目次

ServiceSet

変更監視モジュールは、への予期しない変更をスキャンしますディレクトリレジストリ値レジストリキー、サービス、プロセスインストール済みのソフトウェアポートグループユーザファイル、 そしてそのWQLエージェントのクエリステートメント。変更監視を有効にして設定するには、「変更監視の設定」を参照してください。

ServiceSetエレメントは、サービスのセットを表します (Windowsのみ)。サービスは、「サービス名」によって識別されます。このサービス名は、サービスの管理ツールに表示される「name」列の値と同じものではありません。サービス名は、サービスのプロパティで確認することができます。多くの場合、「name」列に表示される値よりも短い名前です (この値は、実際にはサービスの「表示名」です)。たとえば、エージェントのサービス名は「ds_agent」で、表示名は「Trend Micro Deep Security Agent」です。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。

属性 説明 必須 初期設定値 設定できる値
onChange リアルタイムで監視するかどうかを示します。 いいえ false true、false

エンティティセットの属性

次に示すエンティティの属性は、変更監視ルールによって監視可能な属性です。

  • アクセス許可SDDL 形式のサービスのセキュリティ記述子。
  • 所有者:サービス所有者のユーザID
  • グループ:サービス所有者のグループID
  • BinaryPathName:サービスを開始するためにWindowsが使用するパスとオプションのコマンドライン引数(省略可能)。
  • DisplayName:サービスの[表示名]で、サービスの[プロパティ]パネルに表示されます。
  • 説明:[サービス]パネルに表示される説明
  • 状態:サービスの現在の状態。次のいずれかです: stopped、starting、stopping、running、continuePending、pausePending、paused
  • StartType:サービスはどのように開始されますか?次のいずれかです: automatic、disabled、manual
  • LogOnAs:サービスプロセスの実行時にサービスプロセスがログオンするアカウントの名前。
  • FirstFailure:サービスが初めて失敗したときの処理です。形式は「delayInMsec,action」で、処理はNone、Restart、Reboot、RunCommandのいずれかです。
  • SecondFailure:サービスが2回失敗したときの処理です。形式は「delayInMsec,action」で、処理はNone、Restart、Reboot、RunCommandのいずれかです。
  • SubsequentFailures:サービスが3回目以降に失敗した場合に実行する処理です。形式は「delayInMsec,action」で、処理はNone、Restart、Reboot、RunCommandのいずれかです。
  • ResetFailCountAfter:失敗がない場合に失敗カウントをゼロにリセットするまでの時間(秒)。
  • RebootMessage:「再起動」サービスコントローラーの処理に応答して再起動する前に、サーバユーザにブロードキャストするメッセージ。
  • RunProgram:RunCommandサービスコントローラーの処理に応答して実行するプロセスの完全なコマンドラインです。
  • DependsOn:サービスが依存するコンポーネントのコンマ区切りのリスト
  • LoadOrderGroup:このサービスが属するロードオーダーグループです。システムのスタートアッププログラムは、ロード順序グループを使用して、他のグループに対して指定された順序どおりにサービスのグループをロードします。ロード順序グループは、レジストリ値HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrderに含まれています。
  • ProcessId:サービスをホストするプロセスの数値IDです。1個のWindowsプロセスに多数のサービスが存在する可能性がありますが、独自のプロセスで実行されるサービスについては、この属性を監視することで、サービスの再起動をログに記録することができます。

簡略記法による属性

次に、エンティティの簡略記法による属性と、解釈される属性を示します。

  • STANDARD: Permissions、Owner、Group、BinaryPathName、Description、State、StartType、LogOnAs、FirstFailure、SecondFailure、SubsequentFailures、ResetFailCountAfter、RunProgram、DependsOn、LoadOrderGroup、ProcessId

「key」の意味

keyはサービスの名前であり、サービスの管理ツールに表示される「name」列と同じである必要はありません (サービスの管理ツールには、サービスの「表示名」が表示されます)。サービス名は、サービスのプロパティで確認することができます。多くの場合、「name」列に表示される値よりも短い名前です。

これは、階層型のエンティティセットではありません。パターンはサービス名のみに適用されます。結果として、**パターンは適用できません。

サブエレメント

  • Include
  • Exclude

これらのエレメントに指定できる属性とサブエレメントのincludeの概要は、「変更監視ルールの言語」を参照してください。ここでは、このエンティティセットクラスに関連するincludeおよびexcludeに固有の情報のみを記載します。

ServiceSetのincludeおよびexcludeに固有の属性

state:サービスの状態(停止、開始、停止、実行、続行保留、一時停止保留、一時停止)に基づいて含めるか除外します。次の例では、実行中のサービスセットの変更について監視します。

<ServiceSet>
<include state="running"/>
</ServiceSet>