|
|
|
|
编辑事件集
“编辑事件集”可根据对事件日志(通过受管理计算机的 Windows OS 维护)中事件的监控来筛选对提示的触发。您可以将多个事件集分配给计算机 ID。
事件集包含一个或多个条件。每个条件包含用于事件日志条目中不同字段的筛选器。这些字段包括“源”、“类别”、“事件 ID”、“用户”和“描述”。事件日志条目必须与条件的所有字段筛选器匹配才被认为是匹配的条目。包含星号字符 (*) 的字段表示任意字符串(包括零字符串)均被认为是匹配的。与事件集中的任一条件匹配都足以为该事件集所适用的任何计算机触发提示。
注:通常,如果将两个条件添加到事件集,则这两个条件通常以 OR 语句进行说明。如果符合任何一个条件,则将触发提示。选择了“此事件未在 <N> 个<periods>内发生时发出提示”选项时属于例外情况。在此情况下,这两个条件应以 AND 语句进行说明。两个条件均不在指定的时间段内发生才会触发提示。
注:您可以直接显示事件日志。在 Windows 计算机上,依次单击“开始”>“控制面板”>“管理工具”>“事件查看器”。单击“应用程序”、“安全”或“系统”可显示该日志中的事件。双击事件可显示其“属性”窗口。您可以将任何事件的“属性”窗口中的文字复制并粘贴到“编辑事件集”字段中。
创建新事件集的步骤
- 在“提示”页面上,从“选择提示功能”下拉列表中选择“事件日志”。
- 从第二个下拉列表中选择一个事件日志类型。
- 从“定义要匹配或忽略的事件”下拉列表中选择
“<New Event Set>”。系统将显示“编辑事件集”弹出窗口。您可以通过以下方法创建新的事件集:
- 输入新名称并单击“新建”按钮。
- 将事件集数据粘贴为文本。
- 从文件导入事件集数据。
- 如果您输入新名称并单击“新建”,则“编辑事件集”窗口将显示用于筛选事件的五个属性。
- 单击“添加”可将新事件添加到该事件集。
- 单击“忽略”可指定不应触发警报的事件。
- 您可以根据需要重命名、删除或导出事件集。
忽略条件
如果事件日志条目匹配事件集中的一个或多个忽略条件,则任何事件集都不会触发提示,即使多个事件集中的多个条件匹配事件日志条目。由于忽略的条件会覆盖所有事件集,因此最好为所有忽略的条件只定义一个事件集,以便怀疑忽略的条件影响所有提示的行为时,只需查看一个位置。您必须将包含忽略的条件的事件集分配给计算机 ID,以使该事件集覆盖应用到同一计算机 ID 的其他所有事件集。
忽略条件仅会覆盖共享相同日志类型的事件。因此,如果您创建了包含所有忽略条件的一个“忽略集”,则该集必须多次应用于同一计算机 ID,一次用于一种日志类型。例如,仅作为“系统”日志类型应用的忽略集不会覆盖作为“应用程序”和“安全”日志类型事件应用的事件条件。
- 在“提示”页面上,从“选择提示功能”下拉列表中选择“事件日志”。
- 选中“错误”复选框,然后从事件集列表中选择
“<All Events>”。单击“应用”按钮将此设置分配给所有选定的计算机 ID。这将告知系统为每种错误事件类型生成提示。记下分配的日志类型。 - 创建指定要忽略的所有事件的“忽略事件集”,并将其分配给这些相同的计算机 ID。日志类型必须与步骤 2 中的日志类型相匹配。
使用星号 (*) 通配符
在您输入的文本中包括星号 (*) 通配符,可匹配多个记录。 例如:
*您的筛选词 1*您的筛选词 2*
这将匹配具有以下字符串的事件并引发警报:
"这是一个测试。您的筛选词 1 以及您的筛选词 2 在描述中。"
导出和导入编辑事件
您可以将事件集记录作为 XML 文件导出和导入。
- 您可以使用“编辑事件集”弹出窗口将现有事件集记录导出到 XML 文件。
- 可以通过从事件集下拉列表中选择
“<Import Event Set>”或“<New Event Set>”值来导入事件集 XML 文件。
例如:
<?xml version="1.0" encoding="ISO-8859-1" ?>
<event_sets>
<set_elements setName="Test Monitor Set" eventSetId="82096018">
<element_data ignore="0" source="*SourceValue*"
category="*CategoryValue*" eventId="12345"
username="*UserValue*" description="*DescriptionValue*"/>
</set_elements>
</event_sets>