Monitor Event Log
Die Aktivität „Monitor Event Log“ ruft Runbooks auf, wenn neue Ereignisse, die einem von Ihnen angegebenen Filter entsprechen, im Windows-Ereignisprotokoll angezeigt werden. Sie können die Aktivität „Monitor Event Log“ verwenden, um Runbooks auszuführen, die im Windows-Ereignisprotokoll generierte Probleme eskalieren, untersuchen oder beheben. Zum Beispiel wird eine fehlgeschlagene Sicherheitsüberwachung im Sicherheitsprotokoll angezeigt, das eine E-Mail an einen Admin sendet, um über das Problem zu informieren. Der zweite Modus ruft Ihr Runbook auf, wenn die Größe des Windows-Ereignisprotokolls die maximal zulässige Größe erreicht.
Konfigurieren der Überwachungsereignisprotokollaktivität
Bevor Sie die Aktivität „Monitor Event Log“ konfigurieren, müssen Sie Folgendes ermitteln:
Name des Ereignisprotokolls, das Sie überwachen
Details zu den Ereignissen, die das Runbook aufrufen
Führen Sie die folgenden Schritte aus, um die Aktivität "Ereignisprotokoll überwachen" zu konfigurieren:
Ziehen Sie aus dem Aktivitätsbereich eine Aktivität Monitor Event Log in das Runbook.
Doppelklicken Sie auf das Aktivitätssymbol Monitor Event Log, um das Dialogfeld Eigenschaften zu öffnen.
Konfigurieren Sie die Einstellungen auf den Registerkarten Details und Erweitert. Konfigurationsanweisungen sind in den folgenden Tabellen aufgeführt.
Registerkarte „Details"
| Einstellungen | Konfigurationsanweisungen |
|---|---|
| Computer | Geben Sie den Namen des Computers ein, auf dem das Windows-Ereignisprotokoll gespeichert ist, das Sie überwachen möchten. Sie können den Computer auch mit den Auslassungspunkten (…) suchen. Der Runbookserver, auf dem diese Aktivität ausgeführt wird, muss über die entsprechenden Rechte verfügen, um das Windows-Ereignisprotokoll auf diesem Computer zu überwachen. |
| Ereignisprotokoll | Geben Sie den Namen des Windows-Ereignisprotokolls ein, das Sie überwachen. Sie können auch über die Schaltfläche mit den Auslassungspunkten (…) nach dem Windows-Ereignisprotokoll suchen. Windows enthält standardmäßig drei Ereignisprotokolle: Anwendung, Sicherheit und System. Der Computer, mit dem Sie eine Verbindung herstellen, kann andere Ereignisprotokolle enthalten. |
| Message filters | Die Liste zeigt alle konfigurierten Filter, die die Ereignisse filtern, die in dem von Ihnen angegebenen Protokoll generiert werden. Um ein Element in der Liste zu bearbeiten oder zu entfernen, wählen Sie es aus und klicken Sie auf Bearbeiten oder Entfernen, je nachdem, was zutrifft. Hinzufügen eines Ereignisfilters 1. Klicken Sie auf Hinzufügen, um das Dialogfeld Filtereigenschaften zu öffnen. 2. Wählen Sie die Eigenschaft des Ereignisprotokolleintrags aus, nach der Sie filtern möchten. Sie können nach Kategorie, Beschreibung, Ereignis-ID, Quelle und Typ, die dem Ereignis zugeordnet sind, filtern. 3. Geben Sie die Beziehung an, die Sie verwenden, um den Wert der Ereigniseigenschaft mit dem Filterwert zu vergleichen. Wenn Sie Kategorie, Beschreibung, Typ und Quelle auswählen, können Sie Enthält oder Enthält nicht angeben. Für Ereignis-ID können Sie angeben: ist ungleich, ist gleich, ist kleiner als , ist kleiner als oder gleich, ist größer als und ist größer als oder gleich. 4. Geben Sie den Filterwert an, mit dem Sie die Ereigniseigenschaft vergleichen möchten. Geben Sie für Kategorie, Beschreibung und Quelle die Zeichenfolge ein, die in der Eigenschaft enthalten ist. Geben Sie für die Ereignis-ID den numerischen Wert ein, der mit der ID des Ereignisses verglichen wird. Wählen Sie für die Bedingung Typ den spezifischen Ereignistyp aus, nach dem Sie filtern möchten,wie etwa Fehler, Warnung, Information, Erfolgsüberwachung oder Fehlerüberwachung. |
Veröffentlichte Daten
In der folgenden Tabelle sind die veröffentlichten Daten aufgeführt.
| Artikel | Beschreibung |
|---|---|
| Ereignisprotokollname | Der Name des überwachten Windows-Ereignisprotokolls. |
| Computer | Der Name des Computers, auf dem das Windows-Ereignisprotokoll gespeichert ist. |
| Beschreibung des Protokolleintrags | Der Text, der in der Beschreibung des Ereignisprotokolleintrags enthalten ist. |
| Protokolleintrags-ID | Die ID des Ereignisprotokolleintrags |
| Protokolleintragsquelle | Die Quelle des Ereignisses. |
| Protokolleintragscomputer | Der Computer, auf dem das Ereignis aufgetreten ist |
| Protokolleintragstyp | Den Typ des Ereignisses |
| Protokolleintragsdatum | Datum, zu dem das Ereignis protokolliert wurde |
| Protokolleintragszeit | Zeitpunkt, zu dem das Ereignis protokolliert wurde |