| 両方とも前のリビジョン 前のリビジョン 次のリビジョン | 前のリビジョン |
| ja:documentation:pandorafms:management_and_operation:01_alerts [2025/05/12 13:25] – [ログアラート内のルール] junichi | ja:documentation:pandorafms:management_and_operation:01_alerts [2025/08/16 08:24] (現在) – [SIEM アラート] junichi |
|---|
| ==== 定義済のコマンド ==== | ==== 定義済のコマンド ==== |
| |
| * **eMail**: Sends an email from the [[:en:documentation:02_installation:04_configuration#mta_address|Pandora FMS server]]. Email messages are sent in HTML format. It must be taken into account that the receiver must be able to access the resources used in the template, such as images. | * **eMail**: It sends an email from [[:en:documentation:pandorafms:installation:04_configuration#mta_address|Pandora FMS server]]. Email messages are sent in HTML format. It must be taken into account that the receiver must be able to access the resources used in the template, such as images. |
| * **Internal audit**: Generates an entry in the internal audit system of Pandora FMS. This is stored in the databasee Pandora FMS and can be reviewed with the event viewer from the console. | * **Internal audit**: It generates an entry in the [[:en:documentation:pandorafms:cybersecurity:07_safety_functions#ks4|internal audit system]] of Pandora FMS. This is stored in Pandora FMS database and can be reviewed with the event viewer from the console. |
| * **Monitoring Event**: Create a custom event in the Pandora FMS event console. | * **Monitoring Event**: Create a custom event in the Pandora FMS event console. |
| * **Pandora FMS Alertlog: **It is a predefined alert that writes the alerts in plain ASCII format in the file ''/var/log/pandora/pandora_alert.log''. | * **Pandora FMS Alertlog: **It is a predefined alert that writes the alerts in plain ASCII format in file ''/var/log/pandora/pandora_alert.log''. |
| * **SNMP Trap**: Sends an SNMP //trap// parameterized with the arguments used. | * **SNMP Trap**: It sends an SNMP //trap// parameterized with the arguments used. |
| * **Syslog: **Sends an alert to the syslog using the **logger** system command. | * **Syslog: **It sends an alert to the syslog using the **logger** system command. |
| * **Sound Alert**: Plays a sound in the [[:en:documentation:04_using:02_events#consola_sonora_de_eventos|sound console of events]] when an alert occurs. | * **Sound Alert**: It plays a sound in the [[:en:documentation:pandorafms:management_and_operation:02_events#ks3_3_2|sound console of events]] when an alert takes place. |
| * **Jabber Alert**: Send a Jabber alert to a chat room on a predefined server (the ''.sendxmpprc'' file must be configured first). Put in ''field1'' the username, ''field2'' the name of the **chat** room, and ''field3'' the text message. | * **Jabber Alert**: Send a Jabber alert to a chat room on a predefined server (the ''.sendxmpprc'' file must be configured first). Type in ''field1'' the username, ''field2'' the name of the **chat** room, and ''field3'' the text message. |
| * **SMS Text: **Sends an SMS to a specific mobile phone. First it is necessary to define an alert and configure a //gateway// for sending SMS that is accessible from the Pandora FMS server. | * **SMS Text: **It sends an SMS to a specific mobile phone. First it is necessary to define an alert and configure a //gateway// for sending SMS that is accessible from Pandora FMS server. |
| * **Validate Event**: Validates all events related to a module. It will be passed the name of the agent and the name of the module. | * **Validate Event**: It validates all events related to a module. The name of the agent and the name of the module will be passed. |
| * **Remote agent control**: Send commands to agents with UDP server enabled. The UDP server is used to instruct agents (Windows and UNIX) to //refresh// the execution of the agent: that is, to force the agent to execute and send data. | * **Remote agent control**: Send commands to agents with UDP server enabled. The UDP server is used to order agents (Windows and UNIX) to //refresh// the execution of the agent: that is, to force the agent to run and send data. |
| * **Generate Notification: **Allows you to send an internal notification to any user or group. | * **Generate Notification: **It allows you to send an internal notification to any user or group. |
| * **Send report by e-mail** and **Send report by e-mail (from template)**: Both options allow you to send a report in different formats (XML, PDF, JSON, CSV) by email, the The second option allows you to use a template for that attached report. | * **Send report by e-mail** and **Send report by e-mail (from template)**: Both options allow you to send a report in different formats (XML, PDF, JSON, CSV) by email. The second option allows you to use a template for that attached report. |
| |
| * **eMail**: Pandora FMS サーバからメールを送信します。Perl の sendmail モジュールを利用します。メールは HTML 形式で送信されるため、視覚的に魅力的なテンプレートを作成できます。メールの受信者は、画像などテンプレートで使用されるリソースにアクセスできる必要があることに注意してください。 | * **eMail**: Pandora FMS サーバからメールを送信します。Perl の sendmail モジュールを利用します。メールは HTML 形式で送信されるため、視覚的に魅力的なテンプレートを作成できます。メールの受信者は、画像などテンプレートで使用されるリソースにアクセスできる必要があることに注意してください。 |
| * **Internal audit**: これは、Pandora FMS の内部監査システムに記録を残す内部アラートです。これは、Pandora FMS のデータベースに保存され、コンソールのイベントビューワから確認することができます。 | * **Internal audit**: これは、Pandora FMS の[[:ja:documentation:pandorafms:cybersecurity:07_safety_functions#ks4|内部監査システム]]に記録を残す内部アラートです。これは、Pandora FMS のデータベースに保存され、コンソールのイベントビューワから確認することができます。 |
| * **Pandora FMS Event**: Pandora FMS イベントマネージャにカスタムイベントを生成します。 | * **Pandora FMS Event**: Pandora FMS イベントマネージャにカスタムイベントを生成します。 |
| * **Pandora FMS Alertlog**: /var/log/pandora/pandora_alert.log に、プレーンテキストのログファイルとしてアラートを出力します。 | * **Pandora FMS Alertlog**: /var/log/pandora/pandora_alert.log に、プレーンテキストのログファイルとしてアラートを出力します。 |
| |
| {{ :wiki:pfms-management-alerts-list_of_alerts-operations_column.png }} | {{ :wiki:pfms-management-alerts-list_of_alerts-operations_column.png }} |
| | |
| | As of version 781 the default action is only shown if it is the only one existing. |
| | |
| | バージョン 781 では、デフォルトのアクションはそれのみが存在する場合に表示されます。 |
| |
| <wrap #ks5_2 /> | <wrap #ks5_2 /> |
| ==== サービスペースの関連障害検知抑制 ==== | ==== サービスペースの関連障害検知抑制 ==== |
| |
| <WRAP center round tip 60%> | Service-based cascade protection prevents elements of a [[:en:documentation:pandorafms:monitoring:07_services|service]] from triggering their alerts if the alert of the service to which they belong is triggered. |
| |
| Version NG 727 or higher. | サービスベースの関連障害検知抑制は、[[:ja:documentation:pandorafms:monitoring:07_services|サービス]] の要素が属するサービスのアラートが発報された場合に、その要素のアラートが発報されるのを防ぎます。 |
| |
| </WRAP> | To enable this functionality, the <wrap :en>**Cascade protection services**</wrap> token must be activated in the [[:en:documentation:pandorafms:monitoring:01_intro_monitoring#ks2_2|advanced configuration of the agents]] for which this behavior is required, and enable the token <wrap :en="">**Cascade protection enabled**</wrap> in the [[:en:documentation:pandorafms:monitoring:07_services#ks6|configuration of the service]] to which these agents belong. |
| |
| <WRAP center round tip 60%> バージョン NG 727 以上 </WRAP> | この機能を有効にするには、この動作が必要な [[:ja:documentation:pandorafms:monitoring:01_intro_monitoring#ks2_2|エージェントの詳細設定]] で <wrap :ja>**サービス関連障害検知抑制(Cascade protection services)**</wrap> トークンを有効にし、これらのエージェントが属する [[:ja:documentation:pandorafms:monitoring:07_services#ks6|サービスの設定]] で <wrap :ja="">**関連障害検知抑制の有効化(Cascade protection enabled)**</wrap> トークンを有効にする必要があります。 |
| |
| It is possible to use the [[:en:documentation:pandorafms:monitoring:07_services|Services]] to avoid alerts from multiple sources reporting the same incident. | When the service alert is triggered, information on which elements of the service are critical can be sent in the alert with the [[:en:documentation:pandorafms:monitoring:07_services#ks7|macro]] ''_rca_'' which will indicate the root cause of the service status. |
| |
| [[:ja:documentation:pandorafms:monitoring:07_services|サービス監視]] は、同じインシデントを報告する複数の同一ソースのアラートを回避するために使用できます。 | サービスアラートが発報されると、サービスのどの要素が障害であるかという情報が [[:ja:documentation:pandorafms:monitoring:07_services#ks7|マクロ]] ''_rca_'' を使用してアラートで送信され、サービスステータスの根本原因が示されます。 |
| | |
| If Service-based cascading protection is activated, Service elements (Agents, Modules or other Services) will not report problems, **but the Service itself will alert on behalf of the affected element**. | |
| | |
| サービスベースの関連検知抑制を有効化すると、サービス要素(エージェント、モジュール、他のサービス)は問題を通知せず、サービス自身が影響を受けている要素の代わりにアラートを発します。 | |
| | |
| In order to receive this information, edit or create a new alert template, using the ''_rca_'' macro for a [[:en:documentation:pandorafms:monitoring:07_services#analisis_de_causa_raiz|root cause analysis]]. | |
| | |
| この情報を受け取るためには、[[:ja:documentation:pandorafms:monitoring:07_services#根本原因分析|根本原因分析]]マクロである ''_rca_'' を使って新たなアラートテンプレートを作成または編集します。 | |
| |
| <wrap #ks8_2 /> | <wrap #ks8_2 /> |
| |
| When defining event alerts, it is essential to indicate the parameters **agent**, **module** and **event**. | When defining event alerts, it is essential to indicate the parameters **agent**, **module** and **event**. |
| | |
| | In **Command Center** environments, event alerts are not centralized. Each node must have its own event rules configured since the rules configured in the **Command Center** will only trigger alerts for events in the **Command Center** itself. |
| |
| </WRAP> | </WRAP> |
| |
| イベントアラートを定義するときは、**エージェント(agent)**、**モジュール(module)**、および**イベント(event)** パラメータを指定することが重要です。 | イベントアラートを定義するときは、**エージェント(agent)**、**モジュール(module)**、および**イベント(event)** パラメータを指定することが重要です。 |
| | |
| | **コマンドセンター** 環境では、イベントアラートは一元管理されません。**コマンドセンター** で設定されたルールは、**コマンドセンター** 自体のイベントに対してのみアラートを発報するため、各ノードには独自のイベントルールを設定する必要があります。 |
| |
| </WRAP> | </WRAP> |
| The macros that can be used within the configuration of an event alert are in the [[#ks14|list of macros]]. | The macros that can be used within the configuration of an event alert are in the [[#ks14|list of macros]]. |
| |
| イベントアラートの設定内で使用できるマクロは、[[#ks14|マクロ一覧]]にあります。 | イベントアラートの設定内で使用できるマクロは、[[#ks15|マクロ一覧]]にあります。 |
| |
| <wrap #ks13 /> | <wrap #ks13 /> |
| |
| <wrap #ks13_4 /> | <wrap #ks13_4 /> |
| | |
| | ==== ログアラート内での発報 ==== |
| | |
| | In this section you must configure the actions to be performed when the log alert is triggered and indicate at what intervals and how often this action will be executed. |
| | |
| | このセクションでは、アラートが発報されたときに実行されるアクションを設定し、このアクションが実行される間隔と頻度を指定する必要があります。 |
| | |
| | * <wrap en:>**Actions**</wrap>: [[#ks3|Action]] that needs to be executed. |
| | * <wrap en:>**Threshold**</wrap>: Time interval that has to elapse for the action to be executed again after the log alarm has been triggered. |
| | |
| | * <wrap ja:>**アクション(Actions)**</wrap>: 実行する必要がある [[#ks3|アクション]]。 |
| | * <wrap ja:>**しきい値(Threshold)**</wrap>: アラートが発報されてから、アクションが再度実行されるまでの経過時間間隔。 |
| | |
| | Once you have selected the above parameters, press the <wrap :en>**Add**</wrap> button and then you can choose and view the list of configured actions (section <wrap :en>**Select the desired action and mode to view the Triggering fields for this action**</wrap>). |
| | |
| | 上記のパラメータを選択したら、<wrap :ja>**追加(Add)**</wrap> ボタンを押して、設定されたアクションのリストを選択して表示できます (セクション <wrap :ja>**このアクションの発報フィールドを表示するには、目的のアクションとモードを選択してください**</wrap>)。 |
| | |
| | <wrap #ks13_5 /> |
| | |
| | ==== ログアラートのマクロ === |
| | |
| | The macros that can be used within the configuration of an event alert are in the [[#ks15|list of macros]]. |
| | |
| | ログアラートの設定内で使用できるマクロは、[[#ks15|マクロ一覧]]にあります。 |
| | |
| | <wrap #ks14 /> |
| | |
| | ===== SIEM アラート ===== |
| | |
| | These alerts are evaluated by the SIEM event server at the time of their generation, so for their correct operation, the [[:en:documentation:pandorafms:cybersecurity:21_siem|SIEM monitoring]] must be enabled and configured. |
| | |
| | これらのアラートは生成時に SIEM イベントサーバによって評価されるため、正しく動作するには [[:ja:documentation:pandorafms:cybersecurity:21_siem|SIEM 監視]] を有効にして設定する必要があります。 |
| | |
| | <wrap #ks14_1 /> |
| | |
| | ==== SIEM アラート管理 ==== |
| | |
| | <wrap :en>**Management → Alerts → SIEM Alerts**</wrap> menu. |
| | |
| | <wrap :ja>**管理(Management) → アラート(Alerts) → SIEM アラート(SIEM Alerts)**</wrap> メニュー。 |
| | |
| | In this section it is possible to create, edit and delete SIEM alerts. The [[:en:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LW permission]] is required to access this section. |
| | |
| | このセクションでは、SIEMアラートの作成、編集、削除が可能です。このセクションにアクセスするには、[[:ja:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LW権限]]が必要です。 |
| | |
| | These alerts are based on the filter system of the SIEM event views, so that any event that was displayed with the configured filter conditions will trigger the alert. |
| | |
| | これらのアラートは SIEM イベント表示のフィルタシステムに基づいているため、設定されたフィルタ条件で表示されたすべてのイベントによってアラートが発報されます。 |
| | |
| | For example, if a SIEM alert is configured with a critical event filter, just before the SIEM event server generates one with that condition the alert will be triggered. |
| | |
| | たとえば、SIEM アラートが障害イベントフィルタで設定されている場合、SIEM イベントサーバがその条件でアラートを生成する直前にアラートが発報されます。 |
| | |
| | SIEM alerts, like all other alerts, have global configuration options for their triggering. |
| | |
| | SIEM アラートには、他のすべてのアラートと同様に、発報するための全体設定オプションがあります。 |
| | |
| | <wrap #ks14_2 /> |
| | |
| | ==== SIEM アラートの操作 ==== |
| | |
| | <wrap :en>**Operation → SIEM → Alerts**</wrap> menu. |
| | |
| | <wrap :ja>**操作(Operation) → SIEM → アラート(Alerts)**</wrap> メニュー。 |
| | |
| | In this section it is possible to view, enable/disable and change the standby mode of the SIEM alerts available in the environment. The [[:en:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LM permission]] is required to access this section. |
| | |
| | このセクションでは、環境内で利用可能なSIEMアラートの表示、有効化/無効化、スタンバイモードの変更が可能です。このセクションにアクセスするには、[[:ja:documentation:pandorafms:management_and_operation:11_managing_and_administration#ks1_3_1|LM権限]]が必要です。 |
| | |
| | <wrap #ks15 /> |
| |
| ===== マクロ一覧 ===== | ===== マクロ一覧 ===== |
| |
| (For Command Macros only)//timestamp// at which the Module's last state change occurred. | (For Command Macros only)//timestamp// at which the Module's last state change occurred. |
| | |
| | **''_modulelaststatustime_''** |
| | |
| | (For command macros only) date and time when the last Module status change took place. |
| | |
| | **''_lastdatatimestamp_''** |
| | |
| | Last check date and time received by a module (useful for pass to unknown alerts). |
| | |
| | **''_lastdatatime_''** |
| | |
| | Last check date and time received (in Unix time format) by a module (useful for pass to unknown alerts). |
| |
| **''_moduletags_'' ** | **''_moduletags_'' ** |
| * **''_modulestatus_''**: モジュールの状態。 | * **''_modulestatus_''**: モジュールの状態。 |
| * **''_modulelaststatuschange_''**: モジュールの最後の状態変更日時。 | * **''_modulelaststatuschange_''**: モジュールの最後の状態変更日時。 |
| | * **''_modulelaststatustime_''**: (コマンド マクロの場合のみ) モジュールの状態が最後に変更された日時。 |
| | * **''_lastdatatimestamp_''**: モジュールが受信した最終チェックの日時 (不明なアラートへのパスに役立ちます)。 |
| | * **''_lastdatatime_''**: モジュールによって受信された最終チェックの日時 (Unix 時間形式) (不明なアラートを渡す場合に便利です)。 |
| * **''_moduletags_''**: モジュールタグに関連付けられた URL。 | * **''_moduletags_''**: モジュールタグに関連付けられた URL。 |
| * **''_name_tag_''**: モジュールに関連したタグの名前。 | * **''_name_tag_''**: モジュールに関連したタグの名前。 |