|
|
|
|
編輯事件集
「編輯事件集」篩選器可以由受管電腦的 Windows OS 維護的事件日誌中的事件監控,觸發提示。可以將多個事件集分配給電腦 ID。
事件集包含一個或多個條件,每個條件都包含事件日誌項目中不同欄位的篩選器。篩選器包括來源、類別、事件 ID、使用者和說明。事件日誌項目必須與考慮匹配的條件之所有欄位篩選器匹配。具有星號 (*) 的欄位表示考慮匹配的任意字串,包括零字串。匹配事件集中任意一個條件即足以為套用事件的任意電腦觸發提示。
Note: 通常,如果為事件集新增兩個條件,則兩者通常會被作為OR 語句解譯,如果其中一個匹配,則即會觸發提示。在選定「若在 <N> 個 <periods> 內未發生此事件,則發出提示」選項時例外。在此情況下,兩個條件應作為 AND 語句解譯。但是不能在指定觸發提示的時段內發生。
Note: 可以直接顯示事件日誌。在 Windows 電腦上,按一下「開始」、「控制臺」、「管理工具」,然後按一下「事件監視器」。按一下「應用程式」、「安全」或「系統」以顯示該日誌中的事件,按兩下事件可顯示其「內容」視窗。可以從任意事件的「內容」視窗中複製文字並貼到「編輯事件集」欄位中。
建立新的事件集
- 在「提示」頁面上,從「選擇提示功能」下拉清單中選擇「事件日誌」。
- 從第二個下拉清單中選擇「事件日誌類型」。
- 從「定義要匹配或忽略的事件」下拉清單中選擇「
<新事件集>」,系統會顯示「編輯事件集」快顯視窗。可以通過以下方式建立新事件集:
- 輸入新名稱並按一下「新建」按鈕。
- 作為文字剖析事件集資料。
- 從檔案匯入事件集資料。
- 如果輸入新名稱並按一下「新建」,「編輯事件集」視窗會顯示用於篩選事件的五個內容。
- 按一下「新增」以將新事件新增到事件集。
- 按一下「忽略」以指定不應觸發警報的事件。
- 根據需要重新命名、刪除或匯出事件集。
忽略條件
如果事件日誌項目匹配事件集中的多個忽略條件,則不會按任意事件集觸發任何提示,即使多個事件集中的多個條件匹配事件日誌項目。由於忽略的條件會覆蓋所有事件集,因此這是為所有忽略的條件僅定義一個事件集的好方法,因此如果您懷疑忽略的條件影響所有提示的行為,則僅需要查看一個位置。必須將包含忽略條件的事件集分配到電腦 ID,以覆蓋套用到該同一電腦 ID 的所有其他事件集。
忽略條件僅會覆蓋共用同一日誌類型的事件。 因此如果為所有忽略條件建立「忽略集」,則必須為同一電腦 ID 套用多次,每個日誌類型一個。例如,僅作為系統「日誌類型」的忽略集將不會覆蓋作為「應用程式」和「安全」日誌類型事件套用的事件條件。
- 在「提示」頁面上,從「選擇提示功能」下拉清單中選擇「事件日誌」。
- 選中「錯誤」核取方塊,並從事件集清單中選擇「
<全部事件>」,按一下「套用」按鈕,為所有選定電腦 ID 分配此設定。這可指示系統為每個錯誤事件類型產生提示。請注意分配的日誌類型。 - 建立「忽略事件集」並分配到指定想要忽略的所有事件的相同電腦 ID,日誌類型必須匹配步驟 2 中的日誌類型。
使用星號 (*) 萬用字元
在您輸入的文字中包括星號 (*) 萬用字元可匹配多個記錄。例如:
*yourFilterWord1*yourFilterWord2*
這會匹配並為使用以下字串的事件發出警報:
「這是一個測試。yourFilterWord1 和 yourFilterWord2 都在說明中。」
匯出和匯入編輯事件
可以作為 XML 檔案匯出和匯入事件集記錄。
- 可以使用「編輯事件集」快顯視窗將現有事件集記錄匯出到 XML 檔案。
- 您可以從事件集下拉清單中選擇「
<新建事件集>」或「<匯入事件集>」來匯入事件集 XML 檔案。
例如:
<?xml version="1.0" encoding="ISO-8859-1" ?>
<event_sets>
<set_elements setName="Test Monitor Set" eventSetId="82096018">
<element_data ignore="0" source="*SourceValue*"
category="*CategoryValue*" eventId="12345"
username="*UserValue*" description="*DescriptionValue*"/>
</set_elements>
</event_sets>
Topic 2886: Send Feedback. Download a PDF of this online book from the first topic in the table of contents.