경고 - 이벤트 로그

모니터 > 경고

• 경고 기능 선택 드롭다운 목록에서 이벤트 로고를 선택합니다.

경고 - 이벤트 로그 페이지는 선택된 컴퓨터에 대한 이벤트 로그 항목이 지정된 기준과 일치할 때 경고를 유발합니다. 이벤트 로그 유형을 선택한 후에는, 이벤트 세트 및 이벤트 범주에 따라 지정된 경보 조건을 필터링할 수 있습니다.

메모: 이벤트 로그는 직접 표시할 수 있습니다. Windows 컴퓨터에서 시작을 클릭한 다음, 제어판, 관리 도구 및 이벤트 뷰어를 차례로 클릭합니다. 애플리케이션, 보안 또는 시스템을 클릭해서 이벤트를 각 로그에 표시합니다.

전제 조건

에이전트 > 이벤트 로그 설정를 사용해 특정 컴퓨터에 대해 이벤트 로그를 사용할 수 있어야 합니다.

Windows 이벤트 로고

이벤트 로그 서비스가 Windows 운영 시스템에서 실행됩니다(Win9x로 사용 가능). 이벤트 로그 서비스는 Window 기반 프로그램 및 구성 요소를 통해 이벤트 로그 메시지를 발생할 수 있습니다. 이러한 이벤트는 각 컴퓨터에 위치하 이벤트 로그에 저장됩니다. 관리되는 컴퓨터의 이벤트 로그는 KServer 데이터베이스에 저장될 수 있으며, 경고 및 보고서의 근거로 기능하며 저장소에 보관할 수 있습니다.

운영 시스템에 따라, 사용 가능한 이벤트 로그 유형에는 다음 사항들이 포함되지만 그에 한정되지 않습니다:

• 애플리케이션 로그
• 보안 로그
• 시스템 로그
• 디렉토리 서비스 로그
• 파일 복제 서비스 로그
• DNS 서버 로그

선택할 수 있는 이벤트 유형의 목록은 모니터링 > 검사별 목록 업데이트을 사용해 업데이트할 수 있습니다.

추가로 다음의 이벤트 로그 범주를 사용해 Windows 이벤트를 분류할 수 있습니다:

• 오류
• 경고
• 정보
• 감사 성공
• 감사 실패
• 중요 - Vista에만 적용합니다.
• 상세 정보 - Vista에만 적용합니다.

다음의 VSA 페이지를 사용해 이벤트 로그는 사용하거나 참조할 수 있습니다.

• 모니터 > 이벤트 로그
• 모니터 > 경고 > 이벤트 로그
• 모니터 > 경고 > 이벤트 로그 편집
• 모니터 > 검사별 목록 업데이트
• 에이전트 > 로그 이력
• 에이전트 > 이벤트 로그 설정
• 에이전트 > 에이전트 로그
• 보고서 > 로그
• 시스템 > 데이터베이스 보기 > vNtEventLog

이벤트 세트

Windows 이벤트 로그의 수가 엄청나게 많기 때문에 VSA는 이벤트 세트를 사용해 경보 조건을 필터링할 수 있습니다.

이벤트 세트에는 1개 이상의 조건이 포함됩니다. 각 조건에는 이벤트 로그 항목의 여러 필드에 대한 필터가 포함됩니다. 필드는 원본, 범주, 이벤트 ID, 사용자 및 설명입니다. 이벤트 로그 목록은 일치할 것으로 생각될 모든 조건의 필드 필터와 일치해야 합니다. 별표(*)가 있는 필드는 제로 문자열을 포함한 모든 문자열이 일치하는 것으로 생각된다는 것을 의미합니다. 이벤트 세트의 조건 중 어느 하나만 일치해도 충분히 이벤트 세트가 적용되는 모든 컴퓨터에 대한 경고를 유발할 수 있습니다.

이벤트 세트를 구성하는 방법에 대한 정보는, 모니터 > 경보 > 이벤트 로그 > 이벤트 세트 편집를 참조하십시오.

예제 이벤트 세트

예제 이벤트 세트의 증가하는 목록이 제공됩니다. 예제 이벤트 세트의 이름은 ZC로 시작됩니다. 예제 이벤트 세트를 수정할 수 있지만, 보다 모범적인 사례는 이벤트 세트를 복사하고 복사본을 사용자 정의하는 것입니다. 예제 이벤트 세트는 유지 주기가 진행되는 동안 예제 세트를 업데이트할 때마다 덮어 써야 합니다.

이벤트 로그 경고 만들기

1. 모니터 > 경고 페이지에서 드롭다운 목록을 사용해 이벤트 로그 유형을 선택합니다.
2. 경고를 유발하는 이벤트를 필터링하기 위해 사용되는 이벤트 세트 필터를 선택합니다. 기본값으로 <All Events>으로 모든 이벤트를 선택합니다.
3. 다음의 이벤트 범주 옆에 있는 상자를 선택합니다:
   • 오류
   • 경고
   • 정보
   • 감사 성공
   • 감사 실패
   • 중요 - Vista에만 적용합니다.
   • 상세 정보 - Vista에만 적용합니다.

     메모: 빨간색 문자는 로깅 사용하지 않음을 나타냅니다. 이벤트 로그는 에이전트 > 이벤트 로그 설정을 사용해 정의된 설정을 기반으로 특정 컴퓨터에 대한 VSA를 사용하지 않을 수 있습니다. 중요 이벤트 범주 및 상세 정보 이벤트 범주와 같은 특정 이벤트 범주는 비Vista 컴퓨터에 대해 이용하지 못할 수도 있습니다.

4. 경고를 유발하기 위해 필요한 경보 조건의 빈도를 지정합니다:
   • 이러한 이벤트가 발생할 때 경고.
   • 이 이벤트가 <N> <periods>내에 <N>번 발생할 때 경고.
   • 이 이벤트가 <N> <periods>내에 발생하지 않을 때 경고.
   • <N> <periods> 동안 추가 경보를 무시합니다.
5. 추가 또는 교체 라디오 옵션을 클릭한 다음, 적용을 클릭해 선택된 이벤트 형식 경고를 선택된 ID에 할당합니다.
6. 지우기를 클릭해 선택된 컴퓨터 ID에서 모든 매개변수 설정을 제거합니다.

전역 이벤트 로고 블랙리스트

각 에이전트는 모든 이벤트를 처리하지만 "빈 목록"에 나열된 이벤트는 VSA 서버에 업로드되지 않습니다. 두 가지 블랙리스트가 있습니다. 한 가지는 Kaseya가 주기적으로 업데이트하는 EvLogBlkList.xml입니다. 두 번째인 EvLogBlkListEx.xml은 서비스 공급자가 유지관리할 수 있으며 Kaseya가 업데이트하지 않습니다. 두 가지 모두 \Kaseya\WebPages\ManagedFiles\VSAHiddenFiles 디렉토리에 있습니다. 경보 검출 및 처리는  항목이 수집 블랙리스트에 있는지 여부와 관계없이 작동합니다.

플러드 검색

 블랙리스트 이벤트를 계산에 포함하지 않고 1시간 이내에 이벤트 1000개가 KServer에 업로드되면 해당 시의 남은 시간 동안 해당 로그 유형의 이벤트 추가 수집이 중단됩니다. 새 이벤트는 수집이 일시 중단된 레코드로 이벤트 로그에 삽입됩니다. 해당 시가 끝나면 수집이 자동으로 계속됩니다. 이 기능은 단기적인 과중한 부하로 KServer가 넘치는 문제를 예방합니다. 경보 검출 및 처리는  수집이 일시 중단되었는지 여부와 관계없이 작동합니다.

경고 정보의 이메일 및 프로시저에 대한 전송

다음과 같은 유형의 모니터링 경고 이메일을 전송 및 포맷할 수 있습니다:

• 단일 이벤트 로그 경고. 모든 이벤트 로그 유형에 적용된 동일한 템플릿.
• 복수의 이벤트 로그 경고. 모든 이벤트 로그 유형에 적용된 동일한 템플릿.
• 이벤트 로그 경고 누락. 모든 이벤트 로그 유형에 적용된 동일한 템플릿.

메모: 이 이메일 경보 형식을 바꾸면 모든 이벤트 로그 경고 이메일에 대한 형식이 바뀝니다.

포맷된 이메일 경고와 프로시저에 포함될 수 있는 변수는 다음과 같습니다.

메모: 다음의 변수는 복수의 이벤트 로그 경고에 포함되 수 있습니다. <at> <ed> <ev> <gr> <id> <lt>.

적용

적용 을 클릭해 매개변수를 선택된 컴퓨터 ID에 적용합니다. 정보가 현재 컴퓨터 ID 목록에 올바르게 적용된 상태인지 확인합니다.

지우기

지우기를 클릭해 선택된 컴퓨터 ID에서 모든 매개변수 설정을 제거합니다.

경보 작성

이 옵션이 선택된 후 경보 조건이 발생하면, 티켓이 만들어집니다. 경보가 모니터 > 대시보드 목록, 모니터 > 알람 요약 및 정보 센터 > 보고서 > 로그 > 알람 로그에 표시됩니다.

티켓 작성

이 옵션이 선택된 후 경보 조건이 발생하면, 티켓이 만들어집니다.

스크립트 실행

이 옵션을 선택한 경우 경보 상태가 발생하면 에이전트 프로시저가 실행됩니다. 이 경우 에이전트 프로시저 선택 링크를 클릭하여 실행할 에이전트 프로시저를 선택해야 합니다. 이 컴퓨터 ID 링크를 클릭하면 컴퓨터 ID의 지정 범위에서 실행할 에이전트 프로시저에 선택적으로 지시를 할 수 있습니다. 이렇게 지정된 컴퓨터 ID가 경보 상태를 발생시킨 컴퓨터 ID와 일치할 필요는 없습니다.

이메일 받는 사람

이 옵션이 선택된 후 경보 조건이 발생하면, 지정 이메일 주소로 이메일이 전송됩니다.

• 현재 로그온된 사용자의 이메일 주소가 이메일 받는 사람 필드에 표시됩니다. System > Preferences에서 디폴드됩니다.
• 포맷 이메일을 클릭해 포맷 경고 이메일 팝업창을 표시합니다. 이 창에서는 경보 조건이 발생했을 때 시스템이 생성하는 이메일의 디스플레이를 포맷할 수 있습니다. 이 옵션은 마스터 역할 사용자를 위해서만 표시됩니다.
• 현재 목록에 추가 무선 옵션을 선택하는 경우, 적용을 클릭할 때 경고 설정을 적용해 이전에 할당된 이메일 주소를 삭제하지 않고도 지정된 이메일 주소를 추가할 수 있습니다.
• 목록 교체 무선 옵션을 선택하는 경우, 적용을 클릭할 때 경고 설정을 적용해 지정된 이메일 주소가 할당된 기존의 이메일 주소를 교체합니다.
• 제거를 클릭하면, 경고 매개변수를 수정하지 않고도 모든 이메일 주소를 제거할 수 있습니다.
• 이메일은 KServer에서 경고에서 지정된 이메일 주소로 직접 전송됩니다. 시스템 > 아웃바운드 이메일를 사용해 발신지 주소를 설정합니다.

모두 선택/모두 선택 해제

페이지의 모든 행을 선택하려면 모두 선택 링크를 클릭합니다. 페이지의 모든 행의 선택을 해제하려면 모두 선택 해제 링크를 클릭합니다.

체크인 상태

이 아이콘들은 관리되는 각 컴퓨터의 에이전트 체크인 상태를 나타냅니다.

온라인 상태이만 첫 번째 감사가 완료될 때까지 대기 중임

에이전트 온라인 상태임

에이전트가 온라인 상태이고 사용자가 현재 로그온 됨. 아이콘이 로그온 이름을 표시하는 툴팁을 표시함

에이전트가 온라인 상태이고 사용자가 현재 로그온되었지만 사용자가 10분 동안 비활성임

에이전트가 현재 오프라인 상태임

에이전트가 체크인된 적이 없음

에이전트가 온라인 상태이지만 원격 제어가 불가능함

에이전트가 일시 중단됨

컴퓨터.그룹 ID

표시된 컴퓨터.그룹 ID 목록은 사용자가 시스템 > 사용자 보안 > 범위를 사용하여 볼 수 있도록 허가된 컴퓨터 그룹 및 컴퓨터 ID / 그룹 ID 필터를 기준으로 합니다.

편집 아이콘

행의 편집 아이콘을 클릭해 해당 절에서 여러 가지 값이 있는 머리글 매개변수를 기재합니다. 머리글에서 이 값들을 편집해 다시 적용할 수 있습니다.

로그 유형

모니터되고 있는 이벤트 로그의 유형.

ATSE

컴퓨터 ID 또는 SNMP 장치에 할당된 ATSE 응답 코드:

• A = 경보 만들기
• T = 티켓 만들기
• S = 에이전트 프로시저 실행
• E = 이메일 받는 사람

EWISFCV

모니터되고 있는 이벤트 범주 유형.

이메일 주소

알림이 전송되는 이메일 주소의 콤마로 분리된 목록.

이벤트 세트

이 컴퓨터 ID에 할당된 이벤트 세트. 동일한 컴퓨터 ID에 복수의 이벤트 세트를 할당할 수 있습니다.

간격

이벤트가 지정된 기간 내에 발생하는 횟수. 이 이벤트가 <N> <periods>내에 <N>번 발생할 때 경고 옵션이 선택되는 경우에만 적용합니다. 이 이벤트가 <N> <periods> 내에 발생하지 않을 때 경고 옵션이 선택되는 경우에는 누락이 표시됩니다. 이 이벤트가 발생하면 경고이 선택되면, 1이 표시됩니다.

대기 시간

기간 및 이벤트가 발생해 경보 조건을 유발해야 합니다. 이 이벤트가 <N> <periods> 내에 <N>번 발생할 때 경고 또한 이 이벤트가 <N> <periods> 내에 발생하지 않을 때 경고 옵션이 선택되는 경우에만 적용됩니다.

재경보

이벤트 세트 및 이벤트 범주의 동일한 조합에 대한 새로운 경보 조건을 유발하기 전에 대기할 기간을 표시합니다. <N> <periods>에 대한 추가 경보 무시를 사용해 0보다 큰 재경보 기간이 지정되는 경우에만 적용됩니다.

항목 4251: 피드백 전송. 목차의 첫 번째 항목에서 이 온라인 책자의 PDF를 다운로드 합니다.