DocsJournal des événements de l' Agent
Une fonction | Lire et filtrer le journal des événements Windows |
|---|---|
Alarmant | Nombre d'événements / événements de réinitialisation, état de l'événement, code de retour |
Détail du journal des événements de l' Agent
Tous les critères spécifiés doivent correspondre pour reconnaître un événement. L' operateur de comparaison pour les paramètres du travail Agent Eventlog peut être choisi le cas échéant (égal, différent, similaire, différent). Plusieurs valeurs peuvent être séparées par des virgules et des paramètres prenant en charge like et not like car operateur de comparaison peut contenir des caractères génériques tels que * et ?.
La première exécution d'un travail Agent Eventlog compte les événements correspondants des cinq dernières minutes. La prochaine exécution compte les événements entre la dernière exécution réussie et l'exécution en cours. Une modification de la configuration d'un travail ne réinitialise pas la dernière exécution. Si aucun nouvel événement ne se produit entre la dernière et l'exécution en cours, le compteur d'événements est à 0.
Paramètres du journal des événements de l' Agent
Paramètre | Description |
|---|---|
Fichier journal | Choisissez l'emplacement à partir duquel les événements seront lus : Tous , Application , Système , Sécurité ou Défini par l'utilisateur . Lorsque vous sélectionnez Défini par l'utilisateur , un champ de texte supplémentaire apparaît dans lequel vous pouvez entrer un emplacement de journal personnalisé. Pour que cela fonctionne, une entrée de registre Windows doit être créée, sinon les événements, qui apparaissent dans l'un des journaux d'événements non mentionnés ci-dessus, ne peuvent pas être interrogés, ni manuellement à l'aide de WMI, ni via le travail Agent Eventlog. L'exemple suivant montre l'entrée de clé de registre requise pour le journal des événements Microsoft-Windows-TaskScheduler%4Operational.evtx. Éditeur du Registre Windows Version 5.00 La clé doit être saisie en incluant le caractère barre oblique. Le journal des événements définis par l'utilisateur peut maintenant être défini comme : Microsoft-Windows-TaskScheduler/Operational Notez que la chaîne %4 doit être remplacée par une barre oblique ("/"). |
Type d'événement | Sélectionnez les types d'événements à prendre en compte lors de la recherche d'événements. |
Origine de l'événement | Si aucune valeur n'est définie, chaque source d'événement correspond. Les operateurs Equal , Not equal , Like , Not like peuvent être utilisés. Plusieurs sources peuvent être données, séparées par une virgule, par exemple : Assistants MS Exchange, Transport MS Exchange |
Utilisateur | Si aucune valeur n'est définie, chaque utilisateur correspond. Les operateurs Equal , Not equal , Like , Not like peuvent être utilisés. Plusieurs utilisateurs peuvent être indiqués, séparés par une virgule, par exemple : SKOOR\utilisateur, autorité NT\système |
Catégorie | Si aucune valeur n'est définie, chaque catégorie correspond. Les operateurs Equal , Not equal , Like , Not like peuvent être utilisés. Plusieurs catégories peuvent être données, séparées par une virgule. Les valeurs numériques doivent être placées entre parenthèses, par exemple : Installation,(16), Server |
ID d'événement | Si aucune valeur n'est définie, chaque ID d'événement correspond. Les operateurs Equal , Not equal peuvent être utilisés. Plusieurs identifiants peuvent être donnés, séparés par une virgule, par exemple : 998,999,1000 |
Description | Si ce champ est laissé vide, toutes les descriptions correspondent. Plusieurs chaînes de description peuvent être spécifiées, séparées par une virgule. Des caractères génériques peuvent également être utilisés, par exemple : Imprimante*, Drucker* N'importe quel texte peut être spécifié dans la description. La correspondance est insensible à la casse. |
Durée du statut | Pour garder un événement qui correspond aux critères visibles, le statut de l'événement a été introduit. L' état de l'événement est défini par un événement (si compteur d'événements > 0). Ce paramètre définit la durée pendant laquelle l'état doit rester actif :
|
Réinitialiser l'événement | Il s'agit d'une autre possibilité d'effacer l' état de l'événement . Si un événement et un événement de réinitialisation se produisent dans deux exécutions de travail, le dernier événement l'emporte. Si un événement de réinitialisation a le même horodatage qu'un événement, l'événement de réinitialisation l'emporte. |
Valeurs du journal des événements de l' Agent
Évaluer | Description |
|---|---|
Nombre d'événements | Le nombre d'événements depuis la dernière mesure. Si le travail s'exécute pour la première fois, il compte les événements qui se sont produits au cours des 5 dernières minutes. |
Nombre d'événements de réinitialisation | Le nombre d'événements de réinitialisation depuis la dernière mesure. Cette valeur n'est disponible que si la section Réinitialiser a été activée. |
Statut de l'événement | L' état de l'événement est défini si le nombre d'événements est > 0 et est effacé
|
Message d'information | Le message d'information répertorie la description de l'événement le plus récent trouvé correspondant aux critères de filtre. |
Limites d'alarme du journal des événements de l' Agent
Limite d'alarme | Description |
|---|---|
Nombre d'événements | Le nombre d'événements depuis la dernière mesure. Si le travail s'exécute pour la première fois, il compte les événements qui se sont produits au cours des 5 dernières minutes. |
Nombre d'événements de réinitialisation | Le nombre d'événements de réinitialisation depuis la dernière mesure. Cette limite d'alarme n'est disponible que si la section Reset a été activée. |
Statut de l'événement | Vérifiez si un statut d'événement a été défini. |
Code d'erreur | Code d'erreur de tâche générique (voir section Codes d'erreur de tâche ) |
Exemples de journal des événements de l' Agent
Exemple 1
Définissez l' état de l'événement si la source d'événement TestError est trouvée avec l'un des ID 998,999,1000.
Réinitialisez l' état de l'événement si la source d'événement TestReset est trouvée avec l'ID 999 ou si la durée de l'état de 30 minutes est écoulée.
