Événements WMI
S'applique à: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
Événements WMI sont créés à partir de requêtes WMI qui détectent les actions particulières du système d'exploitation ou des applications qui créent leurs propres événements WMI. Ces événements peuvent être utilisés pour détecter ces actions en tant que processus de fin, un fichier en cours de création ou une clé de Registre en cours de modification. Les événements WMI ne sont pas conservées. Par conséquent, tous les événements WMI qui sont créés lorsque le service agent n'est pas en cours d'exécution sont perdus.
Notes
Ce guide suppose des connaissances de la création d'une requête de notification WMI. Pour une une vue d'ensemble de cette rubrique et les exemples, consultez requêtes déverrouiller le mystère des événements WMI dans MOM.
Assistants d'événement WMI
Le tableau suivant répertorie les Assistants disponibles pour les événements WMI.
|
|
---|---|
|
|
|
|
|
|
|
Options de l'Assistant événements WMI
Lorsque vous exécutez un Assistant règle ou analyse d'événement WMI, vous devez fournir des valeurs pour les options dans les tableaux suivants. Chaque tableau représente une page de l'Assistant.
Général
Le Général page contient les paramètres généraux de la règle ou l'analyse, notamment son nom, catégorie, cible et le fichier de pack d'administration pour stocker dans.
Option |
Description |
---|---|
Nom |
Le nom utilisé pour la règle ou l'analyse. Pour une règle, le nom apparaît dans les règles afficher dans le Création volet. Lorsque vous créez un affichage ou un rapport, vous pouvez sélectionner ce nom à utiliser les données collectées par celle-ci. Pour une analyse, le nom apparaît dans l'Explorateur d'intégrité de tous les objets cibles. |
Description |
Description facultative de la règle ou l'analyse. |
Pack d'administration |
Fichier de pack d'administration pour stocker la règle ou l'analyse. Pour plus d'informations sur les packs d'administration, consultez Sélection d'un fichier de Pack d'administration. |
Catégorie de règle (règles uniquement) |
Catégorie de la règle. Pour une règle de collecte d'événements, cela devrait être collecte d'événements. Pour une règle d'alerte, cela devrait être alerte. |
Analyse parente (moniteurs uniquement) |
Le moniteur d'agrégation est placé sous le moniteur dans l'Explorateur d'intégrité. Pour plus d’informations, voir Moniteurs agrégation. |
Target |
La classe à utiliser pour la cible de la règle ou l'analyse. La règle ou l'analyse est exécuté sur n'importe quel agent qui a au moins une instance de cette classe. Pour plus d'informations sur les cibles, consultez Explication des classes et des objets. |
La règle est activée Analyse activée |
Spécifie si la règle ou l'analyse est activée. |
Configuration WMI / fournisseur d'événements WMI
Le Configuration WMI Page vous permet de fournir l'espace de noms WMI, de requêtes et de l'intervalle d'interrogation. Il y a un seul Configuration WMI page pour une collection ou la règle d'alerte et d'un moniteur à l'aide de réinitialisation manuelle ou un minuteur. Pour une analyse en utilisant réinitialisation d'un événement WMI, il y aura un fournisseur d'événements WMI page pour définir la requête pour la condition d'erreur et la condition saine.
Option |
Description |
---|---|
Espace de noms WMI |
L'espace de noms contenant la classe est utilisée dans la requête WMI. |
Requête |
Requête de notification WMI qui recherche l'occurrence d'un événement WMI spécifique. |
Intervalle d'interrogation |
Spécifie la fréquence à laquelle Operations Manager interroge l'occurrence de l'événement WMI. Cette valeur doit être identique à la valeur utilisée dans la clause WITHIN de la requête de notification. |
Intervalles d'interrogation WMI correspondantes
Construire l'Expression
Le créer une Expression page permet de définir un filtre pour les données provenant de la requête WMI. Il y a un seul créer une Expression page pour une analyse d'événement WMI à l'aide de réinitialisation manuelle ou un minuteur. Pour une analyse en utilisant réinitialisation d'un événement WMI, il existe une expression pour chaque état d'intégrité.
Étant donné que les critères peuvent être spécifiés dans la clause WHERE de la requête WMI, une expression est souvent inutile dans une analyse d'événements WMI. Il est uniquement requis si la requête doit renvoyer plusieurs enregistrements. Règles d'événement WMI s'appuient sur les critères dans la requête elle-même et n'autorisent pas une expression. Les Assistants de la console opérations requièrent cependant que les critères soient spécifiées dans les analyses des événements WMI. Si aucun critère n'est requis, critères factices doivent être spécifiés dans l'Assistant et supprimées puis en affichant les propriétés de l'analyse après sa création.
Les propriétés disponibles pour un événement WMI varient en fonction du type d'événement en cours d'analyse. Les propriétés disponibles varient également, en fonction des propriétés de la classe WMI inclus dans la requête. Les données prendront la forme d'un conteneur de propriétés qui possède un ensemble de propriétés pour une ou plusieurs instances de classe WMI. Les événements WMI créés à l'aide d'une requête qui utilise __InstanceCreationEvent ou __InstanceDeletionEvent auront un ensemble unique appelé TargetInstance avec l'instance créée ou supprimée. Les événements WMI créés à l'aide de __InstanceModificationEvent auront un ensemble supplémentaire appelé PreviousInstance.
La syntaxe des propriétés provenant d'un événement WMI est la suivante :
Collection[@Name='TargetInstance']/Property[@Name='Caption']
Par exemple, la requête WMI analyse la modification dans un fichier nommé c:\MyApp\MyAppLog.txt.
SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'CIM_DataFIle' AND TargetInstance.Name = 'C:\\MyApp\\MyAppLog.txt'
En supposant que les données sont ajoutées au fichier de modification de la taille de fichier et le déclenchement de la requête, les exemples de propriétés à partir de cette requête sont affichés dans le tableau suivant :
Propriété |
Syntaxe |
---|---|
Taille du fichier d'origine |
Collection[@Name='PreviousInstance']/Property[@Name='FileSize'] |
Nouvelle taille du fichier |
Collection[@Name='TargetInstance']/Property[@Name='FileSize'] |
Minuteur de réinitialisation automatique
Le Timer de réinitialisation automatique page est disponible uniquement pour les moniteurs de réinitialisation du minuteur. Il vous permet de définir le temps qui doit s'écouler après que l'alerte est créée avant que l'alerte est résolue automatiquement.
Configurer l'intégrité
Le configurer l'intégrité page est uniquement disponible pour les moniteurs. Il vous permet de spécifier l'état d'intégrité qui est définie pour chacun des événements. Pour analyse, de réinitialisation manuelle du réinitialisation manuelle condition sera Sain, et vous pouvez spécifier si le événement déclenché condition définira le moniteur sur un avertissement ou un critique état. Pour un réinitialisation du minuteur ou réinitialisation d'un événement WMI, vous pouvez spécifier l'état d'intégrité définie par chaque événement. Le premier événement définira généralement l'analyse sur avertissement ou critique tandis que le second événement ou la minuterie définira le moniteur sur Sain.
Configurer les alertes
Le configurer des alertes page est uniquement disponible pour les analyses et les règles d'alerte. Les options sont décrites dans Alertes.
Création de règles et analyses des événements WMI
La procédure suivante montre comment créer une analyse d'événement WMI dans Operations Manager avec les informations suivantes :
S'exécute sur tous les agents avec un service particulier est installé.
Définit l'analyse un critique état lorsque le bloc-notes est démarré sur l'ordinateur agent.
Définit l'analyse un intègre état lorsque le bloc-notes est terminé sur l'ordinateur agent.
Notes
Cet exemple n'est pas destiné à illustrer un scénario réel, dans la mesure où il n'y aurait une valeur minimale dans l'analyse lorsque le bloc-notes est démarré. Il via représente un scénario courant d'analyse deux différents événements WMI dans un moniteur. Utilisez le bloc-notes fournit un exemple qui est plus facile de tester en démarrant et en arrêtant le bloc-notes sur l'ordinateur agent.
Pour créer une analyse d'événement WMI
-
Si vous ne disposez pas de pack d'administration pour l'application que vous analysez, créez-en un à l'aide du processus dans Sélection d'un fichier de Pack d'administration.
-
Créer une cible à l'aide du processus dans Pour créer un modèle de Service Windows. Vous pouvez utiliser n'importe quel service installé sur un agent de test pour ce modèle.
-
Dans la console Opérateur, sélectionnez l'espace de travail Création.
-
Droit analyses, sélectionnez créer une analyse, puis sélectionnez analyse d'unités.
-
Sur le Type de moniteur page, procédez comme suit :
Développez événements WMI, puis détection d'événement Simple, puis réinitialisation d'événement WMI.
Sélectionnez le pack d'administration de l'étape 1.
Cliquez sur Suivant.
-
Dans la page Général, procédez comme suit :
Dans le nom tapez erreur d'événement WMI MyApplication.
Cliquez sur Sélectionnez devant le Moniteur cible boîte.
Regard analyse cible cliquez sur Sélectionnez puis sélectionnez le nom de la cible que vous avez créé à l'étape 2.
Dans le analyse parente boîte, sélectionnez disponibilité.
Laissez le est activée case à cocher est activée, sélectionnez et cliquez sur Suivant.
-
Sur le premier fournisseur d'événements WMI page, procédez comme suit :
Dans le espace de noms WMI tapez root\cimv2.
Dans le requête tapez la requête WMI.
Select * From __InstanceCreationEvent WITHIN 60 Where TargetInstance ISA 'Win32_Process' and TargetInstance.Name = 'notepad.exe'
Dans le l'intervalle d'interrogation tapez 60.
Cliquez sur Suivant.
-
Sur le construire la première Expression page, procédez comme suit :
Notes
Dans cet exemple, critères est inclus dans la requête WMI, aucune expression n'est requis dans l'analyse. Étant donné que l'Assistant d'événement WMI dans la console Opérateur requiert une expression pour chaque événement, expressions factices seront fournies pour terminer l'Assistant et puis supprimées une fois l'analyse est créée.
Cliquez sur Insérer.
Dans le nom de paramètre zone fantôme.
Dans le opérateur boîte Sélectionnez est égal à.
Dans le valeur zone fantôme.
Cliquez sur Suivant.
-
Sur le deuxième fournisseur d'événements WMI page, procédez comme suit :
Dans le espace de noms WMI tapez root\cimv2.
Dans le requête collez la requête WMI suivante dans la zone.
Select * From __InstanceDeletionEvent WITHIN 60 Where TargetInstance ISA 'Win32_Process' and TargetInstance.Name = 'notepad.exe'
Dans le l'intervalle d'interrogation tapez 60.
Cliquez sur Suivant.
-
Sur le Expression deuxième page, procédez comme suit :
Cliquez sur Insérer.
Dans le nom de paramètre zone fantôme.
Dans le opérateur boîte Sélectionnez est égal à.
Dans le valeur zone fantôme.
Cliquez sur Suivant.
-
Dans la page Configurer l'intégrité, procédez comme suit :
Regard FirstEventRaised, modifier le état d'intégrité à critique.
Cliquez sur Suivant.
-
Sur le configurer des alertes page, procédez comme suit :
Vérifiez génèrent des alertes pour ce moniteur
Dans le génère une alerte lorsque boîte, sélectionnez le moniteur se trouve dans un état critique.
Laissez la case pour résoudre automatiquement l'alerte.
Dans le nom de l'alerte tapez processus Notepad détecté
Cliquez sur le bouton de sélection en regard description d'alerte.
Effacer le contenu de la valeur zone, puis tapez chemin d'accès du fichier exécutable : .
Cliquez sur données, puis Collection, puis propriété.
Dans la variable, remplacez << INT >> avec « TargetInstance » et << chaîne >> avec ExecutablePath. Le texte final dans le valeur case doit être chemin d'accès du fichier exécutable : $Data/Context/Collection["TargetInstance"]/Property[@Name="ExecutablePath"]$
Cliquez sur OK.
-
Cliquez sur Créer.
-
Droit erreur d'événement WMI MyApplication et sélectionnez propriétés.
-
Sur le première Expression cliquez sur Supprimer.
-
Sur le Expression deuxième cliquez sur Supprimer.
-
Cliquez sur OK.