監視事件記錄檔
當符合您指定篩選條件的新事件出現在Windows 事件記錄檔中時,監視事件記錄活動會叫用 Runbook。 您可以使用 [監視事件記錄檔] 活動來執行 Runbook,這些 Runbook 會呈報、調查或更正對 Windows 事件記錄檔產生的事件。 例如,安全性稽核失敗會出現在安全性記錄檔中,這會傳送電子郵件給系統管理員,以通知他們問題。 當 Windows 事件記錄檔的大小達到允許的大小上限時,第二個模式會叫用 Runbook。
設定監視事件記錄活動
設定監視事件記錄活動之前,您需要判斷下列專案:
您要監視的事件記錄檔名稱
將叫用 Runbook 之事件的詳細數據
若要設定監視事件記錄活動,請遵循下列步驟:
從 [ 活動] 窗格中,將 [ 監視事件記錄 檔] 活動拖曳至 Runbook。
按兩下 [ 監視事件記錄 檔] 活動圖示,以開啟 [ 屬性 ] 對話框。
在 [ 詳細 數據] 索引標籤和 [ 進階 ] 索引標籤上設定設定。下表列出組態指示。
詳細資料索引標籤
| 設定 | 設定指示 |
|---|---|
| 電腦 | 輸入儲存您要監視之 Windows 事件記錄檔的電腦名稱。 您也可以使用省略號 (...) 按鈕來瀏覽電腦。 執行此活動的 Runbook 伺服器必須具有適當的許可權,才能監視該電腦上的 Windows 事件記錄檔。 |
| 事件記錄 | 輸入您要監視的 Windows 事件記錄檔名稱。 您也可以使用省略號 (...) 按鈕來瀏覽 Windows 事件記錄檔。 Windows 預設包含三個事件記錄檔:應用程式、安全性和系統。 您要連線的電腦可能包含其他事件記錄檔。 |
| 訊息篩選條件 | 此清單會顯示所有已設定為篩選您所指定記錄檔中產生的事件的篩選條件。 若要編輯或移除清單中的專案,請選取它,然後按兩下 [編輯] 或 [視需要移除]。 若要新增事件篩選 1.按兩下 [新增 ] 以開啟 [ 篩選屬性 ] 對話框。 2.選取您要篩選的事件記錄檔項目屬性。 您可以針對 屬性為事件的 [類別]、[ 描述]、 [事件標識符]、 [來源] 和 [類型 ] 進行篩選。 3.指定您用來比較事件屬性值與篩選值之間的關聯。 如果您選取 [類別]、[描述]、[類型] 和 [來源],您可以指定 [包含] 或 [不包含]。 針對事件識別碼,您可以指定與 、等於 、小於、小於或等於、大於或等於、大於或等於。 4.指定您要比較事件屬性的篩選值。 針對 [類別]、 [描述] 和 [來源],輸入 屬性中包含的字串。 針對 [ 事件標識符],輸入將與事件標識碼比較的數值。 針對 [類型] 條件,選取您想要篩選的特定事件類型,例如 [錯誤]、[警告]、[資訊]、[成功稽核] 或 [失敗稽核]。 |
已發佈資料
下表列出已發佈的數據項。
| 項目 | 說明 |
|---|---|
| 事件記錄檔名稱 | 受監視的 Windows 事件記錄檔名稱。 |
| 電腦 | 儲存 Windows 事件記錄檔的電腦名稱。 |
| 記錄專案描述 | 事件記錄檔專案描述中包含的文字。 |
| 記錄項目標識碼 | 事件記錄檔項目的標識碼。 |
| 記錄專案來源 | 事件的 來源。 |
| 記錄項目電腦 | 發生事件的電腦。 |
| 記錄項目類型 | 事件的類型。 |
| 記錄專案日期 | 記錄事件的日期。 |
| 記錄項目時間 | 記錄事件的時間。 |