Windows – Standardprüfungen und Richtlinien

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 9 Minuten Lesedauer

    • Agent Client Collector bietet die folgenden Standardprüfungen und Richtlinien für Windows-Systemüberwachung.

    Windows Event-Überwachungsprüfungen

    Tabelle : 1. Richtlinie für Windows-Betriebssystemereignisse
    Prüfung Beschreibung Verwendung und Verwendungsbeispiel Ausgabe
    os.windows.check-event-log Misst das Ereignisprotokoll Windows anhand von Parameterschwellenwerten und gibt ein Ereignis vom Typ CRITICAL\WARNING\OK zurück.
    Verwendung:
    • -w warning – Löst ein Ereignis vom Typ WARNUNG aus, wenn die Anzahl der Ereignisprotokolle, die dem Muster entspricht, über dem Wert des Parameters WARNUNG liegt, der im Prüfparameter angegeben ist.
    • -c critical – Löst ein Ereignis vom Typ KRITISCH aus, wenn die Anzahl der Ereignisprotokolle, die dem Muster entspricht, über dem Wert des Parameters KRITISCH liegt, der im Prüfparameter angegeben ist.
    • -e Event-Ebene: Gibt den Schweregrad des Events an. Mögliche Werte: Information, Ausführlich, Kritisch, Warnung, Fehler.
    • -i – Eindeutige Ereignis-ID
    • -d – Die Dauer in Stunden, in der Sie Events aus dem Windows -Event-Protokoll abrufen möchten.

    Verwendungsbeispiel: winchecks check-windows-event-log -w 5 -c 10 -e "Information" -l "Application" -d 24

    		 Event-Protokoll überprüfen OK: Das Event-Protokoll, das dem Muster entspricht, ist [].
    os.windows.check-processor-queue-length

    Misst die Länge der Prozessorwarteschlange anhand von Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -w warning – Löst ein Ereignis vom Typ WARNUNG aus, wenn die Länge der Prozessorwarteschlange, die dem Muster entspricht, über dem Parameterwert WARNUNG liegt, der im Prüfparameter angegeben ist.
    • -c critical – Löst ein Ereignis vom Typ KRITISCH aus, wenn die Länge der Prozessorwarteschlange, die dem Muster entspricht, über dem im Prüfparameter angegebenen Wert des Parameters CRITICAL liegt.

    Verwendungsbeispiel: winchecks check-windows-processor-queue-length -w 5 -c 10

    		 Processor Queue Length OK: The Processor Queue length is 0.00 (Länge der Prozessorwarteschlange OK: Die Länge der Prozessorwarteschlange beträgt 0,00.)
    os.windows.check-system-cpu-load

    Überprüft die CPU-Last mithilfe von typeperf. Misst die CPU-Last anhand von konfigurierten Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -w warning – Löst ein Ereignis vom Typ WARNUNG aus, wenn die Anzahl der CPU-Auslastungen, die dem Muster entspricht, über dem Wert des Parameters WARNUNG liegt, der im Prüfparameter angegeben ist.
    • -c critical – Löst ein Ereignis vom Typ KRITISCH aus, wenn die Anzahl der CPU-Lasten, die dem Muster entspricht, über dem Wert des Parameters CRITICAL liegt, der im Prüfparameter angegeben ist.

    Verwendungsbeispiel: winchecks check-windows-cpu-load -w 85 -c 95

    		 CPU Load OK: The total CPU utilization is 26.92% (CPU-Last OK: Die CPU-Gesamtlast beträgt 26,92 %.)
    os.windows.check-system-disk

    Misst den freien physischen Arbeitsspeicher anhand von Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -w warning – Löst ein Ereignis vom Typ WARNUNG aus, wenn der Prozentsatz des Ereignisprotokolls, der dem Muster entspricht, über dem Wert des Parameters WARNUNG liegt, der im Prüfparameter angegeben ist.
    • -c critical – Löst ein Ereignis vom Typ KRITISCH aus, wenn der Prozentsatz des Ereignisprotokolls, der dem Muster entspricht, über dem Wert des Parameters KRITISCH liegt, der im Prüfparameter angegeben ist.

    Verwendungsbeispiel: winchecks check-windows-disk -w 85 -c 95

    		 Disk Usage Check OK: The disk usage is % (Datenträgerverwendungsprüfung OK: Die Datenträgerverwendung beträgt %.)
    os.windows.check-system-memory-percent

    Erfasst die RAM-Auslastung. Misst die Arbeitsspeicherauslastung anhand von konfigurierten Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.

    		 Verwendung:
    • -w warning – Löst ein Ereignis vom Typ WARNUNG aus, wenn der Prozentsatz der Arbeitsspeichernutzung, der dem Muster entspricht, über dem Wert des Parameters WARNUNG liegt, der im Prüfparameter angegeben ist.
    • -c critical – Löst ein Ereignis vom Typ KRITISCH aus, wenn der Prozentsatz der Arbeitsspeichernutzung, der dem Muster entspricht, über dem Wert des Parameters CRITICAL liegt, der im Prüfparameter angegeben ist.

    Verwendungsbeispiel: winchecks check-windows-ram -w 85 -c 95

    		 RAM Usage OK: The total memory utilization is 84% (RAM-Auslastung OK: Die Arbeitsspeicherauslastung insgesamt beträgt 84 %.)
    os.windows.check-system-process

    Laufende Prozesse werden zur Ermittlung laufender Prozesse abgefragt, die den angegebenen Argumenten entsprechen. (Muster, Name, Muster und Name. Mindestens ein Argument muss angegeben werden.) Misst die laufenden Prozesse anhand von konfigurierten Schwellenwerten und Filtern und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -n name – Name der ausführbaren Prozessdatei zur Überprüfung der Prozessausführung.
    • -p pattern – Muster (Teilzeichenfolge), nach dem im Befehl gesucht werden soll, der den Prozess aufgerufen hat. Erzeugt nur dann gültige Ergebnisse, wenn der Benutzer, der den Agent ausführt, der Besitzer des abgefragten Prozesses ist und über Anzeigeberechtigungen für den abgefragten Prozess verfügt.
    • -w warnover – Löst einen Status vom Typ WARNUNG aus, wenn von der Abfrage mehr Prozesse zurückgegeben werden, als vom Argument angegeben sind.
    • -W warnunder – Löst einen Status vom Typ WARNUNG aus, wenn von der Abfrage weniger Prozesse zurückgegeben werden, als vom Argument angegeben sind.
    • -c critover – Löst ein Ereignis vom Typ KRITISCH aus, wenn von der Abfrage mehr Prozesse zurückgegeben werden, als vom Argument angegeben sind.
    • -C critunder – Löst ein Ereignis vom Typ KRITISCH aus, wenn von der Abfrage weniger Prozesse zurückgegeben werden, als vom Argument angegeben sind.

    Verwendungsbeispiel: winchecks check-windows-processes -n explorer

    Check Process OK (Prozess überprüfen OK):

    OK Found 1 matching running processes named explorer (OK 1 übereinstimmender laufender Prozess mit Namen explorer gefunden)
    os.windows.check-directory Überprüft, ob ein Windows-Verzeichnis vorhanden ist.

    Verwendung: -d --directory – Pfad zum entsprechenden Verzeichnis; verwenden Sie „\“ für die Trennung.

    Verwendungsbeispiel: winchecks check-windows-directory -d dir_path

    		 Check Directory OK: The directory 'C:/Users/Public' exists (Verzeichnis überprüfen OK: Das Verzeichnis 'C:/Users/Public' ist vorhanden.)
    os.windows.check-pagefile

    Erfasst die Pagefile-Belegung und vergleicht sie mit den Schwellenwerten für WARNUNG und KRITISCH.
    Verwendung:
    • -w warning – Löst ein Ereignis vom Typ WARNUNG aus, wenn die Nutzung von Pagefile über dem Parameterwert WARNUNG liegt, der im Prüfparameter angegeben ist.
    • -c critical – Löst ein Ereignis vom Typ KRITISCH aus, wenn die Nutzung von Pagefile über dem Parameterwert KRITISCH liegt, der im Prüfparameter angegeben ist.

    Verwendungsbeispiel: winchecks check-windows-pagefile -w 75 -c 85

    		 Check Windows Page File OK: Page file usage at 31.63% (Windows-Auslagerungsdateien überprüfen OK: Belegung der Auslagerungsdateien bei 31,63 %)
    os.windows.check-free-physical-memory

    Misst den freien physischen Arbeitsspeicher anhand von konfigurierten Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -w warning – Löst ein Ereignis vom Typ WARNUNG aus, wenn der freie physische Arbeitsspeicher unter dem Parameterwert WARNUNG liegt, der im Prüfparameter angegeben ist.
    • -c critical – Löst ein Ereignis vom Typ KRITISCH aus, wenn der freie physische Arbeitsspeicher unter dem Parameterwert CRITICAL liegt, der im Prüfparameter angegeben ist.

    Verwendungsbeispiel: winchecks check-windows-free-physical-memory -w 10 -c 5

    		 Free Physical Memory OK: The Free Physical Memory is 14.55% (Freier physischer Arbeitsspeicher OK: Der freie physische Arbeitsspeicher beträgt 14,55 %.)
    os.windows.check-free-virtual-memory

    Misst den freien virtuellen Arbeitsspeicher anhand von konfigurierten Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -w warning – Löst ein Ereignis vom Typ WARNUNG aus, wenn der freie virtuelle Arbeitsspeicher über dem Wert des Parameters WARNUNG liegt, der im Prüfparameter angegeben ist.
    • -c critical – Löst ein Ereignis vom Typ KRITISCH aus, wenn der freie virtuelle Arbeitsspeicher über dem im Prüfparameter angegebenen Wert des Parameters CRITICAL liegt.

    Verwendungsbeispiel: winchecks check-windows-free-virtual-memory -w 10 -c 5

    		Free Virtual Memory OK: The Free Virtual Memory is 14.55% (Freier virtueller Arbeitsspeicher OK: Der freie virtuelle Arbeitsspeicher beträgt. 14,55 %.)
    os.windows.check-process-cpu

    Misst „CPU-Auslastung Prozess“ anhand von konfigurierten Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -p processname – Prozessname zum Erfassen der CPU-Auslastung.
    • -w warning – Löst ein Ereignis vom Typ WARNUNG aus, wenn die CPU-Auslastung über dem Wert des Parameters WARNUNG liegt, der im Prüfparameter angegeben ist.
    • -c critical – Löst ein Ereignis vom Typ KRITISCH aus, wenn die CPU-Auslastung über dem im Prüfparameter angegebenen Wert des Parameters „KRITISCH“ liegt.

    Verwendungsbeispiel: winchecks check-windows-process-cpu-p acc -c 95 -w 85

    		Check Process CPU OK: Process CPU usage is 0.0000% (Prozess-CPU überprüfen OK: CPU-Auslastung Prozess beträgt 0,0000 %.)
    os.windows.check-process-memory

    Misst die Prozessspeicherauslastung anhand von Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -p processname – Prozessname zum Erfassen der Speicherauslastung.
    • -w warning – Löst ein Ereignis vom Typ WARNUNG aus, wenn die Auslastung des Prozessspeichers über dem Wert des Parameters WARNUNG liegt, der im Prüfparameter angegeben ist.
    • -c critical – Löst ein Ereignis vom Typ KRITISCH aus, wenn die Auslastung des Prozessarbeitsspeichers über dem im Prüfparameter angegebenen Wert des Parameters KRITISCH liegt.

    Verwendungsbeispiel: winchecks check-windows-process-memory-p acc -c 95 -w 85

    		Check Process Memory OK: Process Memory usage is 0.0149% (Prozessspeicher überprüfen OK: Die Prozessspeicherauslastung beträgt 0,0149 %.)

    Windows -Metriküberwachungsprüfungen

    Tabelle : 2. Richtlinie für Windows-Betriebssystem-Metriken
    Prüfung Beschreibung Verwendung und Verwendungsbeispiel Ausgabe
    os.windows.check-processor-queue-length Misst die Länge der Prozessorwarteschlange.

    Verwendung: -s scheme – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process)

    Verwendungsbeispiel: command: winchecks metric-windows-processor-queue-length --scheme hostname.proc

    		 win2019-dc-64bit.cpu.queuelength 0.00 1645371109
    os.windows.check-system-cpu-load Erfasst die durchschnittliche CPU-Last pro Sekunde.

    Verwendung: -s scheme – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process)

    Verwendungsbeispiel: command: winchecks metric-windows-cpu-load -scheme hostname.proc

    		 win2019-dc-64bit.cpu.loadavgsec 15.07 1645371561
    os.windows.check-system-cpu Erfasst die CPU-Kern-Metrik.

    Verwendung: -s scheme – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process)

    Verwendungsbeispiel: command: winchecks metric-windows-cpu -scheme hostname.proc

    		 win2019-dc-64bit.cpu.cpu0.cores 2 1645371681
    os.windows.check-system-disk-usage
    Erfasst die folgenden Metriken für die Datenträgerverwendung:
    • Summe in GB
    • Nutzung in GB
    • Verfügbarkeit in GB
    • verwendeter Prozentsatz
    Verwendung:
    • -i, ignore_mnt – Kommagetrennte Liste der zu ignorierenden Bereitstellungspunkte (:C)
    • -I, include_mnt – Kommagetrennte Liste der einzubeziehenden Bereitstellungspunkte.
    • --scheme, scheme – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process).

    Verwendungsbeispiel: command: winchecks metric-windows-disk-usage-scheme hostname.proc

    win2019-dc-64bit.disk_usage.disk_C.total(GB) 99.40 1645371774

    win2019-dc-64bit.disk_usage.disk_C.used(GB) 50.72 1645371774

    win2019-dc-64bit.disk_usage.disk_C.avail(GB) 48.68 1645371774

    win2019-dc-64bit.disk_usage.disk_C.used_percentage 51.02 1645371774
    os.windows.check-system-memory-percent

    Erfasst die RAM-Auslastung in Prozent, den Prozentsatz des freien physischen Arbeitsspeichers und den Prozentsatz des freien virtuellen Arbeitsspeichers.

    Verwendung: -s, schema – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process)

    Verwendungsbeispiel: command: winchecks metric-windows-disk-usage-scheme hostname.proc

    win2019-dc-64bit.mem.free_physical_percentage 13.30 1645371856

    win2019-dc-64bit.mem.free_virtual_percentage 13.93 1645371856

    win2019-dc-64bit.ram.usage_percentage 86.07 1645371856
    os.windows.check-system-network Erfasst die folgenden Metriken zu aktiven Netzwerkadaptern:
    • Gesamtanzahl Bytes/s
    • Pakete/s
    • Empfangene Pakete/s
    • Gesendete Pakete/s
    • Aktuelle Bandbreite
    • Empfangene Bytes/s
    • Unicastpakete empfangen/s
    • Nicht-Unicastpakete empfangen/s
    • Empfangene Pakete, verworfen
    • Empfangene Pakete, Fehler
    • Empfangene Pakete, unbekannt
    • Gesendete Bytes/s
    • Unicastpakete gesendet/s
    • Nicht-Unicastpakete gesendet/s
    • Ausgehende Pakete, verworfen
    • Ausgehende Pakete, Fehler
    • Ausgabewarteschlangenlänge
    • Abgeladene Verbindungen
    • Aktive TCP-Verbindungen für RSC
    • TCP-RSC: zusammengefügte Pakete/Sek.
    • TCP-RSC: Ausnahmen/Sek.

    • TCP RSC: durchschnittliche Paketgröße

    Verwendung: -s scheme – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process)

    Verwendungsbeispiel: command: winchecks metric-windows-network --scheme hostname.proc

    win2019-dc-64bit.system.network.Network_Interface(Intel[R]_82574L_Gigabit_Network_Connection).<metric name><metric value> Bytes_Total/sec 98742.67 1645372042

    Beispiel: win2019-dc-64bit.system.network.Network_Interface(Intel[R]_82574L_Gigabit_Network_Connection).Bytes_Total/sec 98742.67 1645372042
    os.windows.check-system-uptime Erfasst die Systemverfügbarkeit

    Verwendung: -s, schema – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process)

    Verwendungsbeispiel: command: winchecks metric-windows-uptime --scheme hostname.proc

    		 win2019-dc-64bit.system.uptime(sec) 4614142.06 1645372124
    os.windows.check-system-disk Erfasst die folgenden Datenträgermetriken:
    • AvgDiskSecPerRead
    • AvgDiskSecPerWrite
    • DiskReadBytesPerSec
    • DiskWriteBytesPerSec

    Verwendung:

    • -i, ignore_mnt – Kommagetrennte Liste der zu ignorierenden Bereitstellungspunkte (:C)
    • -I, include_mnt – Kommagetrennte Liste der einzubeziehenden Bereitstellungspunkte.
    • --scheme, scheme – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process).

    Verwendungsbeispiel: command: winchecks metric-windows-disk

    win2019-dc-64bit.disk._total.AvgDisksec/Read 0.000000 1645372198

    win2019-dc-64bit.disk._total.AvgDisksec/Write 0.000608 1645372198

    win2019-dc-64bit.disk._total.DiskReadBytes/sec 0.000000 1645372198

    win2019-dc-64bit.disk._total.DiskWriteBytes/sec 34941.692255 1645372198

    win2019-dc-64bit.disk.C.AvgDisksec/Read 0.000000 1645372200

    win2019-dc-64bit.disk.C.AvgDisksec/Write 0.000000 1645372200

    win2019-dc-64bit.disk.C.DiskReadBytes/sec 0.000000 1645372200

    win2019-dc-64bit.disk.C.DiskWriteBytes/sec 0.000000 1645372200
    os.windows.check-system-memory Erfasst die folgenden Datenträgermetriken:
    • FreePhysicalMemory
    • TotalPhysicalMemory
    • FreeVirtualMemory
    • TotalVirtualMemorySize
    • AvailableMemory
    • TotalVisibleMemorySize

    Verwendung: -s, schema – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process)

    Verwendungsbeispiel: command: winchecks metric-windows-memory --scheme hostname.proc

    win2019-dc-64bit.mem.free_physical(KB) 1175440.00 1645372274

    win2019-dc-64bit.mem.total_physical(KB) 8588898304.00 1645372274

    win2019-dc-64bit.mem.free_virtual(KB) 1747636.00 1645372274

    win2019-dc-64bit.mem.total_virtual(KB) 12263156.00 1645372274

    win2019-dc-64bit.mem.available(KB) 1202032640.00 1645372274

    win2019-dc-64bit.mem.total_visible(KB) 8387596.00 1645372274
    os.windows.check-process-status Erfasst den Windows-Prozessstatus mit CPU- und Arbeitsspeicherdaten, die vom Prozess verwendet werden.

    Verwendung:

    • -n, prozess – Prozessname zum Erfassen der Statusmetrik.
    • --scheme, scheme – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process).

    win2019-dc-64bit.Process.Status 67 1645372421

    win2019-dc-64bit.Process.CpuPercent 0 1645372421

    win2019-dc-64bit.Process.Memory(KB) 1226444 1645372421