Next Topic

Previous Topic

Book Contents

Avvisi - Log eventi

Monitor > Avvisi

  • Selezionare Log eventi dal menu a tendina Selezionare funzione avviso

La pagina Avvisi - Log eventi attiva un avviso quando una voce di log eventi per una macchina selezionata che corrisponde a criteri specifici. Dopo avere selezionato il tipo di evento log, È possibile filtrare le condizioni di allarme specificate da set eventi e da categoria eventi.

Nota: I log eventi possono essere visualizzati direttamente. In una macchina Windows fare clic su Start, quindi su Panello di controllo, poi fare clic su Strumenti di amministrazione, quindi selezionare Visualizzatore eventi. Fare clic su Applicazione, Sicurezza o Sistema per visualizzare gli eventi in ciascun log.

Prerequisito

La registrazione eventi deve essere attivata per una macchina specifica tramite Agente > Impostazioni log eventi.

Log eventi Windows

Un servizio log eventi viene eseguito sui sistemi operativi Windows (non disponibile in Win9x). Il servizio log eventi permette di generare messaggi di log evento da parte di programmi e componenti WIndows. Questi eventi vengono memorizzati nei log eventi di ciascuna macchina. I log eventi delle macchine gestite possono essere memorizzati nel database KServer, fungono da base per avvisi e report e possono essere archiviati.

In base al sistema operativo, i tipi di log eventi disponibili comprendono (ma non sono limitati a):

  • Log applicazioni
  • Log sicurezza
  • Log di sistema
  • Log servizio directory
  • Log servizio replica file
  • Log server DNS

L'elenco dei tipi di eventi disponibili per la selezione può essere aggiornato tramite Monitor > Aggiorna elenchi da scansione.

Gli eventi Windows sono ulteriormente classificati tramite le seguenti categorie log eventi:

  • Errore
  • Avviso
  • Informazioni
  • Verifica riuscita
  • Verifica guasto
  • Critica - Vale solo per Vista.
  • Estesa - Vale solo per Vista.

I log eventi sono utilizzati o referenziati dalle seguenti pagine VSA:

Set eventi

Poiché il numero di eventi nei log eventi di Windows è enorme, VSA utilizza un tipo di record denominato set eventi per filtrare una condizione di allarme.

I set eventi contengono una o più condizioni. Ogni condizione contiene dei filtri per diversi campi in una voce log eventi. I campi sono origine, categoria, ID evento, utente, e descrizione. Una voce di log eventi deve corrispondere a tutti i filtri dei campi di una condizione per essere considerata corrispondenza. Un campo con un carattere asterisco (*) significa che qualsiasi stringa, compresa una stringa a zero, viene considerata corrispondenza. Una corrispondenza di una qualsiasi delle condizioni in un set evento è sufficiente per attivare un avviso per qualsiasi macchina cui quel set eventi sia applicato.

Per dettagli su come configurare i set eventi, vedere Monitor > Avvisi > Log eventi > Modifica set eventi.

Set eventi di esempio

Viene fornito un numero crescente di set eventi di esempio. I nomi dei set eventi di esempio cominciano con ZC. È possibile modificare i set eventi di esempio, ma è preferibile copiare un set eventi di esempio e modificare la copia. I set eventi di esempio sono soggetti ad essere sovrascritti ogni volta che i set di esempio vengono aggiornati in un ciclo di manutenzione.

Creazione di un avviso log eventi

  1. Sulla pagina Monitor > Avvisi selezionare il tipo log eventi tramite il menu a tendina.
  2. Selezionare il filtro Set eventi per filtrare gli eventi che attivano gli avvisi. Di default è selezionato <Tutti gli eventi>.
  3. Selezionare la casella vicino a una delle seguenti categorie evento:
    • Errore
    • Avviso
    • Informazioni
    • Verifica riuscita
    • Verifica guasto
    • Critica - Vale solo per Vista.
    • Estesa - Vale solo per Vista.

      Nota: Le lettere rosse indicano registrazione disabilitata. I log eventi possono essere disattivati da VSA per una macchina specifica, in base alle impostazioni definite tramite Agente > Impostazioni log eventi. Una particolare categoria di eventi potrebbe non essere disponibile per alcune macchine, come le categorie Critica e Estesa per le macchine che non utilizzano Vista.

  4. Specificare la frequenza della condizione di allarme necessaria per attivare un avviso:
    • Avvisa quando questo evento si verifica una volta.
    • Avvisa quando questo evento si verifica <N> volte entro <N> <periodi>.
    • Avvisa quando questo evento non si verifica entro <N> <periodi>.
    • Ignora allarmi aggiuntivi per <N> <periodi>.
  5. fare clic sulle opzioni Aggiungi o Sostituisci, quindi fare clic su Applica per assegnare i tipi di evento selezionati agli ID macchina selezionati.
  6. Fare clic su Rimuovi per rimuovere tutti gli avvisi basati su evento dagli ID macchina selezionati.

Elenco "Black list" del log eventi globale

Ogni agente elabora degli eventi, tuttavia gli eventi elencati in una "black list" (lista nera) non vengono caricati sul server VSA. Ci sono due liste nere. Una viene aggiornata periodicamente da Kaseya ed è denominata EvLogBlkList.xml. la seconda, denominata EvLogBlkListEx.xml, può essere gestita dal service provider e non è aggiornata da Kaseya. Entrambe si trovano nella directory \Kaseya\WebPages\ManagedFiles\VSAHiddenFiles. La rilevazione ed elaborazione allarmi opera indipendentemente dal fatto che le voci siano o meno presenti nella lista nera della raccolta.

Rilevazione Flood

Se 1000 eventi, esclusi  eventi nella lista nera, vengono caricati su KServer da un agente entro un'ora, l'ulteriore raccolta di eventi di quel tipo di log viene sospesa per il resto dell'ora. Un nuovo evento viene inserito nel log eventi per registrare la sospensione della raccolta. Alla fine dell'ora la raccolta riprende automaticamente. Ciò impedisce il determinarsi d sovraccarichi a breve termine si KServer. La rilevazione ed elaborazione allarmi opera indipendentemente dalla sospensione della raccolta.

Passaggio dei dati dell'avviso a email e procedure

È possibile inviare e formattare i seguenti tipi di email di avviso monitoraggio:

  • Singolo avviso log eventi. Stesso modello applicato a tutti i tipi di log eventi.
  • Avvisi log eventi multipli. Stesso modello applicato a tutti i tipi di log eventi.
  • Avviso log eventi mancante. Stesso modello applicato a tutti i tipi di log eventi.

Nota: Modificando questo formato allarme email si modifica il formato di tutte le email di avviso per i Log eventi.

Le seguenti variabili possono essere incluse negli avvisi email formattati e nelle procedure.

All'interno di una email

All'interno di una procedura

Descrizione

<at>

#at#

ora avviso

<cg>

#cg#

Categoria evento

<cn>

#cn#

nome computer

<db-view.column>

non disponibile

Includere una vista.colonna dal database. Per esempio, per includere in una email il nome computer della macchina che genera l'avviso, usare <db-vMachine.ComputerName>

<ed>

#ed#

descrizione evento

<ei>

#ei#

id evento

<es>

#es#

origine evento

<esn>

#esn#

nome origine evento

<et>

#et#

ora evento

<eu>

#eu#

utente evento

<ev>

#ev#

nome set evento

<gr>

#gr#

ID gruppo

<id>

#id#
  1. ID macchina

<lt>

#lt#

tipo di log (Applicazioni, Sicurezza, SIstema)

<tp>

#tp#

tipo di evento - (Errore, Avviso, Informativo, Verifica corretta o Verifica in errore)

 

#subject#

testo oggetto del messaggio email, se è stata inviata una email in risposta a un avviso

 

#body#

testo corpo del messaggio email, se è stata inviata una email in risposta a un avviso

Nota: Solo le seguenti variabili possono essere inserite in avvisi di log eventi multipli: <at> <ed> <ev> <gr> <id> <lt>.

Applica

Fare clic su Applica per applicare i parametri agli ID macchina selezionati. Confermare che le informazioni sono state applicate correttamente all'elenco ID macchine.

Cancella

Fare clic su Cancella per rimuovere tutte le impostazioni dei parametri dagli ID macchina selezionati.

Crea allarme

Se selezionato e se si verifica una condizione di allarme, viene creato un allarme. Gli allarmi sono visualizzati in Monitor > Elenco cruscotto, Monitor > Riepilogo allarme e in Centro informazioni > Report > Log > Log allarmi.

Crea ticket

Se selezionato e se si verifica una condizione di allarme, viene creato un ticket.

Esegui script

Se selezionata, in presenza di una condizione di allarme, viene eseguita una procedura agente. È necessario fare clic sul collegamento selezionare procedura agente per scegliere una procedura agente da eseguire. Facoltativamente è possibile indicare che la procedura agente venga eseguita su un intervallo specifico di ID macchine facendo clic sul collegamento questo ID macchina. Questi ID macchina specificati non devono corrispondere l'ID macchina che ha riscontrato la condizione di allarme.

Destinatari posta elettronica

Se selezionato e se si verifica una condizione di allarme, viene inviata una email agli indirizzi email specificati.

  • L'indirizzo email dell'utente collegato viene visualizzato nel campo Destinatari email. Il valore predefinito è rilevato da Sistema > Preferenze.
  • fare clic su Formatta email per visualizzare la finestra di popup Formatta email avviso. Questa finestra permette di formattare la visualizzazione delle email generate dal sistema quando si verifica una condizione di allarme. Questa opzione viene visualizzata solo per utenti con ruolo Master.
  • Se l'opzione Aggiungi a elenco corrente è selezionata, quando si fa clic su Applica vengono applicate le impostazioni degli avvisi e gli indirizzi email specificati vengono aggiunti senza eliminare gli indirizzi email assegnati in precedenza.
  • Se l'opzione Sostituisci elenco è selezionata, quando si fa clic su Applica vengono applicate le impostazioni degli avvisi e gli indirizzi email specificati sostituiscono gli indirizzi email assegnati in precedenza.
  • Se viene fatto clic su Elimina , tutti gli indirizzi email vengono eliminati senza modificare nessun parametro degli avvisi.
  • L'email viene inviata direttamente da KServer all'indirizzo email specificato nell'avviso. Impostare Da indirizzo tramite Sistema > Email in uscita.

Seleziona tutto/Deseleziona tutto

Fare clic sul collegamento Seleziona tutto per selezionare tutte le righe della pagina. Fare clic sul collegamento Deseleziona tutto per deselezionare tutte le righe della pagina.

Stato accesso

Queste icone indicano lo stato di accesso dell'agente su ciascuna macchina gestita.

In linea ma in attesa del completamento della prima verifica

Agente in linea

Agente in linea e utente attualmente connesso. L'icona visualizza un fumetto che riporta il nome di accesso.

Agente in linea e utente collegato, ma non attivo per 10 minuti

L'Agente è attualmente non in linea

L'agente non si è mai collegato

L'agente è in linea ma il controllo remoto è stato disabilitato

L'agente è stato sospeso

ID macchina.gruppo

L'elenco degli ID macchina.gruppo visualizzati dipende dal filtro ID macchina/ ID gruppo e dai gruppi macchine che l'utente è autorizzato a vedere utilizzando Sistema > Sicurezza utente > Ambiti.

Icona modifica

Fare clic su un'icona di modifica di una riga per compilare i parametri di intestazione con i valori da quella riga. È possibile modificare questi valori nella intestazione e riapplicarli.

Tipo log

Tipo di log eventi da monitorare.

ATSE

Codice di risposta ATSE assegnato agli ID macchina o ai dispositivi SNMP:

  • A = Crea Allarme
  • T = Crea Ticket
  • S = Esegui procedura agente
  • E = Destinatari Email

EWISFCV

Categoria eventi da monitorare.

Indirizzo posta elettronica

Elenco di indirizzi email, separati da virgole, ai quali inviare le notifiche.

Set eventi

Set eventi assegnato a questo ID macchina. È possibile assegnare set eventi multipli allo stesso ID macchina.

Intervallo

Numero di volte in cui si verifica un evento entro un numero di periodi specificato. Vale solo se è stata selezionata l'opzione Avvisa quando questo evento si verifica <N> volte entro <N> <periodi>. Se è stata selezionata l'opzione Avvisa quando questo evento non si verifica entro <N> <periodi> viene visualizzato Assente. Visualizza 1 se è selezionato Avvisa quando questo evento si verifica una volta.

Durata

Numero di periodi in cui si deve verificare un evento per attivare una condizione di allarme. Vale solo se sono state selezionate le opzioni Avvisa quando questo evento si verifica <N> volte entro <N> <periodi> o Avvisa quando questo evento non si verifica entro <N> <periodi>.

Riarma

Visualizza il numero di periodi da attendere prima di attivare nuove condizioni di allarme per la stessa combinazione di set eventi e categoria eventi. Vale solo se è stato specificato un periodo di riattivazione maggiore di zero tramite Ignora allarmi aggiuntivi per <N> <periodi>.