Alertas de Log de Eventos

Monitor > Monitoramento do agente > Alertas do log de eventos

A página Alertas de log de eventos alerta quando uma entrada no log de eventos para uma máquina selecionada corresponde a critérios específicos. Após selecionar o tipo de log de eventos, você pode filtrar as condições de alerta especificadas por conjunto de eventos e por categoria de eventos. Você, então, configura a ação do alerta a tomar em resposta à condição do alerta especificada.

Nota: Você pode exibir logs de eventos diretamente. Em uma máquina com Windows, clique em Iniciar, Painel de Controle, Ferramentas Administrativas e em Visualizador de Eventos. Clique em Aplicativos, Segurança ou Sistema para exibir os eventos em cada registro.

Conjunto de eventos

Como o número de eventos em logs de eventos do Windows é muito grande, o VSA utiliza um tipo de log chamado conjunto de eventos para filtra uma condição de alerta. Os conjuntos de eventos contêm uma ou mais condições. Cada condição contém filtros para diferentes campos de uma entrada do registro de eventos. Os campos são origem, categoria, ID de evento, usuário e descrição. Uma entrada no registro de eventos tem de corresponder a todos os filtros de campo de uma condição para ser considerada uma correspondência. Um campo com um asterisco (*) significa que qualquer sequência, como um zero, será considerada uma correspondência. Uma correspondência de qualquer uma das condições em um conjunto de eventos é suficiente para acionar um alerta para qualquer máquina a qual o conjunto de eventos esteja aplicado. Para detalhes sobre como configurar conjuntos de eventos, veja Monitor > Alertas do log de eventos > Editar conjuntos de eventos.

Conjuntos de eventos de amostra

Uma lista crescente de conjuntos de eventos de amostra é fornecida. Os nomes dos conjuntos de eventos de amostra começam com ZC. É possível modificar conjuntos de eventos de amostra, mas a melhor prática é copiar um conjunto de eventos de amostra e personalizar a cópia. Os conjuntos de eventos de amostra estão sujeitos a ser substituídos sempre que os conjuntos de amostras forem atualizados durante um ciclo de manutenção.

Lista negra de registros de eventos globais

Cada agente processa todos os eventos, no entanto, eventos contidos em uma "lista negra" não são carregados no servidor do VSA. Há duas listas negras. Uma é atualizada periodicamente pela Kaseya e é chamada EvLogBlkList.xml. A segunda, chamada EvLogBlkListEx.xml, pode ser mantida pelo provedor de serviços e não é atualizada pela Kaseya. Ambas estão localizadas no diretório \Kaseya\WebPages\ManagedFiles\VSAHiddenFiles. A detecção e processamento de alarme opera independentemente de as entradas estarem na lista negra de coleta.

Detecção de inundação

Se 1.000 eventos, sem contar  os eventos contidos na lista negra, forem carregados no servidor da Kaseya por um agente em uma hora, as coletas adicionais de eventos desse tipo de log serão interrompidas pelo restante daquela hora. Um novo evento é inserido no log de eventos para registrar que a coleta foi suspensa. No fim da hora, a coleta será retomada automaticamente. Isso impede que cargas volumosas breves inundem o servidor da Kaseya. A detecção e o processamento de alarme  opera independentemente de uma coleção ter sido suspensa ou não.

Ícone do assistente do monitor para conjuntos de eventos

Um ícone de assistente do monitor é exibido próximo às entradas de log do evento no VSA e no Live Connect. Passar o curso sobre o ícone de assistente do monitor de uma entrada de log exibe um assistente. Esse assistente permite que você crie um novo critério de conjunto de eventos baseado naquela entrada de log. O novo critério de conjunto de eventos pode ser adicionado a qualquer conjunto de eventos, novo ou existente. O conjunto de eventos novo ou alterado é imediatamente aplicado à máquina que serve como a origem de uma entrada de log. Alterar um conjunto de eventos existente afeta todas as máquinas atribuídas para usar aquele conjunto de eventos. O ícone do assistente do monitor é exibido em:

• Agente > Logs do agente
• Live Connect > Visualizador de eventos
• Live Connect > Dados do agente > Log de eventos

Consulte Monitor > Alertas de log de eventos para obter uma descrição de cada campo exibido no assistente.

Configuração e atribuição de alertas do log de eventos

1. Opcionalmente, permita o registro em log de eventos para as máquinas que você deseja monitorar em Agente > Configurações do log de eventos. Categorias de eventos realçadas em vermelho (EWISFCV) indicam que estas categorias de eventos não são coletadas pelo VSA. Alertas de log de eventos ainda são gerados mesmo que os logs de eventos não sejam coletados pelo VSA.
2. Selecione o conjunto de eventos, o tipo de log de eventos e outros parâmetros na guia do cabeçalho Alertas do log de eventos > Atribuir conjunto de eventos.
3. Opcionalmente, clique no botão Editar na guia do cabeçalho Atribuir conjunto de eventos para criar ou alterar as condições do alerta para os conjuntos de eventos que você atribuir.
4. Especifique as ações a tomar em resposta a uma condição de alerta na guia do cabeçalho Alertas do log de eventos > Definir ações de alertas.
5. Opcionalmente, clique no botão Formatar e-mail na guia do cabeçalho Definir ações de alertas para alterar o formato dos alertas de e-mail para os conjuntos de eventos.
6. Selecione as máquinas para as quais um conjunto de eventos deve ser aplicado:
7. Clique no botão Aplicar.

Ações

• Aplicar : aplica um conjunto de eventos selecionado às IDs das máquinas selecionadas. Confirme se as informações foram aplicadas corretamente na lista de IDs de máquina.
• Limpar: remove o conjunto de eventos selecionado das IDs das máquinas selecionadas.
• Limpar tudo: remove todas as configurações do conjunto de eventos selecionado das IDs das máquinas selecionadas.

Área de paginação

A área de paginação exibe as mesmas colunas independentemente da guia do cabeçalho selecionada.

• Selecionar tudo/Cancelar seleção: clique no link Selecionar tudo para marcar todas as linhas em uma página. Clique no link Desmarcar seleção de todas para desmarcar todas as linhas da página.
• Status de verificação: estes ícones indicam o status de verificação do agente de cada máquina gerenciada. Passar o cursor do mouse sobre o ícone de entrada exibe a janela Visualização rápida do agente.

Conectada mas aguardando o término da primeira auditoria

Agente on-line

Agente e usuário conectados no momento.

Agente e usuário conectados no momento, mas usuário inativo há 10 minutos

No momento o Agente está desconectado

O Agente nunca efetuou a entrada

O Agente está conectado mas o controle remoto foi desativado

O Agente foi suspenso

• ID do grupo de máquinas: a lista de IDs do grupo de máquinas exibida se baseia no filtro IDs de máquinas/grupos e nos grupos de máquinas que o usuário é autorizado a ver usando Sistema > Segurança do usuário > Escopos.
• Editar ícone: clique no ícone de edição de uma linha para preencher os parâmetros de cabeçalho com os valores daquela linha. É possível editar esses valores no cabeçalho e reaplicá-los.
• Tipo de log: o tipo de log do evento sendo monitorado.
• ATSE: o código de resposta ATSE atribuído a IDs de máquinas ou dispositivos SNMP:
  • A = Criar alarme
  • T = Criar ticket
  • S = Executar procedimento do agente
  • E = Destinatários de e-mail
• EWISFCV: a categoria do evento sendo monitorado.
• Endereço de e-mail: uma lista de endereços de e-mail separados por vírgula para os quais as notificações serão enviadas.
• Conjunto de eventos: o conjunto de eventos atribuído a esta ID de máquina. Diversos conjuntos de eventos podem ser atribuídos à mesma ID de máquina.
• Intervalo: o número de vezes que um evento ocorre dentro de um número específico de períodos. Se aplica somente se a opção Alertar quando este evento ocorrer <N> vezes dentro de <N> <períodos> for selecionada. Exibe Missing se a opção Alertar quando este evento não ocorrer dentro de <N> <períodos> for selecionada. Exibe 1 se a opção Alertar quando este evento ocorrer uma vez for selecionada.
• Duração: o número de períodos que um evento deve ocorrer para acionar uma condição de alerta. Se aplica somente se as opções Alertar quando este evento ocorrer <N> vezes dentro de <N> <períodos> ou Alertar quando este evento não ocorrer dentro de <N> <períodos> forem selecionadas.
• Rearmar: exibe o número de períodos a aguardar antes de acionar qualquer condição de alerta nova para a mesma combinação de conjunto de eventos e categoria de eventos. Se aplica somente se um período de rearmação maior do que zero for especificado utilizando Ignorar alarmes adicionais para <N> <períodos>.