Next Topic

Previous Topic

Book Contents

Waarschuwingen - Gebeurtenislogboeken.

Controle > Waarschuwingen

  • Selecteer Gebeurtenislogboeken van de vervolgkeuzelijst Waarschuwingsfunctie selecteren

De pagina Waarschuwingen - Gebeurtenislogboeken activeert een waarschuwing als voor een geselecteerde computer een gebeurtenislogboekinvoering met aangegeven criteria overeenkomt. Na het type gebeurtenissenlogboek te selecteren, kunt u de alarmcondities filteren die door gebeurtenissenset en door gebeurtenissencategorie worden aangegeven.

Opmerking: U kunt gebeurtenislogboeken rechtstreeks weergeven. Klik op een computer met Windows op Start, klik daarna op Configuratiescherm, klik daarna op Systeembeheer en klik daarna op Gebeurtenis-viewer. Klik op Toepassing, Beveiliging of Systeem om de gebeurtenissen in elk logboek weer te geven.

Vereisten

Gebeurtenissen in logboeken opnemen moet voor een bepaalde computer met behulp van Agent > Instellingen gebeurtenissenlogboek worden ingeschakeld.

Windows-gebeurtenislogboeken

Een Gebeurtenissenlogboekservice werkt op Windows-besturingssystemen (niet beschikbaar met Win9x). De gebeurtenissenlogboekservice maakt het mogelijk dat op Windows gebaseerde programma's en componenten gebeurtenislogboekberichten uitgeven. Deze gebeurtenissen worden in gebeurtenislogboeken opgeslagen die zich op elke computer bevinden. De gebeurtenislogboeken van beheerde computers kunnen in de KServer-database worden opgeslagen en dienen als de basis van waarschuwingen en rapporten en kunnen worden gearchiveerd.

Afhankelijk van het besturingssysteem, bevatten, de beschikbare types gebeurtenislogboeken, maar niet beperkt tot, het volgende:

  • Toepassingenlogboek
  • Beveiligingslogboek
  • Systeemlogboek
  • Mappenservicelogboek
  • Servicelogboek bestandenreplicatie
  • DNS-serverlogboek

De lijst gebeurtenistypes die beschikbaar zijn voor selectie kan met Controle > Lijsten per scan bijwerken worden bijgewerkt.

Windows-gebeurtenissen worden verder door de volgende gebeurtenislogboekcategorieën geclassificeerd:

  • Fout
  • Waarschuwing
  • Informatie
  • Audit succes
  • Controle van mislukte poging
  • Kritiek - Alleen op Vista toegepast.
  • Verbose - Alleen op Vista toegepast.

Gebeurtenislogboeken worden door de volgende VSA-pagina;s gebruikt of verwezen:

Gebeurtenissensets

Omdat het aantal gebeurtenissen in Windows-gebeurtenislogboeken enorm is, gebruik de VSA een recordtype met de naam gebeurtenissenset om een alarmconditie te filteren.

Gebeurtenissensets bevatten één of meer voorwaarden. Elke voorwaarde bevat filters voor de verschllende velden in een gebeurtenislogboekinvoering. De velden zijn bron, categorie, gebeurtenissen-ID, gebruiker en Beschrijving. Een invoering van een gebeurtenissenlogboek moet met alle veldfilters overeenkomen zodat een voorwaarde als overeenkomst wordt gezien Een veld met een asterisk-teken (*) betekent dat elke willekeurige tekenreeks, inclusief een nultekenreeks, als overeenkomst wordt gezien. Een overeenkomst van elk van de voorwaarden in een gebeurtenissenset is voldoende om voor een computer waarop de gebeurtenissenset van toepassing is, een alarm te activeren.

Voor details over hoe gebeurtenissensets te configureren, zie Controle > Waarschuwingen > Gebeurtenislogboeken > Gebeurtenissensets bewerken.

Voorbeeld-gebeurtenissets

Er wordt een groeiende lijst van voorbeeld-gebeurtenissets gegeven. De namen van voorbeeld-gebeurtenissets beginnen met ZC. U kunt voorbeeld-gebeurtenissets modificeren, maar het is beter om een voorbeeld-gebeurtenissenset te kopiëren en de kopie aan te passen. Elke keer de voorbeeldsets tijdens een onderhoudscyclus worden aangepast, worden voorbeeld-gebeurtenissets onderworpen aan het overschrijven.

Een waarschuwing voor gebeurtenissenlogboek maken

  1. Selecteer op de pagina Controle > Waarschuwingen met de vervolgkeuzelijst type gebeurtenissenlogboek.
  2. Selecteer de filter Gebeurtenissenset die wordt gebruikt om de gebeurtenissen te filteren die waarschuwingen activeren. Standaard wordt <All Events> geselecteerd.
  3. Schakel naast elke willekeurige gebeurteniscategorie het vak in:
    • Fout
    • Waarschuwing
    • Informatie
    • Audit succes
    • Controle van mislukte poging
    • Kritiek - Alleen op Vista toegepast.
    • Verbose - Alleen op Vista toegepast.

      Opmerking: Rode letters geven aan dat het aanmelden is uitgeschakeld. Voor een bepaalde computer kunnen, op basis van instellingen die met Agent > Instellingen gebeurtenissenlogboek, gebeurtenislogboeken door de VSA worden uitgeschakeld. Voor bepaalde computers kan het zijn dat een bepaalde gebeurteniscategorie niet beschaikbaar is, zoals de gebeurteniscategorieën Kritiek en Verbose voor computers zonder Vista.

  4. Geef de frequentie aan waarop de alarmconditie wordt vereist een waarschuwing te activeren:
    • Waarschuwing als deze gebeurtenis zich één keer voordoet.
    • Waarschuwen als deze gebeurtenis <N> keer binnen <N> <perioden> voorkomt.
    • Waarschuwing als deze gebeurtenis zich niet binnen <N> <perioden> voordoet.
    • Negeer voor <N> <perioden> bijkomende alarmen.
  5. Klik op de radio-opties Toevoegen of Vervangen en klik daarna op Toepassen om de geselecteerde waarschuwingen van het gebeurtenistype aan geselecteerde computer-ID's toe te wijzen.
  6. Klik op Verwijderen om van de geselecteerde computer-ID's alle op gebeurtenis gebaseerde waarschuwingen te verwijderen.

Globale zwarte lijst gebeurtenissenlogboek

Elke agent verwerkt alle gebeurtenissen, maar gebeurtenissen die op een "zwarte lijst" staan, worden niet op de VSA-server geladen. Er zijn twee zwarte lijsten. Een wordt regelmatig door Kaseya bijgewerkt en heet EvLogBlkList.xml. De tweede, EvLogBlkListEx.xml, kan door de service provider worden onderhouden en wordt niet bijgewerkt door Kaseya. Beide staan in de map \Kaseya\WebPages\ManagedFiles\VSAHiddenFiles. Alarmdetectie en verwerking   worden uitgevoerd ongeacht of items op de zwarte lijst staan.

Overstromingsdetectie

Als 1000 gebeurtenissen —nog afgezien van  gebeurtenissen op de zwarte lijst—door een agent naar de KServer worden geladen binnen een uur, wordt verder verzamelen van gebeurtenissen voor dat logtype voor de rest van dat uur gestopt. Een nieuwe gebeurtenis wordt in het gebeurtenissenlogboek ingevoegd om vast te leggen dat het verzamelen is opgeschort. Aan het eind van het uur wordt het verzamelen automatisch hervat. Dit voorkomt dat kortdurende zware belastingen uw KServer overstromen. Alarmdetectie en verwerking   wordt uitgevoerd ongeacht of het verzamelen is opgeschort.

Waarschuwingsinformatie naar e-mails en procedures passeren

De volgende types e-mails voor controlewaarschuwingen kunnen worden verzonden en opgemaakt:

  • Enkele waarschuwing gebeurtenissenlogboek. Op alle types gebeurtenislogboeken wordt dezelfde sjabloon toegepast
  • Meervoudige waarschuwingen gebeurtenissenlogboek. Op alle types gebeurtenislogboeken wordt dezelfde sjabloon toegepast
  • Waarschuwing gebeurtenissenlogboek ontbreekt. Op alle types gebeurtenislogboeken wordt dezelfde sjabloon toegepast

Opmerking: Door opmaak van dit e-mailalarm te wijzigen, wordt de opmaak voor alle waarschuwingse-mails voor gebeurtenislogboeken gewijzigd.

De volgenden variabelen kunnen in uw opgemaakte e-mailwaarschuwingen en in procedures worden opgenomen.

In een e-mail

In een procedure

Description

<at>

#at#

waarschuwingstijd

<cg>

#cg#

Gebeurteniscategorie

<cn>

#cn#

computernaam

<db-weergave.kolom>

niet beschikbaar

Neem een weergave.kolom van de database op. Bijvoorbeeld, om de computernaam van de computer op te nemen om de waarschuwing in een e-mail te genereren, gebruikt u <db-vMachine.ComputerName>

<ed>

#ed#

beschrijving gebeurtenis

<ei>

#ei#

gebeurtenis-id

<es>

#es#

gebeurtenisbron

<esn>

#esn#

naam gebeurtenisbron

<et>

#et#

tijd gebeurtenis

<eu>

#eu#

gebruiker gebeurtenis

<ev>

#ev#

naam gebeurtenissenset

<gr>

#gr#

groeps-ID

<id>

#id#
  1. computer-ID

<lt>

#lt#

logboektype (Toepassing, Beveiliging, Systeem)

<tp>

#tp#

gebeurtenistype - (Fout, Waarschuwing, Informatief, Audit succes of Audit fout)

 

#subject#

tekst onderwerp van het e-mailbericht als in reactie op een waarschuwing een e-mail is verzonden

 

#body#

hoofdtekst van het e-mailbericht als in reactie op een waarschuwing een e-mail is verzonden

Opmerking: In meerdere waarschuwingen voor gebeurtenislogboeken kunnen alleen de volgende variabelen worden opgenomen: <at> <ed> <ev> <gr> <id> <lt>.

Toepassen

Klik op Toepassen om parameters op geselecteerde computer-ID's toe te passen. Bevestig dat de informatie juist in de lijst computer-ID's is toegepast.

Wissen

Klik op Wissen om van de geselecteerde computer-ID's alle parameterinstellingen te verwijderen.

Alarmen aanmaken

Wanneer ingeschakeld en als zich een alarmvoorwaarde voordoet, wordt een alarm aangemaakt. Alarmen worden in Controle > Dashboard-lijst, Controle > Alarmoverzicht en Infocentrum > Rapporten > Logboeken > Alarmlogboek weergegeven.

Ticket maken

Wanneer ingeschakeld en als zich een alarmvoorwaarde voordoet, wordt een ticket gemaakt.

Script activeren

Als deze optie is gemarkeerd en een alarmconditie wordt aangetroffen, wordt een agentprocedure geactiveerd. Klik op de koppeling agentprocedure selecteren klikken om een agentprocedure te kiezen die u wilt activeren. U kunt de agentprocedure ook op een bepaald bereik van computer-ID's laten uitvoeren door op de koppeling dit computer-ID te klikken. Deze computer-ID's hoeven niet overeen te komen met het computer-ID dat de alarmconditie heeft aangetroffen.

E-mailontvangers

Wanneer ingeschakeld en als zich een alarmvoorwaarde voordoet, wordt naar de aangegeven e-mailadressen een e-mail verzonden.

  • Het e-mailadres van de momenteel aangemelde gebruiker wordt in het veld E-mailontvangers weergegeven. Het komt standaard van Systeem > Voorkeuren.
  • Klik op E-mail opmaken om het pop-upvenster Waarschuwingene-mail opmaken weer te geven. Met dit venster kunt u de weergaven van e-mails opmaken die, wanneer zich een alarmvoorwaarde voordoet, door het systeem worden weergegeven. Deze optie is alleen zichtbaar voor gebruikers met de rol hoofd.
  • Als de radio-optie Aan huidige lijst toevoegen wordt ingeschakeld zodra op Toepassen wordt geklikt, worden waarschuwingsinstellingen toegepast en worden de aangegeven e-mailadressen worden toegevoegd zonder dat eerder toegewezen e-mailadressen worden verwijderd.
  • Als de radio-optie Lijst vervangen wordt ingeschakeld zodra op Toepassen wordt geklikt, worden waarschuwingsinstellingen toegepast en worden de toegewezen bestaande e-mailadressen door de aangegeven e-mailadressen vervangen.
  • Als op Verwijderen wordt geklikt, worden alle e-mailadressen verwijderd zonder enige waarschuwingsparameters te modificeren.
  • E-mail wordt rechtstreeks van de KServer naar het in de waarschuwing aangegeven e-mailadres verzonden. Stel het Afzendadress in met behulp van Systeem > Uitgaande e-mail.

Alles selecteren/alles deselecteren

Klik op de koppeling Alles selecteren om alle rijen op de pagina te selecteren. Klik op de koppeling Alles deselecteren om alle rijen op de pagina te deselecteren.

Check-instatus

Deze pictogrammen geven van elke beheerde computer de check-instatus van de agent weer:

Online maar wacht tot de eerste audit wordt voltooid

Agent online

Agent is online en gebruiker is momenteel aangemeld. Pictogram geeft knopinfo weer die de aanmeldingsnaam weergeeft.

Agent is online en gebruiker is momenteel aangemeld, maar de gebruiker is al 10 minuten niet actief

De agent is momenteel offline

Agent heeft nooit ingecheckt

Agent is online maar de afstandsbediening is uitgeschakeld

Deze agent is uitgesteld

Computer.Groep ID

De weergegeven lijst met Computer.Groep ID is gebaseerd op het Computer-ID/Groeps-ID filter en op de computergroepen die de gebruiker mag zien met Systeem > Gebruikersbeveiliging > Bereiken.

Pictogram Bewerken

Klik op de pictogram voor het bewerken van een rij, , om de koptekstparameters met waarden van die rij te vullen. U kunt deze waarden in de kopteks bewerken en ze daarna opnieuw toepassen.

Logboektype

Het type van het gebeurtenissenlogboek dat wordt gecontroleerd.

ATSE

De ATSE-responscode die is toegewezen aan computer-ID's of SNMP-apparaten:

  • A = Alarm maken
  • T = Ticket maken
  • S = Agentprocedure uitvoeren
  • E = Emailontvangers

EWISFCV

De gebeurtenissencategorie die wordt gecontroleerd.

E-mailadres

Een door komma's gescheiden lijst van e-mailadressen waarheen notificaties worden verzonden.

Gebeurtenissenset

De gebeurtenissenset die aan dit computer-ID is toegewezen. Aan hetzelfde computer-ID kunnen meerdere gebeurtenissets worden toegewezen.

Interval

Het aantal keren dat een gebeurtenis zich binnen een aangegeven aantal perioden voordoet. Is alleen van toepassing als de optie Waarschuwen als deze gebeurtenis <N> keer binnen <N> <perioden> voorkomt wordt geselecteerd. Geeft Ontbreekt aan als de optie Waarschuwen als deze gebeurtenis zich niet binnen <N> <perioden> voordoet wordt geselecteerd. Geeft 1 weer als de optie Waarschuwen als deze gebeurtenis zich één keer voordoet wordt geselecteerd.

Tijdsduur

Het aantal perioden en gebeurtenis die zich moeten voordoen om een alarmconditie te activeren. Is alleen van toepassing als de opties Waarschuwen als deze gebeurtenis <N> keer binnen <N> <perioden> voorkomt of Waarschuwen als deze gebeurtenis zich niet binnen <N> <perioden> voordoet worden geselecteerd.

Herinschakelen

Geeft het aantal perioden weer die men moet wachten voordat men voor dezelfde combinatie van gebeurtenissenset en gebeurtenissencategorie enige nieuwe alarmcondities activeert. Is alleen van toepassing als een periode van herinschakeling groter dan nul wordt aangegeven met Bijkomende alarmen voor <N> <perioden> negeren.