ja:documentation:pandorafms:management_and_operation:01_alerts

差分

このページの2つのバージョン間の差分を表示します。

この比較画面へのリンク

両方とも前のリビジョン 前のリビジョン
次のリビジョン		 前のリビジョン
ja:documentation:pandorafms:management_and_operation:01_alerts [2025/05/12 13:22] – [ログアラートの作成] junichija:documentation:pandorafms:management_and_operation:01_alerts [2025/05/12 13:41] (現在) – [マクロ一覧] junichi
行 934: 行 934:
 The macros that can be used within the configuration of an event alert are in the [[#ks14|list of macros]]. The macros that can be used within the configuration of an event alert are in the [[#ks14|list of macros]].
  
-イベントアラートの設定内で使用できるマクロは、[[#ks14|マクロ一覧]]にあります。+イベントアラートの設定内で使用できるマクロは、[[#ks15|マクロ一覧]]にあります。
  
 <wrap #ks13 /> <wrap #ks13 />
行 1140: 行 1140:
  
 <wrap #ks13_3 /> <wrap #ks13_3 />
 +
 +==== ログアラート内のフィールド ====
 +
 +''Field2'' , ''Field3'', (...) , ''Field//n//'' must be configured, which are used to transfer the information from //template// to //action// and from action to //command//, to finally be used as parameters in the execution of that command.
 +
 +''Field2''、''Field3''、(…)、''Field//n//'' を設定する必要があります。これらは、//テンプレート// から //アクション// へ、またアクションから //コマンド// へ情報を転送するために使用され、最終的にそのコマンドの実行時にパラメータとして使用されます。
 +
 +This information is transferred as long as the next step does not already have information defined in its ''Field**n**'' fields. That is, in case of overlapping fields or parameters, it overwrites the action to the template (for example, if the template has ''Field1'' defined and **the action also**, the ''Field1'' of the action //overwrites// the action of the template).
 +
 +この情報は、次のステップの ''Field**n**'' フィールドに既に情報が定義されていない限り、転送されます。つまり、フィールドまたはパラメータが重複している場合、テンプレートのアクションが上書きされます(例えば、テンプレートに ''Field1'' が定義されており、**アクションも**定義されている場合、アクションの ''Field1'' がテンプレートのアクションを//上書き//します)。
 +
 +<WRAP center round info 90%>
 +
 +**Version 764 or later**: Macros related to modules and agents are not available in the fields of the <wrap :en>**Alert recovery**</wrap> section since the recovery of these alerts is executed when the <wrap :en>**threshold**</wrap> ends and lacks a **recovery event** to obtain such information.
 +
 +</WRAP>
 +
 +<WRAP center round info 90%>
 +
 +**バージョン 764 以降**: モジュールおよびエージェントに関連するマクロは、<wrap :ja>**アラート復旧(Alert recovery)**</wrap> セクションのフィールドでは使用できません。これは、これらのアラートの復旧は、<wrap :ja>**しきい値**</wrap> が回復た際に **復旧イベント** がそのような情報を取得せずに実行されるためです。
 +
 +</WRAP>
 +
 +<wrap #ks13_4 />
 +
 +==== ログアラート内での発報 ====
 +
 +In this section you must configure the actions to be performed when the log alert is triggered and indicate at what intervals and how often this action will be executed.
 +
 +このセクションでは、アラートが発報されたときに実行されるアクションを設定し、このアクションが実行される間隔と頻度を指定する必要があります。
 +
 +  * <wrap en:>**Actions**</wrap>: [[#ks3|Action]] that needs to be executed.
 +  * <wrap en:>**Threshold**</wrap>: Time interval that has to elapse for the action to be executed again after the log alarm has been triggered.
 +
 +  * <wrap ja:>**アクション(Actions)**</wrap>: 実行する必要がある [[#ks3|アクション]]。
 +  * <wrap ja:>**しきい値(Threshold)**</wrap>: アラートが発報されてから、アクションが再度実行されるまでの経過時間間隔。
 +
 +Once you have selected the above parameters, press the <wrap :en>**Add**</wrap> button and then you can choose and view the list of configured actions (section <wrap :en>**Select the desired action and mode to view the Triggering fields for this action**</wrap>).
 +
 +上記のパラメータを選択したら、<wrap :ja>**追加(Add)**</wrap> ボタンを押して、設定されたアクションのリストを選択して表示できます (セクション <wrap :ja>**このアクションの発報フィールドを表示するには、目的のアクションとモードを選択してください**</wrap>)。
 +
 +<wrap #ks13_5 />
 +
 +==== ログアラートのマクロ ===
 +
 +The macros that can be used within the configuration of an event alert are in the [[#ks15|list of macros]].
 +
 +ログアラートの設定内で使用できるマクロは、[[#ks15|マクロ一覧]]にあります。
 +
 +<wrap #ks14 />
 +
 +===== SIEM アラート =====
 +
 +These alerts are evaluated by the SIEM event server at the time of their generation, so for their correct operation, the [[:en:documentation:pandorafms:monitoring:21_siem|SIEM monitoring]] must be enabled and configured.
 +
 +これらのアラートは生成時に SIEM イベントサーバによって評価されるため、正しく動作するには [[:ja:documentation:pandorafms:monitoring:21_siem|SIEM 監視]] を有効にして設定する必要があります。
 +
 +<wrap #ks14_1 />
 +
 +==== SIEM アラート管理 ====
 +
 +<wrap :en>**Management → Alerts → SIEM Alerts**</wrap> menu.
 +
 +<wrap :ja>**管理(Management) → アラート(Alerts) → SIEM アラート(SIEM Alerts)**</wrap> メニュー。
 +
 +In this section it is possible to create, edit and delete SIEM alerts. The [[:en:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LW permission]] is required to access this section.
 +
 +このセクションでは、SIEMアラートの作成、編集、削除が可能です。このセクションにアクセスするには、[[:ja:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LW権限]]が必要です。
 +
 +These alerts are based on the filter system of the SIEM event views, so that any event that was displayed with the configured filter conditions will trigger the alert.
 +
 +これらのアラートは SIEM イベント表示のフィルタシステムに基づいているため、設定されたフィルタ条件で表示されたすべてのイベントによってアラートが発報されます。
 +
 +For example, if a SIEM alert is configured with a critical event filter, just before the SIEM event server generates one with that condition the alert will be triggered.
 +
 +たとえば、SIEM アラートが障害イベントフィルタで設定されている場合、SIEM イベントサーバがその条件でアラートを生成する直前にアラートが発報されます。
 +
 +SIEM alerts, like all other alerts, have global configuration options for their triggering.
 +
 +SIEM アラートには、他のすべてのアラートと同様に、発報するための全体設定オプションがあります。
 +
 +<wrap #ks14_2 />
 +
 +==== SIEM アラートの操作 ====
 +
 +<wrap :en>**Operation → SIEM → Alerts**</wrap> menu.
 +
 +<wrap :ja>**操作(Operation) → SIEM → アラート(Alerts)**</wrap> メニュー。
 +
 +In this section it is possible to view, enable/disable and change the standby mode of the SIEM alerts available in the environment. The [[:en:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LM permission]] is required to access this section.
 +
 +このセクションでは、環境内で利用可能なSIEMアラートの表示、有効化/無効化、スタンバイモードの変更が可能です。このセクションにアクセスするには、[[:ja:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LM権限]]が必要です。
 +
 +<wrap #ks15 />
  
 ===== マクロ一覧 ===== ===== マクロ一覧 =====
行 1363: 行 1457:
  
 (For Command Macros only)//timestamp// at which the Module's last state change occurred. (For Command Macros only)//timestamp// at which the Module's last state change occurred.
 +
 +**''_modulelaststatustime_''**
 +
 +(For command macros only) date and time when the last Module status change took place.
 +
 +**''_lastdatatimestamp_''**
 +
 +Last check date and time received by a module (useful for pass to unknown alerts).
 +
 +**''_lastdatatime_''**
 +
 +Last check date and time received (in Unix time format) by a module (useful for pass to unknown alerts).
  
 **''_moduletags_'' ** **''_moduletags_'' **
行 1497: 行 1603:
   * **''_modulestatus_''**:  モジュールの状態。   * **''_modulestatus_''**:  モジュールの状態。
   * **''_modulelaststatuschange_''**:  モジュールの最後の状態変更日時。   * **''_modulelaststatuschange_''**:  モジュールの最後の状態変更日時。
 +  * **''_modulelaststatustime_''**: (コマンド マクロの場合のみ) モジュールの状態が最後に変更された日時。
 +  * **''_lastdatatimestamp_''**: モジュールが受信した最終チェックの日時 (不明なアラートへのパスに役立ちます)。
 +  * **''_lastdatatime_''**: モジュールによって受信された最終チェックの日時 (Unix 時間形式) (不明なアラートを渡す場合に便利です)。
   * **''_moduletags_''**:  モジュールタグに関連付けられた URL。   * **''_moduletags_''**:  モジュールタグに関連付けられた URL。
   * **''_name_tag_''**:  モジュールに関連したタグの名前。   * **''_name_tag_''**:  モジュールに関連したタグの名前。
  • ja/documentation/pandorafms/management_and_operation/01_alerts.1747056151.txt.gz
  • 最終更新: 2025/05/12 13:22
  • by junichi