テキストログ監視および CSV ログ監視について

日本マイクロソフト System Center Support Team の宮崎です。今回も新しく公開された技術情報を紹介したいと思います。

ご存知かとは思いますが、System Center Operations Manager 2007 R2 (以下、SCOM 2007 R2) では、テキスト ログや CSV ログの監視を行うことが出来ます。テキスト ログに特定の文字列が出力されたことを受けてアラートを出力したり、出力された文字列をイベントとして収集および一覧表示したりといったことが出来ます。
テキスト ログ監視用のモニタ作成手順については、製品のヘルプに記載しています。しかし、ルールの作成手順については残念ながら十分な記載がありません。このため、この部分を補完する目的で今回技術情報を公開いたしました。

"Monitoring Text and CSV log files in System Center Operations Manager" (英語)
https://support.microsoft.com/kb/2691973

内容の大半は上記の通りテキスト ログ監視ルールの作成手順ですが、それ以外にこの機能に関する注意点を "Additional Information" に記載しています。詳細については上記の URL を参照して頂ければと思いますが、ポイントは以下の通りとなります。

a. テキスト ログ監視においては、ログの何行目まで読んだかという情報 (high water mark) を SCOM エージェントが保持している。
b. high water mark よりも前の行については、更新がかかっても再度読まれることはない。
c. ファイルが削除もしくはリネームされてから再作成されれば、high water mark は 1 行目にリセットされる。
※ ただし、ファイル削除後 1 分以内に同名のファイルが再作成された場合には、high water mark がリセットされないことがある。
d. 一定行数までログが入力されたファイルの中身だけを削除し、1 行目からログを再度記録していっても、中身の削除が実施される前の行数に到達するまで監視は実行されない。
e. 上記の理由により、循環形式のログを監視することは出来ない。
f. ? や * を使って監視対象ファイル名の条件を指定した場合で、かつ条件に合致するファイルが複数存在した場合、それらのうちひとつのログにだけ書き込みが実行されるようにしておく必要がある。条件に合致する複数のファイルに並行して書き込みが実行された場合、high water mark のリセットによって古いログの読み直しが発生する可能性がある。

これらの点についてご留意頂ければと思います。
また ※ に記載した動作については、System Center 2012 Operations Manager では発生しません。

コミュニティにおけるマイクロソフト社員による発言やコメントは、マイクロソフトの正式な見解またはコメントではありません。