提示 - 事件日志

“监控”>“提示”

• 从“选择提示功能”下拉列表中选择“事件日志”

选定计算机的事件日志条目与指定条件匹配时，“提示 - 事件日志”页面会触发提示。选择事件日志类型后，您可以筛选通过事件集和事件类别指定的警报条件。

注：您可以直接显示事件日志。在 Windows 计算机上，依次单击“开始”>“控制面板”>“管理工具”>“事件查看器”。单击“应用程序”、“安全”或“系统”显示每个日志中的事件。

先决条件

必须使用“代理”>“事件日志设置”为特定计算机启用事件日志记录功能。

Windows 事件日志

在 Windows 操作系统（不适用于 Win9x）上运行的事件日志服务。使用事件日志服务，可以通过基于 Windows 的程序和组件发出事件日志消息。这些事件存储在位于每台计算机上的事件日志中。受管理计算机的事件日志可以存储在 KServer 数据库中，以用作提示和报告的基础，并会被存档。

根据具体的操作系统，可用的事件日志类型包括但不限于以下内容：

• 应用程序日志
• 安全日志
• 系统日志
• 目录服务日志
• 文件复制服务日志
• DNS 服务器日志

可供选择的事件类型的列表可以使用“监控”>“按扫描更新列表”进行更新。

Windows 事件通过以下事件日志类别进行进一步地分类：

• 错误
• 警告
• 信息
• 审计成功
• 审计失败
• 关键 - 仅应用于 Vista。
• 详细 - 仅应用于 Vista。

事件日志由以下 VSA 页面使用或参考：

• “监控”>“代理日志”
• “监控”>“提示”>“事件日志”
• “监控”>“提示”>“编辑事件集”
• “监控”>“按扫描更新列表”
• “代理”>“日志历史”
• “代理”>“事件日志设置”
• “代理”>“代理日志”
• “报告”>“日志”
• “系统”>“数据库视图”>“vNtEventLog”

事件集

由于 Windows 事件日志中的事件数非常多，因此 VSA 使用称为事件集的记录类型来筛选警报条件。

事件集包含一个或多个条件。每个条件包含用于事件日志条目中不同字段的筛选器。这些字段包括“源”、“类别”、“事件 ID”、“用户”和“描述”。事件日志条目必须与条件的所有字段筛选器匹配才被认为是匹配的条目。包含星号字符 (*) 的字段表示任意字符串（包括零字符串）均被认为是匹配的。与事件集中的任一条件匹配都足以为该事件集所适用的任何计算机触发提示。

有关如何配置事件集的详细信息，请参见“监控”>“提示”>“事件日志”>“编辑事件集”。

样本事件集

系统提供了样本事件集的增长列表。样本事件集的名称以 ZC 开头。您可以修改样本事件集，但更好的做法是复制样本事件集并对副本进行自定义。在维护周期中每次对样本集进行更新时，样本事件集随时可能被覆盖。

创建事件日志提示

1. 在“监控”>“提示”页面上，使用该下拉列表可选择事件日志类型。
2. 选择用于筛选触发提示的事件的事件集筛选器。默认情况下，请选择“<All Events>”。
3. 选中以下事件类别中的任何一个类别旁的框：
   • 错误
   • 警告
   • 信息
   • 审计成功
   • 审计失败
   • 关键 - 仅应用于 Vista。
   • 详细 - 仅应用于 Vista。

     注：红色字母表示登录已被禁用。根据使用“代理”>“事件日志设置”定义的设置，可以通过 VSA 禁用特定计算机的事件日志。特定事件类别可能不适用于某些计算机，例如用于非 Vista 计算机的“关键”和“详细”事件类别。

4. 指定触发提示所需的警报条件频率：
   • 当该事件发生一次，则发出提示。
   • 此事件在 <N> 个<periods>内发生 <N> 次时发出提示。
   • 此事件未在 <N> 个<periods>内发生时发出提示。
   • 忽略 <N> 个<periods>的附加警报。
5. 单击“添加”或“替换”单选选项，然后单击“应用”将选定的事件类型提示分配到选定的计算机 ID。
6. 单击“删除”可删除选定计算机 ID 中所有基于事件的提示。

全局事件日志黑名单

每个代理都处理所有事件，但是“黑名单”中列出的事件不会上传到 VSA 服务器。有两个黑名单。其中一个由 Kaseya 定期更新，名为 EvLogBlkList.xml。另一个名为 EvLogBlkListEx.xml，可以由服务提供商维护，不会由 Kaseya 更新。两者都位于 \Kaseya\WebPages\ManagedFiles\VSAHiddenFiles 目录下。警报检测和处理都会运行，而与收集黑名单中是否有条目无关。

泛滥检测

如果 1000 个事件—不计 黑名单事件—由代理在一个小时内上传到 KServer，则该小时内剩余的该日志类型的未来事件收集将停止。新事件会插入到收集暂停的记录事件日志中。在当前小时结束时，收集会自动恢复。这可防止短时间内过重负载施加给您的 KServer。警报检测和处理会运行，不管收集是否暂停。

将提示信息传输到电子邮件和程序

可以发送以下类型的监控提示电子邮件并进行格式化：

• 单个事件日志提示。应用于所有事件日志类型的模板相同。
• 多个事件日志提示。应用于所有事件日志类型的模板相同。
• 事件日志提示缺少。应用于所有事件日志类型的模板相同。

注：更改此电子邮件警报格式会更改所有事件日志提示电子邮件的格式。

以下变量可包含在您的已设置格式的电子邮件提示和程序中。

注：在多个事件日志提示中只能包含以下变量： <at> <ed> <ev> <gr> <id> <lt>。

应用

单击“应用”可将参数应用到选定的计算机 ID。确认已将信息正确应用到计算机 ID 列表中。

清除

单击“清除”可删除选定计算机 ID 中的所有参数设置。

创建警报

如果选中且遇到警报条件，将创建警报。警报显示在“监控”>“控制台列表”、“监控”>“警报摘要”和“信息中心”>“报告”>“日志”>“警报日志”。

创建工单

如果选中且遇到警报条件，将创建工单。

运行脚本

如果选中此选项，当遇到警报条件时，系统会运行代理程序。您必须单击“选择代理程序”链接以选择要运行的代理程序。您可以根据需要通过单击此计算机 ID 链接设置代理程序在指定范围的计算机 ID 上运行。这些指定的计算机 ID 无需与遇到警报条件的计算机 ID 匹配。

电子邮件收件人

如果选中且遇到警报条件，将向指定的电子邮件地址发送电子邮件。

• 当前已登录用户的电子邮件地址显示在“电子邮件收件人”字段中。其默认值取自“系统”>“首选项”。
• 单击“电子邮件格式”可显示“格式提示电子邮件”弹出窗口。通过此窗口，您可以设置在遇到警报条件时系统所生成的电子邮件的显示格式。此选项仅为主角色用户显示。
• 如果选中了“添加到当前列表”单选选项，则单击“应用”时，将应用提示设置并且添加指定的电子邮件地址，而不会删除之前分配的电子邮件地址。
• 如果选中了“替换列表”单选选项，则单击“应用”时，将应用提示设置并且指定的电子邮件地址会替换分配的现有电子邮件地址。
• 如果单击了“删除”，将删除所有电子邮件地址而不会修改任何提示参数。
• 系统会将电子邮件从 KServer 直接发送到在提示中指定的电子邮件地址。使用“系统”>“出站电子邮件”可设置“发件人地址”。

全选/取消全选

单击“全选”链接选中页面中的所有行。单击“取消全选”链接取消选中页面中的所有行。

签入状态

这些图标指明了每台受管理计算机的代理签入状态：

在线，但正在等待第一次审计完成

代理在线

代理在线和用户当前已登录。图标显示可显示登录名的工具提示。

代理在线和用户目前已登录，但用户已 10 分钟不活动

代理当前为离线状态

代理从未签入

代理在线，但远程控制已禁用

代理已被暂停

计算机.组 ID

显示的 计算机.组 ID 列表基于使用“系统”>“用户安全”>“范围”授权用户查看的计算机 ID/组 ID 筛选器和计算机组。

编辑图标

单击行的编辑图标 可使用行中的值填写标题参数。您可以在标题中编辑这些值，然后重新应用它们。

日志类型

正被监控的事件的类型。

ATSE

分配给计算机 ID 或 SNMP 设备的 ATSE 响应代码：

• A = 创建警报 (Alarm)
• T = 创建工单 (Ticket)
• S = 运行代理程序
• E = 电子邮件 (Email) 收件人

EWISFCV

正被监控的事件类别。

电子邮件地址

要将通知发送到的电子邮件地址的逗号分隔列表。

事件集

分配给此计算机 ID 的事件集。可将多个事件集分配给同一计算机 ID。

间隔

事件在指定的时间段内发生的次数。仅在选择了“此事件在 <N> 个<periods>内发生 <N> 次时发出提示”选项时适用。如果选择了“此事件未在 <N> 个<periods>内发生时发出提示”选项，则会显示“缺少”。如果选择了“当该事件发生一次，则发出提示”，则显示 1。

持续时间

要触发警报条件，必须发生的时段数和事件。仅在选择了“此事件在 <N> 个<periods>内发生 <N> 次时发出提示”或“此事件未在 <N> 个<periods>内发生时发出提示”选项时适用。

重装

显示对于相同的事件集和事件类别组合，在触发任何新警报条件前要等待的期间数。仅在使用“忽略 <N> 个<periods>的附加警报”指定了大于零的重装期间时适用。

主题 : 发送反馈。 从内容表格的第一个主题下载此联机图书的 PDF 版本。