| 両方とも前のリビジョン 前のリビジョン 次のリビジョン | 前のリビジョン |
| ja:documentation:pandorafms:management_and_operation:01_alerts [2025/05/12 13:37] – [SIEM アラート管理] junichi | ja:documentation:pandorafms:management_and_operation:01_alerts [2025/08/16 08:24] (現在) – [SIEM アラート] junichi |
|---|
| ==== 定義済のコマンド ==== | ==== 定義済のコマンド ==== |
| |
| * **eMail**: Sends an email from the [[:en:documentation:02_installation:04_configuration#mta_address|Pandora FMS server]]. Email messages are sent in HTML format. It must be taken into account that the receiver must be able to access the resources used in the template, such as images. | * **eMail**: It sends an email from [[:en:documentation:pandorafms:installation:04_configuration#mta_address|Pandora FMS server]]. Email messages are sent in HTML format. It must be taken into account that the receiver must be able to access the resources used in the template, such as images. |
| * **Internal audit**: Generates an entry in the internal audit system of Pandora FMS. This is stored in the databasee Pandora FMS and can be reviewed with the event viewer from the console. | * **Internal audit**: It generates an entry in the [[:en:documentation:pandorafms:cybersecurity:07_safety_functions#ks4|internal audit system]] of Pandora FMS. This is stored in Pandora FMS database and can be reviewed with the event viewer from the console. |
| * **Monitoring Event**: Create a custom event in the Pandora FMS event console. | * **Monitoring Event**: Create a custom event in the Pandora FMS event console. |
| * **Pandora FMS Alertlog: **It is a predefined alert that writes the alerts in plain ASCII format in the file ''/var/log/pandora/pandora_alert.log''. | * **Pandora FMS Alertlog: **It is a predefined alert that writes the alerts in plain ASCII format in file ''/var/log/pandora/pandora_alert.log''. |
| * **SNMP Trap**: Sends an SNMP //trap// parameterized with the arguments used. | * **SNMP Trap**: It sends an SNMP //trap// parameterized with the arguments used. |
| * **Syslog: **Sends an alert to the syslog using the **logger** system command. | * **Syslog: **It sends an alert to the syslog using the **logger** system command. |
| * **Sound Alert**: Plays a sound in the [[:en:documentation:04_using:02_events#consola_sonora_de_eventos|sound console of events]] when an alert occurs. | * **Sound Alert**: It plays a sound in the [[:en:documentation:pandorafms:management_and_operation:02_events#ks3_3_2|sound console of events]] when an alert takes place. |
| * **Jabber Alert**: Send a Jabber alert to a chat room on a predefined server (the ''.sendxmpprc'' file must be configured first). Put in ''field1'' the username, ''field2'' the name of the **chat** room, and ''field3'' the text message. | * **Jabber Alert**: Send a Jabber alert to a chat room on a predefined server (the ''.sendxmpprc'' file must be configured first). Type in ''field1'' the username, ''field2'' the name of the **chat** room, and ''field3'' the text message. |
| * **SMS Text: **Sends an SMS to a specific mobile phone. First it is necessary to define an alert and configure a //gateway// for sending SMS that is accessible from the Pandora FMS server. | * **SMS Text: **It sends an SMS to a specific mobile phone. First it is necessary to define an alert and configure a //gateway// for sending SMS that is accessible from Pandora FMS server. |
| * **Validate Event**: Validates all events related to a module. It will be passed the name of the agent and the name of the module. | * **Validate Event**: It validates all events related to a module. The name of the agent and the name of the module will be passed. |
| * **Remote agent control**: Send commands to agents with UDP server enabled. The UDP server is used to instruct agents (Windows and UNIX) to //refresh// the execution of the agent: that is, to force the agent to execute and send data. | * **Remote agent control**: Send commands to agents with UDP server enabled. The UDP server is used to order agents (Windows and UNIX) to //refresh// the execution of the agent: that is, to force the agent to run and send data. |
| * **Generate Notification: **Allows you to send an internal notification to any user or group. | * **Generate Notification: **It allows you to send an internal notification to any user or group. |
| * **Send report by e-mail** and **Send report by e-mail (from template)**: Both options allow you to send a report in different formats (XML, PDF, JSON, CSV) by email, the The second option allows you to use a template for that attached report. | * **Send report by e-mail** and **Send report by e-mail (from template)**: Both options allow you to send a report in different formats (XML, PDF, JSON, CSV) by email. The second option allows you to use a template for that attached report. |
| |
| * **eMail**: Pandora FMS サーバからメールを送信します。Perl の sendmail モジュールを利用します。メールは HTML 形式で送信されるため、視覚的に魅力的なテンプレートを作成できます。メールの受信者は、画像などテンプレートで使用されるリソースにアクセスできる必要があることに注意してください。 | * **eMail**: Pandora FMS サーバからメールを送信します。Perl の sendmail モジュールを利用します。メールは HTML 形式で送信されるため、視覚的に魅力的なテンプレートを作成できます。メールの受信者は、画像などテンプレートで使用されるリソースにアクセスできる必要があることに注意してください。 |
| * **Internal audit**: これは、Pandora FMS の内部監査システムに記録を残す内部アラートです。これは、Pandora FMS のデータベースに保存され、コンソールのイベントビューワから確認することができます。 | * **Internal audit**: これは、Pandora FMS の[[:ja:documentation:pandorafms:cybersecurity:07_safety_functions#ks4|内部監査システム]]に記録を残す内部アラートです。これは、Pandora FMS のデータベースに保存され、コンソールのイベントビューワから確認することができます。 |
| * **Pandora FMS Event**: Pandora FMS イベントマネージャにカスタムイベントを生成します。 | * **Pandora FMS Event**: Pandora FMS イベントマネージャにカスタムイベントを生成します。 |
| * **Pandora FMS Alertlog**: /var/log/pandora/pandora_alert.log に、プレーンテキストのログファイルとしてアラートを出力します。 | * **Pandora FMS Alertlog**: /var/log/pandora/pandora_alert.log に、プレーンテキストのログファイルとしてアラートを出力します。 |
| |
| {{ :wiki:pfms-management-alerts-list_of_alerts-operations_column.png }} | {{ :wiki:pfms-management-alerts-list_of_alerts-operations_column.png }} |
| | |
| | As of version 781 the default action is only shown if it is the only one existing. |
| | |
| | バージョン 781 では、デフォルトのアクションはそれのみが存在する場合に表示されます。 |
| |
| <wrap #ks5_2 /> | <wrap #ks5_2 /> |
| ==== サービスペースの関連障害検知抑制 ==== | ==== サービスペースの関連障害検知抑制 ==== |
| |
| <WRAP center round tip 60%> | Service-based cascade protection prevents elements of a [[:en:documentation:pandorafms:monitoring:07_services|service]] from triggering their alerts if the alert of the service to which they belong is triggered. |
| | |
| Version NG 727 or higher. | |
| | |
| </WRAP> | |
| | |
| <WRAP center round tip 60%> バージョン NG 727 以上 </WRAP> | |
| | |
| It is possible to use the [[:en:documentation:pandorafms:monitoring:07_services|Services]] to avoid alerts from multiple sources reporting the same incident. | |
| |
| [[:ja:documentation:pandorafms:monitoring:07_services|サービス監視]] は、同じインシデントを報告する複数の同一ソースのアラートを回避するために使用できます。 | サービスベースの関連障害検知抑制は、[[:ja:documentation:pandorafms:monitoring:07_services|サービス]] の要素が属するサービスのアラートが発報された場合に、その要素のアラートが発報されるのを防ぎます。 |
| |
| If Service-based cascading protection is activated, Service elements (Agents, Modules or other Services) will not report problems, **but the Service itself will alert on behalf of the affected element**. | To enable this functionality, the <wrap :en>**Cascade protection services**</wrap> token must be activated in the [[:en:documentation:pandorafms:monitoring:01_intro_monitoring#ks2_2|advanced configuration of the agents]] for which this behavior is required, and enable the token <wrap :en="">**Cascade protection enabled**</wrap> in the [[:en:documentation:pandorafms:monitoring:07_services#ks6|configuration of the service]] to which these agents belong. |
| |
| サービスベースの関連検知抑制を有効化すると、サービス要素(エージェント、モジュール、他のサービス)は問題を通知せず、サービス自身が影響を受けている要素の代わりにアラートを発します。 | この機能を有効にするには、この動作が必要な [[:ja:documentation:pandorafms:monitoring:01_intro_monitoring#ks2_2|エージェントの詳細設定]] で <wrap :ja>**サービス関連障害検知抑制(Cascade protection services)**</wrap> トークンを有効にし、これらのエージェントが属する [[:ja:documentation:pandorafms:monitoring:07_services#ks6|サービスの設定]] で <wrap :ja="">**関連障害検知抑制の有効化(Cascade protection enabled)**</wrap> トークンを有効にする必要があります。 |
| |
| In order to receive this information, edit or create a new alert template, using the ''_rca_'' macro for a [[:en:documentation:pandorafms:monitoring:07_services#analisis_de_causa_raiz|root cause analysis]]. | When the service alert is triggered, information on which elements of the service are critical can be sent in the alert with the [[:en:documentation:pandorafms:monitoring:07_services#ks7|macro]] ''_rca_'' which will indicate the root cause of the service status. |
| |
| この情報を受け取るためには、[[:ja:documentation:pandorafms:monitoring:07_services#根本原因分析|根本原因分析]]マクロである ''_rca_'' を使って新たなアラートテンプレートを作成または編集します。 | サービスアラートが発報されると、サービスのどの要素が障害であるかという情報が [[:ja:documentation:pandorafms:monitoring:07_services#ks7|マクロ]] ''_rca_'' を使用してアラートで送信され、サービスステータスの根本原因が示されます。 |
| |
| <wrap #ks8_2 /> | <wrap #ks8_2 /> |
| |
| When defining event alerts, it is essential to indicate the parameters **agent**, **module** and **event**. | When defining event alerts, it is essential to indicate the parameters **agent**, **module** and **event**. |
| | |
| | In **Command Center** environments, event alerts are not centralized. Each node must have its own event rules configured since the rules configured in the **Command Center** will only trigger alerts for events in the **Command Center** itself. |
| |
| </WRAP> | </WRAP> |
| |
| イベントアラートを定義するときは、**エージェント(agent)**、**モジュール(module)**、および**イベント(event)** パラメータを指定することが重要です。 | イベントアラートを定義するときは、**エージェント(agent)**、**モジュール(module)**、および**イベント(event)** パラメータを指定することが重要です。 |
| | |
| | **コマンドセンター** 環境では、イベントアラートは一元管理されません。**コマンドセンター** で設定されたルールは、**コマンドセンター** 自体のイベントに対してのみアラートを発報するため、各ノードには独自のイベントルールを設定する必要があります。 |
| |
| </WRAP> | </WRAP> |
| ===== SIEM アラート ===== | ===== SIEM アラート ===== |
| |
| These alerts are evaluated by the SIEM event server at the time of their generation, so for their correct operation, the [[:en:documentation:pandorafms:monitoring:21_siem|SIEM monitoring]] must be enabled and configured. | These alerts are evaluated by the SIEM event server at the time of their generation, so for their correct operation, the [[:en:documentation:pandorafms:cybersecurity:21_siem|SIEM monitoring]] must be enabled and configured. |
| |
| これらのアラートは生成時に SIEM イベントサーバによって評価されるため、正しく動作するには [[:ja:documentation:pandorafms:monitoring:21_siem|SIEM 監視]] を有効にして設定する必要があります。 | これらのアラートは生成時に SIEM イベントサーバによって評価されるため、正しく動作するには [[:ja:documentation:pandorafms:cybersecurity:21_siem|SIEM 監視]] を有効にして設定する必要があります。 |
| |
| <wrap #ks14_1 /> | <wrap #ks14_1 /> |
| |
| (For Command Macros only)//timestamp// at which the Module's last state change occurred. | (For Command Macros only)//timestamp// at which the Module's last state change occurred. |
| | |
| | **''_modulelaststatustime_''** |
| | |
| | (For command macros only) date and time when the last Module status change took place. |
| | |
| | **''_lastdatatimestamp_''** |
| | |
| | Last check date and time received by a module (useful for pass to unknown alerts). |
| | |
| | **''_lastdatatime_''** |
| | |
| | Last check date and time received (in Unix time format) by a module (useful for pass to unknown alerts). |
| |
| **''_moduletags_'' ** | **''_moduletags_'' ** |
| * **''_modulestatus_''**: モジュールの状態。 | * **''_modulestatus_''**: モジュールの状態。 |
| * **''_modulelaststatuschange_''**: モジュールの最後の状態変更日時。 | * **''_modulelaststatuschange_''**: モジュールの最後の状態変更日時。 |
| | * **''_modulelaststatustime_''**: (コマンド マクロの場合のみ) モジュールの状態が最後に変更された日時。 |
| | * **''_lastdatatimestamp_''**: モジュールが受信した最終チェックの日時 (不明なアラートへのパスに役立ちます)。 |
| | * **''_lastdatatime_''**: モジュールによって受信された最終チェックの日時 (Unix 時間形式) (不明なアラートを渡す場合に便利です)。 |
| * **''_moduletags_''**: モジュールタグに関連付けられた URL。 | * **''_moduletags_''**: モジュールタグに関連付けられた URL。 |
| * **''_name_tag_''**: モジュールに関連したタグの名前。 | * **''_name_tag_''**: モジュールに関連したタグの名前。 |