Мониторинг журнала событий

  • Статья

Важно!

Поддержка этой версии Orchestrator завершена. Рекомендуется выполнить обновление до Orchestrator 2019.

Действие Monitor Event Log вызывает модули Runbook, когда новые события, соответствующие указанному фильтру, отображаются в журнале событий Windows. Вы можете использовать действие Monitor Event Log для запуска модулей Runbook, которые будут эскалацией, исследованием или исправлением любых проблем в ответ на события, создаваемые в журнале событий Windows. Например, в журнале безопасности отображается сбой аудита безопасности, который отправляет администратору сообщение электронной почты с уведомлением о проблеме. Второй режим вызывает модуль Runbook, когда размер журнала событий Windows достигает максимального допустимого размера.

Настройка действия "Мониторинг журнала событий"

Перед настройкой действия Monitor Event Log необходимо определить следующее:

  • Имя отслеживаемого журнала событий

  • Сведения о событиях, которые будут вызывать runbook

Выполните следующие действия, чтобы настроить действие "Мониторинг журнала событий".

Настройка действия "Мониторинг журнала событий"

  1. Из области Действия перетащите действие Monitor Event Log в модуль Runbook.

  2. Дважды щелкните значок действия Мониторинг журнала событий , чтобы открыть диалоговое окно Свойства .

  3. Настройте параметры на вкладке Сведения и на вкладке Дополнительно . Инструкции по настройке приведены в следующих таблицах.

Вкладка "Подробные сведения"

Параметры Инструкции по настройке
Компьютер Введите имя компьютера, на котором хранится журнал событий Windows, который требуется отслеживать. Вы также можете найти компьютер с помощью кнопки с многоточием (...). Сервер Runbook, на котором выполняется это действие, должен иметь соответствующие права для мониторинга журнала событий Windows на этом компьютере.
Журнал событий Введите имя отслеживаемого журнала событий Windows. Вы также можете перейти к журналу событий Windows с помощью кнопки с многоточием (...). По умолчанию Windows включает три журнала событий: приложение, безопасность и система. Компьютер, к которому выполняется подключение, может содержать другие журналы событий.
Фильтры сообщений В списке отображаются все фильтры, настроенные для фильтрации событий, созданных в указанном журнале. Чтобы изменить или удалить элемент в списке, выберите его и нажмите кнопку Изменить или Удалить по мере необходимости.

Добавление фильтра событий
1. Нажмите кнопку Добавить , чтобы открыть диалоговое окно Свойства фильтра .
2. Выберите свойство записи журнала событий, по которому выполняется фильтрация. Вы можете выполнить фильтрацию по категориям, описаниям, идентификатору события, источнику и типу , которые относятся к событию.
3. Укажите отношение, используемое для сравнения значения свойства события со значением фильтра. При выборе параметра Категория, Описание, Тип и Источник можно указать Содержит или Не содержит. Для идентификатора события можно указать значение , отличное от, равно , меньше, чем, меньше или равно, больше, абольше или равно.
4. Укажите значение фильтра, с которым сравниваете свойство события. В полях Категория, Описание и Источник введите строку, содержащуюся в свойстве . В поле Идентификатор события введите числовое значение, которое будет сравниваться с идентификатором события. В поле Тип условия выберите конкретный тип события, для которого требуется отфильтровать, например Error, Warning, Information, Success Audit или Failure Audit.

Опубликованные данные

В следующей таблице перечислены опубликованные элементы данных.

Элемент Описание
Имя журнала событий Имя отслеживаемого журнала событий Windows.
Компьютер Имя компьютера, на котором хранится журнал событий Windows.
Описание записи журнала Текст, содержащийся в описании записи журнала событий.
Идентификатор записи журнала Идентификатор записи журнала событий.
Источник записи журнала Источник события.
Компьютер записи журнала Компьютер, на котором произошло событие.
Тип записи журнала Тип события.
Дата записи в журнал Дата регистрации события.
Время записи в журнал Время регистрации события.