事件日志是Windows服务,用于记录Windows设备中发生的程序,安全性和系统事件。这些事件可能与某些应用程序,系统或安全性有关。您可以使用OpManager监视这些事件,并配置为在记录严重事件时生成告警。OpManager使用WMI来获取这些日志的详细信息,因此您需要提供具有管理特权的用户的登录详细信息以连接到Windows计算机。
您可以查看由OpManager监视的所有事件的列表,请转到设置 > 监视 > 事件日志规则
要监视Windows事件,您需要将事件日志监视器与设备关联。为此,请按照以下步骤操作:
注意:必须启用“ 监视间隔”复选框。如果禁用,则将禁用与该设备关联的所有事件日志监视器,尽管它们已与该设备关联,但它们将不起作用。
要创建事件日志监视器,请执行以下步骤:
进入设置>监控>事件日志规则,
在该页面中,您可以看到OpManager支持的规则。它们分为应用程序,安全性,系统,DNS服务器,文件复制服务和目录服务。您可以在任何这些类别下添加要监视的事件日志。
点击任一类别下的 添加新规则 以添加规则。
除规则名称外,所有字段的输入都是可选的。事件ID是标识事件的必填字段,但在少数特殊情况下可以保留为空白,例如,您要监视所有属于事件类型的事件,例如错误或信息。此处,过滤器将基于事件类型。
选择日志文件名。
输入唯一的规则名称。
输入要监视的事件ID。这是事件日志的唯一标识符。
输入事件Source。这是记录事件的软件的名称。
输入事件类别。每个事件源都定义了自己的类别,例如数据写入错误,日期读取错误等,并将属于这些类别之一。
键入用户名以根据事件发生时已登录的用户来过滤事件日志。
选择事件类型以根据事件日志的类型过滤事件日志。这通常是错误,警告,信息,安全审核成功和安全审核失败之一。
说明匹配文本:输入要与日志消息进行比较的字符串。这将过滤日志消息中包含此字符串的事件。
您也可以在自定义类别下监视事件日志。某些应用程序将事件记录在默认系统/应用程序/安全性类别以外的新类别中。现在,您可以在OpManager中配置规则以解析此类自定义类别中的事件,并在OpManager中触发相应的告警。步骤如下:
现在,您可以将规则(默认或自定义事件日志)关联到所需的设备。