Next Topic

Previous Topic

Book Contents

Alerts - Event Logs

Monitorear > Alertas

  • Seleccione Registros de eventos en la lista desplegable Seleccionar función de alerta

La página Alertas - Registros de evento activa una alerta cuando una entrada de registro de evento para una máquina seleccionada coincide con los criterios especificados. Después de seleccionar el tipo de registro de evento, puede filtrar las condiciones de alarma especificadas por grupo de ventos y por categoría de eventos.

Nota: Puede mostrar registros de evento directamente. En una máquina Windows haga clic en Inicio, luego en Panel de control, luego en Herramientas administrativas, luego haga clic en Visualizador de eventos. Haga clic en Aplicación, Seguridad o Sistema para mostrar los eventos en cada registro.

Requisito previo

El registro de eventos debe estar habilitado para una máquina en particular utilizando Agente > Configuraciones de registro de eventos.

Registros de eventos de Windows

Un servicio de registro de eventos se ejecuta en los sistemas operativos Windows (no disponible con Win9x). El servicio de registro de eventos habilita mensajes de registro de eventos a ser emitidos por programas y components basados en Windows. Estos eventos se almacenan en registros de eventos ubicados en cada máquina. Los registros de eventos de las máquinas administradas pueden almacenarse en la base de datos del KServer, servir como base de las alertas e informes y archivarse.

De acuerdo al sistema operativo, los tipos de registros de eventos disponibles incluyen pero no se limitan a:

  • Registro de aplicación
  • Registro de seguridad
  • Registro de sistema
  • Registro del servicio de directorio
  • Registro del servicio de replicación de archivo
  • Registro del servidor DNS

La lista de tipos de eventos disponibles para seleccionar puede actualizarse usando Monitoreo > Actualizar listas mediante escaneo.

Los eventos de Windows se clasifican además en las siguientescategorías de registros de eventos:

  • Error
  • Advertencia
  • Información
  • Auditoría exitosa
  • Auditoría fallida
  • Crítico - Se aplica sólo a Vista.
  • Detallado - Se aplica sólo a Vista.

Los registros de eventos se usan o se referencian mediante las siguientes páginas de VSA:

Conjuntos de eventos

Debido a que la cantidad de eventos en los registros de eventos de Windows es enorme, el VSA usa un tipo de registro llamado conjunto de evento para filtrar una condición de alarma.

Los grupos de eventos contienen una o más condiciones. Cada condición contiene filtros para diferentes campos en una entrada de registro de eventos. Los campos son fuente, categoría, ID de evento, usuario y descripción. Una entrada de registro de eventos debe coincidir con todos los filtros de campo de una consideración para ser considerada una coincidencia. Un campo con un caracter de asterisco (*) significa que cualquier cadena, incluída una cadena cero, se considera una coincidencia. Una coincidencia de una de las condiciones en un grupo de eventos es suficiente como para activar una alerta para cualquier máquina a la que se aplica ese grupo de eventos.

Para detalles acerca de cómo configurar conjuntos de eventos, consulte Monitorear > Alertas > Registros de evento > Editar conjuntos de eventos.

Conjuntos de eventos de muestras

Se proporciona una lista creciente de conjuntos de eventos de muestra. Los nombres de conjuntos de eventos de muestra comienzan con ZC. Puede modificar conjuntos de eventos de muestra, pero es mejor copiar un conjunto de eventos de muestra y personalizar la copia. Los conjuntos de eventos de muestra están sujetos a ser sobrescritos cada vez que los conjuntos de muestra se actualizan durante un ciclo de mantenimiento.

Creación de un Alerta de registro de evento

  1. En la página Monitorear > Alertas seleccione el tipo de registro de eventos utilizando la lista desplegable.
  2. Seleccione el filtro Conjunto de eventos utilizado para filtrar los eventos que activan alertas. <All Events> está seleccionado en forma predeterminada.
  3. Tilde la casilla junto a alguna de las siguientes categorías de eventos:
    • Error
    • Advertencia
    • Información
    • Auditoría exitosa
    • Auditoría fallida
    • Crítico - Se aplica sólo a Vista.
    • Detallado - Se aplica sólo a Vista.

      Nota: Las letras rojas indican conexión deshabilitada. Los registros de evento pueden estar deshabilitados por el VSA para una máquina en particular, en base a las configuraciones definidas utilizando Agente > Configuración de registro de evento. Es posible que una categoría de evento en particular no esté disponible para ciertas máquinas, como las categorías de evento Crítico y Detallado para máquinas que no tienen Vista.

  4. Especificar la frecuencia de la condición de alarma necesaria para activar una alerta:
    • Alertar cuando este evento se produce una vez.
    • Alertar cuando este evento se produce <N> veces dentro de <N> <periods>.
    • Alertar cuando este evento no se produce dentro de <N> <periods>.
    • Ignorar alarmas adicionales para <N> <periods>.
  5. Haga clic en Agregar o Reemplazar opciones y luego haga clic en Aplicar para asignar alertas de tipos de evento seleccionados a ID de máquinas seleccionadas.
  6. Haga clic en Remover para eliminar todas las alertas basadas en eventos de ID de máquinas seleccionadas.

Lista negra de registro de eventos globales

Cada agente procesa todos los eventos, sin embargo los eventos incluidos en una "lista negra" no se cargan al servidor VSA. Existen dos listas negras. Una se actualiza periódicamente por Kaseya y se denomina EvLogBlkList.xml. La segunda, llamada EvLogBlkListEx.xml, puede ser mantenida por el proveedor de servicio y Kaseya no la actualiza. Ambas están ubicadas en el directorio \Kaseya\WebPages\ManagedFiles\VSAHiddenFiles. La detección y procesamiento de alarmas opera independientemente de si las entradas están en la lista negra de recopilación.

Detección de saturación

Si un agente carga 1000 eventos—sin contar los eventos de listas negras—en el KServer en una hora, la recopilación de eventos adicionales de ese tipo de registro se detienen para lo que queda de esa hora. Un nuevo evento se inserta en el registro de evento para registrar que la recopilación se suspendió. Al finalizar esa hora, la recopilación se reanuda automáticamente. Esto evita que las cargas pesadas a corto plazo sobrecarguen su KServer. La detección y procesamiento de alarmas opera independientemente de si la recopilación se suspende.

Pasar información de alerta a correos electrónicos y procedimientos

Pueden enviarse y formatearse los siguientes tipos de correos electrónicos de alerta de monitoreo:

  • Alertas de registro de evento único. La misma plantilla se aplicó a todos los tipos de registro de evento.
  • Alertas de registro de eventos múltiples. La misma plantilla se aplicó a todos los tipos de registro de evento.
  • Alertas de registro de eventos faltante. La misma plantilla se aplicó a todos los tipos de registro de evento.

Nota: Al cambiar este formato de correo electrónico de alarma se modifica el formato de todos los correos electrónicos de alerta de Registros de eventos.

Las siguientes variables pueden estar incluidas en sus alertas de correo electrónico formateado y en los procedimientos.

Dentro de un correo electrónico

Dentro de un procedimiento

Descripción

<at>

#at#

hora de la alerta

<cg>

#cg#

Categoría de evento

<cn>

#cn#

nombre de la computadora

<db-view.column>

no disponible

Incluir una view.column de la base de datos. Por ejemplo, para incluir el nombre de computadora de la máquina que genera la alerta en un correo electrónico use <db-vMachine.ComputerName>

<ed>

#ed#

descripción de evento

<ei>

#ei#

ID de evento

<es>

#es#

fuente del evento

<esn>

#esn#

nombre de la fuente del evento

<et>

#et#

hora del evento

<eu>

#eu#

usuario del evento

<ev>

#ev#

nombre del conjunto de eventos

<gr>

#gr#

ID de grupo

<id>

#id#
  1. ID de máquina

<lt>

#lt#

tipo de registro (Aplicación, Seguridad, Sistema)

<tp>

#tp#

tipo de evento - (Error, Advertencia, Informativo, Auditoría exitosa o Auditoría fallida)

 

#asunto#

texto del asunto del mensaje de correo electrónico, si el correo electrónico se envió en respuesta a una alerta

 

#cuerpo#

texto del cuerpo del mensaje de correo electrónico, si el correo electrónico se envió en respuesta a una alerta

Nota: Sólo pueden incluirse las siguientes variables en alertas de registro de eventos múltiples: <at> <ed> <ev> <gr> <id> <lt>.

Aplicar

Haga clic en Aplicar para aplicar parámetros a las ID de máquinas seleccionadas. Confirma que la información se ha aplicado correctamente en la lista de ID de máquinas.

Borrar

Haga clic en Borrar para eliminar las configuraciones de los parámetros desde ID de máquinas seleccionadas.

Crear Alarma

Si está tildada y se encuentra una condición de alarma, se crea una alarma. Las alarmas se muestran en Monitorear > Lista del tablero, Monitorear > Resumen de alarmas y Centro de información > Informes > Registros > Registro de alarmas

Crear Ticket

Si está tildada y se encuentra una condición de alarma, se crea un ticket.

Ejecutar el script

Si está tildado y si se encuentra una condición de alarma, se ejecuta un procedimiento de agente. Debe hacer clic en el vínculo seleccionar procedimiento de agente para elegir un procedimiento de agente para ejecutar. Opcionalmente, puede instruir al procedimiento de agente para ejecutarse en un rango especificado de ID de máquinas haciendo clic en el vínculo de la ID de esta máquina. Estas ID de máquinas especificadas no tienen que coincidir con la ID de máquina que encontró la condición de alarma.

Destinatarios de correo electrónico

Si está tildada y se encuentra una condición de alarma, se envía un correo electrónico a las direcciones especificadas.

  • La dirección de correo electrónico del usuario actualmente seleccionado se muestra en el campo Destinatarios de correo electrónico. El valor predeterminado se toma desde Sistema > Preferencias.
  • Haga clic en Formatear correo electrónico para mostrar la ventana emergente de Formatear correo electrónico de alerta. Esta ventana le permite formatear la apariencia de los correos electrónicos generados por el sistema cuando se encuentra una condición de alarma. Esta opción sólo se muestra para usuarios maestros.
  • Si se selecciona el botón de opción Agregar a lista actual, cuando se hace clic en Aplicar se aplican las configuraciones de alerta y se agregan las direcciones de correo electrónico especificadas sin eliminar las direcciones previamente asignadas.
  • Si se selecciona el botón de opción Reemplazar lista, cuando se hace clic en Aplicar se aplican las configuraciones de alerta y las direcciones de correo electrónico especificadas reemplazan a las direcciones existentes asignadas.
  • Si se hace clic en Remover, se eliminan todas las direcciones de correo electrónico sin modificar los parámetros de alerta.
  • El correo electrónico se envía directamente desde el KServer a la dirección especificada en la alerta. Configure la dirección "De" usando Sistema > Correo electrónico saliente.

Seleccionar todo/Deseleccionar todo

Haga clic en el vínculo Seleccionar todo para tildar todas las filas de la página. Haga clic en el vínculoDeseleccionar todo para destildar todas las filas de la página.

Estado registrado

Estos íconos indican el estado de registrado del agente de cada máquina administrada:

En línea pero aguardando a que se complete la primera auditoría

Agente en línea

Agente en línea y usuario actualmente conectado. El ícono muestra una herramienta de ayuda que informa el nombre de conexión.

Agente en línea y usuario actualmente registrado, pero el usuario ha estado inactivo durante 10 minutos.

Agente actualmente fuera de línea

El agente nunca se ha registrado

Agente en línea pero el control remoto se ha deshabilitado

El agente ha sido suspendido

Machine.Group ID

La lista de Machine.Group IDs mostrada en base al filtro de ID de máquina / ID de grupo y los grupos de máquinas a las que el usuario tiene autorización para ver usando Sistema > Seguridad de usuario > Ámbitos.

Ícono editar

Haga clic en el ícono editar de una fila para completar los parámetros del encabezado con valores de esa fila. Puede editar estos valores en el encabezado y volver a aplicarlos.

Tipo de registro

El tipo de registro de evento que se está monitoreando.

ATSE

El código de respuesta ATSE asignado a las ID de máquinas o los dispositivos SNMP:

  • A = Crear Alarma
  • T = Crear Ticket
  • S = Ejecutar procedimiento de agente
  • E = Enviar correo electrónico a destinatarios

EWISFCV

La categoría de evento que se está monitoreando.

Dirección de correo electrónico

Una lista separada por comas de direcciones de correo electrónico a donde se envían las notificaciones.

Conjunto de eventos

El conjunto de eventos asignado a esta ID de máquina. Pueden asignarse múltiples conjuntos de eventos a la misma ID de máquina.

Intervalo

La cantidad de veces que se produce un evento dentro de un número específico de períodos. Se aplica sólo si se selecciona la opción Alertar cuando este evento se produce <N> veces dentro de <N> <periods>. Muestra Faltante si se selecciona la opción Alertar cuando no se produce este evento dentro de <N> <periods>. Muestra 1 si se selecciona la opción Alertar cuando este evento se produce una vez.

Duración

La cantidad de períodos en que debe producirse un evento para activar una condición de alarma. Se aplica sólo si se seleccionan las opciones Alertar cuando este evento se produce <N> veces dentro de <N> <periods> o Alertar cuando este evento no se produce dentro de <N> <periods>.

Rearmar

Muestra la cantidad de períodos a esperar antes de activar nuevas condiciones de alarma para la misma combinación de conjunto de eventos y categoría de eventos. Se aplica sólo si se especifica un período rearmar mayor a cero utilizando Ignorar alarmas adicionales para <N> <periods>.