Um Überwachungsprotokolle in einer Windows-Umgebung zu aktivieren, wählen Sie die entsprechende Richtlinie aus, und weisen Sie der Richtlinie bestimmte Prüfparameter zu. Wenn die Protokollüberwachung aktiviert ist und eine angegebene Zeichenfolge im überwachten Protokoll erkannt wird, erstellt das System ein Ereignis.
Vorbereitungen
Erforderliche Rolle: agent_client_collector_admin
Prozedur
-
Navigieren zu an.
-
Wählen Sie aus Windows-Protokollüberwachung Richtlinie.
-
Auf Überprüfen Sie Instanzen Registerkarte auswählen os.windows.check-log Zum Aktivieren der Überwachung von Windows-Protokolldateien.
-
Auf Parameter Überprüfen Geben Sie die Protokollparameter an, die von der Prüfung überwacht werden sollen, wie in der folgenden Tabelle beschrieben:
Tabelle : 1. Parameter überprüfen
| Name |
Wert |
| Warnung |
Gibt an, wie oft die angegebenen Musterzeichenfolgen im Protokoll gefunden werden, das einen generiert warningEreignis. Standard = 1. Beispiel: Wenn patternWert ist Ausnahme Und ein Ausnahmereignis befindet sich im Protokoll, A warningEreignis wird generiert. |
| kritisch |
Gibt an, wie oft die angegebenen Musterzeichenfolgen im Protokoll gefunden werden, das einen generiert criticalEreignis. Standard = 2. Beispiel: Wenn patternWert ist Ausnahme Und zwei Ausnahmereignisse befinden sich im Protokoll, A critical Ereignis wird generiert. |
| file |
Speicherort der Protokolldatei. |
| pattern |
Zeichenfolgen, nach denen im Protokoll gesucht wird. Standardwerte sind Schwerwiegend Und Ausnahme . Andere mögliche Werte sind 404 Und Fehler . Stellen Sie sicher, dass Sie mehrere Muster durch eine Pipe (|) trennen und als Parameter in Anführungszeichen übergeben. Beispiel: „SCHWERWIEGEND|404“ . |