ProcessSet

プロセスのセットを表します。

タグ属性

次に示すXML属性はタグ自体の属性であり、変更監視ルールによって監視されるエンティティの属性ではありません。

属性	説明	必須	初期設定値	設定できる値
onChange	リアルタイムで監視するかどうかを示します。	いいえ	false	true、false

エンティティセットの属性

次に示すエンティティの属性は、変更監視ルールによって監視可能な属性です。

• CommandLine: 「ps -f」 (UNIX)、「ps w」 (Linux)、またはProcess Explorer (Windows) によって表示される完全なコマンドライン。
• Group: プロセスが実行されているグループ。UNIXでは、プロセスの「有効な」グループIDです。グループIDは、時間とともにプロセスが権限を破棄するか、またはプロセスが有効なグループ資格情報を切り替えた場合に、変更されることがあります。Windowsでは、現在のプロセスのプライマリグループであり、TokenInformationClassにTokenPrimaryGroupが指定されたWin32 API GetTokenInformationによって返されます。これは、新しく作成されたオブジェクトでは、初期設定のプライマリグループSIDです。プロセスには、通常、プライマリグループ以外にも1つ以上のグループ資格情報が関連付けられています。これらの追加のグループ資格情報は、Agentによって監視されません。これらの情報は、Process Explorerにあるプロセスプロパティの「セキュリティ」タブで表示できます。
• Parent: このプロセスを作成したプロセスのPID。
• Path: プロセスのバイナリへの完全パス。Solaris 8および9、HP-UXでは使用できません。Windowsでは、このパスは、GetModuleFileNameEx() APIから取得されます。LinuxおよびSolaris 10では、このパスはそれぞれシンボリックリンク /proc/{pid}/exeまたは/proc/{pid}/path/a.outから取得されます。
• Process: プロセスバイナリの短い名前 (パスを含まない名前)。たとえば、「c:\windows\notepad.exe」の場合は「notepad.exe」であり、「/usr/local/bin/httpd」の場合は「httpd」です。
• Threads: プロセス内で現在実行中のスレッドの数。HP-UXでは使用できません。
• User: プロセスが実行されているユーザ。UNIXでは、プロセスの「有効な」ユーザIDです。このユーザIDは、時間とともにプロセスが権限を破棄するか、またはプロセスが有効なユーザ資格情報を切り替えた場合に、変更されることがあります。

簡略記法による属性

• STANDARD: CommandLine、Group、Parent、Path (利用可能な場合)、Process、User

「key」の意味

keyは、実行可能ファイルの短い名前である「Process」属性と、PIDを組み合わせたものです。PIDは、名前とパスのセパレータの後に追加されます。たとえば、Windowsではnotepad.exe\1234、UNIXではhttpd/1234となります。パスのセパレータを使用することで、key="abc/*"のinclude/exclude照合が期待どおりに動作するようになります。

サブエレメント

• Include
• Exclude

これらのエレメントに指定できる属性とサブエレメントについては、includeの一般的な説明を参照してください。ここでは、このエンティティセットクラスに関連するinclude/excludeに固有の情報のみを記載します。

ProcessSetsのinclude/excludeに固有の属性

次の例は、PIDに関係なく、notepad.exeの実行中のプロセスセットを監視します。

<ProcessSet>
<include key="notepad.exe\*" />
</ProcessSet>

これ以外にも、プロセスの各種の属性をinclude/excludeでの監視機能で使用できます。監視機能では、UNIXのglobスタイルのワイルドカードである*および?がサポートされ、パスのセパレータまたはその他の文字の正規化は実行されません。監視機能は、属性の値に対する、単純なglobスタイルのパターン照合です。

CommandLine

プロセスのcommandLine属性に対する、ワイルドカード一致をチェックします。次の例では、コマンドラインが「*httpd *」に一致するプロセスが監視されます。

<ProcessSet>
<include commandLine="*httpd *" />
</ProcessSet>

Group

プロセスのgroup属性に対する、ワイルドカード一致をチェックします。数値形式ではなく、テキスト形式のグループ名が使用されます。Linuxでデーモングループをテストするには、「2」ではなく「daemon」を使用します。次の例では、root、daemon、lpのいずれかのグループとして実行されるプロセスを監視します。

<ProcessSet>
<include group="root" />
<include group="daemon" />
<include group="lp" />
</ProcessSet>

Path

プロセスのpath属性に対する、ワイルドカード一致をチェックします。path属性は、一部のプラットフォームでは使用できません。次の例では、System32の下にバイナリがあるプロセスを監視します。

<ProcessSet>
<include path="*\System32\*" />
</ProcessSet>

User

プロセスのuser属性に対する、ワイルドカード一致をチェックします。数値形式ではなく、テキスト形式のユーザ名が使用されます。UNIXでスーパーユーザをチェックするには、「0」ではなく「root」を使用します。次の例では、NT AUTHORITY\SYSTEM、NT AUTHORITY\LOCAL SERVICE、NT AUTHORITY\NETWORK SERVICEなど、組み込みのシステムユーザとして実行される任意のプロセスを監視します。

<ProcessSet>
<include user="NT AUTHORITY\*" />
</ProcessSet>