テキストログ監視で、ワイルドカード指定による複数ファイル監視時に検出済みのログが誤検知される

■概要
WindowsおよびLinuxのテキストログ監視では、監視対象ファイル名にワイルドカード（アスタリスク(*)とクエスチョンマーク(?)）が指定でき、複数ファイルを監視対象とすることができます。

(例)
C:\work\log\*.log
C:\work\log\bomlog??.log

ワイルドカード指定による複数ファイル監視は、ログローテーションなどにより更新ファイル（ログが追記されるファイル）が明確に切り替わる場合には適していますが、同時進行で更新されるファイルが複数ある場合には、過去に検出済みのログを誤検知する場合があります。

■テキストログ監視の仕組み
テキストログ監視では、以下の情報を基に追加されたログを識別し、差分監視を行います。

• 前回監視時点よりファイル更新日時が新しくなっているか
• 前回監視時点よりファイルサイズが増加しているか
• 前回監視時点でBOMにより生成されたハッシュ値が存在しているか

例えば、監視実行周期の間にログローテーションが発生した場合、ハッシュ値を持つ旧ファイルと、新たに作成された新ファイルが混在した状態となります。
この場合、以下の流れで監視対象ファイルが切り替わります。

1. ハッシュ値のある旧ファイルに対して差分監視を実施
2. 旧ファイルよりも更新日時が新しいファイルに対して「全文検索」を実施
3. 新ファイル側のハッシュ値を生成

しかし、以下「条件」に該当する場合、監視対象ファイルの切り替わり時に初回実施される「全文検索」により、過去に検出したログを誤検知する可能性があります。

■ 条件
以下の流れを満たした場合、過去に検出済みのログを誤検知する場合があります。

1. テキストログ監視の監視対象ファイル名にワイルドカードを指定し、監視を開始する。なお、ワイルドカードの対象は「ファイルA」および「ファイルB」とする
2. ファイルAにのみログが記録されている状況であり、テキストログ監視としてはファイルAのみ監視している
3. 監視実行周期の間に「ファイルB」に最新のログが記録される
4. 次の監視実行周期でテキストログ監視が実行される
   • ファイルBのハッシュ値が生成され、ファイルAからファイルBに監視対象が移行します。
   • 監視対象ファイル移行の際に「全文検索」が実行されます。
5. 「ファイルA」の内容が残った状態で、監視実行周期の間に再び「ファイルA」に最新のログが記録される
6. 次の監視実行周期でテキストログ監視が実行される
   • ファイルAのハッシュ値が生成され、ファイルBからファイルAに監視対象が移行します。
   • 監視対象ファイル移行の際に「全文検索」が実行され、過去に検出済みのログが誤検知されます。

■ 対処方法
テキストログ監のファイル指定において、同時進行で更新される複数のファイルが存在する環境では、ワイルドカードの利用は適切ではありません。
その場合は、新たにテキストログ監視を作成し、1ファイルごとに個別に監視設定を実施してください。