监视Windows事件日志

事件日志是Windows服务，用于记录Windows设备中发生的程序，安全性和系统事件。这些事件可能与某些应用程序，系统或安全性有关。您可以使用OpManager监视这些事件，并配置为在记录严重事件时生成告警。OpManager使用WMI来获取这些日志的详细信息，因此您需要提供具有管理特权的用户的登录详细信息以连接到Windows计算机。

您可以查看由OpManager监视的所有事件的列表，请转到设置 > 监视 > 事件日志规则

• 监视设备中的Windows事件
• 创建事件日志监视器
• 监视自定义事件日志

监视设备中的Windows事件

要监视Windows事件，您需要将事件日志监视器与设备关联。为此，请按照以下步骤操作：

1. 进入设备快照页面。
2. 点击监视器>EventLog监视器>添加监视器。
3. 选择要在设备中监视的事件日志。
4. 点击关联将选定的监视器添加到设备。

注意：必须启用“ 监视间隔”复选框。如果禁用，则将禁用与该设备关联的所有事件日志监视器，尽管它们已与该设备关联，但它们将不起作用。

创建事件日志监视器

要创建事件日志监视器，请执行以下步骤：

1. 进入设置>监控>事件日志规则，
   在该页面中，您可以看到OpManager支持的规则。它们分为应用程序，安全性，系统，DNS服务器，文件复制服务和目录服务。您可以在任何这些类别下添加要监视的事件日志。

2. 点击任一类别下的 添加新规则 以添加规则。
   除规则名称外，所有字段的输入都是可选的。事件ID是标识事件的必填字段，但在少数特殊情况下可以保留为空白，例如，您要监视所有属于事件类型的事件，例如错误或信息。此处，过滤器将基于事件类型。

   1. 选择日志文件名。

   2. 输入唯一的规则名称。

   3. 输入要监视的事件ID。这是事件日志的唯一标识符。

   4. 输入事件Source。这是记录事件的软件的名称。

   5. 输入事件类别。每个事件源都定义了自己的类别，例如数据写入错误，日期读取错误等，并将属于这些类别之一。

   6. 键入用户名以根据事件发生时已登录的用户来过滤事件日志。

   7. 选择事件类型以根据事件日志的类型过滤事件日志。这通常是错误，警告，信息，安全审核成功和安全审核失败之一。

   8. 说明匹配文本：输入要与日志消息进行比较的字符串。这将过滤日志消息中包含此字符串的事件。

   9.  触发事件时生成告警：默认情况下，OpManager在发生事件时引发告警。但是，您可以配置事件，可以在指定的时间内连续发生的次数以发出告警。
   10. 选择在OpManager中为此事件生成的告警的严重性。
3. 点击确定保存事件日志规则。

监视自定义事件日志

您也可以在自定义类别下监视事件日志。某些应用程序将事件记录在默认系统/应用程序/安全性类别以外的新类别中。现在，您可以在OpManager中配置规则以解析此类自定义类别中的事件，并在OpManager中触发相应的告警。步骤如下：

1. 转到设置>监控>事件日志规则。 
2. 点击添加自定义事件日志 。
3. 从下拉列表中选择一个设备，您可以在该设备上查询事件类别。
4. 提供设备的WMI详细信息用户名和密码。
5. 列出上次创建的日志配置列出日志的时间，然后点击查询设备。
6. 列出了所选设备中的自定义日志。从发现的日志文件中选择一个日志，然后点击确定。

现在，您可以将规则（默认或自定义事件日志）关联到所需的设备。