ソース名：AlertManagerMainService、イベントID：802、「イベントログ監視警告」 
が通知されてきました。どうすれば良いでしょうか。

以下の2つのケースが考えられます。

1.
※イベントログを見るとイベントが時系列に登録されていない場合はこちら。 

ESMPRO/ServerAgentでは、前回OS起動中にイベントログをどこまで読み取ったかの 
管理情報をレジストリに保存しておりますが、OSが正常終了される前に 
電源断されるなどで、この情報が不正な値となる場合があります。 
このような場合、前回OS起動中にイベントログをどこまで読み取ったのかが 
判断できないため、一度、現在登録されているイベントログを最初から全て 
読み取りするリカバリ処理を行います。 
以前のESMPRO/ServerAgentでは、リカバリ処理で読み取り中、通報対象のイベント 
があった場合、そのイベントが既に通報済みか、そうでないかは判断でき 
ないため、過去に通報済みのイベントも含めて全て通報しておりました。 
しかし、リカバリ処理が発生したことにより、過去に通報済みのイベント 
が大量に通報されてきたとの問合せがいくつかあり、また、強い改善要望 
がありました。 
そのため、ESMPRO/ServerAgentを改善し、現在は以下の仕様となっております。 

ESMPRO/ServerAgentのイベントログ監視では、ログの種類(システム、セキュリティ、 
アプリケーションなど)毎に最後に通報要求したイベントの日時を内部情報 
として保持しております。 
イベントログに新規にイベントが登録された場合、ESMPRO/ServerAgentは内部情報の 
日時と比較を行い、日時が古い場合は通報を行わない仕様となっております。 
日時の古いイベントを検知した場合は、イベントログのシステムログに以下 
のイベントを記録し、マネージャ通報を行います。 

---------------------------------------------------------------- 
ソース名  : AlertManagerMainService 
イベントID: 802 
説明      : xxxログ監視中に過去のイベントを検知しました。 
            以下の原因が考えられます。 
            － システム時刻が変更された。 
            － シャットダウンが正常に行われなかった。 
            － イベントログファイルが壊れている。 
---------------------------------------------------------------- 

システム時刻を変更した等が原因で、上記イベントが登録された場合は以下の 
対処を行うようお願いします。 
なお、以下の対処方法は上記イベントをマネージャ通報したアラートの[対処] 
にも記載されております。 
------------------------------------------------------------------- 
レジストリ:HKEY_LOCAL_MACHINE\SOFTWARE\NEC\ESMAlertMan\AMMNEVキー 
配下の値("{イベントログの名前}Time")のデータを全て0に再設定する。 
------------------------------------------------------------------- 
※本対処方法は、レジストリを直接変更しますので十分に注意願います。 

2.
※イベントログを見てもイベントは正しく時系列に登録されている場合はこちら。 

イベントログが時系列に登録されていないことが原因です。 
イベントログの時刻は2種類あり、イベントビューアで表示されるのは 
時刻Aとなります。 
一方、ESMPRO/ServerAgentでは、実際にログが書き込まれてから通報処理を行なう 
関係上、時刻Bを基準としております。 

[イベントビューアの登録状況] 
--------------------------------------------------------- 
日付       | 時刻A(*1) | 時刻B(*2) | ソース名 | イベントID 
--------------------------------------------------------- 
2005/12/02 | 04:17:01  | 04:17:01  | EventLog | 6005 
2005/12/02 | 04:17:01  | 04:17:01  | EventLog | 6009 
2005/12/02 | 04:16:32  | 04:17:02  | sradisk  | 518 
--------------------------------------------------------- 
(*1)アプリケーションからイベントログサービスに書き込み要求 
    があった時間。 
(*2)イベントログサービスがイベントログファイルにログを登録 
    した時間。 

上記の場合、ESMPRO/ServerAgentは、監視対象であるsradisk(518)の時刻Bを 
保持します。 
次に、EventLog(6009)を読み込み、EventLog(6009)の時刻Bと、保持 
しているsradisk(518)の時刻Bの比較を行います。 
比較の結果、EventLog(6009)の時刻の方が過去となるため、 
「イベントログ監視警告」を通知しております。