Um Überwachungsprotokolle in einer Windows-Umgebung zu aktivieren, wählen Sie die relevante Richtlinie aus, und weisen Sie ihr spezifische Prüfungsparameter zu. Wenn die Protokollüberwachung aktiviert ist und eine angegebene Zeichenfolge im überwachten Protokoll erkannt wird, wird ein Event erstellt.
Vorbereitungen
Erforderliche Rolle: agent_client_collector_admin
Prozedur
-
Navigieren zu .
-
Wählen Sie die Richtlinie zur Windows-Protokollüberwachung aus.
-
Wählen Sie os.windows.check-log auf der Registerkarte Check Instances (Prüfungsinstanzen) aus, um die Überwachung von Windows-Protokolldateien zu aktivieren.
-
Geben Sie auf der Registerkarte Check Parameters (Prüfungsparameter) die in der folgenden Tabelle beschriebenen Protokollparameter an, die durch die Prüfung überwacht werden sollen:
Tabelle : 1. Parameter überprüfen
| Name |
Wert |
| warning |
Häufigkeit des Auftretens der angegebenen Musterzeichenfolgen im Protokoll, durch die ein warning-Event generiert wird. Standard = 1. Beispiel: Wenn der Wert für pattern gleich Exception (Ausnahme) ist und das Protokoll ein Ausnahme-Event enthält, wird ein warning-Event generiert. |
| critical |
Häufigkeit des Auftretens der angegebenen Musterzeichenfolgen im Protokoll, durch die ein critical-Event generiert wird. Standard = 2. Beispiel: Wenn der Wert für pattern gleich Exception (Ausnahme) ist und das Protokoll zwei Ausnahme-Events enthält, wird ein critical -Event generiert. |
| file |
Speicherort der Protokolldatei |
| pattern |
Zeichenfolgen, nach denen im Protokoll gesucht wird. Standardwerte: Severe (Schwerwiegend) und Exception (Ausnahme). Andere mögliche Werte: 404 und Error (Fehler) Stellen Sie sicher, dass Sie mehrere Muster durch eine Pipe (|) trennen und als Parameter in Anführungszeichen weitergeben. Zum Beispiel: "SEVERE|404". |