Создание базового монитора коррелированных событий Windows в Operations Manager 2007
Назначение: Operations Manager 2007 R2, Operations Manager 2007 SP1
Одинарное событие, за которым сразу следует второе событие, может служить признаком серьезной проблемы. Для отслеживания таких проблем можно настроить базовый монитор коррелированных событий Windows, чтобы задать состояние работоспособности для двух разных событий, происходящих за короткий период времени.
В мастере создания монитора задаются три события подряд. Первое задаваемое событие является простым событием. Оно запускает таймер. Второе задаваемое событие является коррелированным. Оно сравнивается с простым событием, чтобы указать состояние работоспособности для монитора. Третье задаваемое событие является вторым коррелированным событием для сброса состояния работоспособности в состояние "Исправен".
Создание базового монитора коррелированных событий Windows
Войдите в компьютер с учетной записью, которая является членом роли пользователя "администраторы Operations Manager" или роли "дизайнеры Operations Manager" для данной группы управления Operations Manager 2007.
В консоли управления нажмите кнопку Создание и настройка.
В панели "Создание и настройка" раскройте Создание и настройка, раскройте Объекты пакета управления и выберите Мониторы.
Нажмите кнопку Изменить область,
В диалоговом окне Ориентация объектов пакета управления в текстовом поле Поиск введите Компьютер Windows, установите флажок Компьютер Windows, а затем нажмите кнопку ОК.
В панели "Мониторы" раскройте узлы Компьютер Windows и Работоспособность объекта, щелкните правой кнопкой мыши элемент Доступность, выберите команду Создать монитор, а затем щелкните Базовый монитор.
В мастере создания монитора на странице Выбор типа монитора раскройте События Windows, Обнаружение коррелированных событий, выберите Сброс события Windows, а затем нажмите кнопку Далее.
Примечание
Можно выбрать пакет управления из списка Выбор целевого пакета управления или создать новый незапечатанный пакет управления, нажав кнопку Создать. По умолчанию при создании объекта пакета управления, отключении правила или монитора, а также при создании переопределения Operations Manager сохраняет эту настройку в пакет управления по умолчанию. Рекомендуется создавать отдельный пакет управления для каждого запечатанного пакета управления, который требуется настроить, а не сохранять измененные настройки в пакете управления по умолчанию. Дополнительные сведения см. в разделе Пакет управления по умолчанию.
На странице Общие свойства в поле Имя введите имя базового монитора событий Windows, а затем можно ввести описание.
Раскройте список Родительский монитор, выберите необходимый родительский монитор и нажмите кнопку Далее.
На странице Имя журнала событий (для простого события) под элементом Имя журнала нажмите кнопку (…).
В диалоговом окне Выбор журнала событий в разделе Компьютер нажмите кнопку (…). Откроется Выбор компьютера. В поле Введите имена выбираемых объектов введите имя компьютер, а затем нажмите кнопку ОК.
В диалоговом окне Выбор журнала событий выберите один из доступных журналов событий, а затем нажмите кнопку ОК.
На странице Имя журнала нажмите кнопку Далее.
На странице Построить выражение события (для Создать выражение простого события) в строке ИД события щелкните значок предупреждения в столбце Оператор, а затем в раскрывающемся списке выберите оператор ИД события. В столбце Значение нажмите кнопку (…) и выберите значение для ИД события Windows, которое нужно отслеживать.
В строке Источник события щелкните значок предупреждения в столбце Оператор, а затем в раскрывающемся списке выберите оператор. В столбце Значение нажмите кнопку (…) и выберите значение, равное источнику события, а затем нажмите кнопку Далее.
Примечание
"ИД события" и "Источник" — свойства события, которые можно просмотреть в окне просмотра событий Windows.
На странице Имя журнала событий (для варианта Определение имени журнала событий А) под элементом Имя журнала нажмите кнопку (…).
На странице Выбор журнала событий под заголовком Компьютер нажмите кнопку (…) или введите имя компьютера, выберите один из доступных журналов событий, а затем нажмите кнопку ОК.
На странице Имя журнала нажмите кнопку Далее.
На странице Построение выражения события (для варианта Построение выражения журнала событий для А) задайте идентификатор события, равный идентификатору события Windows, за которым нужно наблюдать, задайте источник события, идентичный источнику данного события, а затем нажмите Далее.
Примечание
"ИД события" и "Источник" — свойства события, которые можно просмотреть в окне просмотра событий Windows.
На странице Имя журнала событий (для варианта Определение имени журнала событий Б) под элементом Имя журнала нажмите кнопку (…).
На странице Выбор журнала событий под заголовком Компьютер нажмите кнопку (…) или введите имя компьютера, выберите один из доступных журналов событий, а затем нажмите кнопку ОК.
На странице Имя журнала нажмите кнопку Далее.
На странице Построение выражения события (для варианта Построение выражения журнала событий Б) задайте идентификатор события, равный идентификатору события Windows, за которым нужно наблюдать, задайте источник события, идентичный источнику данного события, а затем нажмите Далее.
Примечание
"ИД события" и "Источник" — свойства события, которые можно просмотреть в окне просмотра событий Windows.
На странице Конфигурация коррелированных событий.
Под элементом Интервал корреляции укажите нужный интервал корреляции.
Примечание
Минимальное значение для интервала корреляции – 1 секунда. Максимальное значение – 2 147 483 647 секунд (около 68 лет).
В разделе Сведения о корреляции раскройте список Выполнять корреляцию при следующих событиях, выберите запись, описывающую отношение между простым событием (A) и первым коррелированным событием (B).
Нажмите кнопку Далее.
На странице Настройка работоспособности:
Для строки Вызвано коррелированное событие щелкните имя в столбце Рабочее состояние введите новое имя для данного события, щелкните состояние работоспособности в столбце Состояние работоспособности и выберите Работоспособное.
Для строки Вызвано событие щелкните имя в столбце Рабочее состояние и введите новое имя для данного события, щелкните состояние работоспособности в столбце Состояние работоспособности и выберите Критическое или Предупреждение.
Нажмите кнопку Далее.
На странице Настройка предупреждений задайте свойства данного предупреждения, а затем нажмите кнопку Создать.
Примечание
Работу данного монитора события можно проверить с помощью программы командной строки eventcreate.exe, которая включена в операционные системы Windows XP и Windows Server 2003. Ниже рассматривается пример: C:\WINNT\system32\eventcreate.exe /L SYSTEM /ID 100 /T ERROR /D "Системное событие с идентификатором 100 из источника EventCreate". Дополнительные сведения о функции EventCreate см. по адресу https://go.microsoft.com/fwlink/?LinkId=79244 (возможно, на английском языке).