Ereignisprotokoll überwachen
Wichtig
Diese Version von Orchestrator hat das Ende des Supports erreicht. Es wird empfohlen, ein Upgrade auf Orchestrator 2019 durchzuführen.
Die Aktivität Ereignisprotokoll überwachen ruft Runbooks auf, wenn neue Ereignisse, die einem von Ihnen angegebenen Filter entsprechen, im Windows Ereignisprotokoll angezeigt werden. Sie können die Aktivität Ereignisprotokoll überwachen verwenden, um Runbooks auszuführen, die als Reaktion auf Ereignisse, die im Windows Ereignisprotokoll generiert werden, eskalieren, untersuchen oder beheben. Beispielsweise wird im Sicherheitsprotokoll ein Sicherheitsüberwachungsfehler angezeigt, der eine E-Mail an einen Administrator sendet, um sie über das Problem zu benachrichtigen. Der zweite Modus ruft Ihr Runbook auf, wenn die Größe des Windows Ereignisprotokolls die maximal zulässige Größe erreicht.
Konfigurieren der Aktivität "Ereignisprotokoll überwachen"
Bevor Sie die Aktivität Ereignisprotokoll überwachen konfigurieren, müssen Sie Folgendes bestimmen:
Name des ereignisprotokolls, das Sie überwachen
Details zu den Ereignissen, die das Runbook aufrufen
Verwenden Sie die folgenden Schritte, um die Aktivität Ereignisprotokoll überwachen zu konfigurieren.
So konfigurieren Sie die Aktivität "Ereignisprotokoll überwachen"
Ziehen Sie aus dem Bereich Aktivitäteine Monitor-Ereignisprotokollaktivität auf das Runbook.
Doppelklicken Sie auf das Symbol Ereignisprotokollaktivität überwachen, um das Dialogfeld Eigenschaften zu öffnen.
Konfigurieren Sie die Einstellungen auf der Registerkarte Details und auf der Registerkarte Erweitert. Konfigurationsanweisungen sind in den folgenden Tabellen aufgeführt.
Die Registerkarte „Details“
| Einstellungen | Konfigurationsanweisungen |
|---|---|
| Computer | Geben Sie den Namen des Computers ein, auf dem das Windows Ereignisprotokoll gespeichert wird, das Sie überwachen möchten. Sie können auch mithilfe der Schaltfläche mit den Auslassungszeichen (...) nach dem Computer suchen. Der Runbookserver, auf dem diese Aktivität ausgeführt wird, muss über die entsprechenden Rechte zum Überwachen des Windows Ereignisprotokolls auf diesem Computer verfügen. |
| Ereignisprotokoll | Geben Sie den Namen des Windows Ereignisprotokolls ein, das Sie überwachen. Sie können auch mithilfe der Schaltfläche mit den Auslassungszeichen (...) nach dem Windows Ereignisprotokoll suchen. Windows enthält standardmäßig drei Ereignisprotokolle: Anwendung, Sicherheit und System. Der Computer, mit dem Sie eine Verbindung herstellen, kann andere Ereignisprotokolle enthalten. |
| Nachrichtenfilter | Die Liste enthält alle Filter, die zum Filtern der Ereignisse konfiguriert wurden, die im angegebenen Protokoll generiert werden. Um ein Element in der Liste zu bearbeiten oder zu entfernen, wählen Sie es aus, und klicken Sie ggf. auf Bearbeiten oder Entfernen. So fügen Sie einen Ereignisfilter hinzu 1. Klicken Sie auf Hinzufügen, um das Dialogfeld Filtereigenschaften zu öffnen. 2. Wählen Sie die Eigenschaft des Ereignisprotokolleintrags aus, nach dem Gefiltert wird. Sie können nach Kategorie,Beschreibung,Ereignis-ID,Quelleund Typ filtern, die dem Ereignis zugeordnet sind. 3. Geben Sie die Beziehung an, die Sie verwenden, um den Wert der Ereigniseigenschaft mit dem Filterwert zu vergleichen. Wenn Sie Kategorie,Beschreibung,Typund Quelle auswählen, können Sie Enthält oder Enthält nicht angeben. Für Die Ereignis-ID, die Sie angeben können, unterscheidet sich von, ist gleich , ist niedriger als, ist kleiner als oder gleich, ist größer alsund ist größer als oder gleich. 4. Geben Sie den Filterwert an, mit dem Sie die Ereigniseigenschaft vergleichen. Geben Sie für Kategorie,Beschreibungund Quelledie Zeichenfolge ein, die in der -Eigenschaft enthalten ist. Geben Sie unter Ereignis-IDden numerischen Wert ein, der mit der ID des Ereignisses verglichen wird. Wählen Sie für die Bedingung Typ den spezifischen Ereignistyp aus, nach dem Sie filtern möchten, z. B. Fehler,Warnung,Informationen,Erfolgsüberwachungoder Fehlerüberwachung. |
Veröffentlichte Daten
Die folgende Tabelle enthält die veröffentlichten Datenelemente.
| Element | BESCHREIBUNG |
|---|---|
| Ereignisprotokollname | Der Name des überwachten Windows Ereignisprotokolls. |
| Computer | Der Name des Computers, auf dem das Windows Ereignisprotokoll gespeichert ist. |
| Beschreibung des Protokolleintrags | Der Text, der in der Beschreibung des Ereignisprotokolleintrags enthalten ist. |
| Protokolleintrags-ID | Die ID des Ereignisprotokolleintrags. |
| Quelle des Protokolleintrags | Die Quelle des Ereignisses. |
| Protokolleintragscomputer | Der Computer, auf dem das Ereignis aufgetreten ist. |
| Protokolleintragstyp | Art des Ereignisses. |
| Protokolleintragsdatum | Das Datum, an dem das Ereignis protokolliert wurde. |
| Protokolleintragszeit | Die Zeit, zu der das Ereignis protokolliert wurde. |