Eventi di Windows

Si applica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

<_caps3a_sxs _xmlns3a_caps="https://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="it-IT">Molte applicazioni basate su Windows inviare informazioni agli eventi nel registro eventi di Windows. Potrebbe trattarsi di un log standard, ad esempio Application o in un log specifico dell'applicazione monitorata. Questi eventi seguono un formato standard e spesso contengono informazioni dettagliate sul problema specifico. Se l'applicazione si sta monitorando crea un evento Windows in risposta a un particolare problema, quindi trattarsi probabilmente il modo più efficace per rilevare il problema in un Operations Manager management pack di.Quando si crea una regola o monitoraggio che utilizza un evento di Windows, Operations Manager monitora costantemente il log e risponde immediatamente quando viene rilevato un evento corrispondente ai criteri specificati. Questi eventi vengono rese persistenti sono disponibili dopo averli creati inizialmente.Operations Manager verrà registrare l'ultima posizione che letto nel log e continuare da tale posizione alla successiva esecuzione operazioni di lettura log. Se il servizio di integrità dell'agente non è in esecuzione quando viene creato un evento specifico, Operations Manager la rileverà la volta successiva che l'agente viene avviato.Procedure guidate di eventi di WindowsNella tabella seguente sono elencate le procedure guidate disponibili per gli eventi di Windows.Oggetto Management PackProcedure guidate disponibiliMonitoraggiRilevamento evento semplice utilizzando ognuna dello standard Event Monitor Reset metodiRipetuto il rilevamento di eventi utilizzando ognuna dello standard Event Monitor Reset metodiRilevamento di eventi utilizzando ognuna dello standard mancante Event Monitor Reset metodiRilevamento di eventi utilizzando ognuna dello standard correlati Event Monitor Reset metodiRilevamento evento mancante utilizzando ognuna dello standard correlati Event Monitor Reset metodiRegoleRegola di evento di avviso la generazione di WindowsRegola di evento Windows di raccolta eventiOpzioni della procedura guidata eventi WindowsQuando si esegue una guidata regola o il monitoraggio di eventi Windows, è necessario fornire valori per le opzioni nelle tabelle seguenti. Ogni tabella rappresenta una singola pagina della procedura guidata.GeneraleIl Generale pagina include le impostazioni generali per la regola o guidata inclusi il nome, categoria, destinazione e file del management pack in cui salvarlo.OpzioneDescrizioneNomeNome utilizzato per la regola o monitoraggio. Per una regola, viene visualizzato il nome di regole visualizzare nel Authoring riquadro. Quando si crea una vista o un report, è possibile selezionare il nome da utilizzare i dati raccolti da esso. Per un monitoraggio, il nome viene visualizzato in Esplora stati degli oggetti di destinazione.DescrizioneDescrizione facoltativa della regola o del monitoraggio.Management PackFile del management pack per archiviare la regola o monitoraggio.Per ulteriori informazioni sui management pack, vedere Selecting a Management Pack.Categoria della regola (solo regole)Categoria per la regola. Per una regola di raccolta di eventi deve essere la raccolta degli eventi. Per una regola di avviso, deve essere avviso.Monitoraggio padre (solo monitor)Monitoraggio aggregato che verrà posizionato il monitoraggio in Esplora stati. Per altre informazioni, vedere Aggregate Monitors.DestinazioneLa classe da utilizzare per la destinazione della regola o del monitoraggio. La regola o il monitoraggio deve essere eseguito su qualsiasi agente che ha almeno un'istanza di questa classe. Per ulteriori informazioni sulle destinazioni, vedere Targets, Groups, and Objects.La regola è attivataIl monitoraggio è attivatoSpecifica se la regola o il monitoraggio è abilitato.Tipo del Log eventiIl registro eventi di tipo pagina include il nome del registro eventi in cui si prevede l'evento da creare. Esisterà un unico registro eventi di tipo pagina per una raccolta o regola di avviso e di un monitoraggio dell'utilizzo di reimpostazione manuale o timer. Per un monitoraggio utilizzando Reimposta evento Windows, è necessario definire il log per la condizione di errore e per la condizione integra. In genere si specificherà il registro stesso per entrambe le condizioni, ma un altro log può essere utilizzato per ogni.È possibile digitare il nome il registro eventi di Nome registro casella oppure fare clic sul pulsante dei puntini di sospensione e selezionare un registro. Espressione eventoOltre al nome del log per recuperare gli eventi, flussi di lavoro utilizzando un evento Windows deve specificare criteri sufficienti per identificare gli eventi correlati al problema identificato. Spesso la Event ID e Event Source sarà sufficiente a questo scopo. Ciò dipende dal tipo di informazioni che l'applicazione fornisce in particolare evento oltre la destinazione utilizzata per il monitoraggio. Se la classe viene utilizzata come destinazione per il monitoraggio deve disporre di più istanze su un determinato agente, queste due proprietà sono probabilmente insufficienti per l'univocità. A meno che i criteri includevano una proprietà chiave per la classe di destinazione, quindi i criteri eventualmente verrebbero applicato a tutte le istanze.Esisterà un unico registro eventi di tipo pagina per ogni raccolta registro eventi di tipo pagina o di una regola di avviso e di un monitoraggio dell'utilizzo di reimpostazione manuale o timer. Per un monitoraggio utilizzando Reimposta evento Windows, è necessario definire il log per la condizione di errore e per la condizione integra. In genere si specificherà il registro stesso per entrambe le condizioni, ma un altro log può essere utilizzato per ogni.Nella tabella seguente sono elencate le proprietà disponibili da eventi di Windows. Queste proprietà sono accessibili per l'impostazione di criteri in monitoraggi e regole e possono essere incluso nelle descrizioni degli avvisi.EspressioneDescrizioneOrigine eventoOrigine dell'evento. In genere utilizzati nei criteri della regola o monitoraggio.Logname/canaleNome del registro eventi, ad esempio l'applicazione o del sistema.Computer di accessoNome del computer la registrazione dell'evento.ID eventoNumero dell'evento.Categoria eventoCategoria dell'evento.Livello di eventoGravità dell'evento che utilizza uno dei valori seguenti.Esito positivo (0)Errore (1)Avviso (2)Informazioni (4)Controllo con esito positivo (8)Operazioni non riuscite (16)UtenteNome dell'account utente utilizzato per creare l'evento.EventDescriptionDescrizione evento completo.ParametroRaccolta di parametri di evento.Riavvio automatico del timerIl Timer di reimpostazione automatica pagina è disponibile solo per timer Reimposta monitoraggi. Consente di impostare il tempo che deve trascorrere dopo aver creato l'avviso prima che l'avviso verrà risolto automaticamente.Configura statoIl Configura stato pagina è disponibile solo per i monitor. Consente di specificare lo stato di integrità che verrà impostato per ogni evento. Per un manuale Reimposta monitor, la reimpostazione manuale condizione sarà integro, ed è possibile specificare se il generato l'evento condizione verrà impostato il monitoraggio un avviso o un critico stato. Per un Timer reimpostato o Reimposta evento Windows, è possibile specificare lo stato impostato da ogni evento. Il primo evento verrà in genere impostato il monitoraggio avviso o critico mentre il secondo evento o il timer verrà impostato il monitoraggio integro.Configura avvisiIl Configura avvisi pagina è disponibile solo per i monitoraggi e le regole di avviso. Vengono descritte le opzioni disponibili in Alerts.Creazione di monitoraggi di eventi di WindowsCome creare un monitoraggio eventi WindowsUtilizzare la procedura seguente per creare un monitoraggio degli eventi in Operations Manager con i dettagli seguenti:Viene eseguito in tutti gli agenti con un particolare servizio installato.Imposta il monitoraggio un critico quando in un evento di stato il applicazione registro eventi con un'origine evento EventCreatee un numero di eventi di 101 viene rilevato.Imposta il monitoraggio un integro quando in un evento di stato il applicazione registro eventi con un'origine evento EventCreatee un numero di eventi di 102 viene rilevato.EventCreate viene utilizzato come origine dell'evento in modo che l'utilità EventCreate può essere utilizzato per creare un evento di verifica. Questa utilità è disponibile in qualsiasi Computer Windows e crea gli eventi di test con un'origine di EventCreate. Se si dispone di un altro metodo per la creazione di eventi di test, è possibile utilizzare un'origine diversa.Per creare un monitoraggio di eventiSe non si dispone di un Management Pack per l'applicazione monitorata, crearne uno utilizzando il processo descritto in Selecting a Management Pack.Creare una nuova destinazione utilizzando il processo in To create a Windows Service template. È possibile utilizzare qualsiasi servizio installato in un agente di test per questo modello.Nella Console operatore selezionare l'area di lavoro Creazione e modifica.Selezionare oggetti Management Pack.Fare doppio clic su Monitor, selezionare Create e monitoraggio, quindi selezionare monitoraggio unità.Nel tipo di monitoraggio pagina, eseguire le operazioni seguenti:Nel Selezionare il tipo di monitoraggio da creare espandere gli eventi di Windows e quindi rilevamento evento semplice.Selezionare ripristino eventi di Windows.Nel Management Pack elenco a discesa, seleziona il management pack per l'applicazione.Fare clic su Avanti.Nella pagina Generale, eseguire le operazioni seguenti:Nel nome digitare evento di errore 101 o un altro nome per il monitoraggio. Questo è il testo che verrà visualizzato in Esplora stati.Fare clic su selezionare.Nel Seleziona elementi per destinazione finestra di dialogo, selezionare il nome utilizzato per il modello servizio Windows nel passaggio 2.Il monitoraggio padre casella dovrebbe visualizzare disponibilità. È possibile selezionare un monitoraggio padre diverso.Assicurarsi che disponibilità selezionato per il monitoraggio padre.Il Monitor attivato casella deve essere controllato in modo che il monitoraggio è abilitato.Fare clic su Avanti.Nel registro eventi (evento non integro) pagina, eseguire le operazioni seguenti:Nel Nome registro mantenere il valore predefinito di applicazione.Fare clic su Avanti.Nel espressione evento (evento non integro) pagina, eseguire le operazioni seguenti:Per il ID evento valore, digitare 101Per il origine evento valore, digitare EventCreateFare clic su Avanti.Nel registro eventi (evento integro) pagina, eseguire le operazioni seguenti:Nel Nome registro mantenere il valore predefinito di applicazione.Fare clic su Avanti.Nel espressione evento (evento integro) pagina, eseguire le operazioni seguenti:Per il ID evento valore, digitare 102Per il origine evento valore, digitare EventCreateFare clic su Avanti.Nella pagina Configura stato, procedere come segue:Per FirstEventRaised, modificare il stato a critico.Per il origine evento valore, digitare EventCreateFare clic su Avanti.Nel Configura avvisi pagina, eseguire le operazioni seguenti:Selezionare Genera avvisi per questo monitor.Scegliere Crea.Event Monitors and Rules Event Monitor Logic Event Monitor Reset Alerts <_caps3a_sxssource locale="en-US">Many Windows-based applications post information to events in a Windows event log. This could be a standard log such as Application or a log specific to the application being monitored. These events follow a standard format and frequently contain detailed information about the particular issue. If the application you are monitoring creates a Windows event in response to a particular issue, then this likely be the most effective way to detect the issue in an Operations Manager management pack.When you create a rule or monitor that uses a Windows event, Operations Manager continuously monitors the log and immediately responds when an event matching the specified criteria is detected. These events are persisted meaning that they are available after they are initially created.Operations Manager will record the last position that it read in the log and continue from that position the next time it reads the log. If the health service on the agent is not running when a particular event is created, Operations Manager will detect it the next time that the agent is started.Windows Event WizardsThe table below lists the wizards that are available for Windows events.Management Pack ObjectWizards AvailableMonitorsSimple Event Detection using each of the standard Event Monitor Reset methodsRepeated Event Detection using each of the standard Event Monitor Reset methodsMissing Event Detection using each of the standard Event Monitor Reset methodsCorrelated Event Detection using each of the standard Event Monitor Reset methodsCorrelated Missing Event Detection using each of the standard Event Monitor Reset methodsRulesAlert Generating Windows event ruleEvent collection Windows event ruleWindows Event Wizard OptionsWhen you run a Windows event rule or monitor wizard, you will need to provide values for options in the following tables. Each table represents a single page in the wizard.GeneralThe General page includes general settings for the rule or wizard including its name, category, target, and the management pack file to store it in.OptionDescriptionNameThe name used for the rule or monitor. For a rule, the name appears in the Rules view in the Authoring pane. When you create a view or report, you can select this name to use the data collected by it. For a monitor, the name appears in the Health Explorer of any target objects.DescriptionOptional description of the rule or monitor.Management PackManagement pack file to store the rule or monitor.For more information on management packs, see Selecting a Management Pack.Rule Category (Rules only)The category for the rule. For an event collection rule, this should be Event Collection. For an alerting rule, this should be Alert.Parent Monitor (Monitors only)The aggregate monitor that the monitor will be positioned under in the Health Explorer. For more information, see Aggregate Monitors.TargetThe class to use for the target of the rule or monitor. The rule or monitor will be run on any agent that has at least one instance of this class. For more information on targets, see Targets, Groups, and Objects.Rule is enabledMonitor is enabledSpecifies whether the rule or monitor is enabled.Event Log TypeThe Event Log Type page includes the name of the event log where you expect the event to be created. There will be a single Event Log Type page for a collection or alerting rule and for a monitor using manual or timer reset. For a monitor using Windows Event Reset, you will have to define the log for both the error condition and for the healthy condition. You will typically specify the same log for both conditions, but a different log could be used for each.You can type in the name of the event log in the Log name box, or you can click the ellipse button and select a log. Event ExpressionIn addition to the name of the log to retrieve events from, workflows using a Windows event must specify sufficient criteria to identify the particular events that relate to the issue being identified. Frequently, the Event ID and the Event Source will be sufficient for this purpose. This depends on the kind of information that the application provides in the particular event in addition to the target that is being used for the monitor. If the class being used as the target for the monitor is expected to have multiple instances on a particular agent, then these two properties are probably insufficient for uniqueness. Unless the criteria included a key property for the target class then the criteria would possibly apply to all instances.There will be a single Event Log Type page for each Event Log Type Page collection or alerting rule and for a monitor using manual or timer reset. For a monitor using Windows Event Reset, you will have to define the log for both the error condition and for the healthy condition. You will typically specify the same log for both conditions, but a different log could be used for each.The following table lists the properties available from Windows Events. These properties can be accessed for setting criteria in monitors and rules and can be included in alert descriptions.ExpressionDescriptionEvent SourceSource of the event. Generally used in the criteria of the monitor or rule.Logname/ChannelName of the event log such as Application or System.Logging ComputerName of the computer logging the event.Event IDNumber of the event.Event CategoryCategory of the event.Event LevelSeverity of the event that uses one of the following values.Success (0)Error (1)Warning (2)Information (4)Success Audit (8)Failure Audit (16)UserName of the user account that was used to create the event.EventDescriptionFull event description.ParameterCollection of event parameters.Auto Reset TimerThe Auto Reset Timer page is only available for timer reset monitors. It allows you to set the time that must pass after the alert is created before the alert is automatically resolved.Configure HealthThe Configure Health page is only available for monitors. It allows you to specify the health state that will be set for each of the events. For a manual reset monitor, the Manual Reset condition will be Healthy, and you can specify whether the Event Raised condition will set the monitor to a Warning or a Critical state. For a Timer Reset or a Windows Event Reset, you can specify the health state set by each event. The first event will typically set the monitor to Warning or Critical while the second event or the timer will set the monitor to Healthy.Configure AlertsThe Configure Alerts page is only available for monitors and alerting rules. Its options are explained in Alerts.Creating Windows Event MonitorsHow to create a Windows event monitorUse the following procedure to create an event monitor in Operations Manager with the following details:Runs on all agents with a particular service installed.Sets the monitor to a critical state when an event in the Application event log with an event source of EventCreateand an event number of 101 is detected.Sets the monitor to a healthy state when an event in the Application event log with an event source of EventCreateand an event number of 102 is detected.EventCreate is used as the event source so that the EventCreate utility can be used to create a test event. This utility is available on any Windows Computer and creates test events with a source of EventCreate. If you have another method of creating test events, then you can use a different source.To create an event monitorIf you don’t have a management pack for the application that you are monitoring, create one using the process in Selecting a Management Pack.Create a new target using the process in To create a Windows Service template. You can use any service installed on a test agent for this template.In the Operations console, select the Authoring workspace.Select Management Pack Objects.Right-click Monitors, select Create and Monitor, and then select Unit Monitor.On the Monitor Type page, do the following:In the Select the type of monitor to create box, expand Windows Events and then Simple Event Detection.Select Windows Event Reset.In the Management Pack dropdown list, select the management pack for the application.Click Next.On the General page, do the following:In the Name box, type Error event 101 or another name for the monitor. This is the text that will appear in the Health Explorer.Click Select.In the Select Items to Target dialog box, select the name that you used for the Windows Service template in step 2.The Parent monitor box should show Availability. You can select a different parent monitor.Ensure that Availability is selected for the Parent monitor.The Monitor is enabled box should be checked so that the monitor is enabled.Click Next.On the Event Log (Unhealthy Event) page, do the following:In the Log Name box, keep the default value of Application.Click Next.On the Event Expression (Unhealthy Event) page, do the following:For the Event ID value, type 101For the Event Source value, type EventCreateClick Next.On the Event Log (Healthy Event) page, do the following:In the Log Name box, keep the default value of Application.Click Next.On the Event Expression (Healthy Event) page, do the following:For the Event ID value, type 102For the Event Source value, type EventCreateClick Next.On the Configure Health page, do the following:For FirstEventRaised, change the Health State to Critical.For the Event Source value, type EventCreateClick Next.On the Configure Alerts page, do the following:Select Generate alerts for this monitor.Click Create.Event Monitors and Rules Event Monitor Logic Event Monitor Reset Alerts