ServiceSet
変更監視モジュールは、への予期しない変更をスキャンしますディレクトリ、レジストリ値、レジストリキー、サービス、プロセス、インストール済みのソフトウェア、ポート、グループ、ユーザ、ファイル、 そしてそのWQLエージェントのクエリステートメント。変更監視を有効にして設定するには、「変更監視の設定」を参照してください。
ServiceSetエレメントは、サービスのセットを表します (Windowsのみ)。サービスは、「サービス名」によって識別されます。このサービス名は、サービスの管理ツールに表示される「name」列の値と同じものではありません。サービス名は、サービスのプロパティで確認することができます。多くの場合、「name」列に表示される値よりも短い名前です (この値は、実際にはサービスの「表示名」です)。たとえば、エージェントのサービス名は「ds_agent」で、表示名は「Trend Micro Deep Security Agent」です。
タグ属性
次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。
属性 | 説明 | 必須 | 初期設定値 | 設定できる値 |
onChange | リアルタイムで監視するかどうかを示します。 | いいえ | false | true、false |
エンティティセットの属性
次に示すエンティティの属性は、変更監視ルールによって監視可能な属性です。
- アクセス許可: SDDL 形式のサービスのセキュリティ記述子。
- 所有者:サービス所有者のユーザID
- グループ:サービス所有者のグループID
- BinaryPathName:サービスを開始するためにWindowsが使用するパスとオプションのコマンドライン引数(省略可能)。
- DisplayName:サービスの[表示名]で、サービスの[プロパティ]パネルに表示されます。
- 説明:[サービス]パネルに表示される説明
- 状態:サービスの現在の状態。次のいずれかです: stopped、starting、stopping、running、continuePending、pausePending、paused
- StartType:サービスはどのように開始されますか?次のいずれかです: automatic、disabled、manual
- LogOnAs:サービスプロセスの実行時にサービスプロセスがログオンするアカウントの名前。
- FirstFailure:サービスが初めて失敗したときの処理です。形式は「delayInMsec,action」で、処理はNone、Restart、Reboot、RunCommandのいずれかです。
- SecondFailure:サービスが2回失敗したときの処理です。形式は「delayInMsec,action」で、処理はNone、Restart、Reboot、RunCommandのいずれかです。
- SubsequentFailures:サービスが3回目以降に失敗した場合に実行する処理です。形式は「delayInMsec,action」で、処理はNone、Restart、Reboot、RunCommandのいずれかです。
- ResetFailCountAfter:失敗がない場合に失敗カウントをゼロにリセットするまでの時間(秒)。
- RebootMessage:「再起動」サービスコントローラーの処理に応答して再起動する前に、サーバユーザにブロードキャストするメッセージ。
- RunProgram:RunCommandサービスコントローラーの処理に応答して実行するプロセスの完全なコマンドラインです。
- DependsOn:サービスが依存するコンポーネントのコンマ区切りのリスト
- LoadOrderGroup:このサービスが属するロードオーダーグループです。システムのスタートアッププログラムは、ロード順序グループを使用して、他のグループに対して指定された順序どおりにサービスのグループをロードします。ロード順序グループは、レジストリ値HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrderに含まれています。
- ProcessId:サービスをホストするプロセスの数値IDです。1個のWindowsプロセスに多数のサービスが存在する可能性がありますが、独自のプロセスで実行されるサービスについては、この属性を監視することで、サービスの再起動をログに記録することができます。
簡略記法による属性
次に、エンティティの簡略記法による属性と、解釈される属性を示します。
- STANDARD: Permissions、Owner、Group、BinaryPathName、Description、State、StartType、LogOnAs、FirstFailure、SecondFailure、SubsequentFailures、ResetFailCountAfter、RunProgram、DependsOn、LoadOrderGroup、ProcessId
「key」の意味
keyはサービスの名前であり、サービスの管理ツールに表示される「name」列と同じである必要はありません (サービスの管理ツールには、サービスの「表示名」が表示されます)。サービス名は、サービスのプロパティで確認することができます。多くの場合、「name」列に表示される値よりも短い名前です。
これは、階層型のエンティティセットではありません。パターンはサービス名のみに適用されます。結果として、**パターンは適用できません。
サブエレメント
- Include
- Exclude
これらのエレメントに指定できる属性とサブエレメントのincludeの概要は、「変更監視ルールの言語」を参照してください。ここでは、このエンティティセットクラスに関連するincludeおよびexcludeに固有の情報のみを記載します。
ServiceSetのincludeおよびexcludeに固有の属性
state:サービスの状態(停止、開始、停止、実行、続行保留、一時停止保留、一時停止)に基づいて含めるか除外します。次の例では、実行中のサービスセットの変更について監視します。
<ServiceSet>
<include state="running"/>
</ServiceSet>