Next Topic

Previous Topic

Book Contents

Alertas - Registro de eventos

Monitor > Alertas

  • Selecione Registros de Eventos na lista suspensa Selecionar Função de Alerta.

A página Alertas - Registros de Eventos aciona um alerta quando uma entrada do registro de eventos de uma máquina selecionada corresponde aos critérios especificados. Após selecionar o tipo de registro de evento, você pode filtrar as condições de alarme especificadas pelo conjunto de eventos e pela categoria do evento.

Nota: É possível exibir os registros de eventos diretamente. Em uma máquina com Windows, clique em Iniciar, Painel de Controle, Ferramentas Administrativas e em Visualizador de Eventos. Clique em Aplicativos, Segurança ou Sistema para exibir os eventos em cada registro.

Pré-requisito

O registro de eventos deve estar ativado em uma máquina determinada usando Agente > Configurações do Registro de Eventos.

Registro de eventos do Windows

Um serviço de registro de eventos é executado nos sistemas operacionais Windows (não disponível com Win9x). O serviço do registro de eventos permite que mensagens sobre eventos de registro sejam emitidas pelo Window de acordo com os programas e componentes. Esses eventos são armazenados nos registros de eventos localizados em cada máquina. Os registros de eventos das máquinas gerenciadas podem ser armazenados no banco de dados do KServer, servir de base para os alertas e relatórios e ser arquivados.

Dependendo do sistema operacional, os tipos de registro de eventos disponíveis incluem, mas não estão limitados a:

  • Registro de aplicativos
  • Registro da segurança
  • Registro do sistema
  • Registro do Serviço de diretórios
  • Registro do Serviço de replicação de arquivos
  • Registro do Servidor DNS

A lista de tipos de eventos disponíveis para seleção pode ser atualizada usando Monitoramento > Atualizar Listas por Verificação.

Os eventos do Windows são classificados por estas categorias de registro de eventos:

  • Erro
  • Aviso
  • Informações
  • Auditoria de sucesso
  • Auditoria de falha
  • Críticos - Aplicável apenas ao Vista.
  • Detalhado - Aplicável apenas ao Vista.

Os registros de eventos são usados ou referenciados por estas páginas do VSA:

Conjuntos de eventos

Como o número de eventos nos registros de eventos do Windows é enorme, o VSA usa um tipo de registro denominado conjunto de eventos para filtrar uma condição de alarme.

Os conjuntos de eventos contêm uma ou mais condições. Cada condição contém filtros para diferentes campos de uma entrada do registro de eventos. Os campos são origem, categoria, ID de evento, usuário e descrição. Uma entrada no registro de eventos tem de corresponder a todos os filtros de campo de uma condição para ser considerada uma correspondência. Um campo com um asterisco (*) significa que qualquer sequência, como um zero, será considerada uma correspondência. Uma correspondência de qualquer uma das condições em um conjunto de eventos é suficiente para acionar um alerta para qualquer máquina a qual o conjunto de eventos esteja aplicado.

Para obter detalhes sobre como configurar conjuntos de eventos, consulte Monitor > Alertas> Registros de Eventos > Editar Conjuntos de Eventos.

Conjuntos de eventos de amostra

Uma lista crescente de conjuntos de eventos de amostra é fornecida. Os nomes dos conjuntos de eventos de amostra começam com ZC. É possível modificar conjuntos de eventos de amostra, mas a melhor prática é copiar um conjunto de eventos de amostra e personalizar a cópia. Os conjuntos de eventos de amostra estão sujeitos a ser substituídos sempre que os conjuntos de amostras forem atualizados durante um ciclo de manutenção.

Criação de um alerta de registro de eventos

  1. Na página Monitor > Alertas, selecione o tipo do registro de eventos usando a lista suspensa.
  2. Selecione o filtro Conjunto de Eventos usado para filtrar os evento que acionarão os alertas. Por padrão, <All Events> está selecionado.
  3. Marque a caixa ao lado de qualquer destas categorias de eventos:
    • Erro
    • Aviso
    • Informações
    • Auditoria de sucesso
    • Auditoria de falha
    • Críticos - Aplicável apenas ao Vista.
    • Detalhado - Aplicável apenas ao Vista.

      Nota: As letras vermelhas indicam que o registro está desativado. Os registros de eventos devem estar desativados pelo VSA em uma máquina determinada de acordo com as configurações usando Agente > Configurações do Registro de Eventos. Uma categoria de evento determinada pode não estar disponível em certas máquinas, como as categorias dos eventos Críticos e Detalhados em máquinas que não tenham Windows Vista.

  4. Especifique a frequência da condição de alarme requerida para acionar um alerta:
    • Alertar quando esse evento ocorrer uma vez.
    • Alertar quando esse evento ocorrer <N> vezes dentro de <N> <periods>.
    • Alertar quando esse evento não ocorrer dentro de <N> <periods>.
    • Ignorar alarmes adicionais para <N> <periods>.
  5. Clique nas opções Adicionar ou Substituir e clique em Aplicar para atribuir alertas do tipo do evento selecionado às IDs de máquina selecionadas.
  6. Clique em Remover para remover todos os alertas baseados em eventos das IDs de máquina selecionadas.

Lista negra de registros de eventos globais

Cada agente processa todos os eventos, mas, no entanto, eventos listados em uma "lista negra" não são atualizados no servidor do VSA. Há duas listas negras. Uma é atualizada periodicamente pelo Kaseya e é nomeada EvLogBlkList.xml. A segunda, de nome EvLogBlkListEx.xml, pode ser mantida pelo provedor de serviço e não é atualizada pelo Kaseya. As duas estão localizadas no diretório \Kaseya\WebPages\ManagedFiles\VSAHiddenFiles. A detecção e processamento de alarme opera independentemente de as entradas estarem na lista negra de coleta.

Detecção de inundação

Se 1000 eventos, não contando eventos de lista negra, forem carregados no KServer por um agente em uma hora, coletas adicionais de eventos desse tipo de log são interrompidas pelo restante daquela hora. Um novo evento é inserido no log de eventos para registrar que a coleta foi suspensa. No fim da hora, a coleta será retomada automaticamente. Isso impede que cargas pesadas no curto prazo inundem seu KServer. A detecção e o processamento de alarme  opera independentemente de uma coleção ter sido suspensa ou não.

Passar informações sobre o alerta para e-mails e procedimentos

Estes tipos de e-mails de alerta do monitoramento podem ser enviados e formatados:

  • Alerta de registro de evento individual. Mesmo modelo aplicado à todos tipos de registros de eventos.
  • Múltiplos alertas do registro de eventos. Mesmo modelo aplicado à todos tipos de registros de eventos.
  • Alerta de registro de evento ausente. Mesmo modelo aplicado à todos tipos de registros de eventos.

Nota: A alteração do formato desse alarme por e-mail altera o formato de todos os e-mails de Alerta de Registros de Eventos.

As variáveis abaixo podem ser incluídas nos alertas de e-mail formatados e nos procedimentos.

Em um e-mail

Em um procedimento

Descrição

<at>

#at#

tempo do alerta

<cg>

<cg>

Categoria do evento

<cn>

#cn#

nome do computador

<db-view.column>

Não Disponível

Incluir view.column do banco de dados. Por exemplo, para incluir o nome de computador da máquina que gera o alerta em um e-mail, use <db-vMachine.ComputerName>

<ed>

#ed#

descrição do evento

<ei>

#ei#

ID de Evento

<es>

#es#

origem do evento

<esn>

#esn#

nome da origem do evento

<et>

#et#

hora do evento

<eu>

#eu#

usuário do evento

<ev>

#ev#

Nome do conjunto de eventos

<gr>

#gr#

ID de grupo

<id>

#id#
  1. ID da máquina

<lt>

#lt#

tipo do registro (Aplicativo, Segurança, Sistema)

<tp>

#tp#

tipo do evento - (Erro, Aviso, Informativo, Êxito na auditoria ou Falha na auditoria)

 

#subject#

texto do assunto da mensagem de e-mail, se um e-mail tiver sido enviado em resposta a um alerta

 

#body#

texto do corpo da mensagem de e-mail, se um e-mail tiver sido enviado em resposta a um alerta

Nota: Somente estas variáveis podem ser incluídas em alertas múltiplos de registro de eventos: <at> <ed> <ev> <gr> <id> <lt>.

Aplicar

Clique em Aplicar para aplicar os parâmetros às IDs de máquinas selecionadas. Confirme se as informações foram aplicadas corretamente na lista de IDs de máquina.

Limpar

Clique em Limpar para remover todas as configurações dos parâmetros das IDs de máquina selecionadas.

Criar Alarme

Se a opção estiver selecionada e uma condição de alarme for encontrada, um alarme será criado. Os alarmes são exibidos em Monitor > Lista de painéis, Monitor > Resumo de alarmes e em Centro de Informações > Relatórios > Registros > Registro de alarmes.

Criar Ticket

Se a opção estiver selecionada e uma condição de alarme for encontrada, um ticket será criado.

Executar script

Se marcado e uma condição de alarme for encontrada, um procedimento de agente será executado. É necessário clicar no link selecionar procedimento de agente para escolher um procedimento de agente a ser executado. Você pode, como opção, direcionar o procedimento do agente para ser executado em uma faixa especificada de IDs de máquinas clicando no link ID desta máquina. Essas IDs de máquinas especificadas não têm que corresponder à ID da máquina que encontrou a condição de alarme.

Destinatários de E-mail

Se a opção estiver selecionada e uma condição de alarme for encontrada, um e-mail será enviado para os endereços de e-mail especificados.

  • O endereço do usuário conectado no momento é exibido no campo Destinatários de e-mail. O padrão vem de Sistema > Preferências.
  • Clique em Formatar E-mail para exibir a janela pop-up Formatar E-mail de Alerta. Essa janela permite formatar a exibição de e-mails gerados pelo sistema quando uma condição de alarme for encontrada. Essa opção é exibida apenas para usuários de função mestre.
  • Se a opção Adicionar à lista atual for selecionada, quando Aplicar for clicado, as configurações do alerta serão aplicadas e os endereços de e-mail especificados serão adicionados sem a remoção dos endereços de e-mail previamente atribuídos.
  • Se a opção Substituir for selecionada, quando Aplicar for clicado, as configurações de alerta serão aplicadas e os endereços de e-mail especificados substituirão o endereços de e-mail existentes atribuídos.
  • Se Remover for clicado, todos os endereços de e-mail serão removidos sem modificar os parâmetros de alerta.
  • O e-mail será enviado diretamente do KServer para o endereço especificado no alerta. Defina o Endereço de origem usando Sistema > E-mail de saída.

Selecionar todos/Deselecionar todos

Clique no link Selecionar todas para marcar todas as linhas da página. Clique no link Desmarcar seleção de todas para desmarcar todas as linhas da página.

Status de entrada

Esses ícones indicam o status de verificação do agente em cada máquina gerenciada:

Conectada mas aguardando o término da primeira auditoria

Agente on-line

Agente e usuário conectados no momento. O ícone exibe uma dica de ferramenta mostrando o nome de login.

Agente e usuário conectados no momento, mas usuário inativo há 10 minutos

No momento o Agente está desconectado

O Agente nunca efetuou a entrada

O Agente está conectado mas o controle remoto foi desativado

O Agente foi suspenso

ID do grupo de máquinas

A lista de IDs do grupo de máquinas exibida se baseia no Filtro de IDs de máquinas / grupos e nos grupos de máquinas que o usuário está autorizado a ver usando Sistema > Segurança do usuário > Escopos.

Ícone Editar

Clique no ícone Editar da linha para preencher os parâmetros do cabeçalho com valores dessa linha. É possível editar esses valores no cabeçalho e reaplicá-los.

Tipo de Log

Tipo do registro do evento a ser monitorado.

ATSE

Código de resposta ATSE atribuído às IDs de máquina ou dispositivos SNMP:

  • A = Criar alarme
  • T = Criar ticket
  • S = Executar procedimento do agente
  • E = Destinatários de e-mail

EWISFCV

Categoria do evento a ser monitorado.

Endereço de e-mail

Uma lista separada por vírgulas de endereços de e-mail aos quais as notificações serão enviadas.

Conjunto de eventos

Conjunto de eventos atribuído a essa ID de máquina. Vários conjuntos de eventos podem ser atribuídos à mesma ID de máquina.

Intervalo

Número de vezes em que um evento ocorre em um número especificado de períodos. Aplicável somente se a opção Alertar quando esse evento não ocorrer dentro de <N> <periods> estiver selecionada. Exibe Ausente se a opção Alertar quando esse evento não ocorrer dentro de <N> <periods> estiver selecionada. Exibe 1 se a opção Alertar quando esse evento ocorrer uma vez estiver selecionada.

Duração

O número de períodos e eventos deve ocorre para acionar uma condição de alarme. Aplicável somente se a opção Alertar quando esse evento ocorrer <N> vezes dentro de <N> <periods> ou Alertar quando esse evento não ocorrer dentro de <N> <periods> estiver selecionada.

Rearmar

Exibe o número de períodos a esperar antes de acionar quaisquer novas condições de alarme para a mesma combinação de conjunto de eventos e categoria do evento. Aplicável somente se um período de rearmar for especificado usando Ignorar alarmes adicionais por <N> <periods>.