Condividi tramite


Eventi del Registro di sistema

 

Si applica a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

<_caps3a_sxs _xmlns3a_caps="https://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="it-IT">Gli eventi Syslog possono essere utilizzati per raccogliere i messaggi da sistemi Unix e altri dispositivi in Operations Manager. Registro di sistema possono essere eseguite su un agente che è il ricevitore di messaggi da uno o più dispositivi. Quando viene eseguita la regola, l'agente per ascolto dei messaggi sulla porta UDP 514. Questo è l'unica porta che può essere utilizzata.DestinazioneRegole e monitoraggi eseguiti sul computer dell'agente di ogni istanza della classe di destinazione e accedono in genere i dati nel computer locale. Monitoraggi e regole SNMP è in genere utilizzano informazioni da un computer o un dispositivo diverso da quello che esegue i monitoraggi o regole. Per i trap SNMP, il monitoraggio o la regola deve essere in esecuzione sull'agente che riceve le trap. Il dispositivo deve essere configurato per il recapito di trap all'agente. Per le ricerche SNMP, il monitoraggio o la regola deve essere in esecuzione su qualsiasi agente che è autorizzato ad accedere al dispositivo con SNMP. Il dispositivo potrebbe essere necessario configurare per consentire la comunicazione da questo agente.Dispositivi di rete individuati con la procedura guidata di individuazione vengono gestiti da un pool di risorse specificato durante il processo di individuazione. Un pool di risorse contiene uno o più server di gestione. È possibile utilizzare le classi per questi dispositivi come destinazioni e la regola o il monitoraggio verrà eseguito in ogni computer nel pool di risorse. In questo caso, il dispositivo sarà necessario inviare trap SNMP a tutti i computer nel pool e consentire l'accesso a ciascun computer nel pool per probe SNMP.Procedure guidate evento SyslogNella tabella seguente sono elencate le procedure guidate disponibili per entrambi i file di testo delimitato da virgole e semplice.Oggetto Management PackProcedure guidate disponibiliMonitoraggiNessunoRegoleRegola di generazione avvisiRegola di raccolta eventiOpzioni della procedura guidata evento SyslogQuando si esegue una creazione guidata regola di evento Syslog, sarà necessario fornire valori per le opzioni nelle tabelle seguenti. Ogni tabella rappresenta una singola pagina della procedura guidata.GeneraleIl Generale pagina include le impostazioni generali per la regola, inclusi il nome, categoria, destinazione e file del management pack per memorizzare in.OpzioneDescrizioneNomeNome utilizzato per la regola. Viene visualizzato il nome di regole visualizzare nel Authoring riquadro. Quando si crea una vista o un report, è possibile selezionare il nome da utilizzare i dati raccolti da esso.DescrizioneDescrizione facoltativa della regola.Management PackFile del management pack per archiviare la regola o monitoraggio.Per ulteriori informazioni sui management pack, vedere Selecting a Management Pack.Categoria della regola (solo regole)Categoria per la regola. Per una regola di raccolta di eventi deve essere la raccolta degli eventi. Per una regola di avviso, deve essere avviso.Monitoraggio padre (solo monitor)Monitoraggio aggregato che verrà posizionato il monitoraggio in Esplora stati. Per altre informazioni, vedere Aggregate Monitors.DestinazioneLa classe da utilizzare per la destinazione della regola. La regola verrà eseguita su qualsiasi agente che ha almeno un'istanza di questa classe. Per ulteriori informazioni sulle destinazioni, vedere Targets, Groups, and Objects.La regola è attivataSpecifica se la regola è attivata.Crea espressione eventoIl Crea espressione evento pagina consente di filtrare eventi specifici da raccogliere o per generare un avviso. Le proprietà di dati del Registro di sistema vengono visualizzate nella tabella seguente:Nome proprietà:DescrizioneFunzionalitàLa funzionalità dell'evento che utilizza uno dei valori della tabella che segue.GravitàValore numerico che indica la gravità dell'evento utilizzando uno dei valori seguenti:0 - emergenza1 - avviso2 - critico3 - errore4 - avviso5 - avviso6 - info7 - debugPrioritàPriorità numerica del messaggio.PriorityNameDescrizione del livello di priorità.TimeStampOra in cui è stato inviato il messaggio.HostNameNome del dispositivo di invio del messaggio.MessaggioTesto del messaggioL'espressione evento conterrà quasi sempre il nome Host, oltre a una o più proprietà in base ai criteri desiderati. Poiché un singolo server di gestione può ricevere messaggi da più dispositivi di rete, deve essere in grado di determinare quale dispositivo ha inviato un evento specifico. Se il nome Host non è incluso nei criteri, probabilmente un singolo evento creerà un avviso distinto per ogni dispositivo.Valori di funzioneIl valore per il funzionalità proprietà definisce la parte del sistema che il messaggio proviene da. Avrà uno dei valori indicati nella tabella seguente:FunzionalitàDescrizioneValore0KernelMessaggi del kernel1UtenteMessaggi a livello di utente2Posta elettronicaSistema di posta elettronica3DaemonDaemon di sistema4AutenticazioneProtezione e dell'autorizzazione5Registro di sistemaMessaggi interni Syslog6LPRSottosistema Line printer7NotizieNovità di rete8UUCPProgramma per la copia da UNIX a Unix9CronDaemon cron10Auth2Protezione e dell'autorizzazione11FTPDaemon FTP12NTPSottosistema di runtime di rete13LogAuditLivello di controllo14LogAlertMessaggio di avviso15Cron2Daemon cron16Local0Utilizzo locale 017Local1Utilizzo locale 118Locale2Utilizzo locale 219Local3Utilizzo locale 320Local4Utilizzo locale 421Local5Utilizzo locale 522Local6Utilizzo locale 623Local7Utilizzo locale 7Configura avvisiIl Configura avvisi pagina è disponibile solo per i monitoraggi e le regole di avviso. Vengono descritte le opzioni disponibili in Alerts.Creazione di regole di evento SyslogLa procedura seguente viene illustrato come creare un evento Syslog nella regola avvisi Operations Manager con i dettagli seguenti:Viene eseguito su tutti i dispositivi di rete.Genera un avviso per qualsiasi messaggio con un livello di gravità dell'errore o peggio.Per creare un evento Syslog regola avvisiSe non si dispone di un Management Pack per l'applicazione monitorata, crearne uno utilizzando il processo descritto in Selecting a Management Pack.Nella console operatore, selezionare il Authoring area di lavoro e quindi selezionare regole.Fare doppio clic su regole e selezionare creare una nuova regola.Nel tipo di regola pagina, eseguire le operazioni seguenti:Espandere regole che generano avvisi, espandere basato su eventi, quindi fare clic su Syslog (avviso).Selezionare il management pack dal passaggio 1.Fare clic su Avanti.Nella pagina Generale, eseguire le operazioni seguenti:Nel Nome regola digitare avviso su messaggi syslog.Nel categoria della regola selezionare avviso.Accanto a destinazione regola fare clic su selezionare.Selezionare Visualizza tutte le destinazioni.Nell'elenco delle destinazioni selezionare nodo e quindi fare clic su OK.Lasciare regola è attivata selezionato.Fare clic su Avanti.Nel Crea espressione evento pagina, eseguire le operazioni seguenti:Fare clic su Inserisci.Nel nome del parametro digitare gravità.Nel operatore selezionare minore o uguale a.Nel valore digitare 3.Fare clic su Inserisci.Nel nome del parametro digitare HostName.Nel operatore selezionare è uguale a.Fare clic sul pulsante puntini di sospensione accanto a valore e fare clic su indirizzo dell'agente SNMP.Fare clic su Avanti.Nel Configura avvisi pagina, eseguire le operazioni seguenti:Nel Nome avviso digitare messaggio di errore Syslog ricevutoNel Descrizione avviso digitare $Data/EventData/DataItem/messaggio$.Scegliere Crea.Event Monitors and Rules Alerts <_caps3a_sxssource locale="en-US">Syslog events can be used to collect messages from Unix systems and other devices in Operations Manager. Syslog rules can be run on an agent that is the receiver of messages from one or more devices. When the rule is run, the agent will listen for messages on UDP port 514. This is the only port that can be used.TargetRules and monitors run on the agent computer of each instance of the target class, and they usually access data on the local computer. SNMP rules and monitors typically work with information from a computer or device different from the one running the monitors or rules. For SNMP traps, the monitor or rule needs to be running on the agent that receives the trap. The device needs to be configured to deliver traps to this agent. For SNMP probes, the monitor or rule needs to be running on any agent that is authorized to access the device with SNMP. The device may need to be configured to allow communication from this agent.Network devices that are discovered with the Discovery Wizard are managed by a resource pool that you specify during the discovery process. A resource pool contains one or more management servers. You can use the classes for these devices as targets, and the rule or monitor will run on each computer in the resource pool. In this case, the device will need to send SNMP traps to each of the computers in the pool and allow access to each computer in the pool for SNMP probes.Syslog Event WizardsThe table below lists the wizards that are available for both simple and delimited text files.Management Pack ObjectWizards AvailableMonitorsNoneRulesAlert Generating ruleEvent collection ruleSyslog Event Wizard OptionsWhen you run a Syslog event rule wizard, you will need to provide values for options in the following tables. Each table represents a single page in the wizard.GeneralThe General page includes general settings for the rule including its name, category, target, and the management pack file to store it in.OptionDescriptionNameThe name used for the rule. The name appears in the Rules view in the Authoring pane. When you create a view or report, you can select this name to use the data collected by it.DescriptionOptional description of the rule.Management PackManagement pack file to store the rule or monitor.For more information on management packs, see Selecting a Management Pack.Rule Category (Rules only)The category for the rule. For an event collection rule, this should be Event Collection. For an alerting rule, this should be Alert.Parent Monitor (Monitors only)The aggregate monitor that the monitor will be positioned under in the Health Explorer. For more information, see Aggregate Monitors.TargetThe class to use for the target of the rule. The rule will be run on any agent that has at least one instance of this class. For more information on targets, see Targets, Groups, and Objects.Rule is enabledSpecifies whether the rule is enabled.Build Event ExpressionThe Build Event Expression page allows you to filter for specific events to be collected or to generate an alert. The Syslog data properties are shown in the following table:Property NameDescriptionFacilityThe facility of the event that uses one of the values from the table that follows.SeverityNumeric value that indicates the severity of the event using one of the following values:0 - Emergency1 - Alert2 - Critical3 - Error4 - Warning5 - Notice6 - Info7 - DebugPriorityNumeric priority of the message.PriorityNameText description of the priority level.TimeStampTime that the message was sent.HostNameName of the device sending the message.MessageText of the messageThe event expression will almost always contain the Host Name in addition to one or more properties depending on the criteria that you require. Since a single management server may receive messages from multiple network devices, it must be able to determine which device sent a particular event. If the Host Name is not in the criteria, then a single event will most likely create a separate alert for each device.Facility ValuesThe value for the facility property defines the part of the system that the message originated from. It will have one of the values from the following table:FacilityDescriptionValue0KernelKernel messages1UserUser-level messages2MailMail System3DaemonsSystem daemons4AuthSecurity and authorization5SyslogSyslog internal messages6LPRLine printer subsystem7NewsNetwork news8UUCPUnix-to-Unix copy program9CronCron daemon10Auth2Security and authorization11FTPFTP daemon12NTPNetwork time subsystem13LogAuditAudit level14LogAlertMessage alert15Cron2Cron daemon16Local0Local use 017Local1Local use 118Local2Local use 219Local3Local use 320Local4Local use 421Local5Local use 522Local6Local use 623Local7Local use 7Configure AlertsThe Configure Alerts page is only available for monitors and alerting rules. Its options are explained in Alerts.Creating Syslog Event RulesThe following procedure shows how to create a Syslog event alerting rule in Operations Manager with the following details:Runs on all network devices.Generates an alert for any message with a severity of error or worse.To create a Syslog event alerting ruleIf you don’t have a management pack for the application that you are monitoring, create one using the process in Selecting a Management Pack.In the Operations console, select the Authoring workspace, and then select Rules.Right-click Rules and select Create a new rule.On the Rule Type page, do the following:Expand Alert Generating Rules, expand Event Based, and then click Syslog (Alert).Select the management pack from step 1.Click Next.On the General page, do the following:In the Rule Name box, type Alert on syslog message.In the Rule Category box, select Alert.Next to Rule Target click Select.Select View all targets.In the list of targets, select Node and then click OK.Leave Rule is enabled selected.Click Next.On the Build Event Expression page, do the following:Click Insert.In the Parameter Name box type Severity.In the Operator box select Less than or equal to.In the Value box type 3.Click Insert.In the Parameter Name box type HostName.In the Operator box select Equals.Click the ellipse button next to Value and click SNMP Agent Address.Click Next.On the Configure Alerts page, do the following:In the Alert name box, type Syslog error message receivedIn the Alert description box, type $Data/EventData/DataItem/Message$.Click Create.Event Monitors and Rules Alerts