Agent -Ereignisprotokoll
Funktion | Lesen und filtern Sie das Windows-Ereignisprotokoll |
---|---|
Alarmierend | Anzahl der Ereignisse / Reset-Ereignisse, Ereignisstatus, Rückkehrcode |
Detail des Agent -Ereignisprotokolls
Alle angegebenen Kriterien müssen übereinstimmen, um ein Ereignis zu erkennen. Der Vergleichsoperator für die Agent des Operator kann gegebenenfalls ausgewählt werden (gleich, ungleich, gleich, nicht gleich). Mehrere Werte können durch Komma getrennt werden und Parameter, die like und not like als Vergleichsoperator Operator , dürfen Platzhalterzeichen wie * und ? enthalten.
Die erste Ausführung eines Agent Eventlog-Jobs zählt die übereinstimmenden Ereignisse der letzten fünf Minuten. Die nächste Ausführung zählt die Ereignisse zwischen der letzten erfolgreichen und der aktuellen Ausführung. Eine Jobkonfigurationsänderung setzt die letzte Ausführung nicht zurück. Wenn zwischen der letzten und der aktuellen Ausführung kein neues Ereignis auftritt, ist der Ereigniszähler 0.
Agent -Ereignisprotokollparameter
Parameter | Beschreibung |
---|---|
Logdatei | Wählen Sie den Ort aus, an dem Ereignisse gelesen werden: Alle , Anwendung , System , Sicherheit oder Benutzerdefiniert . Wenn Sie Benutzerdefiniert auswählen, wird ein zusätzliches Textfeld angezeigt, in das Sie einen benutzerdefinierten Protokollspeicherort eingeben können. Dazu muss ein Eintrag in der Windows-Registrierung vorgenommen werden, ansonsten können die Ereignisse, die in einem der oben nicht erwähnten Ereignisprotokolle erscheinen, weder manuell über WMI noch über den Agent Eventlog-Job abgefragt werden. Im Folgenden wird der erforderliche Registrierungsschlüsseleintrag für das Ereignisprotokoll „Microsoft-Windows-TaskScheduler%4Operational.evtx“ gezeigt. Windows-Registrierungseditor Version 5.00 Der Schlüssel muss inklusive Schrägstrich eingegeben werden. Das benutzerdefinierte Ereignisprotokoll kann jetzt wie folgt definiert werden: Microsoft-Windows-TaskScheduler/Operational Beachten Sie, dass die Zeichenfolge %4 durch einen Schrägstrich ("/") ersetzt werden muss. |
Ereignistyp | Wählen Sie aus, welche Ereignistypen bei der Suche nach Ereignissen berücksichtigt werden sollen. |
Ereignisquelle | Wenn kein Wert festgelegt ist, stimmt jede Ereignisquelle überein. Es können die Operatoren Equal , Not equal , Like , Not like verwendet werden. Es können mehrere Quellen angegeben werden, getrennt durch ein Komma, z. B.: MSExchange-Assistenten, MSExchange-Transport |
Benutzer | Wenn kein Wert festgelegt ist, stimmt jeder Benutzer überein. Es können die Operatoren Equal , Not equal , Like , Not like verwendet werden. Es können mehrere Benutzer angegeben werden, getrennt durch ein Komma, z. B.: SKOOR\Benutzer,NT-Autorität\System |
Kategorie | Wenn kein Wert festgelegt ist, stimmen alle Kategorien überein. Es können die Operatoren Equal , Not equal , Like , Not like verwendet werden. Es können mehrere Kategorien angegeben werden, getrennt durch ein Komma. Numerische Werte müssen in Klammern eingeschlossen werden, z. B.: Installation, (16), Server |
Ereignis-ID | Wenn kein Wert festgelegt ist, stimmt jede Ereignis-ID überein. Die Operatoren Equal , Not equal können verwendet werden. Es können mehrere IDs angegeben werden, die durch ein Komma getrennt sind, z. B.: 998.999.1000 |
Beschreibung | Bleibt dieses Feld leer, stimmen alle Beschreibungen überein. Es können mehrere Beschreibungszeichenfolgen angegeben werden, die durch ein Komma getrennt sind. Es können auch Platzhalter verwendet werden, z. B.: Drucker*,Drucker* Innerhalb der Beschreibung kann ein beliebiger Text angegeben werden. Beim Abgleich wird die Groß-/Kleinschreibung nicht beachtet. |
Statusdauer | Um ein Ereignis, das den Kriterien entspricht, sichtbar zu halten, wurde der Ereignisstatus eingeführt. Der Ereignisstatus wird durch ein Ereignis gesetzt (wenn Ereigniszähler > 0). Dieser Parameter definiert, wie lange der Status aktiv gehalten werden soll:
|
Ereignis zurücksetzen | Dies ist eine weitere Möglichkeit, den Ereignisstatus zu löschen. Wenn innerhalb von zwei Jobausführungen sowohl ein Ereignis als auch ein Reset-Ereignis auftreten, gewinnt das letzte Ereignis. Wenn ein Reset-Ereignis denselben Zeitstempel wie ein Ereignis hat, gewinnt das Reset-Ereignis. |
Agent -Ereignisprotokollwerte
Wert | Beschreibung |
---|---|
Anzahl der Ereignisse | Die Anzahl der Ereignisse seit der letzten Messung. Wenn der Job zum ersten Mal ausgeführt wird, zählt er die Ereignisse, die in den letzten 5 Minuten aufgetreten sind. |
Anzahl Reset-Ereignisse | Die Anzahl der Reset-Ereignisse seit der letzten Messung. Dieser Wert ist nur verfügbar, wenn der Abschnitt Zurücksetzen aktiviert wurde. |
Ereignisstatus | Der Ereignisstatus wird gesetzt, wenn die Anzahl der Ereignisse > 0 ist und wird gelöscht
|
Info-Nachricht | Die Info-Meldung listet die Beschreibung des aktuellsten gefundenen Ereignisses auf, das den Filterkriterien entspricht. |
Agent -Ereignisprotokoll-Alarmgrenzwerte
Alarm Limit | Beschreibung |
---|---|
Anzahl der Ereignisse | Die Anzahl der Ereignisse seit der letzten Messung. Wenn der Job zum ersten Mal ausgeführt wird, zählt er die Ereignisse, die in den letzten 5 Minuten aufgetreten sind. |
Anzahl Reset-Ereignisse | Die Anzahl der Reset-Ereignisse seit der letzten Messung. Diese Alarm Limit ist nur verfügbar, wenn der Abschnitt „ Zurücksetzen “ aktiviert wurde. |
Ereignisstatus | Überprüfen Sie, ob ein Ereignisstatus gesetzt wurde. |
Fehlercode | Allgemeiner Job-Fehlercode (siehe Abschnitt Job-Fehlercodes ) |
Beispiele für Agent -Ereignisprotokolle
Beispiel 1
Setzen Sie den Ereignisstatus, wenn die Ereignisquelle TestError mit einer der IDs 998,999,1000 gefunden wird.
Setzen Sie den Ereignisstatus zurück, wenn die Ereignisquelle TestReset mit der ID 999 gefunden wird oder die Statusdauer von 30 Minuten abgelaufen ist.