DocumentazioneAgente Eventlog
Funzione | Leggi e filtra il registro eventi di Windows |
|---|---|
Allarme | Numero di eventi / eventi di ripristino, stato degli eventi, codice di ritorno |
Dettagli del registro eventi dell'agente
Tutti i criteri specificati devono corrispondere per riconoscere un evento. L'operatore di confronto per i parametri del processo Agent Eventlog può essere scelto dove applicabile (uguale, non uguale, simile, non simile). I valori multipli possono essere separati da virgola e i parametri che supportano simile e non simile come operatore di confronto possono contenere caratteri jolly come * e ?.
La prima esecuzione di un processo del registro eventi dell'agente conta gli eventi corrispondenti degli ultimi cinque minuti. L'esecuzione successiva conta gli eventi tra l'ultima esecuzione riuscita e quella corrente. Una modifica alla configurazione del processo non reimposta l'ultima esecuzione. Se non si verificano nuovi eventi tra l'ultima esecuzione e quella corrente, il contatore degli eventi è 0.
Parametri Agent Eventlog
Parametro | Descrizione |
|---|---|
File di log | Scegliere la posizione da cui leggere gli eventi: Tutti, Applicazione, Sistema, Sicurezza o Definito dall'utente. Quando si seleziona Definito dall'utente, viene visualizzato un campo di testo aggiuntivo in cui è possibile inserire una posizione di registro personalizzata. Affinché ciò funzioni, è necessario creare una voce nel Registro di sistema di Windows, altrimenti gli eventi che compaiono in uno dei registri eventi non menzionati sopra non potranno essere interrogati, né manualmente tramite WMI, né tramite il processo Registro eventi agente. Di seguito è riportata la voce di registro richiesta per il registro eventi Microsoft-Windows-TaskScheduler%4Operational.evtx. Windows Registry Editor Version 5.00 La chiave deve essere inserita includendo il carattere barra. Il registro eventi definito dall'utente può ora essere definito come: Microsoft-Windows-TaskScheduler/Operational Si noti che la stringa %4 deve essere sostituita con un carattere barra ("/"). |
Tipo di evento | Selezionare i tipi di evento da considerare durante la ricerca degli eventi. |
Origine dell'evento | Se non viene impostato alcun valore, tutte le origini evento corrispondono. È possibile utilizzare gli operatori Uguale, Non uguale, Simile, Non simile. È possibile specificare più origini, separate da una virgola, ad esempio: MSExchange Assistants,MSExchange Transport |
Utente | Se non viene impostato alcun valore, tutti gli utenti corrispondono. È possibile utilizzare gli operatori Uguale, Non uguale, Simile, Non simile. È possibile specificare più utenti, separati da una virgola, ad esempio: SKOOR\utente,NT Authority\system |
Categoria | Se non viene impostato alcun valore, tutte le categorie corrispondono. È possibile utilizzare gli operatori Uguale, Non uguale, Simile, Non simile. È possibile specificare più categorie, separate da una virgola. I valori numerici devono essere racchiusi tra parentesi, ad esempio: Installazione,(16),Server |
ID evento | Se non viene impostato alcun valore, corrispondono tutti gli ID evento. È possibile utilizzare gli operatori Uguale, Non uguale. È possibile specificare più ID, separati da una virgola, ad esempio: 998,999,1000 |
Descrizione | Se questo campo viene lasciato vuoto, tutte le descrizioni corrispondono. È possibile specificare più stringhe di descrizione, separate da una virgola. È possibile utilizzare anche caratteri jolly, ad esempio: Printer*,Drucker* È possibile specificare qualsiasi testo all'interno della descrizione. La corrispondenza non distingue tra maiuscole e minuscole. |
Durata dello stato | Per mantenere visibile un evento che corrisponde ai criteri, è stato introdotto lo stato dell'evento. Lo stato dell'evento è impostato da un evento (se il contatore degli eventi è > 0). Questo parametro definisce per quanto tempo lo stato deve rimanere attivo:
|
Evento di ripristino | Questa è un'altra possibilità per cancellare lo stato dell'evento. Se sia un evento che un evento di ripristino si verificano entro due esecuzioni del processo, prevale l'ultimo evento. Se un evento di ripristino ha lo stesso timestamp di un evento, prevale l'evento di ripristino. |
Valori del registro eventi dell'agente
Valore | Descrizione |
|---|---|
Numero di eventi | Il numero di eventi dall'ultima misurazione. Se il processo viene eseguito per la prima volta, conta gli eventi verificatisi negli ultimi 5 minuti. |
Numero di eventi di ripristino | Il numero di eventi di ripristino dall'ultima misurazione. Questo valore è disponibile solo se la sezione Ripristino è stata abilitata. |
Stato dell'evento | Lo stato dell'evento viene impostato se il numero di eventi è > 0 e viene cancellato
|
Messaggio informativo | Il messaggio informativo elenca la descrizione dell'evento più recente trovato che corrisponde ai criteri di filtro. |
Limiti di allarme del registro eventi dell'agente
Limite di allarme | Descrizione |
|---|---|
Numero di eventi | Il numero di eventi dall'ultima misurazione. Se il processo viene eseguito per la prima volta, conta gli eventi verificatisi negli ultimi 5 minuti. |
Numero di eventi di ripristino | Il numero di eventi di ripristino dall'ultima misurazione. Questo limite di allarme è disponibile solo se la sezione Ripristino è stata abilitata. |
Stato dell'evento | Verifica se è stato impostato uno stato dell'evento. |
Codice di errore | Codice di errore generico del lavoro (vedere la sezione Codici di errore del lavoro) |
Esempi di registro eventi agente
Esempio 1
Imposta lo stato dell'evento se l'origine dell'evento TestError viene rilevata con uno degli ID 998,999,1000.
Reimposta lo stato dell'evento se l'origine dell'evento TestReset viene rilevata con l'ID 999 o se il tempo di durata dello stato di 30 minuti è scaduto.
