Alertas de Registro de Eventos

Monitor > Supervisión de agentes > Alertas de registro de eventos

En la página Alertas de registro de eventos, se anuncia cuando una entrada del registro de eventos para una máquina seleccionada coincide con los criterios especificados. Después de seleccionar el tipo de registro de eventos, se pueden filtrar las condiciones de alerta especificadas por conjunto de eventos y por categoría de evento. Luego, puede establecer la acción de alerta en respuesta a la condición de alerta especificada.

Nota: Puede mostrar los registros de eventos directamente. En una máquina Windows, haga clic en Inicio, luego haga clic en Panel de Control, luego haga clic en Herramientas administrativas, y luego haga clic en Visor de sucesos. Haga clic en Aplicación, Seguridad o Sistema para mostrar los eventos en cada registro.

Conjuntos de Eventos

Debido a que la cantidad de eventos en los registros de eventos de Windows es enorme, el VSA usa un tipo de registro llamado conjunto de eventos para filtrar las condiciones de alerta. Los grupos de eventos contienen una o más condiciones. Cada condición contiene filtros para diferentes campos en una entrada de registro de eventos. Los campos son fuente, categoría, ID de evento, usuario y descripción. Una entrada de registro de eventos debe coincidir con todos los filtros de campo de una consideración para ser considerada una coincidencia. Un campo con un caracter de asterisco (*) significa que cualquier cadena, incluída una cadena cero, se considera una coincidencia. Una coincidencia de una de las condiciones en un grupo de eventos es suficiente como para activar una alerta para cualquier máquina a la que se aplica ese grupo de eventos. Para obtener detalles acerca de cómo configurar los conjuntos de eventos, consulte Monitor > Alertas de registro de eventos > Editar conjuntos de eventos.

Conjuntos de eventos de muestras

Se proporciona una lista creciente de conjuntos de eventos de muestra. Los nombres de conjuntos de eventos de muestra comienzan con ZC. Puede modificar conjuntos de eventos de muestra, pero es mejor copiar un conjunto de eventos de muestra y personalizar la copia. Los conjuntos de eventos de muestra están sujetos a ser sobrescritos cada vez que los conjuntos de muestra se actualizan durante un ciclo de mantenimiento.

Lista negra de registro de eventos globales

Si bien cada agente procesa todos los eventos, los eventos incluidos en una “lista negra” no se cargan en el servidor del VSA. Existen dos listas negras. Una la actualiza Kaseya periódicamente, y se denomina EvLogBlkList.xml.. La segunda, denominada EvLogBlkListEx.xml, puede mantenerla el proveedor de servicios, y no la actualiza Kaseya. Ambas se encuentran en el directorio \Kaseya\WebPages\ManagedFiles\VSAHiddenFiles. La detección y procesamiento de alarmas opera independientemente de si las entradas están en la lista negra de recopilación.

Detección de saturación

Si un agente carga 1.000 eventos (sin contar los eventos de listas negras) en Kaseya Server en una hora, se interrumpe la recolección de eventos de ese tipo de registro durante el resto de esa hora. Un nuevo evento se inserta en el registro de evento para registrar que la recopilación se suspendió. Al finalizar esa hora, la recopilación se reanuda automáticamente. Esto evita que las cargas pesadas a corto plazo sobrecarguen Kaseya Server. La detección y procesamiento de alarmas opera independientemente de si la recopilación se suspende.

Ícono de asistente para supervisión para conjuntos de eventos

Se muestra el ícono del asistente para supervisión junto a las entradas del registro de eventos en el VSA y en Live Connect. Al desplazar el cursor sobre el ícono del asistente para supervisión de una entrada del registro se muestra un asistente. El asistente permite crear nuevos criterios del conjunto de eventos sobre la base de esa entrada del registro. Los nuevos criterios del conjunto de eventos puede agregarse a cualquier conjunto de eventos nuevo o existente. El conjunto de eventos nuevo o modificado se aplica de inmediato a la máquina que actuó como origen de la entrada del registro. La modificación de un conjunto de eventos existente afecta a todas las máquinas designadas para usar ese conjunto de eventos. El ícono del asistente para supervisión se muestra en las siguientes rutas:

• Agente > Registros de agente
• Live Connect > Visor de eventos
• Live Connect > Datos de agente > Registro de eventos

Consulte Monitor > Alertas de registro de eventos para obtener una descripción de cada campo que se muestra en el asistente.

Configuración y asignación de alertas de registro de eventos

1. Opcionalmente habilite el registro de eventos para las máquinas que desee supervisar mediante Agente > Configuración del registro de eventos. Categorías de evento se destaca en rojo (EWISFCV) para indicar que el VSA no recolecta esas categorías de evento. Las alertas de registro de eventos se generan aunque el VSA no recolecte registros de eventos.
2. Seleccione el conjunto de eventos, el tipo de registro de eventos y otros parámetros en la pestaña de encabezado Asignar conjunto de eventos de Alertas de registro de eventos.
3. Opcionalmente haga clic en el botón Editar en la pestaña de encabezado Asignar conjunto de eventos para crear o cambiar las condiciones de alerta para los conjuntos de eventos que asigne.
4. Especifique las acciones que se deben realizar en respuesta a una condición de alerta en la pestaña de encabezado Establecer acciones de alerta de Alertas de registro de eventos.
5. Opcionalmente haga clic en el botón Dar formato al correo electrónico en la pestaña de encabezado Establecer acciones de alerta para cambiar el formato de las alertas por correo electrónico para conjuntos de eventos.
6. Seleccione las máquinas a las que se aplicará un conjunto de eventos.
7. Haga clic en el botón Aplicar.

Acciones

• Aplicar: aplica un conjunto de eventos seleccionado a los ID de máquina seleccionados. Confirma que la información se ha aplicado correctamente en la lista de ID de máquinas.
• Borrar: elimina el conjunto de eventos seleccionado de los ID de máquina seleccionados.
• Borrar todo: elimina toda la configuración del conjunto de eventos de los ID de máquina seleccionados.

Área de paginado

En el área de paginado se muestran las mismas columnas, cualquiera sea la pestaña de encabezado que se seleccione.

• Seleccionar todo/Anular selección: haga clic en el vínculo Seleccionar todo para seleccionar todas las filas en la página. Haga clic en el enlace Desmarcar Todo para desmarcar todas las filas en la pagina.
• Estado de registro: estos íconos indican el estado de registro del agente de cada máquina administrada. Al desplazar el cursor sobre un ícono de registro, se muestra la ventana de Vista rápida del agente.

En línea pero esperando que se completa la primer auditoría

Agente en línea

Agente en línea y usuario actualmente conectado.

Agente en línea y usuario actualmente registrado, pero el usuario ha estado inactivo durante 10 minutos.

Agente actualmente fuera de línea

Agente no se ha registrado nunca

Agente en línea pero el control remoto se ha deshabilitado

El agente ha sido suspendido

• Machine.Group ID: la lista Machine.Group IDs que se muestra se basa en el filtro de ID de máquina/ID de grupo y en los grupos de máquinas que el usuario está autorizado a ver mediante Sistema > Seguridad de usuarios > Ámbitos.
• Ícono de edición: haga clic en el ícono de edición de una fila para completar los parámetros del encabezado con valores en esa fila. Puede editar estos valores en el encabezado y volver a aplicarlos.
• Tipo de evento: el tipo de registro de evento que se supervisa.
• ATSE: el código de respuesta ATSE asignado a los ID de máquina o los dispositivos SNMP, según se detalla a continuación.
  • A = Crear Alarma
  • T = Crear Ticket
  • S = Ejecutar procedimiento de agente
  • E = Enviar correo electrónico a destinatarios
• EWISFCV: la categoría de evento que se supervisa.
• Dirección de correo electrónico: una lista separada por comas de las direcciones de correo electrónico adonde se envían las notificaciones.
• Conjunto de eventos: el conjunto de eventos asignado a este ID de máquina. Pueden asignarse varios conjuntos de eventos al mismo ID de máquina.
• Intervalo: la cantidad de veces que se produce un evento dentro de un número específico de períodos. Se aplica sólo si la opción Enviar alerta cuando este evento se produce <N> veces dentro de <N> <períodos> está seleccionada. Muestra Missing si la opción Enviar alerta cuando no se produce este evento dentro de <N> <períodos> está seleccionada. Muestra 1 si Enviar alerta cuando este evento se produce una vez está seleccionado.
• Duración: la cantidad de períodos en que debe producirse un evento para desencadenar una condición de alerta. Se aplica sólo si las opciones Enviar alerta cuando este evento se produce <N> veces dentro de <N> <períodos> o Enviar alerta cuando este evento no se produce dentro de <N> <períodos> están seleccionadas.
• Reactivar: muestra la cantidad de períodos que se debe esperar antes de desencadenar nuevas condiciones de alerta para la misma combinación de conjunto de eventos y categoría de eventos. Se aplica sólo si se especifica un período de reactivación superior a cero en Omitir alarmas adicionales por <N> <períodos>.