DokumentationAgent Ereignisprotokoll
Funktion | Lesen und Filtern des Windows-Ereignisprotokolls |
|---|---|
Alarmierung | Anzahl der Ereignisse / Ereignisse zurücksetzen, Ereignisstatus, Rückgabecode |
Agent-Ereignisprotokoll-Details
Alle angegebenen Kriterien müssen übereinstimmen, damit ein Ereignis erkannt wird. Der Vergleichsoperator für die Agent-Ereignisprotokoll-Jobparameter kann gegebenenfalls ausgewählt werden (gleich, ungleich, wie, nicht wie). Mehrere Werte können durch Kommas getrennt werden, und Parameter, die „wie“ und „nicht wie“ als Vergleichsoperator unterstützen, können Platzhalterzeichen wie * und ? enthalten.
Bei der ersten Ausführung eines Agent-Ereignisprotokoll-Jobs werden die übereinstimmenden Ereignisse der letzten fünf Minuten gezählt. Bei der nächsten Ausführung werden die Ereignisse zwischen der letzten erfolgreichen und der aktuellen Ausführung gezählt. Eine Änderung der Jobkonfiguration setzt die letzte Ausführung nicht zurück. Wenn zwischen der letzten und der aktuellen Ausführung kein neues Ereignis auftritt, ist der Ereigniszähler 0.
Agent Eventlog-Parameter
Parameter | Beschreibung |
|---|---|
Logdatei | Wählen Sie den Speicherort, von dem die Ereignisse gelesen werden sollen: Alle, Anwendung, System, Sicherheit oder Benutzerdefiniert. Bei Auswahl von Benutzerdefiniert erscheint ein zusätzliches Textfeld, in das Sie einen benutzerdefinierten Protokollspeicherort eingeben können. Damit dies funktioniert, muss ein Windows-Registrierungseintrag vorgenommen werden, da sonst die Ereignisse, die in einem der oben nicht genannten Ereignisprotokolle erscheinen, weder manuell mit WMI noch über den Agent-Ereignisprotokoll-Job abgefragt werden können. Nachfolgend finden Sie den erforderlichen Registrierungsschlüssel für das Ereignisprotokoll Microsoft-Windows-TaskScheduler%4Operational.evtx. Windows-Registrierungseditor Version 5.00 Der Schlüssel muss einschließlich des Schrägstrichs eingegeben werden. Das benutzerdefinierte Ereignisprotokoll kann nun wie folgt definiert werden: Microsoft-Windows-TaskScheduler/Operational Beachten Sie, dass die Zeichenfolge %4 durch einen Schrägstrich („/“) ersetzt werden muss. |
Ereignistyp | Wählen Sie aus, welche Ereignistypen bei der Suche nach Ereignissen berücksichtigt werden sollen. |
Ereignisquelle | Wenn kein Wert festgelegt ist, werden alle Ereignisquellen berücksichtigt. Die Operatoren Gleich, Ungleich, Ähnlich und Nicht ähnlich können verwendet werden. Es können mehrere Quellen angegeben werden, die durch Kommas getrennt sind, z. B.: MSExchange Assistants,MSExchange Transport |
Benutzer | Wenn kein Wert festgelegt ist, werden alle Benutzer berücksichtigt. Die Operatoren „Gleich“, „Ungleich“, „Ähnlich“ und „Nicht ähnlich“ können verwendet werden. Es können mehrere Benutzer angegeben werden, getrennt durch ein Komma, z. B.: SKOOR\Benutzer,NT Authority\System |
Kategorie | Wenn kein Wert festgelegt ist, wird jede Kategorie berücksichtigt. Die Operatoren „Gleich“, „Ungleich“, „Wie“ und „Nicht wie“ können verwendet werden. Es können mehrere Kategorien angegeben werden, getrennt durch ein Komma. Numerische Werte müssen in Klammern gesetzt werden, z. B.: Installation,(16),Server |
Ereignis-ID | Wenn kein Wert festgelegt ist, werden alle Ereignis-IDs berücksichtigt. Die Operatoren „Gleich“ und „Ungleich“ können verwendet werden. Es können mehrere IDs angegeben werden, getrennt durch ein Komma, z. B.: 998,999,1000 |
Beschreibung | Wenn dieses Feld leer gelassen wird, werden alle Beschreibungen abgeglichen. Es können mehrere Beschreibungszeichenfolgen angegeben werden, die durch Kommas getrennt sind. Es können auch Platzhalter verwendet werden, z. B.: Drucker*,Printer In der Beschreibung kann beliebiger Text angegeben werden. Bei der Übereinstimmung wird die Groß-/Kleinschreibung nicht berücksichtigt. |
Statusdauer | Um ein Ereignis, das den Kriterien entspricht, sichtbar zu halten, wurde der Ereignisstatus eingeführt. Der Ereignisstatus wird durch ein Ereignis festgelegt (wenn Ereigniszähler > 0). Dieser Parameter definiert, wie lange der Status aktiv bleiben soll:
|
Zurücksetzen des Ereignisses | Dies ist eine weitere Möglichkeit, den Ereignisstatus zu löschen. Wenn sowohl ein Ereignis als auch ein Rücksetzevent innerhalb von zwei Jobausführungen auftreten, hat das letzte Ereignis Vorrang. Wenn ein Rücksetzevent denselben Zeitstempel wie ein Ereignis hat, hat das Rücksetzevent Vorrang. |
Agent-Ereignisprotokollwerte
Wert | Beschreibung |
|---|---|
Anzahl der Ereignisse | Die Anzahl der Ereignisse seit der letzten Messung. Wenn der Job zum ersten Mal ausgeführt wird, zählt er die Ereignisse, die in den letzten 5 Minuten aufgetreten sind. |
Anzahl der Rücksetzereignisse | Die Anzahl der Reset-Ereignisse seit der letzten Messung. Dieser Wert ist nur verfügbar, wenn der Abschnitt „Reset“ aktiviert wurde. |
Ereignisstatus | Der Ereignisstatus wird gesetzt, wenn die Anzahl der Ereignisse > 0 ist, und gelöscht,
|
Infomeldung | Die Info-Meldung listet die Beschreibung des aktuellsten Ereignisses auf, das den Filterkriterien entspricht. |
Agent-Ereignisprotokoll Alarm Limits
Alarm Limit | Beschreibung |
|---|---|
Anzahl der Ereignisse | Die Anzahl der Ereignisse seit der letzten Messung. Wenn der Job zum ersten Mal ausgeführt wird, werden die Ereignisse der letzten 5 Minuten gezählt. |
Anzahl der Rücksetzereignisse | Die Anzahl der Rücksetzereignisse seit der letzten Messung. Dieses Alarm Limit ist nur verfügbar, wenn der Abschnitt „Rücksetzen“ aktiviert wurde. |
Ereignisstatus | Überprüfen Sie, ob ein Ereignisstatus festgelegt wurde. |
Fehlercode | Allgemeiner Job-Fehlercode (siehe Abschnitt „Job-Fehlercodes“) |
Beispiele für Agent-Ereignisprotokolle
Beispiel
Setzen Sie den Ereignisstatus, wenn die Ereignisquelle „TestError“ mit einer der IDs 998, 999 oder 1000 gefunden wird.
Setzen Sie den Ereignisstatus zurück, wenn die Ereignisquelle „TestReset“ mit der ID 999 gefunden wird oder die Statusdauer von 30 Minuten abgelaufen ist.
