Мониторинг журнала событий Windows

Вы можете задать источник данных для сбора данных из журнала событий Windows. Его можно сконфигурировать для применения фильтра к данным. Полученные события будут помещены в набор данных журнала событий.

Об этой задаче

Вы можете собирать данные из журнала событий Windows, используя тип, источник или ID событий. Эти параметры используются для фильтрации событий журнала, собранных системой Windows. Агент будет сравнивать с заданным фильтром каждое новое событий в журнале событий, мониторинг которого производится. Если событие будет соответствовать одному из типов событий, источников событий или ID событий, заданных в фильтре, оно пройдет через фильтр.

Например, если фильтр журнала событий предназначается для журнала Программа, то задайте в качестве типа событий Ошибка. В журнал Программа будут отправляться все события со значением типа события Ошибка. Если вы добавите Diskeeper и Symantec AntiVirus в качестве источников событий, агент будет выбирать все события ошибок из каждого из этих источников. Чтобы уточнить фильтр, можно добавить в него конкретные ID событий. Никакой прямой связи между типом, источником и ID события не существует. Если одно из значений для каждого из этих критериев будет соответствовать событию, это будет рассматриваться как вхождение события.

По умолчанию обрабатываются только события, созданные после запуска агента. Однако при перезапуске агента можно разрешить ему обрабатывать события журнала, созданные в то время, когда агент был выключен. Информацию о том, как разрешить агенту обрабатывать события журнала, созданные в то время, когда агент был выключен, смотрите в описании шага 6.

Процедура

  1. На странице Начальный источник данных агента или Положение источника данных щелкните по Пользовательские программы в области Категории данных мониторинга.
  2. В области Источники данных нажмите Журнал событий Windows.
  3. Нажмите кнопку Далее.
  4. На странице Журнал событий Windows выберите имя одного из журналов в списке Имя журнала событий Windows или введите имя нужного журнала событий.
    Этот список создается на основе набора журналов в текущей системе, например:
    • Программа
    • Защита
    • Система
  5. На странице Журнал событий Windows укажите, хотите ли вы применить к результатам фильтр на основе одного из следующих механизмов:
    Прим.: Нужно выбрать хотя бы один из этих критериев фильтра.
  6. Чтобы агент при перезапуске обрабатывал события журнала, созданные в то время, когда агент был выключен, щелкните по Параметры автономных событий на странице Журнал событий Windows.
    Откроется окно Параметры закладки журнала событий Windows.
  7. Выберите одну из следующих опций закладок:
    Прим.: Эти опции применяются ко всем отслеживаемым журналам событий Windows.
    • Не собирать автономные события: События, созданные в то время, когда агент был отключен, не обрабатываются. Это опция по умолчанию.
    • Собирать все автономные события: События, созданные в то время, когда агент был отключен, обрабатываются.
    • Задать пользовательские параметры сбора данных: Можно ввести значение для управления обработкой старых событий на основе времени и/или числа событий. Эта опция гарантирует, что chtlf мониторинга не будет перегружена событиями при запуске агента.

      Например, в поле Максимальное число собираемых событий задано 100, а в поле Ограничить сбор на основе интервала времени (в секундах) - 30. Будут обработаны либо последние 100 событий, созданных до запуска агента, либо все события, созданные в течение 30 секунд запуска агента. Результат зависит от первой совпавшей переменной.

      Если вы укажете максимальное число собираемых событий, то будет добавлена переменная среды CDP_DP_EVENT_LOG_MAX_ BACKLOG_EVENTS. Если вы ограничите сбор данных на основе интервала времени, то будет добавлена переменная среды CDP_DP_EVENT_LOG_MAX_BACKLOG_TIME. При добавлении любой из этих переменных (или обеих переменных) создается файл ИмяЖурналаСобытий_КодПродукта_ИмяЭкземпляра_ИмяПодузла.rst, который содержит запись последнего события, обработанного для журнала событий. Этот файл расположен в каталоге %CANDLE_HOME%\tmaitm6\logs и используется при перезапуске агента, чтобы обработать старые события, созданные в то время, когда агент был выключен.

  8. Если вы хотите задать для источника данных глобальные опции, то выберите Глобальные опции на странице Журнал событий Windows.
    Откроется окно Глобальные опции источника данных Windows.
  9. Если вы хотите включить эту опцию, то включите переключатель Включить свойства конфигурации удаленной системы Windows и нажмите кнопку OK.

    Информацию о конфигурировании удаленного соединения с Windows для источников данных Windows смотрите в разделе Соединение с удаленной системой Windows.

  10. Задав фильтр и нажав OK, на странице Журнал событий Windows выполните одно из следующих действий:
    • Если вы используете мастер Агент, то нажмите Далее.
    • Нажмите Готово, чтобы сохранить источник данных и открыть редактор агентов. Имя нового журнала событий Windows показано на странице Определение источника данных редактора агентов.

Дальнейшие действия

Информацию о конфигурировании удаленного соединения с Windows для источников данных журнала событий Windows смотрите в разделе Соединение с удаленной системой Windows.