差分

このページの2つのバージョン間の差分を表示します。

--- ja:documentation:pandorafms:management_and_operation:01_alerts [2025/05/12 13:08] – [イベントアラートのマクロ] junichi
+++ ja:documentation:pandorafms:management_and_operation:01_alerts [2025/05/12 13:41] (現在) – [マクロ一覧] junichi
@@ 行 934: / 行 934: @@
 The macros that can be used within the configuration of an event alert are in the [[#ks14|list of macros]].
-イベントアラートの設定内で使用できるマクロは、[[#ks14|マクロ一覧]]にあります。
+イベントアラートの設定内で使用できるマクロは、[[#ks15|マクロ一覧]]にあります。
 <wrap #ks13 />
@@ 行 969: / 行 969: @@
 <wrap #ks13_1 />
+==== ログアラートの作成 ====
+<WRAP center round important 90%>
+For the log alerts to work, the [[:en:documentation:pandorafms:installation:04_configuration#logserver|logserver]] should be activated with the ''logserver 1'' parameter in the Pandora FMS server configuration file.
+</WRAP>
+<WRAP center round important 90%>
+ログアラートが機能するには、Pandora FMS サーバ設定ファイルで ''logserver 1'' パラメータを指定して [[:ja:documentation:pandorafms:installation:04_configuration#logserver|logserver]] を有効にする必要があります。
+</WRAP>
+<wrap :en>**Management → Alerts → Log Alerts**</wrap> menu.
+<wrap :ja>**管理(Management) → アラート(Alerts) → ログアラート(Log Alerts)**</wrap> メニュー。
+With the <wrap :en>**Create**</wrap> button a new log alert is added and the process is similar to the creation of a [[#ks4|alert template]]. There are five steps for the complete creation of a log alert, some important aspects are:
+<wrap :ja>**作成(Create)**</wrap> ボタンをクリックすると、新しいログアラートが追加されます。手順は [[#ks4|アラートテンプレート]] の作成と似ています。ログアラートを完全に作成するには、以下の 5 つのステップがあります。重要な点は以下のとおりです。
+  * Step 1, <wrap :en>**Configure**</wrap>: It contains the basic data such as the group of agents to which the log alert will belong, name of the alert and its severity.
+  * Step 2, <wrap :en>**Conditions**</wrap>: Step where a [[#ks4|alert template]], some [[[:en:documentation:pandorafms:technical_annexes:26_pfms_list_of_special_days|list of special days]], the <wrap :en>**Disable event**</wrap> option (the event generated in the alert trigger event view will not be created if this token is checked) and a rule evaluation mode will be assigned:
+  * ステップ 1、<wrap :ja>**設定(Configure)**</wrap>: 名前、イベントアラートが属するエージェントグループ、重要度などの基本データが含まれています。
+  * ステップ 2、<wrap :ja>**条件(Conditions)**</wrap>: [[#ks4|アラートテンプレート]]、[[:ja:documentation:pandorafms:technical_annexes:26_pfms_list_of_special_days|特別日リスト]]、[<wrap :ja>**イベント無効化**</wrap>] オプション (このトークンがチェックされている場合、アラート発報イベント表示で生成されるイベントは作成されません)、およびルール評価モードが割り当てられます。
+When there are two or more log alerts, they are evaluated one by one following the chronological order of creation and, if necessary, establishing a hierarchy.
+ログアラートが 2 つ以上ある場合は、作成日時順に 1 つずつ評価され、必要に応じて階層が確立されます。
+Each log alert has two specific configuration parameters for this purpose:
+各ログアラートには、この目的のための 2 つの特定の構成パラメータがあります。
+   * <wrap :en>**Rule evaluation mode**</wrap>: Choosing <wrap :en>**Pass**</wrap> means that, in case a log meets the [[#ks13_2|rules of an alert]], all other log alerts are still evaluated below. **This is the default behavior**. In the case of choosing <wrap :en>**Drop**</wrap>, when a log meets an alert **all other log alerts will no longer be evaluated**.
+  * <wrap :en>**Grouped by**</wrap>: Allows grouping the [[#ks13_2|rules]] by Agent, Group, Module or Module Alert. Thus, if a rule is configured to be triggered when two critical events are received **and grouped by Agent**, two critical events should arrive from the same Agent.
+  * <wrap :ja>**ルール評価モード(Rule evaluation mode)**</wrap>: <wrap :en>**Pass**</wrap> または <wrap :en>**Drop**</wrap> を指定できます。前者は、ログが [[#ks13_2|アラートのルール]] を満たしている場合、残りのアラートは引き続き評価されます。**これがデフォルトの動作です**。それ以外の場合の <wrap :en>**Drop**</wrap> は、ログがアラートを満たしている場合、残りのログの**評価を停止** することを意味します。
+  * <wrap :ja>**グループごと(Grouped by)**</wrap>: [[#ks13_2|ルール]] をエージェント、グループ、モジュール、またはモジュールアラートごとにグループ化できます。したがって、2 つの重要なログを受信したときにルールがトリガーされるように設定され、**エージェントごとにグループ化されている** 場合、2 つの重要なログは同じエージェントから到着することになります。
+<WRAP center round important 90%>
+For alerts containing //logs// rules, only the grouping by Agent will be affected. If you choose a different grouping, **alerts based on** //logs// **will never be fulfilled**.
+</WRAP>
+<WRAP center round important 90%>
+//ログ// ルールを含むアラートの場合、エージェントによるグループ化のみが影響を受けます。異なるグループ化を選択した場合、**//ログ// に基づく**アラートは**実行されません**。
+</WRAP>
+  * Step 3, <wrap :en>**Rules**</wrap>: [[#ks13_2|Rules within a log alert]].
+  * Step 4, <wrap :en>**Fields**</wrap>: [[#ks13_3|Fields within a log alert]]
+  * Step 5, <wrap :en>**Triggering**</wrap>: [[#ks13_4|Triggered within a log alert]].
+  * ステップ 3、<wrap :ja>**ルール(Rules)**</wrap>: [[#ks13_2|ログアラート内のルール]]。
+  * ステップ 4、<wrap :ja>**フィールド(Fields)**</wrap>: [[#ks13_3|ログアラート内のフィールド]]。
+  * ステップ 5、<wrap :ja>**発報(Triggering)**</wrap>: [[#ks13_4|ログアラート内で発報されます]]。
+When you finish the creation and return to the global view you will have the list of registered log alerts and information about them, as well as options about them (operate with the action disabled, in <wrap :en>**standby**</wrap> mode, add more actions, edit or delete the corresponding log alert). **It is also possible to change the order of the different log alerts**.
+作成が完了し、全体表示に戻ると、登録済みのログアラートのリストとそれらに関する情報、およびそれらに関するオプション（アクションを無効にしてスタンバイモードで操作する、アクションを追加する、対応するログアラートを編集または削除する）が表示されます。**また、異なるログアラート間の順序を変更することもできます**。
+<wrap #ks13_2 />
+==== ログアラート内のルール ====
+Event alerts are based on filtering rules using the following logical operators:
+ログアラートは、次の論理演算子を使用したフィルタリングルールに基づいています。
+  * ''and''
+  * ''nand''
+  * ''or''
+  * ''nor''
+  * ''xor''
+  * ''nxor''
+These logical operators are used to search for logs and/or expressions that match the configured filtering rules and if matches are found the alert will be triggered.
+これらの論理演算子は、設定されたフィルタリングルールに一致するログや式を検索するために使用され、一致が見つかった場合はアラートが発報されます。
+To define the rules of the alert, it will be necessary to drag the elements on the left side to the <wrap en:>**drop area**</wrap> on the right side to build your rule.
+アラートのルールを定義するには、左側の要素を右側の <wrap ja:>**ドロップエリア(drop area)**</wrap> にドラッグしてルールを構築する必要があります。
+<WRAP center round important 90%>
+It will only save the changes when you press the button to advance to the next step ( <wrap en:>**Next**</wrap> button).
+</WRAP>
+<WRAP center round important 90%>
+次のステップに進むためのボタン (ボタン <wrap ja:>**次(Next)**</wrap>) を押した場合にのみ、変更が保存されます。
+</WRAP>
+**Available configuration items**:
+**利用可能な設定項目**:
+{{  :wiki:pfms-event_alerts-available_items.png  }}
+These elements will be enabled to guide the user in complying with the grammar of the rule. The following is a simplified explanation of the grammar to be used:
+これらの要素は、ユーザがルールの文法に従うようガイドするために有効になります。以下は、使用される文法の簡単な説明です。
+<WRAP center round box 90%>
+<font inherit/Courier New,Courier,monospace;;inherit;;inherit>S -> R | R + NEXUS +R </font>
+<font inherit/Courier New,Courier,monospace;;inherit;;inherit>R -> FIELD + OPERATOR + C | FIELD + OPERATOR + C + MODIFIER</font>
+<font inherit/Courier New,Courier,monospace;;inherit;;inherit>C -> VARIABLE</font>
+</WRAP>
+Where **S** is the set of rules defined for the log alert.
+ここで、**S** は、ログアラートに対して定義されたルールのセットです。
+Two buttons are available for cleaning and undoing all changes: <wrap en:>**Cleanup**</wrap> and <wrap en:>**Reset**</wrap>.
+すべての変更をクリアして元に戻すためのボタンが 2 つあります: <wrap ja:>**クリーンアップ(Cleanup)**</wrap> と <wrap ja:>**リセット(Reset)**</wrap>。
+<WRAP center round tip 90%>
+The blocks have simultaneity in fulfilling the condition:
+</WRAP>
+<WRAP center round tip 90%>
+ブロックは条件を満たす点で同時性を持っています:
+</WRAP>
+<WRAP center round box 30%>
+(A and B)
+</WRAP>
+It forces the analyzed element (log) to fulfill simultaneously A and B.
+分析された要素 (イベント) が A と B に同時に準拠するように強制します。
+<WRAP center round box 30%>
+A and B
+</WRAP>
+It forces both rules (A) and (B) to be satisfied in the evaluation window. This means that there must be entries satisfying both rules in the last seconds (defined by the ''log_window'' parameter).
+評価ウィンドウにおいて、ルール（A）と（B）の両方を満たすことを強制します。つまり、最後の数秒間（''log_window'' パラメータで定義）に、両方のルールを満たすエントリが存在する必要があります。
+<WRAP center round tip 90%>
+In the comparison operators ''=='' and ''!=''' the text strings are compared literally. For more flexibility consider using the ''REGEX'' operator which uses Regular Expressions.
+比較演算子 ''=='' および ''!='' では、テキスト文字列が文字通り比較されます。より柔軟な比較を行うには、正規表現を使用する ''REGEX'' 演算子の使用を検討してください。
+</WRAP>
+<wrap #ks13_3 />
+==== ログアラート内のフィールド ====
+''Field2'' , ''Field3'', (...) , ''Field//n//'' must be configured, which are used to transfer the information from //template// to //action// and from action to //command//, to finally be used as parameters in the execution of that command.
+''Field2''、''Field3''、(…)、''Field//n//'' を設定する必要があります。これらは、//テンプレート// から //アクション// へ、またアクションから //コマンド// へ情報を転送するために使用され、最終的にそのコマンドの実行時にパラメータとして使用されます。
+This information is transferred as long as the next step does not already have information defined in its ''Field**n**'' fields. That is, in case of overlapping fields or parameters, it overwrites the action to the template (for example, if the template has ''Field1'' defined and **the action also**, the ''Field1'' of the action //overwrites// the action of the template).
+この情報は、次のステップの ''Field**n**'' フィールドに既に情報が定義されていない限り、転送されます。つまり、フィールドまたはパラメータが重複している場合、テンプレートのアクションが上書きされます（例えば、テンプレートに ''Field1'' が定義されており、**アクションも**定義されている場合、アクションの ''Field1'' がテンプレートのアクションを//上書き//します）。
+<WRAP center round info 90%>
+**Version 764 or later**: Macros related to modules and agents are not available in the fields of the <wrap :en>**Alert recovery**</wrap> section since the recovery of these alerts is executed when the <wrap :en>**threshold**</wrap> ends and lacks a **recovery event** to obtain such information.
+</WRAP>
+<WRAP center round info 90%>
+**バージョン 764 以降**: モジュールおよびエージェントに関連するマクロは、<wrap :ja>**アラート復旧(Alert recovery)**</wrap> セクションのフィールドでは使用できません。これは、これらのアラートの復旧は、<wrap :ja>**しきい値**</wrap> が回復た際に **復旧イベント** がそのような情報を取得せずに実行されるためです。
+</WRAP>
+<wrap #ks13_4 />
+==== ログアラート内での発報 ====
+In this section you must configure the actions to be performed when the log alert is triggered and indicate at what intervals and how often this action will be executed.
+このセクションでは、アラートが発報されたときに実行されるアクションを設定し、このアクションが実行される間隔と頻度を指定する必要があります。
+  * <wrap en:>**Actions**</wrap>: [[#ks3|Action]] that needs to be executed.
+  * <wrap en:>**Threshold**</wrap>: Time interval that has to elapse for the action to be executed again after the log alarm has been triggered.
+  * <wrap ja:>**アクション(Actions)**</wrap>: 実行する必要がある [[#ks3|アクション]]。
+  * <wrap ja:>**しきい値(Threshold)**</wrap>: アラートが発報されてから、アクションが再度実行されるまでの経過時間間隔。
+Once you have selected the above parameters, press the <wrap :en>**Add**</wrap> button and then you can choose and view the list of configured actions (section <wrap :en>**Select the desired action and mode to view the Triggering fields for this action**</wrap>).
+上記のパラメータを選択したら、<wrap :ja>**追加(Add)**</wrap> ボタンを押して、設定されたアクションのリストを選択して表示できます (セクション <wrap :ja>**このアクションの発報フィールドを表示するには、目的のアクションとモードを選択してください**</wrap>)。
+<wrap #ks13_5 />
+==== ログアラートのマクロ ===
+The macros that can be used within the configuration of an event alert are in the [[#ks15|list of macros]].
+ログアラートの設定内で使用できるマクロは、[[#ks15|マクロ一覧]]にあります。
+<wrap #ks14 />
+===== SIEM アラート =====
+These alerts are evaluated by the SIEM event server at the time of their generation, so for their correct operation, the [[:en:documentation:pandorafms:monitoring:21_siem|SIEM monitoring]] must be enabled and configured.
+これらのアラートは生成時に SIEM イベントサーバによって評価されるため、正しく動作するには [[:ja:documentation:pandorafms:monitoring:21_siem|SIEM 監視]] を有効にして設定する必要があります。
+<wrap #ks14_1 />
+==== SIEM アラート管理 ====
+<wrap :en>**Management → Alerts → SIEM Alerts**</wrap> menu.
+<wrap :ja>**管理(Management) → アラート(Alerts) → SIEM アラート(SIEM Alerts)**</wrap> メニュー。
+In this section it is possible to create, edit and delete SIEM alerts. The [[:en:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LW permission]] is required to access this section.
+このセクションでは、SIEMアラートの作成、編集、削除が可能です。このセクションにアクセスするには、[[:ja:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LW権限]]が必要です。
+These alerts are based on the filter system of the SIEM event views, so that any event that was displayed with the configured filter conditions will trigger the alert.
+これらのアラートは SIEM イベント表示のフィルタシステムに基づいているため、設定されたフィルタ条件で表示されたすべてのイベントによってアラートが発報されます。
+For example, if a SIEM alert is configured with a critical event filter, just before the SIEM event server generates one with that condition the alert will be triggered.
+たとえば、SIEM アラートが障害イベントフィルタで設定されている場合、SIEM イベントサーバがその条件でアラートを生成する直前にアラートが発報されます。
+SIEM alerts, like all other alerts, have global configuration options for their triggering.
+SIEM アラートには、他のすべてのアラートと同様に、発報するための全体設定オプションがあります。
+<wrap #ks14_2 />
+==== SIEM アラートの操作 ====
+<wrap :en>**Operation → SIEM → Alerts**</wrap> menu.
+<wrap :ja>**操作(Operation) → SIEM → アラート(Alerts)**</wrap> メニュー。
+In this section it is possible to view, enable/disable and change the standby mode of the SIEM alerts available in the environment. The [[:en:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LM permission]] is required to access this section.
+このセクションでは、環境内で利用可能なSIEMアラートの表示、有効化/無効化、スタンバイモードの変更が可能です。このセクションにアクセスするには、[[:ja:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LM権限]]が必要です。
+<wrap #ks15 />
 ===== マクロ一覧 =====
@@ 行 1192: / 行 1457: @@
 (For Command Macros only)//timestamp// at which the Module's last state change occurred.
+**''_modulelaststatustime_''**
+(For command macros only) date and time when the last Module status change took place.
+**''_lastdatatimestamp_''**
+Last check date and time received by a module (useful for pass to unknown alerts).
+**''_lastdatatime_''**
+Last check date and time received (in Unix time format) by a module (useful for pass to unknown alerts).
 **''_moduletags_'' **
@@ 行 1326: / 行 1603: @@
   * **''_modulestatus_''**:  モジュールの状態。
   * **''_modulelaststatuschange_''**:  モジュールの最後の状態変更日時。
+  * **''_modulelaststatustime_''**: (コマンド マクロの場合のみ) モジュールの状態が最後に変更された日時。
+  * **''_lastdatatimestamp_''**: モジュールが受信した最終チェックの日時 (不明なアラートへのパスに役立ちます)。
+  * **''_lastdatatime_''**: モジュールによって受信された最終チェックの日時 (Unix 時間形式) (不明なアラートを渡す場合に便利です)。
   * **''_moduletags_''**:  モジュールタグに関連付けられた URL。
   * **''_name_tag_''**:  モジュールに関連したタグの名前。