Next Topic

Previous Topic

Book Contents

Alarme - Ereignisprotokolle

Kontrolle > Alarme

  • Wählen Sie Ereignisprotokolle aus der Dropdown-Liste Alarmfunktion auswählen aus.

Die Seite Alarme - Ereignisprotokolle löst einen Alarm aus, wenn ein Ereignisprotokolleintrag für einen ausgewählten Rechner vorgegebenen Kriterien entspricht. Nach Auswahl des Ereignisprotokolltyps können Sie die durch den Ereignissatz und die Ereigniskategorie vorgegebenen Alarmbedingungen filtern.

Hinweis: Sie können Ereignisprotokolle direkt anzeigen. Klicken Sie auf einem Windows-Rechner auf Start, Systemsteuerung, Verwaltung und dann auf Ereignisanzeige. Klicken Sie auf Anwendung, Sicherheit oder System, um die Ereignisse in jedem Protokoll anzuzeigen.

Voraussetzung

Die Ereignisprotokollierung muss über Agent > Ereignisprotokolleinstellungen für den jeweiligen Rechner aktiviert sein.

Windows-Ereignisprotokolle

Ein Ereignisprotokolldienst wird auf Windows-Betriebssystemen ausgeführt. (Er steht nicht für Win9x zur Verfügung.) Über den Ereignisprotokolldienst können Ereignisprotokollnachrichten von Windows-basierten Programmen und Komponenten ausgegeben werden. Diese Ereignisse werden in den auf jedem Rechner gespeicherten Ereignisprotokollen gespeichert. Die Ereignisprotokolle verwalteter Rechner können in der KServer-Datenbank gespeichert werden und als Basis aller Alarme und Berichte dienen. Sie können auch archiviert werden.

Abhängig vom jeweiligen Betriebssystem stehen die folgenden Ereignisprotokolltypen zur Verfügung:

  • Anwendungsprotokoll
  • Sicherheitsprotokoll
  • Systemprotokoll
  • Verzeichnisdienstprotokoll
  • Dateireplikationsdienstprotokoll
  • DNS-Serverprotokoll

Die Liste der verfügbaren Ereignisprotokolltypen kann über Kontrolle > Listen nach Scan aktualisieren aktualisiert werden.

Windows-Ereignisse werden über die folgenden Ereignisprotokollkategorien weiter klassifiziert:

  • Fehler
  • Warnung
  • Information
  • Inventarisierung (Erfolg)
  • Inventarisierung (Versagen)
  • Kritisch – Gilt nur für Vista.
  • Verbose – Gilt nur für Vista.

Ereignisprotokolle werden von den folgenden VSA-Seiten verwendet bzw. referenziert:

Ereignissätze

Da die Anzahl der Ereignisse in Windows-Ereignisprotokollen riesig ist, verwendet der VSA einen Datensatztyp namens Ereignissatz, um nach Alarmbedingungen zu filtern.

Ereignissätze enthalten eine oder mehrere Bedingungen. Jede Bedingung enthält Filter für verschiedene Felder in einem Ereignisprotokolleintrag. Die Feld sind Quelle, Kategorie, Ereignis-ID, Benutzer und Beschreibung. Ein Ereignisprotokolleintrag muss alle Feldfilter einer Bedingung erfüllen, um als Übereinstimmung zu gelten. Ein Feld mit einem Sternchen (*) bedeutet, dass jede Zeichenfolge, selbst eine leere Zeichenfolge, als Übereinstimmung gilt. Eine Übereinstimmung auch nur einer der Bedingungen in einem Ereignis ist ausreichend, um einen Alarm für einen Rechner auszulösen, auf den dieser Ereignissatz angewendet wurde.

Weitere Hinweise zum Konfigurieren von Ereignissätzen finden Sie unter Kontrolle > Alarme > Ereignisprotokolle > Ereignissätze bearbeiten.

Beispiel-Ereignissätze

Es wird eine stetig wachsende Liste von Beispiel-Ereignissätzen zur Verfügung gestellt. Die Namen der Beispiel-Ereignissätze beginnen mit ZC. Sie können die Beispiel-Ereignissätze bearbeiten. Doch empfehlenswerter ist es, einen Beispiel-Ereignissatz zu kopieren und die Kopie zu bearbeiten. Die Beispiel-Ereignissätze werden bei jeder Aktualisierung der Beispielsätze im Rahmen eines Pflegezyklus überschrieben.

Ereignisprotokollalarm erstellen

  1. Wählen Sie auf der Seite Kontrolle > Alarme den Ereignisprotokolltyp aus der Dropdown-Liste aus.
  2. Wählen Sie den Ereignissatz-Filter aus, der zum Filtern der Ereignisse verwendet wird, die Alarme auslösen. Standardmäßig ist <Alle Ereignisse> aktiviert.
  3. Aktivieren Sie das Kontrollkästchen neben einer der folgenden Ereigniskategorien:
    • Fehler
    • Warnung
    • Information
    • Inventarisierung (Erfolg)
    • Inventarisierung (Versagen)
    • Kritisch – Gilt nur für Vista.
    • Verbose – Gilt nur für Vista.

      Hinweis: Rote Zeichen zeigen eine deaktivierte Protokollierung an. Ereignisprotokolle können vom VSA für einen bestimmten Rechner deaktiviert worden sein. Dies richtet sich nach den mit Agent > Ereignisprotokolleinstellungen definierten Einstellungen. Für bestimmte Rechner sind möglicherweise nicht alle Ereigniskategorien verfügbar, wie beispielsweise die Ereigniskategorien Kritisch und Verbose für Nicht-Vista-Rechner.

  4. Geben Sie die Häufigkeit der Alarmbedingung an, die zum Auslösen eines Alarms erforderlich ist:
    • Warnen, wenn dieses Ereignis ein einziges Mal eintritt
    • Warnen, wenn dieses Ereignis <N> Mal innerhalb von <N> <Perioden> eintritt
    • Warnen, wenn dieses Ereignis nicht innerhalb von <N> <Perioden> eintritt
    • Zusätzliche Alarme übergehen für <N> <Perioden>
  5. Klicken Sie auf die Optionsfelder Hinzufügen oder Ersetzen und anschließend auf Anwenden, um die ausgewählten Ereignistypalarme den ausgewählten Rechner-IDs zuzuweisen.
  6. Klicken Sie auf Entfernen, um alle ereignisbasierten Alarme von ausgewählten Rechner-IDs zu entfernen.

Globale Ereignisprotokollliste

Jeder Agent verarbeitet zwar alle Ereignisse, die auf einer "Blacklist" aufgeführten Ereignisse werden jedoch nicht auf den VSAServer hochgeladen. Es gibt zwei "Blacklists". Die eine wird periodisch von Kaseya aktualisiert und heißt EvLogBlkList.xml. Die andere namens EvLogBlkListEx.xml kann vom Dienstanbieter gepflegt werden und wird nicht von Kaseya aktualisiert. Beide Dateien werden im Verzeichnis \Kaseya\WebPages\ManagedFiles\VSAHiddenFiles gespeichert. Die Alarmermittlung und -verarbeitung werden fortgesetzt, ungeachtet dessen, ob sich die Einträge in der Erfassungs-Blacklist befinden oder nicht.

Überschwemmungserkennung

Wenn 1000 Ereignisse (ohne Zählung der  Blacklist-Ereignisse) von einem Agenten innerhalb einer Stunde auf den KServer hochgeladen werden, wird die weitere Erfassung von Ereignissen dieses Protokolltyps für den Rest der Stunde angehalten. Ein neues Ereignis wird in das Ereignisprotokoll eingefügt, um die Aussetzung der Erfassung zu verzeichnen. An Ende der Stunde wird die Erfassung automatisch wieder aufgenommen. Dies verhindert, dass der KServer von kurzfristigen Schwerlasten überschwemmt wird. Die Alarmermittlung und -verarbeitung wird ungeachtet einer ausgesetzten Erfassung fortgesetzt.

Alarminformationen an E-Mails und Verfahren weiterleiten

Die folgenden Arten von Kontrollalarm-E-Mails können gesendet und formatiert werden:

  • Protokollalarm zu einem einzelnen Ereignis. Dieselbe Vorlage wird auf alle Ereignisprotokolltypen angewendet.
  • Protokollalarme zu Mehrfachereignissen. Dieselbe Vorlage wird auf alle Ereignisprotokolltypen angewendet.
  • Protokollalarm zu fehlendem Ereignis. Dieselbe Vorlage wird auf alle Ereignisprotokolltypen angewendet.

Hinweis: Durch Ändern dieses E-Mail-Alarmformats wird das Format für alle Ereignisprotokoll-Alarm-E-Mails geändert.

Die folgenden Variablen können in die formatierten E-Mail-Alarme und in Verfahren eingeschlossen werden.

Innerhalb einer E-Mail

Innerhalb eines Verfahrens

Beschreibung

<at>

#at#

Alarmzeit

<cg>

#cg#

Ereigniskategorie

<cn>

#cn#

Computername

<db-view.column>

nicht verfügbar

Schließen Sie eine view.column aus der Datenbank ein. Um beispielsweise den Computernamen des Rechners, der den Alarm generiert hat, in die E-Mail einzuschließen, verwenden Sie <db-vMachine.ComputerName>

<ed>

#ed#

Ereignisbeschreibung

<ei>

#ei#

Ereignis-ID

<es>

#es#

Ereignisquelle

<esn>

#esn#

Name der Ereignisquelle

<et>

#et#

Ereigniszeit

<eu>

#eu#

Ereignisbenutzer

<ev>

#ev#

Name des Ereignissatzes

<gr>

#gr#

Gruppen-ID

<id>

#id#
  1. Rechner-ID

<lt>

#lt#

Protokolltyp (Anwendung, Sicherheit, System)

<tp>

#tp#

Ereignistyp (Fehler, Warnung, Information, Prüfung erfolgreich, Prüfung fehlgeschlagen)

 

#subject#

Betreff der E-Mail-Nachricht, falls als Antwort auf einen Alarm eine E-Mail gesendet wurde

 

#body#

Textkörper der E-Mail-Nachricht, falls als Antwort auf einen Alarm eine E-Mail gesendet wurde

Hinweis: Nur die folgenden Variablen können in mehrere Ereignisprotokollalarme eingeschlossen werden: <at> <ed> <ev> <gr> <id> <lt>.

Anwenden

Klicken Sie auf Anwenden, um die Parameter auf die ausgewählten Rechner-IDs anzuwenden. Prüfen Sie in der Liste der Rechner-IDs, ob die Informationen korrekt angewendet wurden.

Löschen

Klicken Sie auf Löschen, um alle Parametereinstellungen von ausgewählten Rechner-IDs zu entfernen.

Alarm erstellen

Wenn diese Option aktiviert ist und eine Alarmbedingung auftritt, wird ein Alarm erstellt. Alarme werden unter Kontrolle > Dashboard-Liste, Kontrolle > Alarmübersicht und Info Center > Berichte > Protokolle > Alarmprotokoll angezeigt.

Ticket erstellen

Wenn diese Option aktiviert ist und eine Alarmbedingung auftritt, wird ein Ticket erstellt.

Skript ausführen

Wenn dies aktiviert ist und eine Alarmbedingung auftritt, wird ein Agentenverfahren ausgeführt. Sie müssen auf den Link Agentenverfahren auswählen klicken, um ein auszuführendes Agentenverfahren zu wählen. Sie können das Agentenverfahren optional anweisen, in einem angegebenen Bereich von Rechner-IDs zu laufen, indem Sie auf den Link diese Rechner-ID klicken. Diese angegebenen Rechner-IDs müssen nicht der Rechner-ID aus der Alarmbedingung entsprechen.

E-Mail-Empfänger

Wenn diese Option aktiviert ist und eine Alarmbedingung auftritt, wird eine E-Mail an die angegebenen E-Mail-Adressen gesendet.

  • Die E-Mail-Adresse des gegenwärtig angemeldeten Benutzers wird im Feld E-Mail-Empfänger angezeigt. Der Standardwert wird von System > Präferenzen übernommen.
  • Klicken Sie auf E-Mail formatieren, um das Popup-Fenster Alarm-E-Mail formatieren einzublenden. In diesem Fenster können Sie die Anzeige der vom System generierten E-Mails bei Auftreten einer Alarmbedingung formatieren. Diese Option wird nur für Haupt-Rollenbenutzer angezeigt.
  • Wenn das Optionsfeld Zur aktuellen Liste hinzufügen aktiviert ist, werden beim Klicken auf Anwenden die Alarmeinstellungen angewendet und die angegebenen E-Mail-Adressen hinzugefügt, ohne dass die zuvor zugewiesenen E-Mail-Adressen entfernt werden.
  • Wenn das Optionsfeld Liste ersetzen aktiviert ist, werden beim Klicken auf Anwenden die Alarmeinstellungen angewendet und die zuvor zugewiesenen E-Mail-Adressen durch die angegebenen E-Mail-Adressen ersetzt.
  • Wenn Sie auf Entfernen klicken, werden alle E-Mail-Adressen entfernt, ohne dass irgendwelche Alarmparameter geändert werden.
  • E-Mails werden direkt vom KServer an die im Alarm angegebene E-Mail-Adresse gesendet. Legen Sie die Von-Adresse über System > Ausgehende E-Mail fest.

Alle auswählen/Alle abwählen

Klicken Sie auf den Link Alle auswählen, um alle Zeilen auf der Seite zu markieren. Klicken Sie auf dem Link Alle abwählen, um die Markierung aller Zeilen auf der Seite rückgängig zu machen.

Check-in-Status

Diese Symbole geben den Agenten-Check-in-Status jedes verwalteten Rechners an:

Online, aber in Wartestellung bis zum Abschluss der ersten Inventarisierung

Agent online

Agent online und Benutzer gegenwärtig angemeldet. Das Symbol zeigt eine Quickinfo mit dem Anmeldenamen an.

Agent online und Benutzer gegenwärtig angemeldet, doch Benutzer seit mehr als 10 Minuten nicht aktiv

Der Agent ist gegenwärtig offline.

Agent hat nie eingecheckt.

Der Agent ist online, aber die Fernsteuerung wurde deaktiviert.

Agent wurde ausgesetzt.

Rechner.Gruppen-ID

Die Liste der angezeigten Rechner.Gruppen-IDs basiert auf dem Rechner-ID-/Gruppen-ID-Filter und den Rechnergruppen, die der Benutzer befugt ist, mithilfe von System > Benutzersicherheit > Umfänge anzuzeigen.

Bearbeitungssymbol

Klicken Sie auf das Bearbeitungssymbol einer Zeile, um die Kopfzeilenparameter mit Werten aus dieser Zeile auszufüllen. Sie können diese Werte in der Kopfzeile bearbeiten und dann erneut anwenden.

Protokolltyp

Der Typ des überwachten Ereignisprotokolls

ATSE

Der ATSE-Antwortcode, der Rechner-IDs oder SNMP-Geräten zugewiesen wird:

  • A = Alarm erstellen
  • T = Ticket erstellen
  • S = Agentenverfahren ausführen
  • E = E-Mail-Empfänger

EWISFCV

Die überwachte Ereigniskategorie

E-Mail-Adresse

Eine kommagetrennte Liste von E-Mail-Adressen, an die Benachrichtigungen gesendet werden

Ereignissatz

Der dieser Rechner-ID zugewiesene Ereignissatz. Sie können mehrere Ereignissätze der gleichen Rechner-ID zuweisen.

Intervall

Angabe, wie oft ein Ereignis innerhalb der festgelegten Zeitspannen eintritt. Gilt nur, wenn die Option Warnen, wenn dieses Ereignis <N> Mal innerhalb von <N> <Perioden> eintritt aktiviert ist. Es wird Fehlend angezeigt, wenn die Option Warnen, wenn dieses Ereignis nicht innerhalb von <N> <Perioden> eintritt aktiviert wurde. Es wird 1 angezeigt, wenn die OptionWarnen, wenn dieses Ereignis ein einziges Mal eintritt aktiviert wurde.

Dauer

Angabe, wie oft ein Ereignis eintreten muss, um eine Alarmbedingung auszulösen. Gilt nur, wenn die Option Warnen, wenn dieses Ereignis <N> Mal innerhalb von <N> <Perioden> eintritt oder Warnen, wenn dieses Ereignis nicht innerhalb von <N> <Perioden> eintritt aktiviert wurden.

Wiederherstellen

Zeigt an, wie lange gewartet werden muss, bevor neue Alarmbedingungen für die gleiche Kombination von Ereignissatz und Ereigniskategorie ausgelöst werden. Gilt nur, wenn mit Zusätzliche Alarme übergehen für <N> <Perioden> eine Wiederherstellungsperiode größer als Null angegeben wurde.