WMI 事件
適用於: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager
WMI 事件 建立從作業系統中或在建立自己的 WMI 事件的應用程式中偵測特定動作的 WMI 查詢。 這些事件可以用來偵測處理程序所建立的檔案或登錄機碼遭到修改結束的這類動作。 WMI 事件不會保存。 因此,任何代理程式服務未執行時所建立的 WMI 事件都會遺失。
.jpeg "System_CAPS_note") 注意事項 |
|---|
本指南假設您如何建立 WMI 通知查詢的知識。 如需概觀主題和範例查詢請參閱 解除鎖定神秘的 WMI 事件在 MOM 中。 |
WMI 事件精靈
下表將列出可供 WMI 事件的精靈。
|
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
WMI 事件精靈選項
當您執行 WMI 事件規則或監視器精靈時,您必須提供下表中的選項值。 每個表格代表精靈中的一個頁面。
一般
一般 頁面包含的規則或監視器包括其名稱、 類別、 目標和管理組件檔案儲存在一般設定。
選項 |
說明 |
|---|---|
名稱 |
用於規則或監視器的名稱。 對於規則而言名稱會出現在 規則 檢視中 製作 窗格。 當您建立檢視表或報表時,您可以選取這個名稱才能使用它所收集的資料。 監視器,名稱會出現在 [健全狀況總管] 中的任何目標物件。 |
說明 |
選擇性的規則或監視器的詳細描述。 |
管理組件 |
若要將規則或監視器的管理組件檔案。 如需有關管理組件的詳細資訊,請參閱 選取管理封包檔。 |
規則分類 (只有規則) |
規則類別目錄。 這應該是事件收集規則 事件收集。 警示的規則,這應該是 警示。 |
父監視 (僅監視器) |
監視器會置於下健全狀況總管中的彙總監視。 如需詳細資訊,請參閱彙總監視器。 |
Target |
若要使用的規則或監視器的目標類別。 將具有至少一個這個類別的執行個體的任何代理程式上執行的規則或監視器。 如需有關目標的詳細資訊,請參閱 瞭解類別和物件。 |
規則已啟用 已啟用監視 |
指定是否啟用的規則或監視器。 |
WMI 組態 / WMI 事件提供者
WMI 組態 ] 頁面可讓您提供的 WMI 命名空間、 查詢和輪詢間隔。 會有單一 WMI 組態 頁面集合或警示規則和監視器使用手動或計時器重設。 使用監視器 WMI 事件重設, ,會有 WMI 事件提供者 頁面以定義查詢的錯誤狀況和健全狀況。
選項 |
說明 |
|---|---|
WMI 命名空間 |
包含用於 WMI 查詢類別的命名空間。 |
查詢 |
尋找出現的特定 WMI 事件的 WMI 通知查詢。 |
輪詢間隔 |
指定頻率 Operations Manager 輪詢發生事件的 WMI。 這個值應該是通知查詢的範圍子句中使用的值相同。 |
WMI 比對的輪詢間隔
.jpeg "WMI 資料來源輪詢間隔")
建立運算式
建置運算式 ] 頁面可讓您定義的篩選來自 WMI 查詢的資料。 會有單一 建置運算式 使用手動或計時器重設的 WMI 事件監視的頁面。 使用監視器 WMI 事件重設, ,還有每個健全狀態的運算式。
因為可以在 WMI 查詢的 WHERE 子句中指定準則,運算式通常不需要在 WMI 事件監視。 只需如果查詢需要傳回多筆記錄。 WMI 事件規則依賴在查詢本身的準則,但是不允許運算式。 Operations 主控台精靈不過需要中 WMI 事件監視指定的準則。 如果需要任何準則不,然後虛設條件必須是在精靈中指定然後移除藉由建立後檢視監視器的屬性。
WMI 事件可用的內容會視要監視的事件類型而不同。 可用的屬性將也會因查詢中所含的 WMI 類別的屬性。 資料會採取屬性包的形式,其中有一或多個 WMI 類別執行個體的內容集合。 利用使用 __InstanceCreationEvent 或 __InstanceDeletionEvent 的查詢建立的 WMI 事件會有名為 TargetInstance 的單一集合,其中包含要建立或刪除的執行個體。 使用 __InstanceModificationEvent 建立的 WMI 事件則還會有另一個名為 PreviousInstance 的集合。
WMI 事件的內容語法如下:
Collection[@Name='TargetInstance']/Property[@Name='Caption']
例如,名為 c:\MyApp\MyAppLog.txt 檔案中變更會監視下列 WMI 查詢。
SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'CIM_DataFIle' AND TargetInstance.Name = 'C:\\MyApp\\MyAppLog.txt'
假設資料加入至變更檔案大小的檔案並觸發查詢,此查詢的屬性的範例會顯示下表中:
屬性 |
語法 |
|---|---|
原始的檔案大小 |
Collection[@Name='PreviousInstance']/Property[@Name='FileSize'] |
新的檔案大小 |
Collection[@Name='TargetInstance']/Property[@Name='FileSize'] |
自動重設計時器
自動重設計時器 計時器重設監視器,才可以使用頁面。 它可讓您設定之後建立警示自動解決警示之前必須經過的時間。
設定健全狀況
設定健康情況 頁面只適用於監視。 它可讓您指定將會針對每個事件設定的健全狀態。 手動重設監視器 手動重設 條件將會 狀況良好, ,而且您可以指定是否 引發事件 條件會將監視器設定為 警告 或 嚴重 狀態。 針對 計時器重設 或 WMI 事件重設, ,您可以指定每個事件所設定的健全狀況狀態。 第一個事件通常設定為的監視器 警告 或 嚴重 第二個事件或計時器將設定監視器為 狀況良好。
設定警示
設定警示 頁面只適用於監視和警示規則。 它的選項將會說明 警示。
建立 WMI 事件監視器和規則
下列程序示範如何建立中的 WMI 事件監視 Operations Manager 利用下列詳細資料:
已安裝的特定服務的所有代理程式上執行。
將監視器設定為 重要 代理程式電腦上啟動 [記事本] 時的狀態。
將監視器設定為 狀況良好 代理程式電腦上結束 [記事本] 時的狀態。
| 注意事項 |
|---|
此範例不是因為在監視時啟動 [記事本] 中會有最小值說明真實世界的案例。 它會透過代表監視兩個監視器中的不同 WMI 事件的常見的案例。 使用 「 記事本 」 提供易於啟動和停止代理程式電腦上的 [記事本] 來測試的範例。 |
若要建立 WMI 事件監視
-
如果您沒有要監視之應用程式的管理組件,請使用選取管理封包檔中的程序建立一個。
-
建立新的目標使用中的程序 若要建立 Windows 服務範本。 您可以使用此範本的測試代理程式安裝任何服務。
-
在 Operations 主控台中,選取 [撰寫] 工作區。
-
以滑鼠右鍵按一下 監視器, 、 選取 建立監視器, ,然後選取 單位監視器。
-
在 監視器類型 頁面上,執行下列動作:
展開 WMI 事件, ,然後 簡易事件偵測, ,然後 WMI 事件重設。
從步驟 1 中選取管理組件。
按一下 [下一步]。
-
在 [一般] 頁面中執行下列步驟:
在 名稱 ] 方塊中輸入 MyApplication WMI 事件錯誤。
按一下 選取 旁邊 監視器目標 方塊。
旁邊 監視器目標 按一下 選取 然後選取您在步驟 2 中建立目標的名稱。
在 父監視 ] 方塊中選取 可用性。
保留 監視器已啟用 核取方塊,選取並按一下 下一步。
-
在 第一個 WMI 事件提供者 頁面上,執行下列動作:
在 WMI 命名空間 ] 方塊中輸入 root\cimv2。
在 查詢 方塊中輸入下列的 WMI 查詢。
Select * From __InstanceCreationEvent WITHIN 60 Where TargetInstance ISA 'Win32_Process' and TargetInstance.Name = 'notepad.exe'在 輪詢間隔 ] 方塊中輸入 60。
按一下 [下一步]。
-
在 建置第一個運算式 頁面上,執行下列動作:
注意事項在此範例中,準則包含在 WMI 查詢中,所以沒有運算式需要監視器中。 因為 WMI 事件精靈 Operations 主控台中的每個事件需要的運算式,會提供以完成精靈並接著刪除監視器建立之後虛擬運算式。
按一下 [插入]。
在 參數名稱 方塊中輸入 Dummy。
在 運算子 方塊選取 等於。
在 值 方塊中輸入 Dummy。
按一下 [下一步]。
-
在 第二個 WMI 事件提供者 頁面上,執行下列動作:
在 WMI 命名空間 ] 方塊中輸入 root\cimv2。
在 查詢 方塊中,貼上下列 WMI 查詢。
Select * From __InstanceDeletionEvent WITHIN 60 Where TargetInstance ISA 'Win32_Process' and TargetInstance.Name = 'notepad.exe'在 輪詢間隔 ] 方塊中輸入 60。
按一下 [下一步]。
-
在 第二個運算式 頁面上,執行下列動作:
按一下 [插入]。
在 參數名稱 方塊中輸入 Dummy。
在 運算子 方塊選取 等於。
在 值 方塊中輸入 Dummy。
按一下 [下一步]。
-
在 設定健康情況 頁面上,執行下列動作:
旁邊 FirstEventRaised, ,變更 健全狀況狀態 至 嚴重。
按一下 [下一步]。
-
在 設定警示 頁面上,執行下列動作:
檢查 產生此監視的警示
在 產生警示時 ] 方塊中選取 ,監視器就會在關鍵健全狀態。
將選取要自動解決警示方塊。
在 警示名稱 ] 方塊中輸入 「 記事本 」 程序偵測到
按一下省略符號按鈕旁邊 警示描述。
清除的內容 值 方塊,然後輸入 的可執行檔路徑: 。
按一下 資料, ,然後 集合, ,然後 屬性。
在變數中取代 << INT >> 與"TargetInstance"和 << 字串 >> 與 ExecutablePath。 中的最終文字 值 方塊應 的可執行檔路徑: $Data/Context/Collection["TargetInstance"]/Property[@Name="ExecutablePath"]$
按一下 [確定]。
-
按一下 [建立]。
-
以滑鼠右鍵按一下 MyApplication WMI 事件錯誤 選取 屬性。
-
在 第一個運算式 索引標籤上按一下 刪除。
-
在 第二個運算式 索引標籤上按一下 刪除。
-
按一下 [確定]。