Fichier de configuration

Les agents de système d'exploitation utilisent un fichier de configuration qui est lu par l'agent à son démarrage. Le fichier contient des options de configuration et des filtres. Vous devez créer ce fichier de configuration, puis configurer l'instance d'agent afin qu'elle l'utilise.

L'horodatage du fichier de configuration est surveillé toutes les 60 secondes. Si l'horodatage du fichier change, l'agent réinitialise sa configuration de manière dynamique sans redémarrer. Pour plus d'informations, voir Modification des fichiers de configuration et de format de l'agent.

Le fichier .conf de l'agent de système d'exploitation accepte les options suivantes :

codepage

Page de codes du fichier surveillé. Utilisez ce paramètre dans le fichier de configuration lorsque la page de codes du fichier surveillé est différente de celle du système. Indiquez la page de codes du fichier surveillé, par exemple ibm-5348_P100-1997, UTF-16 ou UTF-8.

ConfigFilesAreUTF8=Y

Ce paramètre indique que le fichier de configuration et le fichier de format sont au format UTF-8. Utilisez ce paramètre si le codage des fichiers de configuration est UTF-8 et que la page de codes du système ne l'est pas. L'agent prend en charge le codage système (valeur par défaut).

DupDetectionKeyAttributes

Liste d'attributs Cloud APM séparés par des virgules et utilisés pour identifier les événements en double. Si tous les attributs nommés sont identiques dans deux événements, ces deux événements sont considérés comme des doublons. Cette option s'applique uniquement aux événements. Pour plus d'informations, voir Filtrage et récapitulatif des événements.

Remarque :

Les noms d'attribut sont sensibles à la casse. Vous devez donc entrer le nom exactement comme décrit.
Si vous ne spécifiez pas de liste d'attributs, les valeurs sont définies sur Class et Logname par défaut.

ENFORCE_STRICT_TEC_COMPATIBILITY

Ce paramètre fait référence à tous les caractères espaces figurant dans les données du journal pour s'assurer que les caractères sont respectés. Par exemple, lorsque vous utilisez le format "%s %s" pour extraire des informations de messages de journal, l'agent de système d'exploitation recherche non seulement un espace littéral mais également tout autre espace existant, comme des tabulations ou des retours chariot.

Lorsque ce paramètre n'est pas défini, le comportement par défaut de l'agent de système d'exploitation lors de la recherche d'une chaîne de format de style Tivoli Enterprise Console consiste à rechercher autant de texte d'entrée que possible en traitant le format de gauche à droite.

Par exemple, pour la chaîne de format %s:%s et la chaîne d'entrée one:two:three, l'agent de système d'exploitation affecte un.deux au premier paramètre (correspondant au premier caractère %s) et trois au second paramètre.

Remarque :

Ce paramètre ne s'applique pas aux instructions de format qui utilisent la syntaxe d'expression régulière.
La définition de ce paramètre a un impact sur les performances. Pour améliorer le comportement et les performances du processus de mise en correspondance, évitez de définir ce paramètre et utilisez des expressions régulières à la place.

EventSummaryInterval

Indique la durée en secondes pendant laquelle l'agent recherche des événements en double à supprimer. Définissez ce paramètre à un entier positif. Cette option s'applique uniquement aux événements. Pour plus d'informations, voir Filtrage et récapitulatif des événements.

EventFloodThreshold

Indique quels événements sont envoyés lorsque le système détecte des doublons parmi les événements. La valeur de ce paramètre est send_none, send_all, send_first ou un entier positif. Cette option s'applique uniquement aux événements. Pour plus d'informations, voir Filtrage et récapitulatif des événements.

EventMaxSize

Taille en octets maximale d'un événement généré. Si vous le spécifiez, ce paramètre est utilisé à deux endroits :

Le paramètre peut être utilisé par l'agent afin de définir la taille de la mémoire tampon utilisée pour le traitement des événements. S'il n'est pas défini, cette mémoire tampon a par défaut une taille de 16384 octets. Si la taille de la mémoire tampon est insuffisante, les événements sont tronqués et risquent d'être supprimés.
Le paramètre peut être utilisé par l'émetteur EIF afin de définir la taille de la mémoire tampon utilisée pour l'envoi des événements à un récepteur EIF (tel que la sonde OMNIbus EIF). S'il n'est pas défini, cette mémoire tampon a par défaut une taille de 4096 octets. Si la taille de la mémoire tampon est insuffisante, les événements sont supprimés.

FileComparisonMode

Indique quels fichiers journaux sont surveillés lorsque plusieurs fichiers journaux correspondent à un modèle générique. Les valeurs suivantes sont disponibles :

CompareByAllMatches

Cette valeur est le comportement par défaut. Tous les fichiers correspondant au modèle générique spécifié dans le paramètre LogSources sont surveillés.

CompareByLastUpdate

Parmi les fichiers correspondant au masque indiqué dans le paramètre LogSources, le fichier dont l'horodatage de mise à jour est le plus récent est surveillé.

CompareBySize

Si au moins deux fichiers correspondent aux critères de modèle de nom de fichier spécifiés, seul le fichier le plus volumineux est surveillé. N'utilisez pas la valeur CompareBySize avec des fichiers correspondants multiples qui sont mis à jour en même temps et dont la taille de fichier augmente. Si le fichier le plus volumineux est soumis à des changements fréquents, la surveillance risque de redémarrer indéfiniment au début du nouveau fichier sélectionné. Dans le cas de correspondances multiples où un seul fichier est actif et mis à jour à la fois, utilisez plutôt la valeur CompareBySize.

CompareByCreationTime

Parmi les fichiers correspondant au masque indiqué dans le paramètre LogSources, le fichier dont l'horodatage de création est le plus récent est surveillé. Cette valeur est soumise aux restrictions suivantes :

La valeur ne concerne que les systèmes d'exploitation Windows car les systèmes d'exploitation UNIX et Linux n'enregistrent pas l'heure de création effective des fichiers.
La valeur n'est pas prise en charge pour les fichiers distants surveillés par le biais du protocole SFTP/SSH (Secure Shell File Transfer Protocol).

Conseil : Les valeurs CompareByLastUpdate, CompareBySize et CompareByCreationTime peuvent toutes être utilisées pour la rotation des fichiers journaux. CompareByLastUpdate est généralement utilisé pour ces fichiers.

FQDomain

Indique si l'agent a défini un nom de domaine et la manière dont il l'a défini :

Si ce paramètre a pour valeur yes, l'agent détermine le nom de domaine.
Si ce paramètre a pour valeur no, l'agent ne définit pas le nom de domaine. L'attribut fqhostname comporte une chaîne vide.
Si ce paramètre n'a pas pour valeur yes ou no, le système accepte le nom de domaine comme valeur et l'ajoute au nom d'hôte.

Pour plus d'informations, voir Fichier de format.

IncludeEIFEventAttr

L'agent inclut un attribut volumineux appelé EIFEvent, qui correspond à une représentation de l'événement envoyé via la fonction EIF si cette fonction est activée. Les informations contenues dans l'attribut EIFEvent peuvent également se trouver dans d'autres attributs. Sa taille élevée étant problématique, il est désactivé par défaut. Indiquez la valeur y pour réactiver l'attribut EIFEvent.

Remarque : L'utilisation de cet attribut risque d'entraîner l'échec des seuils si les événements sont volumineux. Dans ce contexte, un événement volumineux désigne un événement où le nombre total d'octets nécessaires pour contenir l'ensemble des valeurs, des attributs et de leurs noms représente une chaîne de plus de 3600 octets.

LognameIsBasename

Lorsque vous indiquez y, la valeur de l'attribut Logname est le nom de base du fichier journal où l'événement a été détecté. Cette option s'applique uniquement aux événements Performance Management. Le chemin est supprimé. Par exemple, /data/logs/journal.log devient journal.log. Si ce paramètre a pour valeur n, le chemin complet est indiqué. L'attribut étant limité à 64 caractères, le nom sera donc tronqué s'il est plus long. Pour cette raison, la valeur par défaut est y. Pour visualiser le chemin complet dans un attribut plus long, vous pouvez l'indiquer dans la section de mappages dans un format du fichier.fmt, par exemple filename FILENAME CustomSlot1. Le mappage complète l'attribut nommé filename avec le chemin complet du fichier dans lequel l'événement a été détecté et le mappe à l'entrée CustomSlot1 de 256 caractères.

LogSources

Indique les fichiers journaux texte à interroger pour les messages. Le chemin d'accès complet de chaque fichier doit être spécifié et les noms de fichier doivent être séparés par des virgules. Dans chaque nom de fichier, vous pouvez également utiliser un astérisque (*) pour représenter une séquence de caractères ou un point d'interrogation (?) pour représenter un caractère seul. Par exemple, journal* renvoie tous les fichiers journaux dont le nom commence par le mot journal alors que journal??? renvoie tous les fichiers journaux dont le nom inclut journal suivi de trois caractères. Ces caractères génériques ne s'appliquent qu'au nom de fichier ; vous devez spécifier le chemin de manière explicite.

Si vous souhaitez utiliser des expressions régulières ou la correspondance de modèles dans le chemin, voir la description du paramètre RegexLogSources.

Une source de fichier journal n'a pas besoin d'exister lorsque l'agent est démarré ; le fichier journal est interrogé lors de sa création.

NewFilePollInterval

Indique la fréquence en secondes à laquelle l'agent vérifie les nouveaux fichiers à surveiller. Par exemple, supposons qu'un nom de fichier indiqué dans le paramètre LogSources ou RegexLogSources du fichier de configuration n'existe pas encore. Lorsque l'agent démarre, il vérifie à nouveau l'existence des fichiers à l'issue de cet intervalle.

NumEventsToCatchUp

Indique l'événement à partir duquel l'agent démarre dans le journal. Ce paramètre offre une certaine flexibilité si la source surveillée est nouvelle ou que l'agent est arrêté pour une période prolongée. Les valeurs suivantes sont valides :

Remarque : Pour les fichiers texte, les valeurs 0 et -1 s'appliquent. Pour le journal des événements Windows, les valeurs 0, -1 et n s'appliquent.

0: Démarre au niveau de l'événement suivant des journaux. Cette valeur est la valeur par défaut.
-1: Lorsque le paramètre a pour valeur -1, l'agent enregistre sa position dans le fichier surveillé. Si l'agent est arrêté et redémarré plus tard, il pourra ainsi traiter tous les événements consignés dans le journal pendant son arrêt. En l'absence de ce paramètre, l'agent ignore les événements qui se sont produits alors qu'il était arrêté et redémarre à partir de la fin du fichier. Ce paramètre ne s'applique ni aux canaux, ni à la surveillance de syslog sur les systèmes UNIX et Linux.
n: La valeur est un entier positif. L'agent démarre à partir du nième événement par rapport à l'événement le plus récent consigné dans les journaux. Autrement dit, il démarre n événements avant l'événement le plus récent consigné dans les journaux. Si n est supérieur au nombre d'événements disponibles, tous les événements disponibles sont traités.
Remarque : Vous pouvez utiliser la valeur n uniquement avec le journal d'événements Windows. Le système ignore la valeur n lorsque le paramètre UseNewEventLogAPI est défini sur y.

PollInterval

Indique la fréquence en secondes à laquelle le système interroge chaque fichier journal spécifié dans le paramètre LogSources au sujet des nouveaux messages. La valeur par défaut est 5 secondes.

Si vous avez mis à jour un adaptateur de journal des événements Windows à partir d'une version précédente et que le paramètre PollingInterval est défini sur une valeur dans le registre Windows, vous devez définir le paramètre PollInterval sur la même valeur dans le fichier de configuration d'agent Windows. Cette règle s'applique uniquement si vous remplacez un agent de système d'exploitation Tivoli Enterprise Console qui avaient des valeurs dans le registre.

ProcessPriorityClass

Définit la priorité de processus pour l'agent. Vous pouvez ajuster cette valeur afin d'améliorer les performances système lorsque l'agent traite de grands volumes d'événements et sollicite trop de ressources processeur. Les valeurs admises sont :

A - Priorité très faible
B - Priorité faible
C - Priorité moyenne
D - Priorité moyenne haute
E - Priorité élevée
F - Priorité très élevée
USE_CONF_FILE_VALUE - La valeur indiquée dans le fichier de configuration est utilisée. Cette valeur est la valeur par défaut.

RegexLogSources

Indique les fichiers journaux texte à interroger pour les messages. Ce paramètre est identique au paramètre LogSources, à ceci près que les métacaractères d'expression régulière peuvent être utilisés dans la partie nom de base du nom de fichier et dans un sous-répertoire du nom de fichier. Il offre plus de flexibilité que le paramètre LogSources, car il permet de décrire plusieurs fichiers à surveiller dans plusieurs répertoires.

Par exemple, la définition de /var/log/mylog* pour l'instruction LogSources est comparable à l'utilisation du métacaractère point (.) suivi du métacaractère astérisque (*) pour former /var/log/mylog.* dans l'instruction RegexLogSources. Dans cet exemple, le système interroge tous les fichiers journaux du répertoire /var/log dont le nom de base commence par le mot journal suivi de zéro caractère ou plus. Avec la chaîne /var/log/journal.+, le système interroge tous les fichiers journaux du répertoire /var/log dont le nom de base commence par le mot journal suivi d'un caractère ou plus.

A l'instar de LogSources, le chemin d'accès complet de chaque fichier doit être spécifié et les noms de fichier doivent être séparés par des virgules. Notez toutefois que les virgules sont des caractères valides dans les expressions régulières. Pour établir une distinction entre une virgule utilisée dans une expression régulière et une virgule utilisée pour séparer des noms de fichier, les virgules utilisées dans une expression régulière doivent être associées au caractère d'échappement barre oblique inversée (\).

Par exemple, si vous souhaitez rechercher des journaux correspondant à l'une des expressions régulières /logs/.*\.log et /other/logs/[a-z]{0,3}\.log, vous devez associer la clause {0,3} de la seconde expression au caractère d'échappement afin que l'agent ne la considère pas comme le début d'une nouvelle expression : RegexLogSources=/logs/.*\.log,/other/logs/[a-z]{0\,3}\.log

Si des métacaractères sont utilisés dans le nom de chemin, ils ne peuvent être utilisés que dans un seul sous-répertoire du chemin. Par exemple, vous pouvez spécifier /var/log/[0-9\.]*/journal.* pour avoir des métacaractères dans un sous-répertoire. La chaîne [0-9\.]* fait correspondre les sous-répertoire de /var/log comportant uniquement des chiffres et des points (.). La chaîne mylog.* fait correspondre les noms des fichiers des sous répertoires /var/log qui commencent par le mot journal et suivis de zéro caractère ou plus.

Etant donné que certains systèmes d'exploitation utilisent la barre oblique inversée (\) comme séparateur de répertoire, il peut être confondu avec un métacaractère d'échappement d'expression régulière. Pour éviter cette confusion, des barres obliques doivent toujours être utilisées pour désigner des répertoires. Par exemple, les fichiers Windows qui sont spécifiés sous la forme C:\temp\mylog. * peuvent signifier que le \t est un caractère de tabulation abrégé. Par conséquent, utilisez toujours des barres obliques (/) comme séparateurs de répertoire sur tous les systèmes d'exploitation. Par exemple, C:/temp/mylog.* représente tous les fichiers du répertoire C:/temp qui commencent par mylog.

Si plusieurs sous-répertoires contiennent des métacaractères, un message de trace est également généré. Par exemple, c:/[0-9\.]*/temp.files/journal.* inclut deux sous-répertoires qui contiennent des métacaractères. [0-9\.]* est le premier sous-répertoire défini avec des métacaractères et temp.files est le deuxième sous-répertoire qui utilise le métacaractère point (.). Dans ce cas, l'agent considère que le premier sous-répertoire défini avec le métacaractère est utilisé et que les répertoires suivants possédant des métacaractères sont ignorés.

SubnodeName

Valeur de chaîne pouvant être utilisée pour remplacer le nom par défaut affecté à un sous-noeud de profil de surveillance. Par défaut, le nom de sous-noeud affecté à un profil de surveillance correspond au nom de base du fichier de configuration utilisé pour ce profil. En utilisant ce paramètre, il est possible d'affecter un nom de sous-noeud différent.

SubnodeDescription

Valeur de chaîne pouvant être utilisée pour affecter une valeur à l'attribut Subnode Description de LFAProfiles.

UnmatchLog

Permet d'indiquer un fichier dans lequel sont consignés les événements supprimés qui ne peuvent pas être analysés dans une classe d'événement par l'agent. Les événements supprimés peuvent ensuite être analysés pour déterminer si le format de fichier de l'agent doit faire l'objet de modifications. Les événements correspondant à un masque qui utilise *DISCARD* n'apparaissent pas dans le journal de non correspondance, car ils correspondent à un masque.

Cette option est utilisée dans un environnement de test pour valider les filtres dans le fichier de format. Elle peut entraîner la saturation de votre système de fichiers si vous la conservez pendant des périodes prolongées.

Options pour la surveillance à distance des fichiers via le protocole SSH

A part SshHostList, qui est une liste, tous les paramètres ne peuvent avoir qu'une seule valeur, qui est appliquée à tous les hôtes distants spécifiés dans SshHostList.

Seuls les fichiers journaux texte sont pris en charge. Le rapport d'erreur AIX, syslog et le journal des événements Windows ne sont pas pris en charge.

Conseil : Vous pouvez configurer syslog pour placer sa sortie dans un fichier journal, puis surveiller à distance ce fichier texte avec l'agent de système d'exploitation.

SshAuthType

Doit avoir pour valeur PASSWORD ou PUBLICKEY. Si ce paramètre a pour valeur PASSWORD, la valeur de SshPassword est considérée comme le mot de passe à utiliser pour l'authentification SSH avec tous les systèmes distants. S'il a pour valeur PUBLICKEY, la valeur de SshPassword est considérée comme la phrase de passe qui contrôle l'accès au fichier de clés privées. Si ce paramètre a pour valeur PUBLICKEY, SshPrivKeyfile et SshPubKeyfile doivent également être indiqués.

SshHostList

Liste séparée par des virgules des hôtes distants à surveiller. Tous les fichiers journaux spécifiés dans les instructions LogSources ou RegexLogSources sont surveillés sur chacun des hôtes figurant dans cette liste. Si l'un des noms d'hôte indiqués est localhost, l'agent surveille le même ensemble de fichiers directement sur le système local. Lorsque vous indiquez localhost, le protocole SSH n'est pas utilisé pour accéder aux fichiers sur le système local ; les fichiers journaux sont lus directement.

SshPassword

Lorsque la valeur de SshAuthType est PASSWORD, cette valeur correspond au mot de passe du compte de l'utilisateur spécifié dans SshUserid. Vous pouvez indiquer le mot de passe du compte sous la forme d'un texte en clair ou indiquer un mot de passé chiffré à l'aide de la commande CLI IBM® Tivoli Monitoring itmpwdsnmp. Pour savoir comment procéder pour chiffrer un mot de passe à l'aide de la commande itmpwdsnmp, voir Surveillance des fichiers journaux distants : Chiffrement d'un mot de passe ou d'une phrase de passe.

Lorsque la valeur de SshAuthType est PUBLICKEY, cette valeur correspond à la phrase de passe qui permet de déchiffrer la clé privée spécifiée par le paramètre SshPrivKeyfile. Vous pouvez indiquer la phrase de passe sous la forme d'un texte en clair ou indiquer une phrase de passe chiffrée à l'aide de la commande CLI IBM Tivoli Monitoring itmpwdsnmp. Pour savoir comment procéder pour chiffrer un mot de passe à l'aide de la commande itmpwdsnmp, voir Surveillance des fichiers journaux distants : Chiffrement d'un mot de passe ou d'une phrase de passe.

Remarque : Si la valeur de SshAuthType est PUBLICKEY et que vous avez configuré SSH afin qu'aucune phrase de passe ne soit nécessaire, SshPassword doit avoir pour valeur NULL. Pour associer SshPassword à la valeur NULL, l'entrée du fichier de configuration est :

SshPassword=

SshPort

Port TCP auquel se connecter pour utiliser SSH. Si ce paramètre n'est pas défini, il prend par défaut la valeur 22.

SshPrivKeyfile

Si SshAuthType a pour valeur PUBLICKEY, cette valeur doit correspondre au chemin complet du fichier contenant la clé privée de l'utilisateur indiqué dans SshUserid, et SshPubKeyfile doit également être défini. Si SshAuthType n'a pas pour valeur PUBLICKEY, cette valeur n'est pas nécessaire et elle est ignorée.

SshPubKeyfile

Si SshAuthType a pour valeur PUBLICKEY, cette valeur doit correspondre au chemin complet du fichier contenant la clé publique de l'utilisateur indiqué dans SshUserid, et SshPrivKeyfile doit également être défini. Si SshAuthType n'a pas pour valeur PUBLICKEY, cette valeur n'est pas nécessaire et elle est ignorée.

SshUserid

Nom d'utilisateur sur des systèmes distants que l'agent utilise pour l'authentification SSH.

Option prise en charge sur les systèmes UNIX et Linux uniquement

AutoInitSyslog: Si cette option a pour valeur Yes, l'agent configure automatiquement l'utilitaire syslog pour consigner un ensemble standard d'événements dans un canal surveillé par l'agent. En l'activant, vous pouvez surveiller les événements syslog sans être obligé de gérer et remettre à zéro les fichiers journaux. Si cette option n'est pas définie dans le fichier de configuration, cela revient à utiliser la valeur No.
Restriction : Cette option n'est pas prise en charge pour la surveillance du fichier journal à distance.

Options prises en charge sur les systèmes Windows uniquement

NTEventLogMaxReadBytes

Si vous utilisez l'ancienne interface du journal des événements NT (UseNewEventLogAPI non défini sur y) pour lire les données du journal des événements sur un système Windows, l'agent lit les données jusqu'à ce nombre d'octets chaque fois qu'il vérifie la présence de nouvelles données dans le journal des événements. Si ce paramètre a pour valeur 0, l'agent essaie de lire toutes les nouvelles données comme il le faisait dans les versions antérieures. Cette activité peut solliciter l'agent pendant longtemps si le système comporte un grand volume d'événements. La valeur par défaut est 655360. Si vous définissez ce paramètre, il se peut que l'agent ne s'arrête pas exactement à la valeur indiquée, mais plutôt vers le multiple le plus proche de la taille de la mémoire tampon interne par rapport à cette valeur.

PreFilter

Indique la façon dont les événements d'un journal d'événements Windows sont filtrés avant le traitement par l'agent. Les instructions PreFilter sont utilisées par PreFilterMode au moment où les filtres déterminent quels événements du journal des événements doivent être envoyés à l'agent. Un événement correspond à une instruction PreFilter lorsque chaque spécification attribut=valeur de l'instruction PreFilter correspond à un événement du journal d'événements. Une instruction PreFilter doit contenir au moins la spécification de journal et peut comporter jusqu'à trois spécifications supplémentaires (toutes facultatives) : l'ID d'événement, le type d'événement et la source d'événement. L'ordre des attributs dans l'instruction importe peu.

Le format de l'instruction PreFilter est le suivant :

PreFilter:Log=log_name;EventId=value; EventType=value;Source=value;

Vous pouvez indiquer plusieurs valeurs pour chaque attribut en les séparant par des virgules.

Chaque instruction PreFilter doit se trouver sur une ligne distincte.

Le paramètre PreFilter n'est pas obligatoire. Tous les événements du journal d'événements Windows sont envoyés à l'agent si aucun préfiltre n'est spécifié et que le paramètre PreFilterMode=OUT est utilisé.

PreFilterMode

Ce paramètre s'applique uniquement au journal d'événements Windows. Il permet de spécifier si les événements du journal des événements Windows correspondant à une instruction PreFilter sont envoyés (PreFilterMode=IN) ou ignorés (PreFilterMode=OUT). Les valeurs admises sont IN, in, OUT et out. La valeur par défaut est OUT.

Le paramètre PreFilterMode est facultatif. S'il n'est pas spécifié, seuls les événements ne correspondant à aucune instruction PreFilter sont envoyés à l'agent.

Remarque : Si vous définissez le paramètre PreFilterMode=IN, vous devez également définir les instructions PreFilter.

SpaceReplacement

Ce paramètre correspond pas défaut à TRUE pour le journal d'événements Windows (Windows Server 2008 uniquement) mais pas pour les versions précédentes du journal des événements. Lorsque le paramètre SpaceReplacement a pour valeur TRUE, tous les espaces figurant dans les zones security ID, subsource, Level et keywords des messages du journal d'événements sont remplacés par des traits de soulignement (_). Lorsque le paramètre SpaceReplacement a pour valeur FALSE, tous les espaces figurant dans les zones security ID, subsource, Level et keywords des messages du journal d'événements sont conservés. Pour plus d'informations sur ce paramètre, voir Journal des événements Windows.

UseNewEventLogAPI

Lorsque ce paramètre a pour valeur y sur les systèmes Windows, l'agent utilise la nouvelle interface de journal d'événements Windows pour analyser les journaux d'événements. Le paramètre est pris en charge sur les systèmes Windows 2008 et version ultérieure uniquement. Il permet d'accéder à la plupart des nouveaux journaux d'événements débutés dans Windows 2008, ainsi qu'aux applications qui s'exécutent dessus. Ce paramètre est ignoré sur les versions antérieures de Windows et sur les systèmes UNIX et Linux. Pour plus d'informations sur ce paramètre, voir Journal des événements Windows.

WINEVENTLOGS

Permet de contrôler quels journaux d'événements Windows sont contrôlés.

L'instruction WINEVENTLOGS est une liste délimitée par des virgules, sans espaces. Pour plus d'informations, voir Journal des événements Windows.

Remarque : Les retours chariot, tabulations ou nouvelles lignes figurant dans les événements Windows sont remplacés par des espaces.

Option prise en charge sur les systèmes AIX uniquement

AIXErrptCmd

Permet d'indiquer une chaîne de commande errpt (rapport d'erreur) qui sera exécutée par l'agent. Le résultat de la commande est importé dans le flux de données de journal faisant l'objet d'une surveillance.

Dans l'exemple de commande ci-dessous, l'agent recherche la chaîne mmjjhhmmaa et la remplace par la date et l'heure de démarrage. Seule la première occurrence de la chaîne est remplacée.

AIXErrptCmd=errpt -c -smmddhhmmyy

Bien que vous puissiez indiquer votre propre commande errpt, vous devez utiliser l'option -c (mode simultané) afin que la commande s'exécute en continu. Vous ne pouvez pas utiliser l'option -t, ni les options suivantes qui donnent lieu à la sortie détaillée : -a, -A ou -g.

Le flux de données est le résultat standard de la commande errpt. Par conséquent, les expressions régulières du fichier .fmt doivent être écrites de telle sorte qu'elles correspondent. Par exemple, la commande pourrait renvoyer la sortie de données suivante :

IDENTIFIER TIMESTAMP  T C RESOURCE_NAME  DESCRIPTION
F7FA22C9   0723182911 I O SYSJ2      UNABLE TO ALLOCATE SPACE IN FILE SYSTEM
2B4F5CAB   1006152710 U U ffdc       UNDETERMINED ERROR
2B4F5CAB   1006152610 U U ffdc       UNDETERMINED ERROR

Exemple de format qui utilise les lignes de données, mais pas l'en-tête :

REGEX GenericErrpt
^([A-F0-9]{8}) +([0-9]{10}) ([A-Z]) ([A-Z]) (\S+) +(.*)$
Identifier $1 CustomSlot1
Timestamp  $2 CustomSlot2
T          $3 CustomSlot3
C          $4 CustomSlot4
Resource   $5 CustomSlot5
msg        $6
END

Pour plus d'informations, voir Surveillance d'un journal binaire AIX.

Options qui s'appliquent uniquement lorsque des événements sont transmis à un récepteur EIF

Important : Ces options sont applicables à des événements EIF envoyés directement à Operations Analytics - Log Analysis, OMNIbus ou tout autre récepteur générique EIF. Elles ne sont pas destinées à être utilisées avec le serveur Cloud APM.

BufferEvents

Indique comment le stockage temporaire d'événements est activé. Les valeurs admises sont :

YES - Stocke les événements dans le fichier spécifié par le paramètre BufEvtPath (valeur par défaut).
MEMORY_ONLY - Stocke les événements dans une mémoire temporaire.
NO - Ne stocke pas les événements dans une mémoire permanente ou temporaire.

BufEvtPath

Indique le chemin d'accès complet du fichier cache de l'agent. Si ce chemin d'accès n'est pas rectifié, la valeur par défaut est :

/etc/Tivoli/tec/cache
\etc\Tivoli\tec\cache

Remarque : Si des événements sont transmis à plusieurs serveurs, vous devez spécifier une valeur BufEvtPath pour chaque canal de transmission. Un numéro d'index est ajouté au nom BufEvtPath de chaque entrée supplémentaire. Par exemple, utilisez le paramètre BufEvtPath1 pour préciser le nom de chemin du fichier cache de l'agent aux fins de transmission vers le premier serveur supplémentaire. La valeur définie pour chaque paramètre BufEvtPath doit être unique.

BufEvtMaxSize

Indique la taille maximale en kilo-octets du fichier cache de l'agent. La valeur par défaut est 64. Lorsque le paramètre BufferEvents a pour valeur Yes, le fichier cache stocke les événements sur le disque. La taille minimale pour le fichier est 8 ko. Le système ignore toutes les tailles de fichier inférieures et utilise à la place la valeur 8 ko. Il n'existe pas de limite supérieure pour la valeur que vous avez spécifiée pour la taille maximale du fichier.

Remarque : Si le fichier cache existe déjà, vous devez supprimer le fichier afin de prendre en compte vos modifications.

NO_UTF8_CONVERSION

Indique si Event Integration Facility (EIF) encode les données d'événement au format UTF-8. Lorsque vous associez ce paramètre à YES, Event Integration Facility n'encode pas les données d'événement au format UTF-8. Le système suppose que les données ont déjà un encodage UTF-8 lorsqu'elles sont transmises à Event Integration Facility. Toutefois, un préfixe est ajouté à l'indicateur pour signaler que les données possèdent un encodage in UTF-8 (si l'indicateur n'existe pas au début des données d'événement). La valeur par défaut est NO.

MaxEventQueueDepth

Spécifie le nombre maximal d'événements pouvant être placés en file d'attente à des fins de transmission. Lorsque la limite est atteinte, chaque nouvel événement placé dans la file d'attente supplante l'événement le plus ancien dans la file d'attente. Si vous ne définissez pas ce paramètre, la valeur par défaut est 1 000. Ce paramètre s'applique à l'ensemble des canaux de transmission si NumAdditionalServers est utilisé.

NumAdditionalServers

Cette entrée est nécessaire si vous souhaitez transmettre des événement à plusieurs serveurs d'objets Netcool/OMNIbus. Il permet d'indiquer le nombre de serveurs auxquels les événements sont transmis. Les valeurs admises sont comprises entre 1 et 8.

ServerLocation

Indique le nom de l'hôte sur lequel le serveur d'événements est installé. Indiquez le nom de hôte ou l'adresse IP. Utilisez le format à points pour l'adresse IP. Si vous le souhaitez, vous pouvez indiquer des valeurs de reprise en ligne pour les emplacements du serveur, telles que ServerLocation1=2.3.4.5.2.3.4.6 ; si vous indiquez des valeurs pour ServerLocation, vous devez également indiquer une valeur ServerPort supplémentaire pour chaque ServerLocation.

Remarque : Si des événements sont transmis à plusieurs serveurs, vous devez indiquer une valeur ServerLocation pour chaque serveur. Un numéro d'index est ajouté au nom ServerLocation de chaque entrée supplémentaire. Par exemple, utilisez ServerLocation1 pour spécifier le nom de l'hôte sur lequel le premier serveur supplémentaire est installé.

ServerPort

Indique le numéro de port sur lequel le récepteur EIF écoute les événements. Le paramètre ServerPort peut contenir jusqu'à huit valeurs, séparées par des virgules. Si vous indiquez des valeurs de basculement pour le paramètre ServerLocation, vous devez définir une valeur ServerPort équivalente. ServerPort n'est pas utilisé lorsque le paramètre TransportList est indiqué.

Remarque : Si des événements sont transmis à plusieurs serveurs, vous devez spécifier une valeur ServerPort pour chaque serveur. Un numéro d'index est ajouté au nom ServerPort de chaque entrée supplémentaire. Par exemple, utilisez ServerPort1 afin d'indiquer le numéro de port sur lequel le récepteur EIF écoute les événements pour le premier serveur supplémentaire.

TransportList

Indique les noms définis par l'utilisateur des mécanismes de transport, séparés par des virgules. Lorsqu'un mécanisme de transport échoue pour des applications expéditrices, l'API utilise les mécanismes de transport suivants dans l'ordre indiqué dans la liste. Pour les applications réceptrices, l'API crée et utilise tous les mécanismes de transport. Le type et le canal de transport de chaque nom_type doivent être spécifiés au moyen des mots clés Type et Channels :

nom_typeType

Indique le type de transport du mécanisme de transport défini par le paramètre TransportList. SOCKET est le seul type de transport pris en charge.

Le serveur et le port de chaque nom_canal sont indiqués par les paramètres ServerLocation et ServerPort.

nom_typeChannels

nom_canalPort: Indique le numéro de port sur lequel le serveur de mécanismes de transport écoute le canal indiqué (indiqué par le paramètre Channel). Lorsque ce mot clé a pour valeur zéro, l'associateur de port est utilisé. Ce mot clé est obligatoire.
nom_canalPortMapper: Active l'associateur de port pour le canal indiqué.
nom_canalPortMapperName: Si l'associateur de port est activé, indique le nom de l'associateur de port.
nom_canalPortMapperNumber: Indique l'ID enregistré par l'appel de procédure distante (RPC).
nom_canalPortMapperVersion: Si l'associateur de port est activé, indique la version de l'associateur de port.
nom_canalServerLocation: Indique le nom du serveur d'événements et de la région sur laquelle le serveur de mécanismes de transport se trouve pour le canal indiqué. Le canal est défini par le paramètre Channel. Ce mot clé est obligatoire.

Le fichier de configuration EIF accepte les options EIF génériques lorsqu'il est utilisé directement avec OMNIbus. Ces options fonctionnent uniquement sur une connexion EIF avec OMNIbus. Ils n'affectent pas les événements qui sont envoyés au serveur Cloud APM. Pour plus d'informations sur ces options EIF, voir EIF keywords.