Compartilhar via


Eventos WMI

 

Aplica-se a: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

Eventos WMI criados a partir de consultas WMI que detecta determinadas ações no sistema operacional ou em aplicativos que criam seus próprios eventos WMI. Esses eventos podem ser usados para detectar ações como um processo final, um arquivo que está sendo criado, ou uma chave do registro que está sendo modificada. Eventos WMI não são persistentes. Portanto, todos os eventos WMI que são criados quando o serviço de agente não está em execução serão perdidos.

System_CAPS_noteObservação

Este guia pressupõe conhecimento de como criar uma consulta de notificação do WMI. Para uma obter uma visão geral deste tópico e amostra, consulte consultas revelando o mistério dos eventos WMI no MOM.

Assistentes do evento WMI

A tabela a seguir lista os assistentes disponíveis para eventos WMI.

Opções do Assistente de evento WMI

Quando você executa um Assistente de regra ou monitor de evento do WMI, você precisará fornecer valores para opções nas tabelas a seguir. Cada tabela representa uma única página do assistente.

Geral

O geral página inclui configurações gerais para a regra ou monitor incluindo seu nome, categoria, destino e o arquivo de pacote de gerenciamento para armazená-lo no.

Opção

Descrição

Nome

O nome usado para a regra ou monitor. Para uma regra, o nome é exibido na regras exibir no criação painel. Quando você cria uma exibição ou um relatório, você pode selecionar esse nome para usar os dados coletados por ela. Para um monitor, o nome é exibido no Gerenciador de integridade de qualquer objeto de destino.

Descrição

Descrição opcional da regra ou monitor.

Pacote de Gerenciamento

Arquivo de pacote de gerenciamento para armazenar a regra ou monitor.

Para obter mais informações sobre pacotes de gerenciamento, consulte Selecionar um arquivo de pacote de gerenciamento.

Categoria de regra (regras)

A categoria para a regra. Uma regra de coleta de eventos deve ser coleta de eventos. Uma regra de alerta deve ser alerta.

Monitor pai (monitores)

O monitor de agregação que o monitor será posicionado no Gerenciador de integridade. Para obter mais informações, consulte Monitores agregados.

Destino

A classe a ser usado para o destino da regra ou monitor. A regra ou monitor será executado em qualquer agente que tenha pelo menos uma instância dessa classe. Para obter mais informações sobre destinos, consulte Noções básicas sobre classes e objetos.

A regra está ativada

Monitor habilitado

Especifica se a regra ou monitor está habilitado.

Configuração do WMI / provedor de eventos WMI

O configuração WMI página permite que você forneça o namespace do WMI, consulta e o intervalo de sondagem. Haverá um único configuração WMI página de uma coleção ou a regra de alerta e de um monitor usando redefinição manual ou temporizador. Para um monitor usando redefinição de evento WMI, haverá um provedor de eventos WMI página para definir a consulta para a condição de erro e a condição de integridade.

Opção

Descrição

Namespace do WMI

O namespace que contém a classe é usada na consulta WMI.

Consulta

Consulta de notificação de WMI que procura a ocorrência de um determinado evento WMI.

Intervalo de Sondagem

Especifica com que freqüência Operations Manager pesquisará o WMI para a ocorrência do evento. Esse valor deve ser igual ao valor usado na cláusula WITHIN da consulta de notificação.

Intervalos de pesquisa correspondentes do WMI

Intervalo de sondagem da fonte de dados WMI

Criar expressão

O criar expressão página permite que você definir um filtro para os dados provenientes da consulta WMI. Haverá um único criar expressão página para um monitor de evento WMI usando redefinição manual ou temporizador. Para um monitor usando redefinição de evento WMI, há uma expressão para cada estado de integridade.

Porque os critérios podem ser especificados na cláusula WHERE da consulta WMI, uma expressão não com freqüência é necessário em um monitor de evento do WMI. Só é necessário se a consulta deve retornar vários registros. Regras de evento WMI contam com os critérios da consulta em si e não permitem uma expressão. Os assistentes do console de operações embora requerem que critérios ser especificado em monitores de evento WMI. Se nenhum critério for necessária, fictícios critérios devem ser especificados no assistente e, em seguida, removidos exibindo as propriedades do monitor após sua criação.

As propriedades disponíveis para um evento WMI variarão, dependendo do tipo de evento sendo monitorado. As propriedades disponíveis também irá variar, dependendo das propriedades da classe WMI incluído na consulta. Os dados estarão na forma de de um recipiente de propriedades que tem uma coleção de propriedades para uma ou mais instâncias de classe WMI. Os eventos WMI criados com o uso de uma consulta que utiliza __InstanceCreationEvent ou __InstanceDeletionEvent terão uma única coleção chamada TargetInstance com a instância sendo criada ou excluída. Os eventos WMI criados com o uso de __InstanceModificationEvent terão uma coleção adicional chamada PreviousInstance.

A sintaxe para propriedades de um evento WMI é a seguinte:

Collection[@Name='TargetInstance']/Property[@Name='Caption']

Por exemplo, a seguinte consulta WMI monitora alterações em um arquivo chamado c:\MyApp\MyAppLog.txt.

SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA 'CIM_DataFIle' AND TargetInstance.Name = 'C:\\MyApp\\MyAppLog.txt'

Supondo que os dados são adicionados ao arquivo alterando o tamanho do arquivo e disparar a consulta, exemplos de propriedades dessa consulta são mostrados na tabela a seguir:

Propriedade

Sintaxe

Tamanho do arquivo original

Collection[@name='PreviousInstance']/Property[@name='FileSize']

Novo tamanho de arquivo

Collection[@name='TargetInstance']/Property[@name='FileSize']

Timer de Redefinição Automática

O Timer de redefinição automática página só está disponível para monitores de redefinição do timer. Ele permite que você defina o tempo que deve decorrer após o alerta é criado antes do alerta é resolvido automaticamente.

Configurar Integridade

O Configurar integridade página só está disponível para monitores. Ele permite que você especifique o estado de integridade será definido para cada um dos eventos. Para monitorar, de redefinição manual a redefinição Manual condição será Íntegro, e você pode especificar se o gerado condição colocará o monitor um Aviso ou um crítico estado. Para uma redefinição do Timer ou um redefinição de evento WMI, você pode especificar o estado de integridade definido por evento. O primeiro evento normalmente colocará o monitor Aviso ou crítico enquanto o segundo evento ou o temporizador definirá o monitor Íntegro.

Configurar Alertas

O Configurar alertas página só está disponível para monitores e regras de alerta. Suas opções são explicadas na Alertas.

Criação de regras e monitores de eventos do WMI

O procedimento a seguir mostra como criar um monitor de eventos WMI no Operations Manager com os seguintes detalhes:

  • É executado em todos os agentes com um determinado serviço instalado.

  • Define o monitor um crítica estado quando o bloco de notas é iniciado no computador do agente.

  • Define o monitor um Íntegro estado quando o bloco de notas é finalizado no computador do agente.

System_CAPS_noteObservação

Este exemplo não visa ilustrar um cenário do mundo real, pois haveria valor mínimo no monitoramento quando o bloco de notas é iniciado. Ele por meio de representar um cenário comum de dois eventos WMI diferentes em um monitor de monitoramento. Usar o bloco de notas fornece um exemplo que é fácil de testar Iniciando e parando o bloco de notas no computador do agente.

Para criar um monitor de evento WMI

  1. Se você não tiver um pacote de gerenciamento para o aplicativo que está monitorando, crie um usando o processo em Selecionar um arquivo de pacote de gerenciamento.

  2. Criar um novo destino usando o processo em Para criar um modelo de serviço do Windows. Você pode usar qualquer serviço instalado em um agente de teste para este modelo.

  3. No Console de Operações, selecione o espaço de trabalho Criação.

  4. Clique monitores, selecione criar um Monitor, e, em seguida, selecione Monitor de unidade.

  5. Sobre o tipo de Monitor página, faça o seguinte:

    1. Expanda eventos WMI, em seguida, detecção de evento simples, e então redefinição de evento WMI.

    2. Selecione o pacote de gerenciamento na etapa 1.

    3. Clique em Avançar.

  6. Na página Geral, faça o seguinte:

    1. No nome digite erro de evento WMI MyApplication.

    2. Clique em Selecione lado a destino do Monitor caixa.

    3. Ao lado destino do Monitor clique Selecione e, em seguida, selecione o nome do destino que você criou na etapa 2.

    4. No Monitor pai selecione disponibilidade.

    5. Deixe o está habilitado caixa marcada, selecione e clique em próximo.

  7. Sobre o primeiro provedor de eventos WMI página, faça o seguinte:

    1. No Namespace WMI digite root\cimv2.

    2. No consulta digite a seguinte consulta WMI.

      Select * From __InstanceCreationEvent WITHIN 60 Where TargetInstance ISA 'Win32_Process' and TargetInstance.Name = 'notepad.exe'
      
    3. No intervalo de sondagem digite 60.

    4. Clique em Avançar.

  8. Sobre o criar primeira expressão página, faça o seguinte:

    System_CAPS_noteObservação

    Neste exemplo, critérios estejam incluídos na consulta WMI, portanto nenhuma expressão é necessário no monitor. Como o Assistente de eventos WMI no console de operações requer uma expressão para cada evento, expressões fictícias serão fornecidas para concluir o assistente e então excluídas após a criação do monitor.

    1. Clique em Inserir.

    2. No nome de parâmetro digite fictício.

    3. No operador marque é igual a.

    4. No valor digite fictício.

    5. Clique em Avançar.

  9. Sobre o segundo provedor de eventos WMI página, faça o seguinte:

    1. No Namespace WMI digite root\cimv2.

    2. No consulta caixa, cole a seguinte consulta WMI.

      Select * From __InstanceDeletionEvent WITHIN 60 Where TargetInstance ISA 'Win32_Process' and TargetInstance.Name = 'notepad.exe'
      
    3. No intervalo de sondagem digite 60.

    4. Clique em Avançar.

  10. Sobre o segunda expressão página, faça o seguinte:

    1. Clique em Inserir.

    2. No nome de parâmetro digite fictício.

    3. No operador marque é igual a.

    4. No valor digite fictício.

    5. Clique em Avançar.

  11. Na página Configurar Integridade, siga este procedimento:

    1. Ao lado de FirstEventRaised, altere o estado de integridade para crítico.

    2. Clique em Avançar.

  12. Sobre o Configurar alertas página, faça o seguinte:

    1. Verificar Gerar alertas para este monitor

    2. No gerar um alerta quando selecione o monitor está em um estado de integridade crítico.

    3. Deixe a caixa marcada para resolver automaticamente o alerta.

    4. No nome do alerta digite processo do bloco de notas detectado

    5. Clique no botão de reticências ao lado Descrição de alerta.

    6. Limpar o conteúdo do valor caixa e, em seguida, digite caminho do executável: .

    7. Clique em dados, em seguida, coleção, em seguida, propriedade.

    8. Substitua a variável << INT >> com "TargetInstance" e << seqüência >> com ExecutablePath. O texto no final de valor caixa deve ser caminho do executável: $Data/Context/Collection["TargetInstance"]/Property[@Name="ExecutablePath"]$

    9. Clique em OK.

  13. Clique em Criar.

  14. Clique erro de evento WMI MyApplication e selecione propriedades.

  15. Sobre o primeira expressão clique em Excluir.

  16. Sobre o segunda expressão clique em Excluir.

  17. Clique em OK.