Home
  •  

フェールオーバー監視ルール内の DHCP Server 2012 R2 ポリシー ドロップ パケット

Microsoft.Windows.DHCPServer.2012.R2.Policy.FailOver.PacketDrop (Rule)

DHCP ログにポリシー ドロップ パケット イベントが挿入された場合に警告します。

Knowledge Base article:

概要

このルールは、Microsoft Windows Server 2012 オペレーティング システムを実行していて、DHCP 機能が有効になっているサーバー インスタンスがあり、名前が "DHCP 2012 R2 サーバー グループ" である DHCP 2012 R2 サーバー グループ メンバー内のフェールオーバー パケット ドロップ ポリシー ファイルをチェックします。

Element properties:

TargetMicrosoft.Windows.DHCPServer.2012.R2.Server
CategoryCustom
EnabledTrue
Alert GenerateTrue
Alert SeverityError
Alert PriorityNormal
RemotableTrue
Alert Message
フェールオーバー監視アラート内の DHCP Server 2012 R2 ポリシー ドロップ パケット
サーバー {0} からドロップ パケット エラーが報告されています: {1} IP: {2}

Member Modules:

ID Module Type TypeId RunAs 
LogDS1 DataSource System.ApplicationLog.GenericCSVLog.FilteredEventProvider Default
LogDS2 DataSource System.ApplicationLog.GenericCSVLog.FilteredEventProvider Default
Correlator ConditionDetection System.CorrelatorAutoCondition Default
GenerateAlert WriteAction System.Health.GenerateAlert Default

Source Code:

<Rule ID="Microsoft.Windows.DHCPServer.2012.R2.Policy.FailOver.PacketDrop" Enabled="true" Target="Microsoft.Windows.DHCPServer.2012.R2.Server" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Custom</Category>

  <DataSources>

    <DataSource ID="LogDS1" TypeID="AppLog!System.ApplicationLog.GenericCSVLog.FilteredEventProvider">

      <LogFileDirectory>%windir%/system32/dhcp</LogFileDirectory>

      <LogFilePattern>DhcpSrvLog-*.log</LogFilePattern>

      <LogIsUTF8>false</LogIsUTF8>

      <Separator>,</Separator>

      <Expression>

        <SimpleExpression>

          <ValueExpression>

            <XPathQuery Type="String">Params/Param[1]</XPathQuery>

          </ValueExpression>

          <Operator>Equal</Operator>

          <ValueExpression>

            <Value Type="String">10</Value>

          </ValueExpression>

        </SimpleExpression>

      </Expression>

    </DataSource>

    <DataSource ID="LogDS2" TypeID="AppLog!System.ApplicationLog.GenericCSVLog.FilteredEventProvider">

      <LogFileDirectory>%windir%/system32/dhcp</LogFileDirectory>

      <LogFilePattern>DhcpSrvLog-*.log</LogFilePattern>

      <LogIsUTF8>false</LogIsUTF8>

      <Separator>,</Separator>

      <Expression>

        <SimpleExpression>

          <ValueExpression>

            <XPathQuery Type="String">Params/Param[1]</XPathQuery>

          </ValueExpression>

          <Operator>Equal</Operator>

          <ValueExpression>

            <Value Type="String">36</Value>

          </ValueExpression>

        </SimpleExpression>

      </Expression>

    </DataSource>

  </DataSources>

  <ConditionDetection ID="Correlator" TypeID="System!System.CorrelatorAutoCondition">

    <Correlator>

      <CorrelationExpression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery>Item0:EventData/DataItem/Params/Param[7]</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value>Item1:EventData/DataItem/Params/Param[7]</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </CorrelationExpression>

      <Count>1</Count>

      <Interval>86400</Interval>

      <CorrelationOrder>InSequence</CorrelationOrder>

      <CorrelationItemPolicy>First</CorrelationItemPolicy>

    </Correlator>

  </ConditionDetection>

  <WriteActions>

    <WriteAction ID="GenerateAlert" TypeID="Health!System.Health.GenerateAlert">

      <Priority>1</Priority>

      <Severity>2</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.DHCPServer.2012.R2.Policy.FailOver.PacketDrop.AlertMessage"]$</AlertMessageId>

      <AlertParameters>

        <AlertParameter1>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/PrincipalName$</AlertParameter1>

        <AlertParameter2>$Data/Context/DataItem/Item1Context/DataItem/Params/Param[4]$</AlertParameter2>

        <AlertParameter3>$Data/Context/DataItem/Item0Context/DataItem/Params/Param[5]$</AlertParameter3>

      </AlertParameters>

    </WriteAction>

  </WriteActions>

</Rule>