差分

このページの2つのバージョン間の差分を表示します。

--- ja:documentation:pandorafms:management_and_operation:01_alerts [2025/05/12 13:17] – [ログアラート] junichi
+++ ja:documentation:pandorafms:management_and_operation:01_alerts [2025/05/12 13:41] (現在) – [マクロ一覧] junichi
@@ 行 934: / 行 934: @@
 The macros that can be used within the configuration of an event alert are in the [[#ks14|list of macros]].
-イベントアラートの設定内で使用できるマクロは、[[#ks14|マクロ一覧]]にあります。
+イベントアラートの設定内で使用できるマクロは、[[#ks15|マクロ一覧]]にあります。
 <wrap #ks13 />
@@ 行 1037: / 行 1037: @@
 <wrap #ks13_2 />
+==== ログアラート内のルール ====
+Event alerts are based on filtering rules using the following logical operators:
+ログアラートは、次の論理演算子を使用したフィルタリングルールに基づいています。
+  * ''and''
+  * ''nand''
+  * ''or''
+  * ''nor''
+  * ''xor''
+  * ''nxor''
+These logical operators are used to search for logs and/or expressions that match the configured filtering rules and if matches are found the alert will be triggered.
+これらの論理演算子は、設定されたフィルタリングルールに一致するログや式を検索するために使用され、一致が見つかった場合はアラートが発報されます。
+To define the rules of the alert, it will be necessary to drag the elements on the left side to the <wrap en:>**drop area**</wrap> on the right side to build your rule.
+アラートのルールを定義するには、左側の要素を右側の <wrap ja:>**ドロップエリア(drop area)**</wrap> にドラッグしてルールを構築する必要があります。
+<WRAP center round important 90%>
+It will only save the changes when you press the button to advance to the next step ( <wrap en:>**Next**</wrap> button).
+</WRAP>
+<WRAP center round important 90%>
+次のステップに進むためのボタン (ボタン <wrap ja:>**次(Next)**</wrap>) を押した場合にのみ、変更が保存されます。
+</WRAP>
+**Available configuration items**:
+**利用可能な設定項目**:
+{{  :wiki:pfms-event_alerts-available_items.png  }}
+These elements will be enabled to guide the user in complying with the grammar of the rule. The following is a simplified explanation of the grammar to be used:
+これらの要素は、ユーザがルールの文法に従うようガイドするために有効になります。以下は、使用される文法の簡単な説明です。
+<WRAP center round box 90%>
+<font inherit/Courier New,Courier,monospace;;inherit;;inherit>S -> R | R + NEXUS +R </font>
+<font inherit/Courier New,Courier,monospace;;inherit;;inherit>R -> FIELD + OPERATOR + C | FIELD + OPERATOR + C + MODIFIER</font>
+<font inherit/Courier New,Courier,monospace;;inherit;;inherit>C -> VARIABLE</font>
+</WRAP>
+Where **S** is the set of rules defined for the log alert.
+ここで、**S** は、ログアラートに対して定義されたルールのセットです。
+Two buttons are available for cleaning and undoing all changes: <wrap en:>**Cleanup**</wrap> and <wrap en:>**Reset**</wrap>.
+すべての変更をクリアして元に戻すためのボタンが 2 つあります: <wrap ja:>**クリーンアップ(Cleanup)**</wrap> と <wrap ja:>**リセット(Reset)**</wrap>。
+<WRAP center round tip 90%>
+The blocks have simultaneity in fulfilling the condition:
+</WRAP>
+<WRAP center round tip 90%>
+ブロックは条件を満たす点で同時性を持っています:
+</WRAP>
+<WRAP center round box 30%>
+(A and B)
+</WRAP>
+It forces the analyzed element (log) to fulfill simultaneously A and B.
+分析された要素 (イベント) が A と B に同時に準拠するように強制します。
+<WRAP center round box 30%>
+A and B
+</WRAP>
+It forces both rules (A) and (B) to be satisfied in the evaluation window. This means that there must be entries satisfying both rules in the last seconds (defined by the ''log_window'' parameter).
+評価ウィンドウにおいて、ルール（A）と（B）の両方を満たすことを強制します。つまり、最後の数秒間（''log_window'' パラメータで定義）に、両方のルールを満たすエントリが存在する必要があります。
+<WRAP center round tip 90%>
+In the comparison operators ''=='' and ''!=''' the text strings are compared literally. For more flexibility consider using the ''REGEX'' operator which uses Regular Expressions.
+比較演算子 ''=='' および ''!='' では、テキスト文字列が文字通り比較されます。より柔軟な比較を行うには、正規表現を使用する ''REGEX'' 演算子の使用を検討してください。
+</WRAP>
+<wrap #ks13_3 />
+==== ログアラート内のフィールド ====
+''Field2'' , ''Field3'', (...) , ''Field//n//'' must be configured, which are used to transfer the information from //template// to //action// and from action to //command//, to finally be used as parameters in the execution of that command.
+''Field2''、''Field3''、(…)、''Field//n//'' を設定する必要があります。これらは、//テンプレート// から //アクション// へ、またアクションから //コマンド// へ情報を転送するために使用され、最終的にそのコマンドの実行時にパラメータとして使用されます。
+This information is transferred as long as the next step does not already have information defined in its ''Field**n**'' fields. That is, in case of overlapping fields or parameters, it overwrites the action to the template (for example, if the template has ''Field1'' defined and **the action also**, the ''Field1'' of the action //overwrites// the action of the template).
+この情報は、次のステップの ''Field**n**'' フィールドに既に情報が定義されていない限り、転送されます。つまり、フィールドまたはパラメータが重複している場合、テンプレートのアクションが上書きされます（例えば、テンプレートに ''Field1'' が定義されており、**アクションも**定義されている場合、アクションの ''Field1'' がテンプレートのアクションを//上書き//します）。
+<WRAP center round info 90%>
+**Version 764 or later**: Macros related to modules and agents are not available in the fields of the <wrap :en>**Alert recovery**</wrap> section since the recovery of these alerts is executed when the <wrap :en>**threshold**</wrap> ends and lacks a **recovery event** to obtain such information.
+</WRAP>
+<WRAP center round info 90%>
+**バージョン 764 以降**: モジュールおよびエージェントに関連するマクロは、<wrap :ja>**アラート復旧(Alert recovery)**</wrap> セクションのフィールドでは使用できません。これは、これらのアラートの復旧は、<wrap :ja>**しきい値**</wrap> が回復た際に **復旧イベント** がそのような情報を取得せずに実行されるためです。
+</WRAP>
+<wrap #ks13_4 />
+==== ログアラート内での発報 ====
+In this section you must configure the actions to be performed when the log alert is triggered and indicate at what intervals and how often this action will be executed.
+このセクションでは、アラートが発報されたときに実行されるアクションを設定し、このアクションが実行される間隔と頻度を指定する必要があります。
+  * <wrap en:>**Actions**</wrap>: [[#ks3|Action]] that needs to be executed.
+  * <wrap en:>**Threshold**</wrap>: Time interval that has to elapse for the action to be executed again after the log alarm has been triggered.
+  * <wrap ja:>**アクション(Actions)**</wrap>: 実行する必要がある [[#ks3|アクション]]。
+  * <wrap ja:>**しきい値(Threshold)**</wrap>: アラートが発報されてから、アクションが再度実行されるまでの経過時間間隔。
+Once you have selected the above parameters, press the <wrap :en>**Add**</wrap> button and then you can choose and view the list of configured actions (section <wrap :en>**Select the desired action and mode to view the Triggering fields for this action**</wrap>).
+上記のパラメータを選択したら、<wrap :ja>**追加(Add)**</wrap> ボタンを押して、設定されたアクションのリストを選択して表示できます (セクション <wrap :ja>**このアクションの発報フィールドを表示するには、目的のアクションとモードを選択してください**</wrap>)。
+<wrap #ks13_5 />
+==== ログアラートのマクロ ===
+The macros that can be used within the configuration of an event alert are in the [[#ks15|list of macros]].
+ログアラートの設定内で使用できるマクロは、[[#ks15|マクロ一覧]]にあります。
+<wrap #ks14 />
+===== SIEM アラート =====
+These alerts are evaluated by the SIEM event server at the time of their generation, so for their correct operation, the [[:en:documentation:pandorafms:monitoring:21_siem|SIEM monitoring]] must be enabled and configured.
+これらのアラートは生成時に SIEM イベントサーバによって評価されるため、正しく動作するには [[:ja:documentation:pandorafms:monitoring:21_siem|SIEM 監視]] を有効にして設定する必要があります。
+<wrap #ks14_1 />
+==== SIEM アラート管理 ====
+<wrap :en>**Management → Alerts → SIEM Alerts**</wrap> menu.
+<wrap :ja>**管理(Management) → アラート(Alerts) → SIEM アラート(SIEM Alerts)**</wrap> メニュー。
+In this section it is possible to create, edit and delete SIEM alerts. The [[:en:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LW permission]] is required to access this section.
+このセクションでは、SIEMアラートの作成、編集、削除が可能です。このセクションにアクセスするには、[[:ja:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LW権限]]が必要です。
+These alerts are based on the filter system of the SIEM event views, so that any event that was displayed with the configured filter conditions will trigger the alert.
+これらのアラートは SIEM イベント表示のフィルタシステムに基づいているため、設定されたフィルタ条件で表示されたすべてのイベントによってアラートが発報されます。
+For example, if a SIEM alert is configured with a critical event filter, just before the SIEM event server generates one with that condition the alert will be triggered.
+たとえば、SIEM アラートが障害イベントフィルタで設定されている場合、SIEM イベントサーバがその条件でアラートを生成する直前にアラートが発報されます。
+SIEM alerts, like all other alerts, have global configuration options for their triggering.
+SIEM アラートには、他のすべてのアラートと同様に、発報するための全体設定オプションがあります。
+<wrap #ks14_2 />
+==== SIEM アラートの操作 ====
+<wrap :en>**Operation → SIEM → Alerts**</wrap> menu.
+<wrap :ja>**操作(Operation) → SIEM → アラート(Alerts)**</wrap> メニュー。
+In this section it is possible to view, enable/disable and change the standby mode of the SIEM alerts available in the environment. The [[:en:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LM permission]] is required to access this section.
+このセクションでは、環境内で利用可能なSIEMアラートの表示、有効化/無効化、スタンバイモードの変更が可能です。このセクションにアクセスするには、[[:ja:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LM権限]]が必要です。
+<wrap #ks15 />
 ===== マクロ一覧 =====
@@ 行 1260: / 行 1457: @@
 (For Command Macros only)//timestamp// at which the Module's last state change occurred.
+**''_modulelaststatustime_''**
+(For command macros only) date and time when the last Module status change took place.
+**''_lastdatatimestamp_''**
+Last check date and time received by a module (useful for pass to unknown alerts).
+**''_lastdatatime_''**
+Last check date and time received (in Unix time format) by a module (useful for pass to unknown alerts).
 **''_moduletags_'' **
@@ 行 1394: / 行 1603: @@
   * **''_modulestatus_''**:  モジュールの状態。
   * **''_modulelaststatuschange_''**:  モジュールの最後の状態変更日時。
+  * **''_modulelaststatustime_''**: (コマンド マクロの場合のみ) モジュールの状態が最後に変更された日時。
+  * **''_lastdatatimestamp_''**: モジュールが受信した最終チェックの日時 (不明なアラートへのパスに役立ちます)。
+  * **''_lastdatatime_''**: モジュールによって受信された最終チェックの日時 (Unix 時間形式) (不明なアラートを渡す場合に便利です)。
   * **''_moduletags_''**:  モジュールタグに関連付けられた URL。
   * **''_name_tag_''**:  モジュールに関連したタグの名前。