Windows-események

Hatókör: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

<_caps3a_sxs _xmlns3a_caps="https://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="hu-HU">Sok Windows-alapú alkalmazások események információkat fel a Windows eseménynaplójában találhatók. A szabványos napló ennek oka lehet Application vagy egy napló, az éppen figyelt alkalmazáshoz. Ezek az események hajtsa végre a szabványos formátumban, és gyakran az az adott probléma részletes információkat tartalmazza. Ha a figyelni kívánt alkalmazáshoz hoz létre egy Windows-esemény egy adott probléma válaszként, akkor ez valószínűleg a leghatékonyabban észlelni a problémát, egy Operations Manager a felügyeleti csomag.Egy szabály vagy figyelő egy Windows-esemény használó létrehozásakor Operations Manager folyamatosan figyeli a naplót, és azonnal reagál, ha a megadott feltételeknek megfelelő esemény észlelhető. Ezek az események vannak megőrizni, ami azt jelenti, hogy érhetők el kezdetben létrehozása után.Operations Manager a program rögzítse az utolsó helyen, olvassa el a napló, és legközelebb azt olvasott helyzete folytatja a napló. Ha az állapotfigyelő szolgáltatás az ügynök nem fut, amikor egy adott eseményt hoz létre, Operations Manager észleli, hogy a következő indításakor az ügynök.Windows-esemény varázslókAz alábbi táblázat felsorolja a varázslók, amelyek a Windows-események esetén érhető el.Felügyeleti csomag objektumA varázslók érhető elFigyelésekEgyszerű esemény észlelése, az egyes normál Event Monitor Reset módszerekIsmétlődő esemény észlelése, az egyes normál Event Monitor Reset módszerekHiányzó esemény észlelése, az egyes normál Event Monitor Reset módszerekKorrelált esemény észlelése, az egyes normál Event Monitor Reset módszerekKorrelált hiányzó esemény észlelése egyes normál Event Monitor Reset módszerekSzabályokLétrehozása a Windows-esemény riasztási szabályWindows esemény eseménygyűjtési szabályWindows-esemény varázsló beállításaiAmikor egy Windows-esemény szabály vagy figyelő varázsló futtatása szüksége lesz értéket adni a következő táblázatok beállításait. Az egyes táblák a varázsló egy-egy oldalának felelnek meg.ÁltalánosA Általános oldalon a szabály vagy a varázsló, beleértve a nevét, a kategória, a cél és a felügyeleti csomag fájl tárolható a általános beállításait tartalmazza.BeállításLeírásNévA szabály vagy figyelő használt neve. Egy szabályban a neve jelenik meg a szabályok megtekintése a szerzői műveletek ablaktáblán. Egy nézet vagy a jelentés létrehozásakor kiválaszthatja az összegyűjtött adatokat használni ezt a nevet. Egy a figyelő a név jelenik meg az állapotkezelő minden cél objektum.LeírásA szabály vagy figyelő leírását.Felügyeleti csomagFelügyeleti csomag fájlt a szabály vagy figyelő tárolására.Felügyeleti csomagok további tudnivalókért tekintse meg a Selecting a Management Pack.A szabály kategória (csak a szabályok)Ez a szabály a kategóriát. Egy eseménygyűjtési szabály, ez kell Eseménygyűjtés. Egy a riasztási szabály a kell lehet riasztási.Szülőfigyelő (csak a figyelők)A figyelő fognak megjelenni a csoportban az állapotkezelő összesítő figyelő. További információ: Aggregate Monitors.TargetA szabály vagy figyelő céljához használt osztály. A szabály vagy figyelő azoknál az ügynököknél, amelynél ez az osztály legalább egy példányát futni fog. Célok további információkért tekintse meg a Targets, Groups, and Objects.A szabály engedélyezve van-eA figyelő engedélyezve van-eMeghatározza, hogy a szabály vagy figyelő engedélyezve van-e.Eseménynapló típusa:A Eseménynapló típus lap az eseménynaplóban a létrehozandó esemény várt nevét tartalmazza. Egyetlen lesz Eseménynapló típus oldalon egy gyűjtemény vagy miatti riasztási szabály, és egy figyelő kézi vagy időzítő alaphelyzetbe állítása használatával. Egy figyelő használatával Windows-esemény alaphelyzetbe, akkor adja meg a naplót, a hiba okát, és a megfelelő feltételhez. Rendszer általában adja meg a naplóhoz, mind a feltételeket, de a másik napló sikerült minden használatos.Az eseménynaplóban a nevében beírhatja a napló neve gépen, illetve is kattintson a három pont gombra, és válassza ki a naplót. EseménykifejezésSzármazó események beolvasni a napló neve mellett egy Windows-esemény használó munkafolyamat meg kell adnia az adott események, amelyek a problémát, azonosított kapcsolatosak azonosító elegendő feltételeket. Gyakran a Event ID és a Event Source elegendő erre a célra szolgáló lesz. Ez az információkat, amelyeket az alkalmazás biztosít a adott esemény mellett a cél, a figyelő használt típusú függ. Az osztály a figyelő a célként használt várhatóan több példánnyal rendelkezik egy adott ügynök, ha ezek a két tulajdonságok egyediségének valószínűleg nem elegendő. Kivéve, ha a feltételek szerepel egy cél osztály kulcstulajdonság majd azokra a feltételekre valószínűleg alkalmazandó összes példánya esetén.Egyetlen lesz Eseménynapló típus oldalon minden Eseménynapló típusa oldal gyűjtemény vagy a riasztási szabály, és a figyelő kézi vagy időzítő alaphelyzetbe állítása használatával. Egy figyelő használatával Windows-esemény alaphelyzetbe, akkor adja meg a naplót, a hiba okát, és a megfelelő feltételhez. Rendszer általában adja meg a naplóhoz, mind a feltételeket, de a másik napló sikerült minden használatos.A következő táblázat felsorolja a Windows-események elérhető tulajdonságok. Ezeket a tulajdonságokat feltételek beállításához figyelők és szabályok érhető el, és a riasztási leírások tartalmazhat.KifejezésLeírásEseményforrásAz esemény forrása. A figyelő vagy szabály a feltételek a általában használt.Naplónév/csatornaAz Eseménynapló, például az alkalmazás vagy a rendszer neve.Naplózó számítógépAz eseményt naplózó számítógép neve.EseményazonosítóAz esemény száma.EseménykategóriaAz esemény kategóriája.Esemény szintjeA következő értékek valamelyikét használja esemény súlyosságának.Sikeres (0)Hiba (1)Figyelmeztetés (2)Információ (4)Sikeres műveletek naplózása (8)Sikertelen műveletek naplózása (16)FelhasználóiAz esemény létrehozásához használt felhasználói fiók nevét.EventDescriptionAz esemény teljes leírása.ParaméterEsemény paraméterek gyűjteménye.Automatikus visszaállítás időzítőjeA automatikus alaphelyzetbe állítása időzítő lap csak akkor érhető el, az időzítő alaphelyzetbe állítása figyeli. Lehetővé teszi, hogy a riasztás létrehozása előtt a riasztást automatikusan megoldódott után meg kell felelnie a idő beállítása.Állapotfigyelő konfigurálásaA konfigurálása állapotfigyelő lap csak akkor érhető el, a monitor. Ez lehetővé teszi, hogy adja meg az egyes eseményeket beállított állapotát. A kézi alaphelyzetbe, a figyelő a kézi alaphelyzetbe feltétel lesz Kifogástalan, és itt adhatja meg e a esemény kiváltása feltétel állítja a figyelő egy Figyelmeztetési vagy egy kritikus állapota. Az egy időzítő alaphelyzetbe állítása vagy egy Windows-esemény alaphelyzetbe, megadhatja, hogy az egyes eseményeket által beállított állapotát. Az első esemény lesz általában a figyelő beállítása Figyelmeztetési vagy kritikus közben a második esemény vagy a számlálót állítja a figyelő Kifogástalan.Figyelmeztetések konfigurálásaA riasztások konfigurálása lap csak akkor érhető el, a figyelők és a riasztási szabályok. A beállítások ismerteti Alerts.Windows-esemény figyelők létrehozásaEgy Windows-esemény figyelő létrehozásaAz esemény figyelő létrehozása a következő eljárással Operations Manager a következő adatokat:Összes ügynököt futtat telepítve az adott szolgáltatáshoz.Beállítja a figyelő egy kritikus az az állapot, amikor az esemény a alkalmazás Eseménynapló az esemény forrással EventCreateés az esemény száma 101 észlelt.Beállítja a figyelő egy Kifogástalan az az állapot, amikor az esemény a alkalmazás Eseménynapló az esemény forrással EventCreateés az esemény száma 102 észlelt.EventCreate az eseményforrás szolgál, hogy a teszt eseményt hozhat létre a EventCreate segédprogram használható. Ez a segédprogram minden Windows rendszeren elérhető, és a teszt események hoz forrás EventCreate. Ha egy másik módszer teszt események létrehozása, majd használható egy másik adatforrás.Az esemény figyelő létrehozásaHa a figyelt alkalmazáshoz nem tartozik felügyeleti csomag, akkor a Selecting a Management Pack részben ismertetett eljárással hozzon létre egyet.Hozzon létre egy új célt a folyamat To create a Windows Service template. Bármely szolgáltatás, ez a sablon egy teszt-ügynök telepítése is használhatja.Az operatív konzolon válassza a Szerzői műveletek munkaterületet.Válasszon felügyeleti csomag objektumai.Kattintson a jobb gombbal Figyelők, válassza létrehozása és a figyelő, majd válassza ki Egységfigyelő.Az a Figyelőtípusa oldalon, tegye a következőket:Az a Adja meg a figyelő létrehozásához, bontsa ki Windows-események majd egyszerű esemény észlelése.Válasszon Windows-eseményre alapuló alapállapotba állítás.Az a a felügyeleti csomag legördülő listán válassza ki a felügyeleti csomag az alkalmazáshoz.Kattintson a Tovább gombra.Az Általános oldalon tegye a következőket:Az a neve mezőbe írja be a hibaesemény 101 vagy a figyelő egy másik nevet. Ez az a szöveg, amelyet az állapotkezelő fog megjelenni.Kattintson a kiválasztása.Az a elemeket válassza ki a cél párbeszédpanelen jelölje ki a nevét, amellyel a Windows-szolgáltatás sablon a 2.A szülőfigyelő mezőben meg kell jelennie rendelkezésre állási. Választhatja, hogy egy másik szülő-figyelő.Győződjön meg arról, hogy rendelkezésre állási ki van jelölve a szülőfigyelő.A figyelő engedélyezve van-e mezőben ellenőrizni kell, hogy a figyelő engedélyezve van-e.Kattintson a Tovább gombra.Az a Eseménynapló (sérült állapotot jelző esemény) oldalon, tegye a következőket:Az a napló neve mezőbe az alapértelmezett érték megtartása alkalmazás.Kattintson a Tovább gombra.Az a esemény kifejezés (sérült állapotot jelző esemény) oldalon, tegye a következőket:Az a eseményazonosító érték, írja be a 101Az a eseményforrás érték, írja be a EventCreateKattintson a Tovább gombra.Az a Eseménynapló (Kifogástalan állapotot jelző esemény) oldalon, tegye a következőket:Az a napló neve mezőbe az alapértelmezett érték megtartása alkalmazás.Kattintson a Tovább gombra.Az a esemény kifejezés (Kifogástalan állapotot jelző esemény) oldalon, tegye a következőket:Az a eseményazonosító érték, írja be a 102Az a eseményforrás érték, írja be a EventCreateKattintson a Tovább gombra.Az a konfigurálása állapotfigyelő oldalon, tegye a következőket:A FirstEventRaised, módosítsa a állapotának a kritikus.Az a eseményforrás érték, írja be a EventCreateKattintson a Tovább gombra.Az a riasztások konfigurálása oldalon, tegye a következőket:Válasszon Ez a figyelő a figyelmeztetéseket generáló.Kattintson a Létrehozás gombra.Event Monitors and Rules Event Monitor Logic Event Monitor Reset Alerts <_caps3a_sxssource locale="en-US">Many Windows-based applications post information to events in a Windows event log. This could be a standard log such as Application or a log specific to the application being monitored. These events follow a standard format and frequently contain detailed information about the particular issue. If the application you are monitoring creates a Windows event in response to a particular issue, then this likely be the most effective way to detect the issue in an Operations Manager management pack.When you create a rule or monitor that uses a Windows event, Operations Manager continuously monitors the log and immediately responds when an event matching the specified criteria is detected. These events are persisted meaning that they are available after they are initially created.Operations Manager will record the last position that it read in the log and continue from that position the next time it reads the log. If the health service on the agent is not running when a particular event is created, Operations Manager will detect it the next time that the agent is started.Windows Event WizardsThe table below lists the wizards that are available for Windows events.Management Pack ObjectWizards AvailableMonitorsSimple Event Detection using each of the standard Event Monitor Reset methodsRepeated Event Detection using each of the standard Event Monitor Reset methodsMissing Event Detection using each of the standard Event Monitor Reset methodsCorrelated Event Detection using each of the standard Event Monitor Reset methodsCorrelated Missing Event Detection using each of the standard Event Monitor Reset methodsRulesAlert Generating Windows event ruleEvent collection Windows event ruleWindows Event Wizard OptionsWhen you run a Windows event rule or monitor wizard, you will need to provide values for options in the following tables. Each table represents a single page in the wizard.GeneralThe General page includes general settings for the rule or wizard including its name, category, target, and the management pack file to store it in.OptionDescriptionNameThe name used for the rule or monitor. For a rule, the name appears in the Rules view in the Authoring pane. When you create a view or report, you can select this name to use the data collected by it. For a monitor, the name appears in the Health Explorer of any target objects.DescriptionOptional description of the rule or monitor.Management PackManagement pack file to store the rule or monitor.For more information on management packs, see Selecting a Management Pack.Rule Category (Rules only)The category for the rule. For an event collection rule, this should be Event Collection. For an alerting rule, this should be Alert.Parent Monitor (Monitors only)The aggregate monitor that the monitor will be positioned under in the Health Explorer. For more information, see Aggregate Monitors.TargetThe class to use for the target of the rule or monitor. The rule or monitor will be run on any agent that has at least one instance of this class. For more information on targets, see Targets, Groups, and Objects.Rule is enabledMonitor is enabledSpecifies whether the rule or monitor is enabled.Event Log TypeThe Event Log Type page includes the name of the event log where you expect the event to be created. There will be a single Event Log Type page for a collection or alerting rule and for a monitor using manual or timer reset. For a monitor using Windows Event Reset, you will have to define the log for both the error condition and for the healthy condition. You will typically specify the same log for both conditions, but a different log could be used for each.You can type in the name of the event log in the Log name box, or you can click the ellipse button and select a log. Event ExpressionIn addition to the name of the log to retrieve events from, workflows using a Windows event must specify sufficient criteria to identify the particular events that relate to the issue being identified. Frequently, the Event ID and the Event Source will be sufficient for this purpose. This depends on the kind of information that the application provides in the particular event in addition to the target that is being used for the monitor. If the class being used as the target for the monitor is expected to have multiple instances on a particular agent, then these two properties are probably insufficient for uniqueness. Unless the criteria included a key property for the target class then the criteria would possibly apply to all instances.There will be a single Event Log Type page for each Event Log Type Page collection or alerting rule and for a monitor using manual or timer reset. For a monitor using Windows Event Reset, you will have to define the log for both the error condition and for the healthy condition. You will typically specify the same log for both conditions, but a different log could be used for each.The following table lists the properties available from Windows Events. These properties can be accessed for setting criteria in monitors and rules and can be included in alert descriptions.ExpressionDescriptionEvent SourceSource of the event. Generally used in the criteria of the monitor or rule.Logname/ChannelName of the event log such as Application or System.Logging ComputerName of the computer logging the event.Event IDNumber of the event.Event CategoryCategory of the event.Event LevelSeverity of the event that uses one of the following values.Success (0)Error (1)Warning (2)Information (4)Success Audit (8)Failure Audit (16)UserName of the user account that was used to create the event.EventDescriptionFull event description.ParameterCollection of event parameters.Auto Reset TimerThe Auto Reset Timer page is only available for timer reset monitors. It allows you to set the time that must pass after the alert is created before the alert is automatically resolved.Configure HealthThe Configure Health page is only available for monitors. It allows you to specify the health state that will be set for each of the events. For a manual reset monitor, the Manual Reset condition will be Healthy, and you can specify whether the Event Raised condition will set the monitor to a Warning or a Critical state. For a Timer Reset or a Windows Event Reset, you can specify the health state set by each event. The first event will typically set the monitor to Warning or Critical while the second event or the timer will set the monitor to Healthy.Configure AlertsThe Configure Alerts page is only available for monitors and alerting rules. Its options are explained in Alerts.Creating Windows Event MonitorsHow to create a Windows event monitorUse the following procedure to create an event monitor in Operations Manager with the following details:Runs on all agents with a particular service installed.Sets the monitor to a critical state when an event in the Application event log with an event source of EventCreateand an event number of 101 is detected.Sets the monitor to a healthy state when an event in the Application event log with an event source of EventCreateand an event number of 102 is detected.EventCreate is used as the event source so that the EventCreate utility can be used to create a test event. This utility is available on any Windows Computer and creates test events with a source of EventCreate. If you have another method of creating test events, then you can use a different source.To create an event monitorIf you don’t have a management pack for the application that you are monitoring, create one using the process in Selecting a Management Pack.Create a new target using the process in To create a Windows Service template. You can use any service installed on a test agent for this template.In the Operations console, select the Authoring workspace.Select Management Pack Objects.Right-click Monitors, select Create and Monitor, and then select Unit Monitor.On the Monitor Type page, do the following:In the Select the type of monitor to create box, expand Windows Events and then Simple Event Detection.Select Windows Event Reset.In the Management Pack dropdown list, select the management pack for the application.Click Next.On the General page, do the following:In the Name box, type Error event 101 or another name for the monitor. This is the text that will appear in the Health Explorer.Click Select.In the Select Items to Target dialog box, select the name that you used for the Windows Service template in step 2.The Parent monitor box should show Availability. You can select a different parent monitor.Ensure that Availability is selected for the Parent monitor.The Monitor is enabled box should be checked so that the monitor is enabled.Click Next.On the Event Log (Unhealthy Event) page, do the following:In the Log Name box, keep the default value of Application.Click Next.On the Event Expression (Unhealthy Event) page, do the following:For the Event ID value, type 101For the Event Source value, type EventCreateClick Next.On the Event Log (Healthy Event) page, do the following:In the Log Name box, keep the default value of Application.Click Next.On the Event Expression (Healthy Event) page, do the following:For the Event ID value, type 102For the Event Source value, type EventCreateClick Next.On the Configure Health page, do the following:For FirstEventRaised, change the Health State to Critical.For the Event Source value, type EventCreateClick Next.On the Configure Alerts page, do the following:Select Generate alerts for this monitor.Click Create.Event Monitors and Rules Event Monitor Logic Event Monitor Reset Alerts