提示 - 事件日誌

從「選擇提示功能」下拉清單中選擇「事件日誌」。

提示 - 事件日誌」頁面會在指定電腦的事件日誌項目匹配指定條件時觸發提示，選定事件日誌類型後，您可以篩選按事件集和按事件類別指定的警報條件。

Note: 可以直接顯示事件日誌。在 Windows 電腦上，按一下「開始」、「控制臺」、「管理工具」，然後按一下「事件監視器」。按一下「應用程式」、「安全」或「系統」以顯示每個日誌中的事件。

前提條件

必須使用「代理」>「事件日誌設定」為特定電腦啟用事件記錄。

Windows 事件日誌

Windows 作業系統上執行的事件日誌服務 (不適用於 Win9x)。事件日誌服務可使由 Window 發出的事件日誌訊息基於程式和元件，這些事件儲存在位於每臺電腦上的事件日誌中。受管電腦的事件日誌可以儲存在 KServer 資料庫中，作為提示和報表的基礎並存檔。

根據作業系統，可用的事件日誌類型包括但不限於以下類型：

應用程式日誌
安全日誌
系統日誌
目錄服務日誌
檔案複製服務日誌
DNS 伺服器日誌

可以使用「監控」>「更新清單 (按掃描)」更新可供選擇的事件類型清單。

Windows事件由以下事件日誌類別進一步分類：

錯誤
警告
資訊
成功稽核
稽核失敗
關鍵 - 僅適用於 Vista。
詳細 - 僅適用於 Vista。

事件日誌由以下 VSA 頁面使用和參考：

「監控」>「提示日誌」
「監控」>「提示」>「事件日誌」
「監控」>「提示」>「事件日誌集」
「監控」>「更新清單 (按掃描)」
「代理」>「日誌歷史」
「代理」>「事件日誌設定」
「代理」>「代理日誌」
「報表」>「日誌」
「系統」>「資料庫檢視」>「vNtEventLog」

事件集

由於 Windows 事件日誌中的事件數量眾多，因此 VSA 使用稱為事件集的記錄類型篩選警報條件。

事件集包含一個或多個條件，每個條件都包含事件日誌項目中不同欄位的篩選器。篩選器包括來源、類別、事件 ID、使用者和說明。事件日誌項目必須與考慮匹配的條件之所有欄位篩選器匹配。具有星號 (*) 的欄位表示考慮匹配的任意字串，包括零字串。匹配事件集中任意一個條件即足以為套用事件的任意電腦觸發提示。

如需有關配置事件集的詳細資訊，請參閱「監控」>「提示」>「事件日誌」>「編輯事件集」。

範例事件日誌

系統提供範例事件集的分組清單。以 ZC 開頭的範例事件集的名稱。可以修改範例事件集，但是更好的方式是複製範例事件集並自訂副本。每次範例集在維護週期內更新時，範例事件集都會被覆蓋。

建立事件日誌提示

在「監控」>「提示」頁面上，使用下拉清單選擇事件日誌類型。
選擇用於篩選可觸發提示的事件的「事件集」篩選器，預設選定 <All Events>。
選中以下任意事件類別旁的方塊：
- 錯誤
- 警告
- 資訊
- 成功稽核
- 稽核失敗
- 關鍵 - 僅適用於 Vista。
- 詳細 - 僅適用於 Vista。
  Note: 紅色字母表示登入被停用。VSA 可能根據使用「代理」>「事件日誌設定」定義的設定，為特定電腦停用了事件日誌。特定事件類別可能不適用於某些電腦，例如「關鍵」或「詳細」事件類別適用於非 Vista 電腦。
指定觸發提示所需的警報條件的頻率：
- 此事件發生一次時提示。
- 此事件在 <N> 個 <periods> 內發生 <N> 次時提示。
- 若在 <N> 個 <periods> 內未發生此事件，則發出提示。
- 忽略額外警報 <N> 個 <periods>。
按一下「新增」或「取代」單選按鈕，然後按一下「套用」以將選定事件類型提示分配到選定電腦 ID。
按一下「移除」從選定電腦 ID 移除基於提示的所有事件。

全域事件日誌黑名單

每個代理都處理所有事件，但是「黑名單」中列出的事件不會上傳到 VSA 伺服器，有兩個黑名單，其中一個由 Kaseya 定期更新，名為 EvLogBlkList.xml，另一個名為 EvLogBlkListEx.xml，可以由服務提供商維護，不會由 Kaseya 更新，兩者都位於 \Kaseya\WebPages\ManagedFiles\VSAHiddenFiles 目錄下。系統會執行警報偵測和處理，而與收集黑名單中是否有項目無關。

氾濫偵測

如果 1000 個事件—不計黑名單事件—由代理在一個小時內上傳到 KServer，則該小時內剩餘的該日誌類型的未來事件集合將停止，新事件會插入到事件日誌以記錄該收集暫停，在目前小時結束時，收集會自動恢復，這可防止短時間內過重負載施加給您的 KServer。系統會執行警報偵測和處理，不管收集是否暫停。

將提示資訊傳輸到電子郵件和程序

系統會發送以下類型監控提示電子郵件並建立格式：

單個事件日誌提示。套用於所有事件日誌類型的範本相同。
多個事件日誌提示。套用於所有事件日誌類型的範本相同。
缺少事件日誌提示。套用於所有事件日誌類型的範本相同。

注釋：變更此電子郵件警報格式會變更所有事件日誌提示電子郵件的格式。

以下變數可以包括在您的格式化電子郵件提示和程序中。

位於電子郵件內	位於程序內	說明
<at>	#at#	提示時間
<cg>	#cg#	事件類別
<cn>	#cn#	電腦名稱
<db-view.column>	不可用	包括來自資料庫的 view.column。例如，要包括在電子郵件中產生提示之電腦的電腦名稱，請使用 <db-vMachine.ComputerName>
<ed>	#ed#	事件說明
<ei>	#ei#	事件 ID
<es>	#es#	事件來源
<esn>	#esn#	事件來源名稱
<et>	#et#	事件事件
<eu>	#eu#	事件使用者
<ev>	#ev#	事件集名稱
<gr>	#gr#	組 ID
<id>	#id#	電腦 ID
<lt>	#lt#	日誌類型 (應用程式、安全、系統)
<tp>	#tp#	事件類型 - (錯誤、警告、資訊、稽核成功或稽核失敗)
	#subject#	電子郵件訊息的主題文字 (如果發送電子郵件以回應提示)
	#body#	電子郵件訊息的正文文字 (如果發送電子郵件以回應提示)

Note: 僅以下變數可以包括在多個事件日誌提示中：<at> <ed> <ev> <gr> <id> <lt>.

套用

按一下「套用」以將參數套用到選定電腦 ID。確定資訊是否已正確套用至電腦 ID 清單。

清除

按一下「清除」按鈕，以從選定電腦 ID 移除所有參數設定。

建立警報

如果已檢查並且遇到警報條件，則建立警報。警報顯示於「監控器」>「儀表板清單」、「監控器」>「警報摘要」和「資訊中心」>「報表」>「日誌」>「警報日誌」中。

建立工單

如果已檢查並且遇到警報條件，則建立工單。

執行腳本

如果選中此選項，則當遇到警報情況時，系統會執行代理程序，您必須按一下「選擇代理程序」連結以選擇要執行的代理程序。您可以根據需要通過按一下「此電腦 ID」連結設定代理程序在指定範圍的電腦 ID 上執行。這些指定的電腦 ID 無需與遇到警報情況的電腦 ID 匹配。

電子郵件收件人

如果選中且遇到警報情況，系統將向指定電子郵件地址發送電子郵件。

目前登入的使用者的電子郵件地址會顯示在「電子郵件收件人」欄位中。預設值來自「系統」>「偏好設定」。
按一下「為電子郵件建立格式」以顯示「為提示電子郵件建立格式」快顯視窗。通過此視窗，您可以設置在遇到警報條件時系統所生成的電子郵件的顯示格式。此選項僅為主角色使用者顯示。
如果選定「新增到目前清單」單選按鈕，則按一下「套用」時，將套用提示設定並且新增指定的電子郵件地址，而不會移除先前分配的電子郵件地址。
如果選定「取代清單」單選按鈕，則按一下「套用」時，將套用提示設定並且指定的電子郵件地址會取代分配的現有電子郵件地址。
如果按一下「移除」，系統將移除所有電子郵件地址，而不會修改任何提示參數。
系統會將電子郵件從 KServer 直接發送到提示中指定的電子郵件地址，使用「系統」>「出站電子郵件」設定「發件人地址」。