Partager via

  • Article

Événements Windows

 

S'applique à: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

De nombreuses applications Windows publier des informations sur les événements dans un journal des événements Windows. Cela peut être un journal standard tels que Application ou un journal spécifique à l'application en cours d'analyse. Ces événements suivent un format standard et contiennent souvent des informations détaillées sur le problème. Si l'application que vous analysez crée un événement Windows en réponse à un problème particulier, cela est probablement le moyen le plus efficace pour détecter le problème dans un Operations Manager pack d'administration.

Lorsque vous créez une règle ou une analyse qui utilise des événements Windows, Operations Manager surveille en permanence le journal et répond immédiatement lors de la détection d'un événement correspondant aux critères spécifiés. Ces événements sont conservées ce qui signifie qu'ils sont disponibles une fois qu'ils sont initialement créés.Operations Manager enregistre la dernière position sa lecture dans le journal et continuer à partir de cet emplacement la prochaine fois qu'il lit le journal. Si le service de contrôle d'intégrité de l'agent ne fonctionne pas lorsqu'un événement particulier est créé, Operations Manager détectera la prochaine fois que l'agent est démarré.

Assistants d'événements Windows

Le tableau suivant répertorie les Assistants disponibles pour les événements de Windows.

Options de l'Assistant événements Windows

Lorsque vous exécutez un Assistant règle ou analyse d'événement Windows, vous devez fournir des valeurs pour les options dans les tableaux suivants. Chaque tableau représente une page de l'Assistant.

Général

Le Général page contient les paramètres généraux de la règle ou l'Assistant, notamment son nom, catégorie, cible et le fichier de pack d'administration pour stocker dans.

Option

Description

Nom

Le nom utilisé pour la règle ou l'analyse. Pour une règle, le nom apparaît dans les règles afficher dans le Création volet. Lorsque vous créez un affichage ou un rapport, vous pouvez sélectionner ce nom à utiliser les données collectées par celle-ci. Pour une analyse, le nom apparaît dans l'Explorateur d'intégrité de tous les objets cibles.

Description

Description facultative de la règle ou l'analyse.

Pack d'administration

Fichier de pack d'administration pour stocker la règle ou l'analyse.

Pour plus d'informations sur les packs d'administration, consultez Sélection d'un fichier de Pack d'administration.

Catégorie de règle (règles uniquement)

Catégorie de la règle. Pour une règle de collecte d'événements, cela devrait être collecte d'événements. Pour une règle d'alerte, cela devrait être alerte.

Analyse parente (moniteurs uniquement)

Le moniteur d'agrégation est placé sous le moniteur dans l'Explorateur d'intégrité. Pour plus d'informations, voir Moniteurs agrégation.

Target

La classe à utiliser pour la cible de la règle ou l'analyse. La règle ou l'analyse est exécuté sur n'importe quel agent qui a au moins une instance de cette classe. Pour plus d'informations sur les cibles, consultez Explication des classes et des objets.

La règle est activée

Analyse activée

Spécifie si la règle ou l'analyse est activée.

Type de journal des événements

Le Type de journal des événements page inclut le nom du journal des événements où vous prévoyez l'événement doit être créé. Il y a un seul Type de journal des événements page pour une collection ou la règle d'alerte et d'un moniteur à l'aide de réinitialisation manuelle ou un minuteur. Pour une analyse en utilisant Réinitialiser l'événement Windows, vous devez définir le journal pour la condition d'erreur et la condition saine. Vous spécifierez généralement le même journal pour les deux conditions, mais un autre journal peut être utilisé pour chacun.

Vous pouvez taper le nom du journal des événements dans le nom_journal zone, ou cliquez sur le bouton de sélection et sélectionnez un journal.

Expression d'événement

En plus du nom du journal pour récupérer des événements, les workflows à l'aide d'un événement Windows doivent spécifier des critères suffisantes pour identifier les événements liés au problème identifié. Souvent, le Event ID et le Event Source sera suffisant à cet effet. Cela dépend du type d'informations fournies par l'application dans l'événement particulier en plus de la cible qui est utilisée pour l'analyse. Si la classe utilisée comme cible pour l'analyse doit disposer de plusieurs instances sur un agent particulier, ces deux propriétés sont probablement insuffisantes pour l'unicité. À moins que les critères inclus une propriété de clé de la classe cible les critères seraient éventuellement appliquer à toutes les instances.

Il y a un seul Type de journal des événements page pour chaque collection de pages de Type de journal des événements ou d'une règle d'alerte et d'un moniteur à l'aide de réinitialisation manuelle ou un minuteur. Pour une analyse en utilisant Réinitialiser l'événement Windows, vous devez définir le journal pour la condition d'erreur et la condition saine. Vous spécifierez généralement le même journal pour les deux conditions, mais un autre journal peut être utilisé pour chacun.

Le tableau suivant répertorie les propriétés disponibles à partir des événements de Windows. Ces propriétés sont accessibles pour définir des critères dans les règles et analyses et peuvent être incluses dans les descriptions d'alertes.

Expression

Description

Source de l'événement

Source de l'événement. Généralement utilisé dans les critères de l'analyse ou la règle.

LogName/canal

Nom du journal des événements tels que l'Application ou du système.

Ordinateur de connexion

Nom de l'ordinateur de consignation de l'événement.

ID de l'événement

Numéro de l'événement.

Catégorie d'événement

Catégorie de l'événement.

Niveau d'événement

Gravité de l'événement qui utilise l'une des valeurs suivantes.

  • Réussite (0)

  • Erreur (1)

  • Avertissement (2)

  • Informations (4)

  • Audit des succès (8)

  • Audit des échecs (16)

Utilisateur

Nom du compte d'utilisateur qui a été utilisé pour créer l'événement.

EventDescription

Description de l'événement complète.

Paramètre

Collection de paramètres d'événement.

Minuteur de réinitialisation automatique

Le Timer de réinitialisation automatique page est disponible uniquement pour les moniteurs de réinitialisation du minuteur. Il vous permet de définir le temps qui doit s'écouler après que l'alerte est créée avant que l'alerte est résolue automatiquement.

Configurer l'intégrité

Le configurer l'intégrité page est uniquement disponible pour les moniteurs. Il vous permet de spécifier l'état d'intégrité qui est définie pour chacun des événements. Pour analyse, de réinitialisation manuelle du réinitialisation manuelle condition sera Sain, et vous pouvez spécifier si le événement déclenché condition définira le moniteur sur un avertissement ou un critique état. Pour un réinitialisation du minuteur ou Réinitialiser l'événement Windows, vous pouvez spécifier l'état d'intégrité définie par chaque événement. Le premier événement définira généralement l'analyse sur avertissement ou critique tandis que le second événement ou la minuterie définira le moniteur sur Sain.

Configurer les alertes

Le configurer des alertes page est uniquement disponible pour les analyses et les règles d'alerte. Les options sont décrites dans Alertes.

Création d'analyses des événements Windows

Comment créer une analyse d'événements Windows

Utilisez la procédure suivante pour créer un observateur d'événements dans Operations Manager avec les informations suivantes :

  • S'exécute sur tous les agents avec un service particulier est installé.

  • Définit l'analyse un critique d'état lorsqu'un événement dans le Application avec une source d'événement du journal des événements EventCreateet un numéro d'événement 101 est détecté.

  • Définit l'analyse un intègre d'état lorsqu'un événement dans le Application avec une source d'événement du journal des événements EventCreateet un numéro d'événement 102 est détecté.

Notes

EventCreate est utilisé comme source d'événements afin que l'utilitaire EventCreate peut être utilisé pour créer un événement de test. Cet utilitaire est disponible sur n'importe quel ordinateur Windows et crée des événements de test avec une source de EventCreate. Si vous avez une autre méthode de création d'événements de test, vous pouvez utiliser une autre source.

Pour créer un observateur d'événements

  1. Si vous ne disposez pas de pack d'administration pour l'application que vous analysez, créez-en un à l'aide du processus dans Sélection d'un fichier de Pack d'administration.

  2. Créer une cible à l'aide du processus dans Pour créer un modèle de Service Windows. Vous pouvez utiliser n'importe quel service installé sur un agent de test pour ce modèle.

  3. Dans la console Opérateur, sélectionnez l'espace de travail Création.

  4. Sélectionnez objets du Pack d'administration.

  5. Avec le bouton droit analyses, sélectionnez Create et analyse, puis sélectionnez analyse d'unités.

  6. Sur le Type de moniteur page, procédez comme suit :

    1. Dans le Sélectionner le type d'analyse pour créer développez événements Windows puis détection d'événement Simple.

    2. Sélectionnez réinitialisation d'événement Windows.

    3. Dans le Management Pack liste déroulante, sélectionnez le pack d'administration pour l'application.

    4. Cliquez sur Suivant.

  7. Dans la page Général, procédez comme suit :

    1. Dans le nom tapez événement d'erreur 101 ou un autre nom pour l'analyse. Il s'agit du texte qui apparaît dans l'Explorateur d'intégrité.

    2. Cliquez sur Sélectionnez.

    3. Dans le Sélectionner les éléments à cibler boîte de dialogue, sélectionnez le nom que vous avez utilisé pour le modèle de Service Windows à l'étape 2.

    4. Le analyse parente zone doit afficher disponibilité. Vous pouvez sélectionner une analyse de parents différents.

    5. Vérifiez que disponibilité est activée pour le analyse parente.

    6. Le est activée zone doit être vérifié afin que l'analyse est activée.

    7. Cliquez sur Suivant.

  8. Sur le journal des événements (événement défectueux) page, procédez comme suit :

    1. Dans le nom_journal zone, conservez la valeur par défaut Application.

    2. Cliquez sur Suivant.

  9. Sur le une Expression d'événement (événement défectueux) page, procédez comme suit :

    1. Pour le l'ID d'événement valeur, tapez 101

    2. Pour le Source d'événement valeur, tapez EventCreate

    3. Cliquez sur Suivant.

  10. Sur le journal des événements (événement intègre) page, procédez comme suit :

    1. Dans le nom_journal zone, conservez la valeur par défaut Application.

    2. Cliquez sur Suivant.

  11. Sur le une Expression d'événement (événement intègre) page, procédez comme suit :

    1. Pour le l'ID d'événement valeur, tapez 102

    2. Pour le Source d'événement valeur, tapez EventCreate

    3. Cliquez sur Suivant.

  12. Dans la page Configurer l'intégrité, procédez comme suit :

    1. Pour FirstEventRaised, modifier le état à critique.

    2. Pour le Source d'événement valeur, tapez EventCreate

    3. Cliquez sur Suivant.

  13. Sur le configurer des alertes page, procédez comme suit :

    1. Sélectionnez génèrent des alertes pour ce moniteur.

    2. Cliquez sur Créer.