
+  * ''nor''
+  * ''nxor''
+These logical operators are used to search for events/expressions in logs that match the configured filter rules, and if matches are found, the alert will be triggered.
+これらの論理演算子は、設定されたフィルタルールに一致するログ内のイベント/式を検索するために使用され、一致するものが見つかった場合はアラートが発報されます。
+<WRAP center round important 60%>
+When defining alerts about events, it will be essential to indicate the parameters **agent**, **module** and **event**.
+</WRAP>
+<WRAP center round important 60%>
+イベントに関するアラートを定義する場合、**agent**、**module**、および **event** パラメータを指定することが重要です。
+</WRAP>
+They also use the templates to define some parameters, such as the days on which the alert will work; however, in this case **the templates do not determine when the event alert is fired**, it is through the filter rules that the matching event alerts will be searched for and fired.
+また、アラートが動作する日などのいくつかのパラメーターを定義したテンプレートを利用します。 ただし、この場合、テンプレートは**イベントアラートがいつ発報されるかを定義しません**。フィルタールールを介して一致するイベントが検索され、対応するアラートが発報されます。
+<WRAP center round tip 60%>
+Given the high number of events that the Pandora FMS database can host, the server works on a maximum event window, which is defined in the ''pandora_server.conf'' configuration file through the ''event_window'' and ''log_window'' parameters. Events that have been generated outside this time window will not be processed by the server, so it does not make sense to specify in a rule a time window greater than the one configured on the server.
+</WRAP>
+<WRAP center round tip 60%>
+Pandora FMS データベースに保存できるイベントの数が多い場合、サーバは、''pandora_server.conf''  設定ファイルで ''event_window'' という名前のパラメータで定義された最大イベントウィンドウで動作します。指定された時間範囲外に生成されたイベントは、サーバで処理されません。そのため、サーバで設定された時間範囲よりも広い時間範囲をルールで指定することには意味がありません。
+</WRAP>
+<wrap #ks12_1 />
+==== 相関アラートの作成 ====
+<WRAP center round important 80%> For the event correlation alerts to work, the event correlation server must be activated with the ''eventserver 1'' parameter in the Pandora FMS server configuration file.</WRAP>
+<WRAP center round important 80%> イベント相関アラートが機能するためには、Pandora FMS サーバ設定ファイルのパラメーター ''eventserver 1''  でイベント相関サーバを有効化する必要があります。</WRAP>
+<wrap #ks12_1_1 />
+=== 相関アラート / テンプレート ===
+Menu **Management → Alerts → Alert correlation**.
+メニュー **管理(Management) → アラート(Alerts) → アラート相関(Alert correlation)**。
+In this overview, you will have the list of registered correlation alerts and the information about them, as well as options such as operating with the action disabled, in **standby**  mode, adding more actions, editing or deleting the correlated alert.
+この概要には、登録済みの相関アラートとそれらに関する情報のリストが表示されるほか、**スタンバイ**モードでアクションを無効化、アクション追、相関アラートの編集または削除などのオプションも表示されます。
+With the **Create**  button, a new correlation alert is added, the process is similar to [[#creating_a_template|Alert Template]] creation**. **The configuration parameters of the templates for correlation alerts are similar to those of a Module alert, there are only two specific parameters for event alerts:
+**作成(Create)** ボタンで、新しい相関アラートが追加されます。この処理は [[#アラートテンプレート作成|アラートテンプレート]] の作成と似ています。 相関アラートのテンプレートの設定パラメータはモジュールアラートの設定パラメータと似ていますが、イベントアラート固有のパラメータは次の 2 つだけです。
+    * **Rule evaluation mode**: It can be **Pass** or **Drop**. The first means that, in case an event matches an alert, the rest of the alerts continue to be evaluated. **Drop** means that if an event matches an alert, the rest of the alerts are not evaluated.
+   * **Group by**: Allows you to group the rules by Agent, Module, alert or group. For example, if a rule is configured to trigger when two critical events are received and is grouped by Agent, two critical events must arrive from the same Agent. It can be disabled.
+   * **ルール評価モード(Rule evaluation mode)**: **通過(Pass)** と**破棄(Drop)** の 2つのオプションがあります。"通過" とは、イベントがアラートと一致した場合、残りのアラートが引き続き評価されることを意味します。 "破棄" は、イベントがアラートと一致した場合、残ったアラートが評価されなくなることを意味します。
+   * **グループごと(Group by)**: エージェント、モジュール、アラート、またはグループごとにルールをグループ化できます。 例えば。 2つの障害イベントを受信したときにルールがオフになるように設定され、エージェントによってグループ化されている場合、2つの障害イベントが同じエージェントから送信される必要があります。 これは無効にできます。
+<WRAP center round important 90%>
+In case of alerts that contain logs rules, it will only affect grouping by Agent. If you choose a different grouping, **alerts based on log entries will never be honored.**</WRAP>
+<WRAP center round important 90%>
+ログルールを含むアラートの場合、エージェントによるグループ化にのみ影響します。 別のグループ化を選択した場合、**ログベースのエントリのアラートは決して一致しません** 。
+</WRAP>
+Each rule is configured to trigger based on a certain type of event or //match//  from log; when the logical equation defined by the rules and their operators is satisfied, the alert is triggered.
+各ルールは、特定のタイプのイベントまたはログの一致により動くように設定されます。 ルールまたはその演算子によって定義された論理評価が満たされると、アラートが発報されます。
+<wrap #ks12_1_2 />
+=== 相関アラートのルール ===
+To define the alert rules, it will be necessary to drag the elements on the left side to the **drop area** on the right side to build your rule.
+アラートルールを定義するには、左側の要素を右側の **ドロップエリア** にドラッグしてルールを作成する必要があります。
+**Available setting items:**
+**設定可能な項目**:
+{{  :wiki:alertaslog3.png  }}
+These elements will be enabled to guide the user in complying with the grammar of the rule. The following is a simplified explanation of the grammar to be used:
+これらの要素は、ユーザがルールの文法を満たすようにするガイドをします。ここで、使用される文法についてさらに説明します。
+<WRAP center round box 90%>
+<font inheritance/Courier New,Courier,monospace;;inherit;;inherit>S -> R | R + NEXUS +R</font>
+<font inherit/Courier New,Courier,monospace;;inherit;;inherit>R -> FIELD + OPERATOR + C | FIELD + OPERATOR + C + MODIFIER</font>
+<font inherit/Courier New,Courier,monospace;;inherit;;inherit>C -> VARIABLE</font>
+</WRAP>\\
+Where **S** is the set of rules defined for the correlated alert.
+ここで、**S** は、相関アラートに対して定義されたルールのセットです。
+It will be necessary to drag the element over the area of definition of rules, in such a way that the image is similar to this one for example:
+たとえば次のようなイメージになるように、要素をルール定義の領域にドラッグする必要があります。
+{{ :wiki:alertlogrule.png?800 }}
+<WRAP center round tip 90%>
+The comparison operators ''=='' and ''!='' compare text strings literally. For more flexibility consider using the ''REGEX'' operator which uses Regular Expressions.
+</WRAP>
+<WRAP center round tip 60%>
+比較演算子 ''=='' および ''!='' では、テキスト文字列が文字通り比較されます。 より柔軟な比較には、正規表現を用いる ''REGEX'' の利用を検討ください。
+</WRAP>
+To clean and undo all changes there are two buttons: **Cleanup** and **Reset**.
+すべての変更をクリーンアップして元に戻すには、'**クリーンアップ(Cleanup)**' および '**リセット(Reset)**' ボタンを使用します。
+<WRAP center round important 90%>
+It will only save the changes when you click the **Next** button.
+</WRAP>
+<WRAP center round important 60%>
+**次(Next)** ボタンを押さないうちは、変更は保存されません。
+</WRAP>
+<WRAP center round tip 90%>
+**Remember**: The blocks have simultaneity when fulfilling the condition. Look at the following theoretical examples.
+</WRAP>
+<WRAP center round tip 60%>
+条件を満たすブロックが同時にあることに注意してください。次の理論的な例を確認してください。
+</WRAP>
+<WRAP center round box 30%>
+(A and B)
+</WRAP>
+It forces the analyzed element (whether event or log) to fulfill A and B simultaneously.
+分析された要素(イベントまたはログ)が A と B を同時に満たすようにします。
+<WRAP center round box 30%>
+A and B
+</WRAP>
+It forces both rules (A) and (B) to be fulfilled in the evaluation window. This means that there must exist in the last few seconds (defined by the ''log_window'' and ''event_window'' parameters) entries that satisfy both rules.
+評価ウィンドウで両方のルール（A）と（B）が満たされるようにします。 つまり、最後の数秒間（''log_window'' および ''event_window'' パラメータで定義される)には、両方のルールを満たすエントリが存在する必要があります。
+<wrap #ks12_1_3 />
+=== 相関アラートのフィールド ===
+<WRAP center round info 60%>
+**Version 764 or later**:
+The macros related to modules and agents are not available in the Fields of the recovery section since the recovery of these alerts is executed when the threshold ends and lacks an **event** recovery to obtain such information.
+</WRAP> \\
+<WRAP center round info 60%>
+**バージョン 764 以降**:
+モジュールとエージェントに関連するマクロは復旧セクションのフィールドでは使用できません。これらのアラートの復旧がしきい値範囲内に戻った際に実行されますが、情報を取得するための復旧**イベント**がないためです。
+</WRAP>
+In the previous section [[#information_flow_in_the_alert_system|"Alerts System"]] the operation of the fields in alerts is explained in more detail.
+アラートのフィールド操作に関する詳細は、[[#アラートシステムの情報の流れ|"アラートシステム"]] を参照してください。
+<wrap #ks12_1_4 />
+=== 相関アラートの発報 ===
+In this section you must configure the actions that will be carried out when the alert is triggered and indicate at what intervals and how often said action will be executed.
+ここでは、アラートが発報されたときに実行するアクションを設定と、そのようなアクションを実行する間隔と頻度を設定します。
+   * **Actions**: Action that needs to be executed.
+   * **Number of alerts match**: Number of intervals that have to pass since the alert was triggered for the action to be executed. If you need it to be always, you must leave these fields blank.
+   * **Threshold**: Interval that has to pass for the action to be executed again once the alarm is triggered.
+  * **アクション(Actions)**: 実行したいアクションです。
+  * **一致するアラート数(Number of alerts match)**: アクションを実行するためにアラートが発生してから何回分の実行間隔を待つかの設定です。常にアクションを実行する場合は、このフィールドを空白のままにする必要があります。
+  * **しきい値(Threshold)**: アラート発報後、アクションが再度実行される状態になるまでの間隔です。
+Then display the list of configured actions. In this listing the **triggering** field shows at which alert intervals the action will be executed, as configured in **number of alerts match**. Also, in the **Options** column you can delete or modify the configured actions.
+次に、設定したアクションの一覧を表示します。この一覧の **発報(triggering)** フィールドには、 **一致するアラート数** で設定したアクションが実行される間隔が表示されます。さらに、**オプション** 列で、設定したアクションを削除または変更できます。
+<wrap #ks12_1_5 />
+=== 複数の相関アラート ===
+When you have multiple alerts, they have a specific evaluation order. They will always be evaluated in order, starting first with the first in the list.
+複数のアラートがある場合、これらには特定の評価順序があります。それらは常にリストの最初から順番に評価されます。
+If the **PASS** rule evaluation mode is configured, if a correlated alert is executed, the following ones will be evaluated as well. It is //normal// mode.
+**通過(PASS)** ルール評価モードが設定されている場合、相関アラートが実行されると、次のアラートも評価されます。 これは //通常// のモードです。
+If the **DROP** rule evaluation mode is configured, if a correlated alert configured with this mode is executed, it will stop the evaluation of the rules below it. This feature gives us the possibility of cascading alert protection.
+**破棄(DROP)** ルール評価モードを設定する場合、このモードで設定された相関アラートが実行されると、次のルールの評価は停止します。 この機能により、関連アラート抑制が可能になります。
+The rest of the correlation rules (action fields and application of actions) work similar to the rest of Pandora FMS alerts.
+残りの相関ルール(アクションフィールドとアクションアプリケーション)は、他の Pandora FMS アラートと同様に機能するため、追加の説明は行いません。
+<wrap #ks12_1_6 />
+=== イベントアラートマクロ ===
+The macros that can be used within the configuration of an event alert are in the [[#ks13|macro list]].
+イベントアラートで利用できるマクロはこの章の最後の[[#ks13|マクロ一覧]]を参照ください。
+<wrap #ks13 />
 ===== (OBSOLETE) =====