DokumentationAgent Ereignisprotokoll
Funktion | Lesen und Filtern des Windows-Ereignisprotokolls |
|---|---|
Alarmierung | Anzahl der Ereignisse / zurückgesetzte Ereignisse, Ereignisstatus, Rückgabecode |
Agent Ereignisprotokoll Detail
Alle angegebenen Kriterien müssen übereinstimmen, um ein Ereignis zu erkennen. Der Vergleichsoperator für die Job-Parameter des Agent-Ereignisprotokolls kann ggf. ausgewählt werden (gleich, nicht gleich, wie, nicht wie). Mehrere Werte können durch ein Komma getrennt werden und Parameter, die like und not like als Vergleichsoperator unterstützen, dürfen Platzhalterzeichen wie * und ? enthalten.
Bei der ersten Ausführung eines Agent Eventlog-Auftrags werden die passenden Ereignisse der letzten fünf Minuten gezählt. Bei der nächsten Ausführung werden die Ereignisse zwischen der letzten erfolgreichen und der aktuellen Ausführung gezählt. Eine Änderung der Auftragskonfiguration setzt die letzte Ausführung nicht zurück. Wenn zwischen der letzten und der aktuellen Ausführung kein neues Ereignis eintritt, ist der Ereigniszähler 0.
Agent Eventlog-Parameter
Parameter | Beschreibung |
|---|---|
Protokolldatei | Wählen Sie den Speicherort, aus dem die Ereignisse gelesen werden sollen: Alle, Anwendung, System, Sicherheit oder Benutzerdefiniert. Wenn Sie Benutzerdefiniert wählen, erscheint ein zusätzliches Textfeld, in das Sie einen benutzerdefinierten Speicherort für das Protokoll eingeben können. Damit dies funktioniert, muss ein Eintrag in der Windows-Registrierung vorgenommen werden. Andernfalls können die Ereignisse, die in einem der oben nicht genannten Ereignisprotokolle erscheinen, nicht abgefragt werden, weder manuell über WMI noch über den Agent Eventlog-Job. Im Folgenden wird der erforderliche Registrierungsschlüssel-Eintrag für das Ereignisprotokoll Microsoft-Windows-TaskScheduler%4Operational.evtx dargestellt. Windows-Registrierungseditor Version 5.00 Der Schlüssel muss einschließlich des Schrägstrichs eingegeben werden. Das benutzerdefinierte Ereignisprotokoll kann nun wie folgt definiert werden: Microsoft-Windows-TaskScheduler/Betrieblich Beachten Sie, dass die Zeichenfolge %4 durch ein Schrägstrichzeichen ("/") ersetzt werden muss. |
Ereignistyp | Wählen Sie aus, welche Ereignistypen bei der Suche nach Ereignissen berücksichtigt werden sollen. |
Ereignisquelle | Wenn kein Wert angegeben wird, wird jede Ereignisquelle berücksichtigt. Die Operatoren Gleich, Nicht gleich, Wie, Nicht wie können verwendet werden. Es können mehrere Quellen angegeben werden, die durch ein Komma getrennt werden, z. B.: MSExchange Assistenten,MSExchange Transport |
Benutzer | Wenn kein Wert angegeben wird, passt jeder Benutzer. Die Operatoren Equal, Not equal, Like, Not like können verwendet werden. Mehrere Benutzer können durch ein Komma getrennt angegeben werden, z. B.: SKOOR\user,NT Authority\system |
Kategorie | Wenn kein Wert angegeben wird, passt jede Kategorie. Die Operatoren Equal, Not equal, Like, Not like können verwendet werden. Es können mehrere Kategorien angegeben werden, die durch ein Komma getrennt sind. Numerische Werte müssen in Klammern gesetzt werden, z. B.: Installation,(16),Server |
Ereignis-ID | Wenn kein Wert angegeben wird, passt jede Ereignis-ID. Die Operatoren Gleich, Nicht gleich können verwendet werden. Mehrere IDs können durch ein Komma getrennt angegeben werden, z. B.: 998,999,1000 |
Beschreibung | Wenn dieses Feld leer gelassen wird, passt jede Beschreibung. Es können mehrere Beschreibungsstrings angegeben werden, die durch ein Komma getrennt sind. Es können auch Platzhalter verwendet werden, z. B.: Drucker*,Drucker* Innerhalb der Beschreibung kann ein beliebiger Text angegeben werden. Die Groß- und Kleinschreibung wird nicht berücksichtigt. |
Dauer des Status | Um ein Ereignis, das den Kriterien entspricht, sichtbar zu halten, wurde der Ereignisstatus eingeführt. Der Ereignisstatus wird durch ein Ereignis gesetzt (wenn der Ereigniszähler > 0 ist). Dieser Parameter legt fest, wie lange der Status aktiv gehalten werden soll:
|
Ereignis zurücksetzen | Dies ist eine weitere Möglichkeit, den Ereignisstatus zu löschen. Wenn sowohl ein Ereignis als auch ein Rücksetzereignis innerhalb von zwei Jobausführungen auftreten, gewinnt das letzte Ereignis. Wenn ein Reset-Ereignis den gleichen Zeitstempel wie ein Ereignis hat, gewinnt das Reset-Ereignis. |
Agent Eventlog-Werte
Wert | Beschreibung |
|---|---|
Nr. der Ereignisse | Die Anzahl der Ereignisse seit der letzten Messung. Wenn der Auftrag zum ersten Mal ausgeführt wird, zählt er die Ereignisse der letzten 5 Minuten. |
Anzahl der Reset-Ereignisse | Die Anzahl der Reset-Ereignisse seit der letzten Messung. Dieser Wert ist nur verfügbar, wenn der Abschnitt Reset aktiviert wurde. |
Ereignis-Status | Der Ereignisstatus wird gesetzt, wenn die Anzahl der Ereignisse > 0 ist und wird gelöscht
|
Info-Meldung | Die Info-Meldung listet die Beschreibung des aktuellsten gefundenen Ereignisses auf, das den Filterkriterien entspricht. |
Agent Eventlog Alarm Limits
Alarm Limit | Beschreibung |
|---|---|
Anzahl der Ereignisse | Die Anzahl der Ereignisse seit der letzten Messung. Wenn der Job zum ersten Mal ausgeführt wird, zählt er die Ereignisse der letzten 5 Minuten. |
Anzahl der Reset-Ereignisse | Die Anzahl der Reset-Ereignisse seit der letzten Messung. Dieses Alarm Limit ist nur verfügbar, wenn der Abschnitt Reset aktiviert wurde. |
Ereignisstatus | Prüfen Sie, ob ein Ereignisstatus gesetzt wurde. |
Fehlercode | Allgemeiner Job-Fehlercode (siehe Abschnitt Job-Fehlercodes) |
Agent Eventlog Beispiele
Beispiel 1
Setzen des Ereignisstatus, wenn die Ereignisquelle TestError mit einer der IDs 998,999,1000 gefunden wird.
Den Ereignisstatus zurücksetzen, wenn die Ereignisquelle TestReset mit der ID 999 gefunden wird oder die Statusdauer von 30 Minuten abgelaufen ist.
