Windows – Standardprüfungen und Richtlinien

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 8 Minuten Lesedauer

    • Agent Client Collector bietet die folgenden Standardprüfungen und Richtlinien für Windows-Systemüberwachung.

    Windows Ereignisüberwachungsprüfungen

    Tabelle : 1. Richtlinie für Windows-Betriebssystemereignisse
    Prüfung Beschreibung Verwendung und Beispiel Ausgabe
    os.windows.check-event-log Misst das Ereignisprotokoll Windows anhand von Parameterschwellenwerten und gibt ein Ereignis KRITISCH\WARNUNG\OK zurück.
    Verwendung:
    • -w Warnung – Löst ein WARNUNGS-Ereignis aus, wenn die Anzahl der Ereignisprotokolle, die dem Muster entsprechen, über dem WARNUNGS-Parameterwert liegt, der im Prüfparameter angegeben ist.
    • -c kritisch – Löst ein KRITISCHES Ereignis aus, wenn die dem Muster entsprechende Ereignisprotokollanzahl über dem im Prüfparameter angegebenen Parameterwert KRITISCH liegt.
    • -e Ereignisebene: Gibt den Schweregrad des Ereignisses an. Mögliche Werte: Information, Verbose, Kritisch, Warnung, Fehler.
    • -i: Eindeutige Ereignis-ID
    • -d – Die Dauer in Stunden, in der Ereignisse aus dem Ereignisprotokoll Windows abgerufen werden sollen.

    Anwendungsbeispiel: Winchecks check-windows-event-log -w 5 -c 10 -e "Information" -l "Application" -d 24

    		 Ereignisprotokoll prüfen OK: Das Ereignisprotokoll, das dem Muster entspricht, lautet<matched count>
    os.windows.check-processor-queue-length

    Misst die Länge der Prozessorwarteschlange anhand von Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -w Warnung – Löst ein WARNUNGS-Ereignis aus, wenn die Anzahl der Prozessorwarteschlangenlängen, die dem Muster entsprechen, über dem WARNUNGS-Parameterwert liegt, der im Prüfparameter angegeben ist.
    • -c kritisch – Löst ein KRITISCHES Ereignis aus, wenn die Anzahl der Prozessorwarteschlangen, die dem Muster entsprechen, über dem im Prüfparameter angegebenen Parameterwert KRITISCH liegt.

    Verwendungsbeispiel: winchecks check-windows-processor-queue-length -w 5 -c 10

    		 Processor Queue Length OK: The Processor Queue length is 0.00 (Länge der Prozessorwarteschlange OK: Die Länge der Prozessorwarteschlange beträgt 0,00.)
    os.windows.check-system-cpu-load

    Prüft die CPU-Last mithilfe von typeperf. Misst die CPU-Last anhand von konfigurierten Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -w Warnung – Löst ein WARNUNGS-Ereignis aus, wenn die Anzahl der CPU-Auslastungen, die dem Muster entspricht, über dem WARNUNGS-Parameterwert liegt, der im Prüfparameter angegeben ist.
    • -c kritisch – Löst ein KRITISCHES Ereignis aus, wenn die Anzahl der CPU-Auslastungen, die dem Muster entspricht, über dem im Prüfparameter angegebenen Parameterwert KRITISCH liegt.

    Verwendungsbeispiel: winchecks check-windows-cpu-load -w 85 -c 95

    		 CPU Load OK: The total CPU utilization is 26.92% (CPU-Last OK: Die CPU-Gesamtlast beträgt 26,92 %.)
    os.windows.check-system-disk

    Misst den freien physischen Arbeitsspeicher anhand von Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -w Warnung – Löst ein WARNUNGS-Ereignis aus, wenn der Prozentsatz des Ereignisprotokolls, der dem Muster entspricht, über dem WARNUNGS-Parameterwert liegt, der im Prüfparameter angegeben ist.
    • -c kritisch – Löst ein KRITISCHES Ereignis aus, wenn der Prozentsatz des Ereignisprotokolls, der dem Muster entspricht, über dem im Prüfparameter angegebenen Parameterwert KRITISCH liegt.

    Verwendungsbeispiel: winchecks check-windows-disk -w 85 -c 95

    		 Disk Usage Check OK: The disk usage is % (Datenträgerverwendungsprüfung OK: Die Datenträgerverwendung beträgt %.)
    os.windows.check-system-memory-percent

    Erfasst die RAM-Auslastung. Misst die Arbeitsspeicherauslastung anhand von konfigurierten Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.

    		 Verwendung:
    • -w Warnung – Löst ein WARNUNGS-Ereignis aus, wenn der Prozentsatz der Speicherauslastung, der dem Muster entspricht, über dem im Prüfparameter angegebenen WARNUNGS-Parameterwert liegt.
    • -c kritisch – Löst ein KRITISCHES Ereignis aus, wenn der Prozentsatz der Arbeitsspeicherauslastung, der dem Muster entspricht, über dem im Prüfparameter angegebenen Parameterwert KRITISCH liegt.

    Verwendungsbeispiel: winchecks check-windows-ram -w 85 -c 95

    		 RAM Usage OK: The total memory utilization is 84% (RAM-Auslastung OK: Die Arbeitsspeicherauslastung insgesamt beträgt 84 %.)
    os.windows.check-system-process

    Laufende Prozesse werden zur Ermittlung laufender Prozesse abgefragt, die den angegebenen Argumenten entsprechen. (Muster, Name, Muster und Name. Mindestens ein Argument muss angegeben werden.) Misst die laufenden Prozesse anhand von konfigurierten Schwellenwerten und Filtern und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -n name – Name der ausführbaren Prozessdatei zur Überprüfung der Prozessausführung.
    • -p Muster – Muster (Unterzeichenfolge), nach dem in dem Befehl gesucht werden soll, der den Prozess aufgerufen hat. Erzeugt nur dann gültige Ergebnisse, wenn der Benutzer, der den Agent ausführt, der Besitzer des abgefragten Prozesses ist und über Anzeigeberechtigungen für den abgefragten Prozess verfügt.
    • -w warnover – Löst einen Status vom Typ WARNUNG aus, wenn von der Abfrage mehr Prozesse zurückgegeben werden, als vom Argument angegeben sind.
    • -W warnunder – Löst einen Status vom Typ WARNUNG aus, wenn von der Abfrage weniger Prozesse zurückgegeben werden, als vom Argument angegeben sind.
    • -c critover – Löst ein Ereignis vom Typ KRITISCH aus, wenn von der Abfrage mehr Prozesse zurückgegeben werden, als vom Argument angegeben sind.
    • -C critunder – Löst ein Ereignis vom Typ KRITISCH aus, wenn von der Abfrage weniger Prozesse zurückgegeben werden, als vom Argument angegeben sind.

    Verwendungsbeispiel: winchecks check-windows-processes -n explorer

    Check Process OK (Prozess überprüfen OK):

    OK Found 1 matching running processes named explorer (OK 1 übereinstimmender laufender Prozess mit Namen explorer gefunden)
    os.windows.check-directory Überprüft, ob ein Windows-Verzeichnis vorhanden ist.

    Verwendung: -d --directory – Pfad zum entsprechenden Verzeichnis; verwenden Sie „\“ für die Trennung.

    Verwendungsbeispiel: winchecks check-windows-directory -d dir_path

    		 Check Directory OK: The directory 'C:/Users/Public' exists (Verzeichnis überprüfen OK: Das Verzeichnis 'C:/Users/Public' ist vorhanden.)
    os.windows.check-pagefile

    Erfasst die Pagefile-Belegung und vergleicht sie mit den Schwellenwerten für WARNUNG und KRITISCH.
    Verwendung:
    • -w Warnung – Löst ein WARNUNGS-Ereignis aus, wenn die Nutzung von Pagefile über dem im Prüfparameter angegebenen WARNUNGS-Parameterwert liegt.
    • -c kritisch – Löst ein KRITISCHES Ereignis aus, wenn die Nutzung von Pagefile über dem im Prüfparameter angegebenen Parameterwert KRITISCH liegt.

    Verwendungsbeispiel: winchecks check-windows-pagefile -w 75 -c 85

    		 Check Windows Page File OK: Page file usage at 31.63% (Windows-Auslagerungsdateien überprüfen OK: Belegung der Auslagerungsdateien bei 31,63 %)
    os.windows.check-free-physical-memory

    Misst den freien physischen Arbeitsspeicher anhand von konfigurierten Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -w Warnung – Löst ein WARNUNGS-Ereignis aus, wenn der freie physische Arbeitsspeicher unter dem WARNUNGS-Parameterwert liegt, der im Prüfparameter angegeben ist.
    • -c kritisch – Löst ein KRITISCHES Ereignis aus, wenn der freie physische Arbeitsspeicher unter dem Parameterwert KRITISCH liegt, der im Prüfparameter angegeben ist.

    Verwendungsbeispiel: winchecks check-windows-free-physical-memory -w 10 -c 5

    		 Freier physischer Speicher OK: Der freie physische Speicher beträgt 20,25 %.
    os.windows.check-free-virtual-memory

    Misst den freien virtuellen Arbeitsspeicher anhand von konfigurierten Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -w Warnung – Löst ein WARNUNG-Ereignis aus, wenn der freie virtuelle Speicher über dem im Prüfparameter angegebenen Parameterwert WARNUNG liegt.
    • -c kritisch – Löst ein KRITISCHES Ereignis aus, wenn der freie virtuelle Arbeitsspeicher über dem im Prüfparameter angegebenen Parameterwert KRITISCH liegt.

    Anwendungsbeispiel: Winchecks Check-Windows-Free-Virtual-Memory -w 10 -c 5

    		Freier virtueller Speicher OK: Der freie virtuelle Speicher beträgt 25,66 %
    os.windows.check-process-cpu

    Misst „CPU-Auslastung Prozess“ anhand von konfigurierten Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -p processname – Prozessname zum Erfassen der CPU-Auslastung.
    • -w Warnung – Löst ein WARNUNGS-Ereignis aus, wenn die CPU-Auslastung über dem im Prüfparameter angegebenen WARNUNGS-Parameterwert liegt.
    • -c kritisch – Löst ein KRITISCHES Ereignis aus, wenn die CPU-Auslastung über dem im Prüfparameter angegebenen Parameterwert „KRITISCH“ liegt.

    Verwendungsbeispiel: winchecks check-windows-process-cpu-p acc -c 95 -w 85

    		Check Process CPU OK: Process CPU usage is 0.0000% (Prozess-CPU überprüfen OK: CPU-Auslastung Prozess beträgt 0,0000 %.)
    os.windows.check-process-memory

    Misst die Prozessspeicherauslastung anhand von Schwellenwerten und gibt ein Ereignis vom Typ KRITISCH\WARNUNG\OK gemäß den in den Begleitparametern angegebenen Schwellenwerten zurück.
    Verwendung:
    • -p processname – Prozessname zum Erfassen der Speicherauslastung.
    • -w Warnung – Löst ein WARNUNGS-Ereignis aus, wenn die Auslastung des Prozessspeichers über dem im Prüfparameter angegebenen WARNUNGS-Parameterwert liegt.
    • -c kritisch – Löst ein KRITISCHES Ereignis aus, wenn die Auslastung des Prozessspeichers über dem im Prüfparameter angegebenen Parameterwert „KRITISCH“ liegt.

    Verwendungsbeispiel: winchecks check-windows-process-memory-p acc -c 95 -w 85

    		Check Process Memory OK: Process Memory usage is 0.0149% (Prozessspeicher überprüfen OK: Die Prozessspeicherauslastung beträgt 0,0149 %.)

    Windows Prüfungen der Metriküberwachung

    Tabelle : 2. Richtlinie für Windows-Betriebssystem-Metriken
    Prüfung Beschreibung Verwendung und Beispiel Ausgabe
    os.windows.check-processor-queue-length Misst die Länge der Prozessorwarteschlange.

    Verwendung: -s scheme – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process)

    Verwendungsbeispiel: command: winchecks metric-windows-processor-queue-length --scheme hostname.proc

    		 win2019-dc-64bit.cpu.queuelength 0.00 1645371109
    os.windows.check-system-cpu-load Erfasst die durchschnittliche CPU-Last pro Sekunde.

    Verwendung: -s scheme – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process)

    Verwendungsbeispiel: command: winchecks metric-windows-cpu-load -scheme hostname.proc

    		 win2019-dc-64bit.cpu.loadavgsec 15.07 1645371561
    os.windows.check-system-cpu Erfasst die CPU-Kern-Metrik.

    Verwendung: -s scheme – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process)

    Verwendungsbeispiel: command: winchecks metric-windows-cpu -scheme hostname.proc

    		 win2019-dc-64bit.cpu.cpu0.cores 2 1645371681
    os.windows.check-system-disk-usage
    Erfasst die folgenden Metriken für die Datenträgerverwendung:
    • Summe in GB
    • Nutzung in GB
    • Verfügbarkeit in GB
    • verwendeter Prozentsatz
    Verwendung:
    • -i, ignore_mnt – Kommagetrennte Liste der zu ignorierenden Bereitstellungspunkte (:C)
    • -I, include_mnt – Kommagetrennte Liste der einzubeziehenden Bereitstellungspunkte.
    • --scheme, scheme – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process).

    Verwendungsbeispiel: command: winchecks metric-windows-disk-usage-scheme hostname.proc

    win2019-dc-64bit.disk_usage.disk_C.total(GB) 99.40 1645371774

    win2019-dc-64bit.disk_usage.disk_C.used(GB) 50.72 1645371774

    win2019-dc-64bit.disk_usage.disk_C.avail(GB) 48.68 1645371774

    win2019-dc-64bit.disk_usage.disk_C.used_percentage 51.02 1645371774
    os.windows.check-system-memory-percent

    Erfasst die prozentuale Auslastung des Arbeitsspeichers, des freien physischen Arbeitsspeichers und des freien virtuellen Arbeitsspeichers.

    Verwendung: -s, schema – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process)

    Verwendungsbeispiel: command: winchecks metric-windows-disk-usage-scheme hostname.proc

    win2019-dc-64bit.mem.free_physical_percentage 13.30 1645371856

    win2019-dc-64bit.mem.free_virtual_percentage 13.93 1645371856

    win2019-dc-64bit.ram.usage_percentage 86.07 1645371856
    os.windows.check-system-network Erfasst die folgenden Metriken zu aktiven Netzwerkadaptern:
    • Gesamtanzahl Bytes/s
    • Pakete/s
    • Empfangene Pakete/s
    • Gesendete Pakete/s
    • Aktuelle Bandbreite
    • Empfangene Bytes/s
    • Unicastpakete empfangen/s
    • Nicht-Unicastpakete empfangen/s
    • Empfangene Pakete, verworfen
    • Empfangene Pakete, Fehler
    • Empfangene Pakete, unbekannt
    • Gesendete Bytes/s
    • Unicastpakete gesendet/s
    • Nicht-Unicastpakete gesendet/s
    • Ausgehende Pakete, verworfen
    • Ausgehende Pakete, Fehler
    • Ausgabewarteschlangenlänge
    • Abgeladene Verbindungen
    • Aktive TCP-Verbindungen für RSC
    • TCP-RSC: zusammengefügte Pakete/Sek.
    • TCP-RSC: Ausnahmen/Sek.

    • TCP RSC: durchschnittliche Paketgröße

    Verwendung: -s scheme – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process)

    Verwendungsbeispiel: command: winchecks metric-windows-network --scheme hostname.proc

    Win2019-dc-64bit.system.network.Network_Interface(Intel[R]_82574L_Gigabit_Network_Connection).<metric name><metric value> Bytes_Total/Sek. 98742,67 1645372042

    Beispiel: Win2019-dc-64bit.system.network.Network_Interface(Intel[R]_82574L_Gigabit_Network_Connection).Bytes_Total/sec 98742.67 1645372042
    os.windows.check-system-uptime Erfasst die Systemverfügbarkeit

    Verwendung: -s, schema – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process)

    Verwendungsbeispiel: command: winchecks metric-windows-uptime --scheme hostname.proc

    		 win2019-dc-64bit.system.uptime(sec) 4614142.06 1645372124
    os.windows.check-system-disk Erfasst die folgenden Datenträgermetriken:
    • AvgDiskSecPerRead
    • AvgDiskSecPerWrite
    • DiskReadBytesPerSec
    • DiskWriteBytesPerSec

    Verwendung:

    • -i, ignoriert_mnt: Kommagetrennte Liste der zu ignorierenden Bereitstellungspunkte (:C)
    • -I, include_mnt – Kommagetrennte Liste der einzubeziehenden Bereitstellungspunkte.
    • --scheme, scheme – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process).

    Verwendungsbeispiel: command: winchecks metric-windows-disk

    win2019-dc-64bit.disk._total.AvgDisksec/Read 0.000000 1645372198

    win2019-dc-64bit.disk._total.AvgDisksec/Write 0.000608 1645372198

    win2019-dc-64bit.disk._total.DiskReadBytes/sec 0.000000 1645372198

    win2019-dc-64bit.disk._total.DiskWriteBytes/sec 34941.692255 1645372198

    win2019-dc-64bit.disk.C.AvgDisksec/Read 0.000000 1645372200

    win2019-dc-64bit.disk.C.AvgDisksec/Write 0.000000 1645372200

    win2019-dc-64bit.disk.C.DiskReadBytes/sec 0.000000 1645372200

    win2019-dc-64bit.disk.C.DiskWriteBytes/sec 0.000000 1645372200
    os.windows.check-system-memory Erfasst die folgenden Datenträgermetriken:
    • FreePhysicalMemory
    • TotalPhysicalMemory
    • FreeVirtualMemory
    • TotalVirtualMemorySize
    • AvailableMemory
    • TotalVisibleMemorySize

    Verwendung: -s, schema – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process)

    Verwendungsbeispiel: command: winchecks metric-windows-memory --scheme hostname.proc

    win2019-dc-64bit.mem.free_physical(KB) 1175440.00 1645372274

    win2019-dc-64bit.mem.total_physical(KB) 8588898304.00 1645372274

    win2019-dc-64bit.mem.free_virtual(KB) 1747636.00 1645372274

    win2019-dc-64bit.mem.total_virtual(KB) 12263156.00 1645372274

    win2019-dc-64bit.mem.available(KB) 1202032640.00 1645372274

    win2019-dc-64bit.mem.total_visible(KB) 8387596.00 1645372274
    os.windows.check-process-status Erfasst den Windows-Prozessstatus mit CPU- und Arbeitsspeicherdaten, die vom Prozess verwendet werden.

    Verwendung:

    • -n, prozess – Prozessname zum Erfassen der Statusmetrik.
    • --scheme, scheme – Ersetzt den Hostnamen + den Prozess der Ausgabe durch den angegebenen Wert (Beispiel: hostname.process).

    win2019-dc-64bit.Process.Status 67 1645372421

    win2019-dc-64bit.Process.CpuPercent 0 1645372421

    win2019-dc-64bit.Process.Memory(KB) 1226444 1645372421