監視ルールの設定画面
監視を行いたいイベントの設定を行います。
各項目についてはイベントログ(「コントロールパネル」→「管理ツール」の「イベントビューア」)を参考に指定してください。
ソース、イベントID、タスクのカテゴリはワイルドカード(*)の指定ができます。

【イベントログ・・・システムログ・セキュリティログ・アプリケーションログ】
1) 指定: 監視対象とするか監視の除外項目とするかを指定します。
2) 種類: イベントの種類(エラー、警告、情報、成功の監査、失敗の監査)を指定します。
3) ソース: イベントのソースを指定します。
4) イベントID: イベントID…イベントIDを指定します。
5) タスクのカテゴリ: タスクのカテゴリを指定します。

【サービス】
監視をしたいサービスを登録します。
各項目についてはサービス(「コントロールパネル」→「管理ツール」の「サービス」)を参考に指定してください。
サービス名は"表示名"ではなく"サービス名"ですのでご注意ください。
1) サービス名: サービス名を指定します。
2) 状態: 監視対象とする状態(開始、停止)を指定します。



この例では以下の監視ルールを定義しています。
システムログ → すべてのエラーイベントを通知する。
セキュリティログ → すべての失敗の監査イベントを通知する。
アプリケーションログ → すべてのエラーイベントを通知する。
サービス → MSSQLSERVERとW3SVCの状態が開始で、wuauservの状態が停止であることをチェックし、状態が異なる場合は管理者に通知する。
ちなみにMSSQLSERVERのサービス”表示名”はSQL Server (MSSQLSERVER)、
W3SVCの”表示名”はWorld Wide Web Publishing Service、
wuauservの”表示名”はWindows Update。