用户手册
事件日志用于监视网络中的windows服务器。日志可以帮助您监控Windows设备上发生的程序、安全性和系统事件。例如,识别性能问题(如流程失败)或安全事件(如未经授权的登录请求)。
在Windows机器中有一个默认的事件查看器可以查看该机器中的事件。但是如果要监视企业网络,通过这种方法手动检查事件是不可行的。 OpManager支持事件日志监控,并帮助您在告警的帮助下轻松识别关键事件。
先决条件: OpManager使用WMI从窗口设备获取这些日志的详细信息。
因此,请确保为用户提供具有访问终端设备的管理权限的登录凭据。如果您是非管理员用户(请访问这篇文章了解更多信息)。要监视Windows事件,您需要将事件日志监视器与设备关联起来:
要创建事件日志监视器,请遵循以下步骤:
进入 设置 > 监控 > 事件日志规则;
在此页面中,您可以看到 OpManager支持的默认规则,分为应用程序、安全、系统、DNS服务器、文件复制服务和目录服务。
点击 “添加”添加新规则;
注意:除“规则名称”外,其余字段的输入为可选择的。在字段中输入过滤事件必需的详细信息。例如,当您提到源和事件ID时,将监视来自所提到源的具有给定ID的所有事件。在另一个实例中,如果您只提到诸如error之类的类别,则将监视所有具有error类别的事件。
选择日志文件名;
键入唯一的规则名称;
输入需要监控的“事件ID”,这是事件日志的唯一标识符,
输入事件来源,这是记录事件的源,它可以是应用程序或应用程序的子组件;例如:DesktopCentral, Microsoft Windows安全
进入事件类别,每个事件源定义了自己的类别,如数据写入错误、日期读取错误等,并将属于这些类别之一;
键入用户名,以根据事件发生时已登录的用户筛选事件日志;
选择“事件类型”,根据事件日志的类型筛选事件日志。这通常是错误、警告、信息、安全审计成功和安全审计失败中的一个;
描述匹配文本:输入要与日志信息进行比对的字符串,这将过滤日志消息中包含此字符串的事件;
您还可以使用正则表达式(RegEx)来指定此字段的匹配标准。例如,考虑一个Eventlog描述为“检查是否有防火墙正在阻止”。下面是一些如何为这个消息形成RegEx模式的例子:
| 状态 | 使用逻辑 | 正则表达式模式 | 实际的正则表达式 |
| 包含"check"和"any" | AND | (?=.*XXX)(?=.*YYY) | (?=.*Check)(?=.*any) |
| 包含 "blocking" 或 "firewall" | OR | (XXX)|(YYY) | (blocking)|(firewall) |
| 不包含 "firewall" | NOT | ^(?!.*XXX).*$ | ^(?!.*firewall).*$ |
上面的图像显示了一个安全事件的示例。您可以在事件查看器中获取必要的详细信息,并在 OpManager中指定它们并监视事件。
您还可以在自定义类别下监视事件日志。一些应用程序将在一个新的类别中事件记录,而不是在默认的系统/应用程序/安全类别。您可以通过在 OpManager中配置规则来解析这些自定义类别中的事件,并在 OpManager中触发相应的告警。步骤如下:
将事件日志监视器关联到多个设备在 OpManager中使用快速配置向导 选项较为便捷。
使用QCW更容易将事件日志规则应用于多个设备,但是,如果经常发现有要监视的新设备,那么向新设备添加事件日志监视器将会变得繁琐。
可以使用发现规则引擎自动化事件日志规则关联过程。使用此选项可以创建自己的规则,将事件日志规则关联到特定设备(如Windows服务器)。
当Windows服务器在 OpManager中被发现时,事件日志规则将应用于Windows服务器。
