通过

  • 项目

Windows 事件

 

适用对象:System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

许多基于 Windows 的应用程序在 Windows 事件日志中发布的事件的信息。 这可能是标准日志如 Application 或特定于正在监视的应用程序日志。 这些事件遵循标准的格式、 并且经常包含有关特定问题的详细的信息。 如果您正在监视的应用程序创建一个 Windows 事件以响应特定的问题,则这可能是最有效的方法来检测中的问题 Operations Manager 管理包。

当创建规则或使用 Windows 事件监视器 Operations Manager 日志不间断地监控和检测到与指定的条件相匹配的事件时立即做出响应。 这意味着它们都可在最初创建后保留这些事件。Operations Manager 将记录在日志中读取它的最后一个位置并继续从该位置在下一次读取日志。 如果在代理上的运行状况服务未在运行时创建的特定事件时, Operations Manager 将检测该下次启动代理。

Windows 事件向导

下表列出了可用于 Windows 事件的向导。

Windows 事件向导选项

Windows 事件规则或监视器向导运行时,您将需要的以下各表中的选项提供值。 每个表都表示向导中的一个页。

常规

常规 页包含的规则或向导包括其名称、 类别、 目标和管理包文件以将其存储在常规设置。

选项

描述

Name

使用规则或监视器的名称。 对于规则,该名称将出现在 规则 中查看 创作 窗格。 当您创建视图或报表时,您可以选择此名称来使用由它收集的数据。 为监视器,名称将出现在任何目标对象的运行状况资源管理器中。

描述

规则或监视器的可选说明。

管理包

要存储的规则或监视器的管理包文件。

管理包的详细信息,请参阅 选择管理包文件

规则类别 (仅规则)

规则类别。 对于事件收集规则,这应该是 事件收集。 对于警报的规则,这应该是 警报

父监视器 (仅监视器)

此监视器下定位在运行状况资源管理器中的聚合监视器。 有关详细信息,请参阅 聚合监视器

目标

要使用的目标的规则或监视器的类。 将具有至少一个此类的实例的任何代理上运行的规则或监视器。 在目标上的详细信息,请参阅 了解类和对象

规则已启用

监视器已启用

指定是否启用规则或监视器。

事件日志类型

事件日志类型 页包括您认为可能要创建的事件的事件日志的名称。 将单个 事件日志类型 页为集合或警报规则和监视器使用手动或计时器重置。 使用监视器 Windows 事件重置, ,您将需要定义两个错误条件和正常运行的条件的日志。 您通常将指定的同一日志对于这两个条件,但可以为每个使用不同的日志。

您可以键入业务中的事件日志 日志名称 框中,或者您可以单击省略号按钮并选择一个日志。

事件表达式

除了从其检索事件的日志的名称,使用 Windows 事件的工作流必须指定足够用来标识与此所确定的问题相关的特定事件的条件。 通常, Event IDEvent Source 将足以满足此目的。 这取决于该应用程序提供特定的事件除了用于监视器的目标中的信息的类型。 如果希望在要用作此监视器的目标的类以在特定代理上有多个实例,这两个属性都可能不足的唯一性。 除非则条件可能会包含目标类的键属性的条件适用于所有实例。

将单个 事件日志类型 页为每个事件日志类型页集合或警报的规则和监视器使用手动或计时器重置。 使用监视器 Windows 事件重置, ,您将需要定义两个错误条件和正常运行的条件的日志。 您通常将指定的同一日志对于这两个条件,但可以为每个使用不同的日志。

下表列出可从 Windows 事件的属性。 这些属性可以访问用于设置在监视器和规则的条件和可以包括在警报描述。

表达式

描述

事件来源

事件的来源。 通常用在监视器或规则的条件。

Logname/通道

例如,应用程序或系统事件日志的名称。

记录计算机

记录该事件的计算机的名称。

事件 ID

事件数。

事件类别

事件的类别。

事件级别

使用以下值之一的事件的严重性。

  • 成功 (0)

  • 错误 (1)

  • 警告 (2)

  • 信息 (4)

  • 成功审核 (8)

  • 失败审核 (16)

用户

用于创建该事件的用户帐户的名称。

EventDescription

完整事件描述。

参数

事件参数的集合。

自动重置计时器

自动重置计时器 计时器重置监视器页才可用。 它允许您设置后自动解决警报之前创建警报必须经过的时间。

配置运行状况

配置运行状况 页才可用的监视器。 它允许您指定将为每个事件的运行状况状态。 手动重置监视器, 手动重置 条件将 正常, ,并且可以指定是否 引发事件 条件将监视器设置为 警告严重 状态。 对于 计时器重置Windows 事件重置, ,您可以指定设置的每个事件的运行状况状态。 第一个事件通常将监视器设置为 警告严重 时第二个事件或计时器将监视器设置为 正常

配置警报

配置警报 页的内容才可用于监视器和警报的规则。 中介绍了其选项 警报

创建 Windows 事件监视器

如何创建 Windows 事件监视器

使用以下过程来创建事件监视器中的 Operations Manager 使用以下详细信息:

  • 与特定服务安装的所有代理上运行。

  • 将监视器设置为 关键 状态在某一事件中 应用程序 事件日志的事件源 EventCreate和事件号为 101 检测到。

  • 将监视器设置为 正常 状态在某一事件中 应用程序 事件日志的事件源 EventCreate和事件号为 102 检测到。

System_CAPS_note注意

EventCreate 以便可以使用 EventCreate 实用程序来创建测试事件用作事件源。 此实用程序可在任何 Windows 计算机上,并使用的源中创建测试事件 EventCreate。 如果必须创建测试事件的另一种方法,然后可以使用不同的源。

若要创建事件监视器

  1. 如果你没有正在监视的应用程序的管理包,请使用选择管理包文件中的过程创建一个。

  2. 创建新的目标使用中的过程 若要创建 Windows 服务模板。 您可以使用此模板的测试代理上安装任何服务。

  3. 在操作控制台中,选择“创作”工作区。

  4. 选择 管理包对象

  5. 右键单击 监视器, ,选择 创建和监视器, ,然后选择 单元监视器

  6. 在上 监视器类型 页上,执行以下操作:

    1. 选择要创建的监视器类型 框中,展开 Windows 事件 然后 简单事件检测

    2. 选择 Windows 事件重置

    3. 管理包 下拉列表中选择的管理包的应用程序。

    4. 单击“下一步”。

  7. 在“常规”页面上,执行以下操作:

    1. 名称 框中,键入 错误事件 101 或监视器的另一个名称。 这是会在运行状况资源管理器中显示的文本。

    2. 单击 选择

    3. 选择目标的项 对话框框中,选择用于在步骤 2 中的 Windows 服务模板的名称。

    4. 父监视器 框应显示 可用性。 您可以选择不同的父监视器。

    5. 絋粄 可用性 为选择 父监视器

    6. 监视器处于启用状态 以便启用监视器应选中框。

    7. 单击“下一步”。

  8. 在上 事件日志 (不正常事件) 页上,执行以下操作:

    1. 日志名称 框中,保留默认值的 应用程序

    2. 单击“下一步”。

  9. 在上 事件表达式 (不正常事件) 页上,执行以下操作:

    1. 对于 事件 ID 值,请键入 101

    2. 对于 事件源 值,请键入 EventCreate

    3. 单击“下一步”。

  10. 在上 事件日志 (正常事件) 页上,执行以下操作:

    1. 日志名称 框中,保留默认值的 应用程序

    2. 单击“下一步”。

  11. 在上 事件表达式 (正常事件) 页上,执行以下操作:

    1. 对于 事件 ID 值,请键入 102

    2. 对于 事件源 值,请键入 EventCreate

    3. 单击“下一步”。

  12. 在上 配置运行状况 页上,执行以下操作:

    1. 对于 第一个引发事件, ,更改 运行状况状态严重

    2. 对于 事件源 值,请键入 EventCreate

    3. 单击“下一步”。

  13. 在上 配置警报 页上,执行以下操作:

    1. 选择 为此监视器生成警报

    2. 单击**“创建”**。