Мониторинг журнала событий
Действие журнала событий монитора вызывает модули Runbook, когда новые события, соответствующие фильтру, который вы указали в журнале событий Windows. Вы можете использовать действие журнала событий монитора для запуска модулей Runbook, которые будут выполнять эскалацию, исследование или исправление любых проблем в ответ на события, создаваемые в журнале событий Windows. Например, в журнале безопасности отображается сбой аудита безопасности, который отправит администратору сообщение электронной почты, чтобы уведомить их о проблеме. Второй режим вызывает модуль Runbook, когда размер журнала событий Windows достигает максимального размера.
Настройка действия журнала событий монитора
Перед настройкой действия журнала событий монитора необходимо определить следующее:
Имя отслеживаемого журнала событий
Сведения о событиях, которые будут вызывать модуль Runbook
Чтобы настроить действие журнала событий монитора, выполните следующие действия.
В области действий перетащите действие журнала событий монитора в модуль Runbook.
Дважды щелкните значок действия журнала событий монитора, чтобы открыть диалоговое окно "Свойства".
Настройте параметры на вкладке "Сведения" и на вкладке "Дополнительно ". Инструкции по настройке перечислены в следующих таблицах.
Вкладка "Подробные сведения"
| Настройки | Инструкции по настройке |
|---|---|
| Компьютер | Введите имя компьютера, в который хранится журнал событий Windows, который требуется отслеживать. Вы также можете найти компьютер с помощью кнопки с многоточием (...). Сервер Runbook, на котором выполняется это действие, должен иметь соответствующие права для мониторинга журнала событий Windows на этом компьютере. |
| Журнал событий | Введите имя отслеживаемого журнала событий Windows. Вы также можете просмотреть журнал событий Windows с помощью кнопки с многоточием (...). Windows включает три журнала событий по умолчанию: приложение, безопасность и система. Компьютер, к которому вы подключаетесь, может содержать другие журналы событий. |
| Фильтры сообщений | В списке показаны все фильтры, настроенные для фильтрации событий, созданных в указанном журнале. Чтобы изменить или удалить элемент в списке, выберите его и нажмите кнопку "Изменить " или "Удалить ", как применимо. Добавление фильтра событий 1. Нажмите кнопку " Добавить ", чтобы открыть диалоговое окно "Свойства фильтра". 2. Выберите свойство записи журнала событий, которую вы фильтруете. Можно фильтровать по категории, описанию, идентификатору события, источнику и типу, который относится к событию. 3. Укажите связь, используемую для сравнения значения свойства события со значением фильтра. Если выбрать категорию, описание, тип и источник, можно указать содержащие или не содержащиеся. Для идентификатора события, который можно указать, отличается от того, равен , меньше, чем или равно, больше, чем и больше или равно. 4. Укажите значение фильтра, которое вы сравниваете с свойством события. В поле "Категория", "Описание" и "Источник" введите строку, содержащуюся в свойстве. Для идентификатора события введите числовое значение, которое будет сравниваться с идентификатором события. Для условия типа выберите конкретный тип события, для которого требуется фильтровать такие события, как ошибка, предупреждение, информация, аудит успешности или аудит сбоев. |
Опубликованные данные
В следующей таблице перечислены опубликованные элементы данных.
| Позиция | Description |
|---|---|
| Имя журнала событий | Имя отслеживаемого журнала событий Windows. |
| Компьютер | Имя компьютера, в котором хранится журнал событий Windows. |
| Описание записи журнала | Текст, содержащийся в описании записи журнала событий. |
| Идентификатор записи журнала | Идентификатор записи журнала событий. |
| Источник записи журнала | Источник события. |
| Компьютер записи журнала | Компьютер, на котором произошло событие. |
| Тип записи журнала | Тип события. |
| Дата записи журнала | Дата регистрации события. |
| Время входа в журнал | Время регистрации события. |