Ereignisprotokoll-Meldungen

Monitor > Agent-Monitoring > Ereignisprotokoll-Meldungen

Die Seite Meldungen – Ereignisprotokolle löst eine Meldung aus, wenn ein Ereignisprotokolleintrag für einen ausgewählten Rechner vorgegebenen Kriterien entspricht. Nach Auswahl des Ereignisprotokolltyps können Sie die durch den Ereignissatz und die Ereigniskategorie vorgegebenen Meldungsbedingungen filtern. Sie legen dann die Meldungsaktion fest, die als Reaktion auf die angegebene Meldungsbedingung ergriffen wird.

Hinweis: Sie können Ereignisprotokolle direkt anzeigen. Klicken Sie auf einem Windows-Rechner auf Start, Systemsteuerung, Verwaltung und dann auf Ereignisanzeige. Klicken Sie auf Anwendung, Sicherheit oder System, um die Ereignisse in jedem Protokoll anzuzeigen.

Ereignis-Sätze

Da die Anzahl der Ereignisse in Windows-Ereignisprotokollen riesig ist, verwendet der VSA einen Datensatztyp namens Ereignissatz, um nach Meldungsbedingungen zu filtern. Ereignissätze enthalten eine oder mehrere Bedingungen. Jede Bedingung enthält Filter für verschiedene Felder in einem Ereignisprotokolleintrag. Die Feld sind Quelle, Kategorie, Ereignis-ID, Benutzer und Beschreibung. Ein Ereignisprotokolleintrag muss alle Feldfilter einer Bedingung erfüllen, um als Übereinstimmung zu gelten. Ein Feld mit einem Sternchen (*) bedeutet, dass jede Zeichenfolge, selbst eine leere Zeichenfolge, als Übereinstimmung gilt. Eine Übereinstimmung auch nur einer der Bedingungen in einem Ereignissatz ist ausreichend, um eine Meldung für einen Rechner auszulösen, auf den dieser Ereignissatz angewendet wurde. Weitere Hinweise zum Konfigurieren von Ereignissätzen finden Sie unter Monitor > Ereignisprotokoll-Meldungen > Ereignissätze bearbeiten.

Beispiel-Ereignissätze

Es wird eine stetig wachsende Liste von Beispiel-Ereignissätzen zur Verfügung gestellt. Die Namen der Beispiel-Ereignissätze beginnen mit ZC. Sie können die Beispiel-Ereignissätze bearbeiten. Doch empfehlenswerter ist es, einen Beispiel-Ereignissatz zu kopieren und die Kopie zu bearbeiten. Die Beispiel-Ereignissätze werden bei jeder Aktualisierung der Beispielsätze im Rahmen eines Pflegezyklus überschrieben.

Globale Ereignisprotokollliste

Jeder Agent verarbeitet zwar alle Ereignisse, die auf einer "Blacklist" aufgeführten Ereignisse werden jedoch nicht auf den VSA-Server hochgeladen. Es gibt zwei "Blacklists". Eine wird periodisch von Kaseya aktualisiert und trägt die Bezeichnung EvLogBlkList.xml.. Die zweite mit dem Namen EvLogBlkListEx.xml kann vom Dienstanbieter verwaltet werden und wird nicht von Kaseya aktualisiert. Beide befinden sich im Verzeichnis \Kaseya\WebPages\ManagedFiles\VSAHiddenFiles. Die Alarmermittlung und -verarbeitung werden fortgesetzt, ungeachtet dessen, ob sich die Einträge in der Erfassungs-Blacklist befinden oder nicht.

Fluterkennung

Wenn 1000 Ereignisse (ohne Zählung der Blacklist-Ereignisse) von einem Agent innerhalb einer Stunde auf den Kaseya Server hochgeladen werden, wird die weitere Erfassung von Ereignissen dieses Protokolltyps für den Rest der Stunde angehalten. Ein neues Ereignis wird in das Ereignisprotokoll eingefügt, um die Aussetzung der Erfassung zu verzeichnen. An Ende der Stunde wird die Erfassung automatisch wieder aufgenommen. Dies verhindert, dass der Kaseya Server von kurzfristigen Schwerlasten überschwemmt wird. Die Alarmermittlung und -verarbeitung wird ungeachtet einer ausgesetzten Erfassung fortgesetzt.

Monitor-Assistent-Symbol für Ereignissätze

Ein Monitor-Assistent--Symbol wird neben dem Ereignisprotokolleintrag im VSA und in Live Connect angezeigt. Wenn Sie den Cursor über das Monitorassistent-Symbol eines Protokolleintrags bewegen, wird ein Assistent angezeigt. Der Assistent ermöglicht Ihnen auf Basis dieses Protokolleintrags ein neues Kriterium für den Ereignissatz zu erstellen. Das neue Ereignissatz-Kriterium kann zu jedem neuen oder bestehenden Ereignissatz hinzugefügt werden. Der neue oder geänderte Ereignissatz wird sofort auf den Rechner angewendet, der die Quelle dieses Protokolleintrags war. Wird ein bestehender Ereignissatz geändert, so sind alle Rechner davon betroffen, denen dieser Ereignissatz zugeordnet ist. Das Monitor-Assistent-Symbol wird angezeigt in:

• Agent > Agent-Protokolle
• Live Connect > Ereignisanzeige
• Live Connect > Agent-Daten > Ereignisprotokoll

Siehe Monitor > Ereignisprotokoll-Meldungen – hier ist jedes im Assistenten angezeigte Feld beschrieben.

Konfigurieren und Zuweisen von Ereignisprotokoll-Meldungen

1. Sie können optional die Ereignisprotokollierung für Rechner, die Sie überwachen möchten, über Agent > Ereignisprotokolleinstellungen aktivieren. Rot markierte Ereigniskategorien (EWISFCV) geben an, dass diese Ereigniskategorien nicht vom VSA gesammelt werden. Ereignisprotokoll-Meldungen werden auch generiert, wenn die Ereignisprotokolle nicht von VSA gesammelt werden.
2. Wählen Sie den Ereignissatz, den Ereignisprotokoll-Typ und andere Parameter über die Kopfzeilenregisterkarte Ereignisprotokoll-Meldungen > Ereignissatz zuweisen aus.
3. Klicken Sie optional auf die Schaltfläche Bearbeiten auf der Kopfzeilenregisterkarte Ereignissatz zuweisen, um die Meldungsbedingungen für die zugewiesenen Ereignissätze zu erstellen oder ändern.
4. Legen Sie über die Kopfzeilenregisterkarte Ereignisprotokoll-Meldungen > Meldungsaktionen einrichten die Aktionen fest, die als Reaktion auf eine Meldungsbedingung ergriffen werden.
5. Klicken Sie alternativ auf die Schaltfläche E-Mail formatieren auf der Kopfzeilenregisterkarte Meldungsaktionen einrichten, um das Format von E-Mail-Meldungen für Ereignissätze zu ändern.
6. Wählen Sie die Rechner aus, auf die ein Ereignissatz angewendet werden soll.
7. Klicken Sie auf die Schaltfläche Apply.

Aktionen

• Anwenden – Wendet einen ausgewählten Ereignissatz auf ausgewählte Rechner-IDs an. Prüfen Sie in der Liste der Rechner-IDs, ob die Informationen korrekt angewendet wurden.
• Löschen – Entfernt den ausgewählten Ereignissatz von den ausgewählten Rechner-IDs.
• Alle löschen – Entfernt alle Ereignissatzeinstellungen von ausgewählten Rechner-IDs.

Seitenbereich

Im Seitenbereich werden die gleichen Spalten angezeigt wie in der ausgewählten Kopfzeilenregisterkarte.

• Alle auswählen/Alle abwählen – Klicken Sie auf den Link Alle auswählen, um alle Zeilen auf der Seite zu markieren. Klicken Sie auf dem Link Alle abwählen, um die Markierung aller Zeilen auf der Seite rückgängig zu machen.
• Check-in-Status – Diese Symbole geben den Agent-Check-in-Status jedes verwalteten Rechners an. Wenn Sie den Cursor über ein Anmeldesymbol bewegen, wird das Agent-Schnellansichtsfenster angezeigt.

Online, aber in Wartestellung bis zum Abschluss des ersten Audits

Agent online

Agent online und Benutzer gegenwärtig angemeldet.

Agent online und Benutzer gegenwärtig angemeldet, doch Benutzer seit mehr als 10 Minuten nicht aktiv

Agent ist gegenwärtig offline

Agent hat nie eingecheckt.

Agent ist online, aber die Fernsteuerung wurde deaktiviert.

Agent wurde ausgesetzt.

• Rechner.Gruppen-ID – Die Liste der angezeigten Rechner.Gruppen-IDs basiert auf dem Rechner-ID-/Gruppen-ID-Filter und den Rechnergruppen, die der Benutzer befugt ist, mithilfe von System > Benutzersicherheit > Scopes anzuzeigen.
• Bearbeitungssymbol – Klicken Sie auf das Bearbeitungssymbol einer Zeile, um die Kopfzeilenparameter mit Werten aus dieser Zeile auszufüllen. Sie können diese Werte in der Kopfzeile bearbeiten und dann erneut anwenden.
• Protokolltyp – Der Typ des überwachten Ereignisprotokolls.
• ATSE – Der ATSE-Antwortcode, der Rechner-IDs oder SNMP-Geräten zugewiesen wird:
  • A = Alarm erstellen
  • T = Ticket erstellen
  • S = Agent-Verfahren ausführen
  • E = E-Mail-Empfänger
• EWISFCV – Die überwachte Ereigniskategorie.
• E-Mail-Adresse – Eine kommagetrennte Liste von E-Mail-Adressen, an die Benachrichtigungen gesendet werden.
• Ereignissatz – Der dieser Rechner-ID zugewiesene Ereignissatz. Sie können mehrere Ereignissätze der gleichen Rechner-ID zuweisen.
• Intervall – Angabe, wie oft ein Ereignis innerhalb der festgelegten Zeitspannen eintritt. Gilt nur, wenn die Option Warnen, wenn dieses Ereignis N> Mal innerhalb von <N> <Perioden> eintritt aktiviert ist. Es wird Missing angezeigt, wenn die Option Warnen, wenn dieses Ereignis nicht innerhalb von<N> <Perioden> eintritt aktiviert wurde. Es wird 1 angezeigt, wenn die OptionWarnen, wenn dieses Ereignis ein einziges Mal eintritt aktiviert wurde.
• Dauer – Angabe, wie oft ein Ereignis eintreten muss, um eine Meldungsbedingung auszulösen. Gilt nur, wenn die Option Warnen, wenn dieses Ereignis <N> Mal innerhalb von <N> <Perioden> eintritt oder Warnen, wenn dieses Ereignis nicht innerhalb von <N> <Perioden> eintritt aktiviert wurden.
• Wiederherstellen – Zeigt an, wie lange gewartet werden muss, bevor neue Meldungsbedingungen für die gleiche Kombination von Ereignissatz und Ereigniskategorie ausgelöst werden. Gilt nur, wenn mit Zusätzliche Alarme übergehen für <N> <Perioden> eine Wiederherstellungsperiode größer als Null angegeben wurde.