事件日志规则

通过使用此选项,您可以监控各种Windows和Windows Azure事件。收到的事件将显示在Windows监视器详细信息页面中。

另外,您可以根据配置的规则在Applications Manager中生成告警。例如,当系统日志中发生类型为Error的事件时,您可以生成严重告警,这将反过来影响Windows或Azure监视器的健康状况。

浏览以下主题以了解事件日志配置:

  • 添加新的追踪日志规则
  • 添加新的诊断基础结构日志规则

注意:事件日志监控在Windows安装中可用,并且仅在WMI监控模式下可用。

事件日志规则配置:

为了接收Windows事件,您必须配置事件日志规则。您可以通过以下日志文​​件中的事件获得通知:

  • 应用程序(默认情况下,为任何应用程序错误配置事件日志规则)
  • 系统
  • 安全性(默认情况下,为任何安全性失败配置事件日志规则)
  • 文件复制服务
  • DNS服务器
  • 目录服务
  • 添加新的事件日志文件
    • 要添加默认情况下不可用的新事件日志文件,请点击 Web客户端右下角的选项添加新事件日志
  • 从管理服务器(企业版)添加新的事件日志
    • 在企业设置中在管理服务器中创建的事件日志将自动同步到所有相应的被管服务器。
  • 删除事件日志
    • 点击事件日志框右上角的删除事件日志按钮,以删除您创建的事件日志。
  • 添加新的事件日志规则
  • 在管理标签下,点击日志规则
  • 点击新建
  • 输入规则名称
  • 输入与事件日志文件关联的事件ID(非必需)
  • 通过点击 高级选项复选框,可以通过关联以下内容来更具体地制定规则:
    •   -创建事件的应用程序。
    • 类别  -任务类别,其中包含有关事件的更多信息。
    • 用户名  -运行导致事件的进程的系统组件或用户帐户。
    • 描述包含单词或匹配项正则表达式:入站事件的描述内容,如果描述包含特定单词。您可以通过选中正则表达式复选框来执行正则表达式的内容检查。例如,选择Log File作为[System],选择Event Type作为[Error],以从System Log File中获取Error类型的所有事件。
    • 一个轮询中发生的次数
    • 选择日志文件类型 (应用程序,系统,安全,文件复制服务,DNS服务器,目录服务)。
  • 选择  事件类型  -  错误,警告,信息  任何类型的事件 。对于安全事件,类型将在成功审核失败审核之间变化
  • 可以 根据以下条件将告警严重级别设置为严重警告
    • 取决于入站事件的严重级别以及事件何时匹配一定数量的连续轮询
    • 在给定的时间范围内未生成匹配事件
  • 可以根据以下条件将告警严重级别设置为正常
    • 如果在一定数量的连续轮询中未找到匹配事件
    • 如果产生匹配事件
  • 首先,您可以启用禁用规则。
  • 您可以将规则设置为适用于:
    • 所有监视器  -所有监视器。
    • 特定的监视器类型- 例如,Windows XP,Windows 7,Windows 8等
    • 选定的监视器  -您可以从下拉菜单中选择监视器,或搜索新规则必须适用的必需监视器。
  • 新规则将显示在日志规则规则窗口中。
  • 您还可以通过选择规则并点击启用,禁用删除按钮来启用,禁用和删除一个或多个规则  。

注意:默认情况下添加的事件日志无法删除。

Windows Azure日志规则配置:

您可以使用Applications Manager监控Windows Azure追踪日志和诊断基础结构日志。您必须首先配置追踪日志或诊断基础结构日志规则。收到的日志将显示在Windows Azure角色实例的详细信息页面中。您还可以根据配置的规则在Applications Manager中生成告警。

例如,当系统日志中发生错误类型的事件时,您可以生成严重告警。该告警将反过来影响Windows Azure角色实例的健康状况。

这是为Windows Azure配置新规则的方法:

  • 追踪日志
    • 点击追踪日志框右上角的新建规则
    • 为Windows Azure追踪日志添加新规则页中,输入要创建的规则的名称。
    • 输入您要创建的规则的事件ID
    • 输入消息包含的字符串。
    • 选择事件类型:任何类型,错误,警告或信息
    • 您还可以选择将告警的严重级别设置为严重警告
    • 您可以启用或禁用规则状态。
    • 点击新建规则按钮。
    • 新规则将显示在追踪日志中。
    • 您可以通过点击编辑规则图标来编辑规则
    • 您还可以通过选择规则并点击启用禁用删除按钮来启用,禁用和删除一个或多个规则  。
  • 诊断基础结构日志
    • 点击诊断基础结构日志框右上角的新建规则
    • 为诊断基础结构日志添加新规则面中,输入要创建的规则的名称。
    • 输入您要创建的规则的错误代码
    • 输入消息包含的字符串。
    • 输入错误消息包含的字符串。
    • 选择事件类型:任何类型,错误,警告或信息。
    • 您还可以选择将告警的严重级别设置为严重警告
    • 您可以启用或禁用规则状态。
    • 点击创建规则按钮。
    • 新规则将显示在诊断基础结构日志中
    • 您可以通过点击编辑规则图标来编辑规则
    • 您还可以通过选择规则并点击启用,禁用或删除按钮来启用,禁用和删除一个或多个规则  。