ServiceSet

変更監視モジュールは、Deep Security Agent上のディレクトリレジストリ値レジストリキーサービスプロセスインストール済みのソフトウェアポートグループユーザファイル、およびWQLクエリ文に対する想定外の変更を検索します。変更監視を有効にして設定するには、「変更監視の設定」を参照してください。

ServiceSetエレメントは、サービスのセットを表します (Windowsのみ)。サービスは、「サービス名」によって識別されます。このサービス名は、サービスの管理ツールに表示される「name」列の値と同じものではありません。サービス名は、サービスのプロパティで確認することができます。多くの場合、「name」列に表示される値よりも短い名前です (この値は、実際にはサービスの「表示名」です)。たとえば、エージェントのサービス名は「ds_agent」で、表示名は「Trend Micro Deep Security Agent」です。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。

属性 説明 必須 初期設定値 設定できる値
onChange リアルタイムで監視するかどうかを示します。 いいえ false true、false

エンティティセットの属性

次に示すエンティティの属性は、変更監視ルールによって監視可能な属性です。

  • アクセス許可SDDL 形式のサービスのセキュリティ記述子。
  • 所有者:サービス所有者のユーザID
  • グループ:サービス所有者のグループID
  • BinaryPathName:サービスを開始するためにWindowsが使用するパスとオプションのコマンドライン引数(省略可能)。
  • DisplayName:サービスの[表示名]で、サービスの[プロパティ]パネルに表示されます。
  • 説明:[サービス]パネルに表示される説明
  • 状態:サービスの現在の状態。次のいずれかです: stopped、starting、stopping、running、continuePending、pausePending、paused
  • StartType:サービスはどのように開始されますか?次のいずれかです: automatic、disabled、manual
  • LogOnAs:サービスプロセスの実行時にサービスプロセスがログオンするアカウントの名前。
  • FirstFailure:サービスが初めて失敗したときの処理です。形式は「delayInMsec,action」で、処理はNone、Restart、Reboot、RunCommandのいずれかです。
  • SecondFailure:サービスが2回失敗したときの処理です。形式は「delayInMsec,action」で、処理はNone、Restart、Reboot、RunCommandのいずれかです。
  • SubsequentFailures:サービスが3回目以降に失敗した場合に実行する処理です。形式は「delayInMsec,action」で、処理はNone、Restart、Reboot、RunCommandのいずれかです。
  • ResetFailCountAfter:失敗がない場合に失敗カウントをゼロにリセットするまでの時間(秒)。
  • RebootMessage:「再起動」サービスコントローラーの処理に応答して再起動する前に、サーバユーザにブロードキャストするメッセージ。
  • RunProgram:RunCommandサービスコントローラーの処理に応答して実行するプロセスの完全なコマンドラインです。
  • DependsOn:サービスが依存するコンポーネントのコンマ区切りのリスト
  • LoadOrderGroup:このサービスが属するロードオーダーグループです。システムのスタートアッププログラムは、ロード順序グループを使用して、他のグループに対して指定された順序どおりにサービスのグループをロードします。ロード順序グループは、レジストリ値HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrderに含まれています。
  • ProcessId:サービスをホストするプロセスの数値IDです。1個のWindowsプロセスに多数のサービスが存在する可能性がありますが、独自のプロセスで実行されるサービスについては、この属性を監視することで、サービスの再起動をログに記録することができます。

簡略記法による属性

次に、エンティティの簡略記法による属性と、解釈される属性を示します。

  • STANDARD: Permissions、Owner、Group、BinaryPathName、Description、State、StartType、LogOnAs、FirstFailure、SecondFailure、SubsequentFailures、ResetFailCountAfter、RunProgram、DependsOn、LoadOrderGroup、ProcessId

「key」の意味

keyはサービスの名前であり、サービスの管理ツールに表示される「name」列と同じである必要はありません (サービスの管理ツールには、サービスの「表示名」が表示されます)。サービス名は、サービスのプロパティで確認することができます。多くの場合、「name」列に表示される値よりも短い名前です。

これは、階層型のエンティティセットではありません。パターンはサービス名のみに適用されます。結果として、**パターンは適用できません。

サブエレメント

  • Include
  • Exclude

これらのエレメントに指定できる属性とサブエレメントのincludeの概要は、「変更監視ルールの言語」を参照してください。ここでは、このエンティティセットクラスに関連するincludeおよびexcludeに固有の情報のみを記載します。

ServiceSetのincludeおよびexcludeに固有の属性

state:サービスの状態(停止、開始、停止、実行、続行保留、一時停止保留、一時停止)に基づいて含めるか除外します。次の例では、実行中のサービスセットの変更について監視します。

<ServiceSet>
<include state="running"/>
</ServiceSet>