HinemosでWindowsイベントの監視に失敗する理由とは?

#インフラ
written by ネモ

どうも、ネモです。

この情勢で散歩や買い出し以外は家にこもりっきりになっているため、趣味の時間に結構割けるので
暇な時間に革細工をまた始めてみました。

少し前から流行っているショルダーウォレットとキーケース兼カードケース兼ちょっとした小銭入れの2つを作ってみました。
が、直後Margaret HowellのPocket Key Fobをプレゼントしてもらったので、共に使い道がなくなってしまいました。。。

ブライドルレザーは手入れが比較的楽な上にブルームが浮き出た表情と、ふき取った艶のある表情の2パターンが楽しめるので個人的にはすごく好きです。

さて、そんなことは置いといて、本日も若干ニッチなHinemosの設定について書いていこうと思います。
今回はHinemosでのWindowsイベント監視時に監視ができなかった時の対処について書いていきます。

どういうエラー?

今回話をするエラーの内容はこれです。

コマンドの実行結果の長さが既定値を超えたためWindowsイベントの監視に失敗しました。
Agent.propertiesのbufferプロパティを調整してください。

上記のエラーは、Windowsイベント監視のログ出力サイズの合算値が設定より上回ってしまったために
Windowsイベント監視に失敗するというものです。

このログ出力サイズの合算値の算出方法としては
前回監視した時点から、今回監視を実行する時点までに出力されたイベントログの合計値となります。

デフォルトでは100,000byteで設定されているため、セキュリティログなどで「あるユーザからのログオンを監視する」設定を
入れた場合など、100,000byteを超えてしまうことが多々あります。

次項からどの様な対処を行う必要があるのかを次項でお話ししていこうと思います。

対処法はどういうもの?

1. 現在のイベントログ出力量の確認

まず、対処としては現時点でのイベントログの出力サイズを確認するところから始まります。
イベントログの出力量はHinemos Manager上で確認することができます。

どういうエラー?に記載したイベントログをダブルクリックし、”監視[イベントの詳細]”画面を表示させ
オリジナルメッセージの”read event log length=xxxxxx”を確認することで、どの程度溢れてしまっているのかを確認することができます。

2. Agent.propertiesの更新

続いて、溢れているイベントログサイズを増やす必要があります。
これはHinemos Agent側でAgent.propertiesのパラメータ”monitor.winevent.buffer.per.query”を更新することで
ログサイズの増減を行うことができます。

前項にて確認した値+αの値で更新しておくことで今後イベントログが増加、監視対象の追加を行った際に
再度Agent.propertiesの更新を行わない状態で済みます。

しかしながら、”monitor.winevent.buffer.per.query”の値を増やしすぎることで、Agent側のヒープメモリが
逼迫する可能性があるので、計画的に値の検討をしておきましょう。

3. Hinemos Agent再起動

Agent.propertiesの設定を読み込ませるためにHinemos Agentの再起動を行う必要があります。
Agent.propertiesの設定変更後、OS側からサービスの再起動を行うことでもエージェントの再起動はを行うことができますが、
Hinemos Managerから再起動を行うことも可能なので、今回はそこについても記載いたします。

まず、[パースペクティブ]-[リポジトリ]を選択し、「リポジトリ[エージェント]」タブを表示させます。
Hinemos Agentを再起動したいノードを選択後、「エージェント再起動」ボタンを押下することでHinemos Agentの再起動を
行うことができます。

最後に

いかがだったでしょうか。
Hinemosは色々な機能があり、監視ツールの中では比較的使いやすいツールなので
基本的には直感的に作業ができるのと、あまりエラーで詰まることはありませんが
仕様調査などを行っていると様々な発見があり非常に面白いです。
今回は設定ファイルの変更のみで済む初歩的な話となりましたが、エラー対応としてはそういった初歩の部分から書いてみました。

次のブログでまた会いましょう!