|
|
|
|
分配分析器集
“分配分析器集”页面会创建和编辑分析器集,并将分析器集分配给计算机 ID。根据需要,可基于分析器集分配触发提示。在以下情况下,计算机 ID 仅显示在页面区域中:
注:将分析器集定义分配给此页面上的计算机 ID 可激活该日志分析器。无论何时所分析的日志文件发生更新,都会进行分析。
注:您可以从在线用户帮助的第一个主题中下载 Configuring Log Parsers Step-by-Step PDF 文件。
通知
代理收集日志条目,并根据分析器集定义的条件在“日志监控”日志中创建条目,而不管是否选择了任何通知方法。您不必在每次创建新日志监控条目时收到通知。只需定期在方便时简单地检查“日志监控”日志即可。
分析器定义和分析器集
配置日志监控时,辨别以下两种类型的配置记录会非常有用:分析器定义和分析器集。
分析器定义用于:
- 定位要分析的日志文件。
- 基于模板中指定的日志数据的格式选择日志数据。
- 使用日志数据值填写参数。
- 根据需要,可对日志监控中的日志条目进行格式化。
分析器集随后会筛选选定数据。根据填写的参数的值以及您定义的条件,分析器集可以生成日志监控条目,并根据需要触发提示。
分析器集不执行筛选操作时,KServer 数据库可以快速进行扩展。例如,称为 $FileServerCapacity$ 的日志文件参数可能重复地使用文件服务器上的最新可用空间百分比进行更新。在可用空间低于 20% 之前,您可能不需要在日志监控中进行记录,也不需要基于此阈值触发提示。每个分析器集都仅应用到其创建用于筛选的分析器定义。可以为每个分析器定义创建多个分析器集。每个分析器集可以为其分配到的每个计算机 ID 触发单独的提示。
日志监控设置
- 日志分析 - 识别要使用日志文件分析器定义分析的日志文件。日志文件分析器定义包含用于储存从日志文件提取的值的日志文件参数。然后,将日志分析器分配给一台或多台计算机。
- 分配分析器集 - 根据储存在参数中的特定值,定义一个分析器集来生成日志监控记录。通过将分析器集分配给之前分配该日志分析器的一个或多个计算机 ID 来激活分析操作。(可选)定义提示。
- 分析器摘要 - 将活动分析器集分配从一个源计算机快速复制到其他计算机 ID。(可选)定义提示。
创建分析器集提示的步骤
- 选中任一这些复选框可以在遇到警报条件时执行其相应的操作:
- 创建警报 (Alarm)
- 创建工单 (Ticket)
- 运行脚本 (Script)
- 电子邮件 (Email) 收件人
- 设置其他电子邮件参数。
- 选择要添加或替换的分析器集。
- 选择要将提示应用到的计算机 ID。
- 单击“应用”按钮。
取消分析器集提示的步骤
- 选中计算机 ID 复选框。
- 单击“清除”按钮。
计算机 ID 旁边列出的提示信息将被删除。
将提示信息传输到电子邮件和程序
可以发送以下类型的监控提示电子邮件并进行格式化:
- 日志监控分析器提示。
- 多日志监控分析器提示。
- 缺少日志监控分析器提示。
注:更改此电子邮件格式会更改“分配分析器集”和“分析器摘要”电子邮件的格式。
以下变量可包含在您的已设置格式的电子邮件提示和程序中。
在电子邮件中 |
在程序中 |
描述 |
<at> |
#at# |
提示时间 |
<db-view.column> |
不可用 |
包括数据库中的 view.column。例如,要包括在电子邮件中生成该提示的计算机的计算机名,可使用 <db-vMachine.ComputerName> |
<ec> |
#ec# |
事件计数 |
<ed> |
#ed# |
事件描述 |
<gr> |
#gr# |
组 ID |
<id> |
#id# |
计算机 ID |
<lpm> |
#lpm# |
日志文件集条件 |
<lpn> |
#lpn# |
日志分析器集名称 |
<lsn> |
#lsn# |
日志文件集名称 |
创建警报
如果选中且遇到警报条件,将创建警报。警报显示在“监控”>“控制台列表”、“监控”>“警报摘要”和“信息中心”>“报告”>“日志”>“警报日志”。
创建工单
如果选中且遇到警报条件,将创建工单。
运行脚本
如果选中此选项,当遇到警报条件时,系统会运行代理程序。您必须单击“选择代理程序”链接以选择要运行的代理程序。您可以根据需要通过单击此计算机 ID 链接设置代理程序在指定范围的计算机 ID 上运行。这些指定的计算机 ID 无需与遇到警报条件的计算机 ID 匹配。
电子邮件收件人
如果选中且遇到警报条件,将向指定的电子邮件地址发送电子邮件。
- 当前已登录用户的电子邮件地址显示在“电子邮件收件人”字段中。其默认值取自“系统”>“首选项”。
- 单击“电子邮件格式”可显示“格式提示电子邮件”弹出窗口。通过此窗口,您可以设置在遇到警报条件时系统所生成的电子邮件的显示格式。此选项仅为主角色用户显示。
- 如果选中了“添加到当前列表”单选选项,则单击“应用”时,将应用提示设置并且添加指定的电子邮件地址,而不会删除之前分配的电子邮件地址。
- 如果选中了“替换列表”单选选项,则单击“应用”时,将应用提示设置并且指定的电子邮件地址会替换分配的现有电子邮件地址。
- 如果单击了“删除”,将删除所有电子邮件地址而不会修改任何提示参数。
- 系统会将电子邮件从 KServer 直接发送到在提示中指定的电子邮件地址。使用“系统”>“出站电子邮件”可设置“发件人地址”。
选择日志文件分析器
从“选择日志文件分析器”下拉列表中选择日志分析器,以显示之前使用“日志分析器”页面分配此日志分析器的所有计算机 ID。
定义要匹配的日志集
选择了日志分析器后,单击“编辑”以定义新的分析器集,或从“定义要匹配的日志集”下拉列表中选择现有分析器集。
提示,当...
指定触发提示所需的分析器集条件频率:
- 当该事件发生一次,则发出提示
- 此事件在 <N> 个<periods>内发生 <N> 次时发出提示
- 此事件未在 <N> 个<periods>内发生时发出提示
- 忽略 <N> 个<periods>的附加警报
添加/替换
单击“添加”或“替换”单选选项,然后单击“应用”将选定的分析器集分配到选定的计算机 ID。
删除
单击“移除”可删除选定计算机 ID 中的所有分析器集。
应用
将选定的分析器集应用到已选中的计算机 ID。
清除
清除选定计算机 ID 中对选定分析器集的分配。
全部清除
清除分配给选定计算机 ID 的所有分析器集。
全选/取消全选
单击“全选”链接选中页面中的所有行。单击“取消全选”链接取消选中页面中的所有行。
签入状态
这些图标指明了每台受管理计算机的代理签入状态:
在线,但正在等待第一次审计完成
代理在线
代理在线和用户当前已登录。图标显示可显示登录名的工具提示。
代理在线和用户目前已登录,但用户已 10 分钟不活动
代理当前为离线状态
代理从未签入
代理在线,但远程控制已禁用
代理已被暂停
计算机.组 ID
显示的 计算机.组 ID 列表基于使用“系统”>“用户安全”>“范围”授权用户查看的计算机 ID/组 ID 筛选器和计算机组。
删除
单击分析器集旁边的删除图标 
可删除其对计算机 ID 的分配状态。
日志集名称
列出分配给此计算机 ID 的分析器集的名称。
ATSE
分配给计算机 ID 的 ATSE 响应代码:
- A = 创建警报 (Alarm)
- T = 创建工单 (Ticket)
- S = 运行程序
- E = 电子邮件 (Email) 收件人
电子邮件地址
要将通知发送到的电子邮件地址的逗号分隔列表。
间隔
等待提示事件发生或不发生的间隔。
持续时间
仅在选择了“此事件在 <N> 个<periods>内发生 <N> 次时发出提示”时适用。请参考 <N> 个<periods>。
重装
仅在选择了“忽略 <N> 个<periods>的附加警报”时适用。