DocumentazioneAgente Eventlog
Funzione | Leggere e filtrare il registro eventi di Windows |
|---|---|
Allarme | Numero di eventi / eventi di reset, stato dell'evento, codice di ritorno |
Dettaglio del registro eventi dell'agente
Tutti i criteri specificati devono corrispondere per riconoscere un evento. È possibile scegliere l'operatore di confronto per i parametri del lavoro Agent Eventlog, se applicabile (uguale, non uguale, simile, non simile). I valori multipli possono essere separati da una virgola e i parametri che supportano like e not like come operatore di confronto possono contenere caratteri jolly come * e ?
La prima esecuzione di un lavoro Agent Eventlog conta gli eventi corrispondenti degli ultimi cinque minuti. L'esecuzione successiva conta gli eventi tra l'ultima esecuzione riuscita e quella corrente. Una modifica della configurazione del lavoro non azzera l'ultima esecuzione. Se non si verifica alcun nuovo evento tra l'ultima esecuzione e quella corrente, il contatore degli eventi è pari a 0.
Parametri del registro eventi dell'agente
Parametro | Descrizione |
|---|---|
Profilo di registro | Scegliere la posizione da cui leggere gli eventi: Tutti, Applicazione, Sistema, Sicurezza o Definito dall'utente. Quando si seleziona Definito dall'utente, viene visualizzato un campo di testo aggiuntivo in cui è possibile inserire una posizione di registro personalizzata. Affinché questo funzioni, è necessario inserire una voce nel Registro di sistema di Windows, altrimenti gli eventi che appaiono in uno dei registri eventi non menzionati sopra non possono essere interrogati, né manualmente con WMI, né tramite il job Eventlog dell'agente. Di seguito viene mostrata la voce della chiave di registro necessaria per il registro eventi Microsoft-Windows-TaskScheduler%4Operational.evtx. Editor del Registro di Windows Versione 5.00 La chiave deve essere inserita includendo il carattere slash. Il registro eventi definito dall'utente può ora essere definito come: Microsoft-Windows-TaskScheduler/Operativo Si noti che la stringa %4 deve essere sostituita da un carattere barra ("/"). |
Tipo di evento | Selezionare i tipi di evento da considerare quando si cercano gli eventi. |
Origine evento | Se non viene impostato alcun valore, ogni sorgente di evento viene considerata. È possibile utilizzare gli operatori Uguale, Non uguale, Come, Non come. È possibile indicare più fonti, separate da una virgola, ad esempio: Assistenti MSExchange,Trasporto MSExchange |
Utente | Se non viene impostato alcun valore, ogni utente corrisponde. È possibile utilizzare gli operatori Equal, Not equal, Like, Not like. È possibile indicare più utenti, separati da una virgola, ad es: SKOOR´user,NT Authority\system |
Categoria | Se non viene impostato alcun valore, ogni categoria corrisponde. È possibile utilizzare gli operatori Equal, Not equal, Like, Not like. È possibile indicare più categorie, separate da una virgola. I valori numerici devono essere racchiusi tra parentesi, ad esempio: Installazione,(16),Server |
ID evento | Se non viene impostato alcun valore, ogni ID evento corrisponde. È possibile utilizzare gli operatori Equal e Not equal. È possibile indicare più ID, separati da una virgola, ad esempio: 998,999,1000 |
Descrizione | Se questo campo viene lasciato vuoto, ogni descrizione corrisponde. È possibile specificare più stringhe di descrizione, separate da una virgola. Si possono usare anche i caratteri jolly, ad esempio: Stampante*,Drucker* È possibile specificare qualsiasi testo all'interno della descrizione. La corrispondenza non tiene conto delle maiuscole e delle minuscole. |
Durata dello stato | Per mantenere visibile un evento che corrisponde ai criteri, è stato introdotto lo stato Evento. Lo stato Evento viene impostato da un evento (se il contatore eventi > 0). Questo parametro definisce per quanto tempo lo stato deve essere mantenuto attivo:
|
Azzeramento dell'evento | È un'altra possibilità per cancellare lo stato dell'evento. Se nell'arco di due esecuzioni del lavoro si verificano sia un evento che un evento di reset, vince l'ultimo evento. Se un evento di reset ha lo stesso timestamp di un evento, vince l'evento di reset. |
Valori del registro eventi dell'agente
Valore | Descrizione |
|---|---|
Numero di eventi | Il numero di eventi dall'ultima misurazione. Se il lavoro viene eseguito per la prima volta, conta gli eventi verificatisi negli ultimi 5 minuti. |
Numero di eventi di reset | Il numero di eventi di reset dall'ultima misurazione. Questo valore è disponibile solo se la sezione Reset è stata abilitata. |
Stato dell'evento | Lo stato dell'evento è impostato se il numero di eventi è > 0 e viene cancellato
|
Messaggio Info | Il messaggio Info elenca la descrizione dell'evento più recente trovato in base ai criteri del filtro. |
Limiti di allarme del registro eventi dell'agente
Limite di allarme | Descrizione |
|---|---|
Numero di eventi | Il numero di eventi dall'ultima misurazione. Se il lavoro viene eseguito per la prima volta, conta gli eventi verificatisi negli ultimi 5 minuti. |
Numero di eventi di reset | Il numero di eventi di reset dall'ultima misurazione. Questo limite di allarme è disponibile solo se la sezione Reset è stata abilitata. |
Stato evento | Controlla se è stato impostato uno stato di evento. |
Codice di errore | Codice di errore generico del lavoro (vedere la sezione Codici di errore del lavoro). |
Esempi di log degli eventi dell'agente
Esempio 1
Impostare lo stato dell'evento se la sorgente dell'evento TestError viene trovata con uno degli ID 998,999,1000.
Azzerare lo stato dell 'evento se viene trovata la fonte dell'evento TestReset con l'ID 999 o se il tempo di durata dello stato di 30 minuti è scaduto.
