本ヘルプセンターは英語版を翻訳したものです。また、一部には翻訳ソフトウエアにより機械的に翻訳した内容が含まれます。翻訳については順次対応しておりますが、最新の情報になっていない場合があります。最新の情報は英語版のページでご確認ください。表示言語は、画面右上の言語名をクリックして切り替えられます。

本ヘルプセンターの一部の記事には外部リンクが含まれています。万一リンク切れなどお気づきの点がございましたら、お手数ですが弊社サポート窓口までご連絡ください。

ServiceSet

変更監視モジュールは、Deep Security Agent上のディレクトリレジストリ値レジストリキーサービスプロセスインストール済みのソフトウェアポートグループユーザファイル、およびWQLクエリ文に対する想定外の変更を検索します。変更監視を有効にして設定するには、変更監視の設定を参照してください。

ServiceSetエレメントは、サービスのセットを表します (Windowsのみ)。サービスは、「サービス名」によって識別されます。このサービス名は、サービスの管理ツールに表示される「name」列の値と同じものではありません。サービス名は、サービスのプロパティで確認することができます。多くの場合、「name」列に表示される値よりも短い名前です (この値は、実際にはサービスの「表示名」です)。たとえば、エージェントのサービス名は「ds_agent」で、表示名は「Trend Micro Deep Security Agent」です。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。

属性 説明 必須 初期設定値 設定できる値
onChange リアルタイムで監視するかどうかを示します。 いいえ false true、false

エンティティセットの属性

次に示すエンティティの属性は、変更監視ルールによって監視可能な属性です。

  • Permissions: SDDL形式のサービスのセキュリティ記述子
  • Owner: サービスの所有者のユーザID
  • Group: サービスの所有者のグループID
  • BinaryPathName: Windowsがサービスの開始に使用するパスと、省略可能なコマンドライン引数
  • DisplayName: サービスの「プロパティ」パネルに表示されるサービスの「表示名」。
  • Description: 「サービス」パネルに表示される説明
  • State: サービスの現在の状態。次のいずれかです: stopped、starting、stopping、running、continuePending、pausePending、paused
  • StartType: サービスの開始方法。次のいずれかです: automatic、disabled、manual
  • LogOnAs: サービスプロセスの実行時にサービスプロセスにログオンするアカウントの名前。
  • FirstFailure: サービスがはじめて失敗したときに実行される処理。形式は「delayInMsec,action」で、処理はNone、Restart、Reboot、RunCommandのいずれかです。
  • SecondFailure: サービスが2回目に失敗したときに実行される処理。形式は「delayInMsec,action」で、処理はNone、Restart、Reboot、RunCommandのいずれかです。
  • SubsequentFailures: サービスが3回目以降に失敗したときに実行される処理。形式は「delayInMsec,action」で、処理はNone、Restart、Reboot、RunCommandのいずれかです。
  • ResetFailCountAfter: 失敗がない場合に、失敗カウントをゼロにリセットするまでの時間 (秒単位)
  • RebootMessage: 「Reboot」サービスコントローラ処理に対する応答として、サーバのユーザにブロードキャスト配信されるメッセージ
  • RunProgram: 「RunCommand」サービスコントローラ処理に対する応答として実行されるプロセスの完全なコマンドライン
  • DependsOn: サービスが依存しているコンポーネントのカンマ区切りのリスト
  • LoadOrderGroup: このサービスが属しているロード順序グループ。システムのスタートアッププログラムは、ロード順序グループを使用して、他のグループに対して指定された順序どおりにサービスのグループをロードします。ロード順序グループは、レジストリ値HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrderに含まれています。
  • ProcessId: サービスをホストするプロセスの数値ID。1個のWindowsプロセスに多数のサービスが存在する可能性がありますが、独自のプロセスで実行されるサービスについては、この属性を監視することで、サービスの再起動をログに記録することができます。

簡略記法による属性

次に、エンティティの簡略記法による属性と、解釈される属性を示します。

  • STANDARD: Permissions、Owner、Group、BinaryPathName、Description、State、StartType、LogOnAs、FirstFailure、SecondFailure、SubsequentFailures、ResetFailCountAfter、RunProgram、DependsOn、LoadOrderGroup、ProcessId

「key」の意味

keyはサービスの名前であり、サービスの管理ツールに表示される「name」列と同じである必要はありません (サービスの管理ツールには、サービスの「表示名」が表示されます)。サービス名は、サービスのプロパティで確認することができます。多くの場合、「name」列に表示される値よりも短い名前です。

これは、階層型のエンティティセットではありません。パターンはサービス名のみに適用されます。結果として、**パターンは適用できません。

サブエレメント

  • Include
  • Exclude

これらのエレメントに指定できる属性とサブエレメントのincludeの概要は、変更監視 rules languagesを参照してください。ここでは、このエンティティセットクラスに関連するincludeおよびexcludeに固有の情報のみを記載します。

ServiceSetのincludeおよびexcludeに固有の属性

state

サービスの状態である、stopped、starting、stopping、running、continuePending、pausePending、pausedのいずれかに基づいたincludeまたはexclude。次の例では、実行中のサービスセットの変更について監視します。

<ServiceSet>
<include state="running"/>
</ServiceSet>