Überwachen des Inhalts von Protokolldateien

Die Protokolldatei-Überwachung ist eine Option, die in den Überwachungsregeln bereitgestellt wird. Dieser Überwachungsagent scannt Protokolldateien auf verwalteten Windows-Geräten auf spezifische Zeichenfolgen oder Ausdrücke, und generiert eine Alarmmeldung, wenn er diese vorfindet. Dies ist nützlich, wenn Sie beim Vorliegen einer bestimmten Bedingung, die sich mithilfe einer Protokolldatei nachverfolgen lässt, benachrichtigt werden möchten.

Sie können eine von einer Anwendung generierte Textdatei überwachen lassen, einschließlich .htm- und .xml-Dateien (Unicode-Dateien lassen sich jedoch nicht überwachen). Nachdem Sie die zu überwachende Datei angegeben und mithilfe regulärer Ausdrücke Regeln definiert haben, wird die Datei automatisch so lange überwacht, wie die Protokolldatei-Überwachungsregel in einem Regelsatz auf dem betreffenden Gerät gültig ist.

Wenn in der Protokolldatei enthaltener Text zum ersten Mal mit einem regulären Ausdruck übereinstimmt, wird eine Alarmmeldung generiert. Der Alarm wird nur einmal für diese Datei generiert, selbst wenn es mehrere Übereinstimmungen gibt. Wenn sich die Datei später ändert, sodass keine übereinstimmende Bedingung mehr vorliegt, beginnt der Agent erneut auf diesen regulären Ausdruck zu scannen und generiert einen Alarm beim nächsten Vorkommen der Übereinstimmung.

Sie können auch Backup-Dateien von Protokollen scannen. Diese Dateien werden angelegt, wenn eine Protokolldatei zu groß wird und ältere Einträge in der Datei an eine andere Datei angehängt werden ("rollierende" Protokolldatei). So genannte "Wrapping"-Protokolldateien, die ältere Einträge in der Protokolldatei löschen, um für neue Einträge Platz zu machen, werden nicht unterstützt.

Für diese Überwachungsoption müssen Sie das Verzeichnis und den genauen Namen der Datei auf dem verwalteten Gerät angeben. Darüber hinaus geben Sie die Suchkriterien mithilfe eines regulären Ausdrucks an. Sobald eine Zeichenfolge in der Datei mit dem Ausdruck übereinstimmt, wird eine Alarmaktion generiert, sofern Sie einen Alarm des Typs Protokolldatei-Überwachung im relevanten Alarmregelsatz definiert haben.

Sie können die Protokolldatei-Überwachung in jeden Alarmregelsatz einschließen, den Sie definiert haben. Die folgende Prozedur beschreibt die fünf allgemeinen Schritte für die Einstellung der Protokolldatei-Überwachung:

  1. Erstellen Sie eine Protokolldatei-Überwachungsregel in einem Alarmregelsatz.
  2. Geben Sie an, welche Protokolldateien auf den verwalteten Geräten zu überwachen sind.
  3. Definieren Sie die Überwachungsregeln für diese Datei mithilfe regulärer Ausdrücke.
  4. Wählen Sie einen Schweregrad für die Regel aus und benennen Sie die Instanz, damit sie in Alarmen erkannt werden kann.
  5. Übernehmen Sie Aktionen und Zeitregeln und speichern Sie die Regel im Alarmregelsatz.
So stellen Sie eine Protokolldatei-Überwachungsregel ein
  1. Klicken Sie in der Coreserver Konsole auf Extras > Konfiguration > Agenteneinstellungen > Alarmfunktion.
  2. Wählen Sie aus Alarmregelsätze den Regelsatz aus, den Sie bearbeiten möchten und klicken Sie dann in der Symbolleiste auf Bearbeiten.
  3. Klicken Sie in der linken Spalte des Fensters Alarmregelsatz auf Alarme. Klicken Sie im Ordner Überwachen auf der Alarmliste auf Protokolldatei-Überwachung.
  4. Klicken Sie in der Symbolleiste auf Neu.
  5. Geben Sie im Dialogfeld Protokolldatei-Überwachung einen Namen und eine Beschreibung der Protokolldatei-Überwachungsregel ein.
  6. Um die Häufigkeit zu ändern, mit der das Element überwacht wird, ändern Sie die Einstellungen des Polling-Intervalls.
  7. Klicken Sie auf Protokolldateikonfiguration, um anzugeben, welche Dateien überwacht werden, woraufhin diese überwacht werden und wie Sie alarmiert werden.
    Reguläre Ausdrücke werden zur Definition des zu überwachenden Inhalts der Protokolldatei verwendet. Wenn der Überwachungsservice eine Übereinstimmung der regulären Ausdrücke in der Protokolldatei findet, befolgt er die Alarmregeln, um Sie von dem Vorfall zu unterrichten.
  8. Klicken Sie auf Verwalten. Fügen Sie im Dialogfeld Verwaltung regulärer Ausdrücke einen beschreibenden Namen und einen regulären Ausdruck hinzu und klicken dann auf Hinzufügen. Wiederholen Sie dies für jeden regulären Ausdruck, den Sie zur Überwachung der Protokolldateien verwenden möchten. Wenn Sie diese allesamt hinzugefügt haben, klicken Sie auf OK.
    Sie können in diesem Dialogfeld beliebig viele reguläre Ausdrücke verwenden. Beachten Sie, dass Sie eine neue Regel für jeden Ausdruck erstellen müssen, nach dem Sie suchen möchten und jede Regel nur in eine Protokolldatei übernommen werden kann. Mit anderen Worten: jede Regel enthält einen regulären Ausdruck und eine Protokolldatei.
  9. Wählen Sie einen regulären Ausdruck aus der Dropdownliste Regulärer Ausdruck aus.
  10. Geben Sie den Pfad und vollständigen Dateinamen der zu überwachenden Protokolldatei in das Feld Protokolldateipfad ein. Es muss sich dabei um einen bestimmten Dateinamen handeln und nur dieser Dateiname wird überwacht (z. B. c:\logs\error.txt)
  11. Wenn Sie Sicherungsdateien für die Protokolldatei einschließen möchten, geben Sie den Pfad und vollständigen Dateinamen der Sicherungsdatei in das Feld Backup-Protokolldateipfad ein (dieser Schritt ist optional). Dies muss ebenfalls ein vollständiger Pfad und Dateiname für eine bestimmte Datei sein.
  12. Geben Sie einen beschreibenden Instanznamen ein. Dadurch wird die Protokolldatei-Überwachungsregel in der Alarmbenachrichtigung erkannt, die Sie erhalten.
  13. Wählen Sie den Schweregrad aus, den Sie mit dieser Alarmregel verknüpfen möchten.
  14. Wenn Sie nur neue Einträge in die Protokolldatei überwachen möchten, (ab dem Zeitpunkt der Bereitstellung der Überwachungsregel auf dem Gerät), klicken Sie auf Änderungen der Protokolldatei überwachen. (Diese Option wird typischerweise für Protokolldateien verwendet, damit der Agent den bereits vorhandenen Text nicht wieder und wieder scannt.)
    Wenn Sie alle vorhandenen und alle neuen Einträge in der Protokolldatei überwachen möchten, klicken Sie auf Gesamte Protokolldatei überwachen. (Diese Option wird normalerweise verwendet, um andere, weniger dynamische Dateien zu überwachen, z. B. Konfigurationsdateien.)
  15. Klicken Sie auf OK, um die Regel der Liste mit Protokolldatei-Überwachungsregeln hinzuzufügen.
  16. Wiederholen Sie die Schritte 4 bis 15, um weitere Protokolldatei-Überwachungsregeln hinzuzufügen.
    Nachdem Sie die gewünschten Protokolldatei-Überwachungsregeln erstellt haben, müssen Sie diese zum Regelsatz hinzufügen. Sie können mehrere Überwachungsregeln hinzufügen und Aktions- und Zeitregeln auf sie anwenden, je nachdem, wie Sie benachrichtigt werden möchten, wenn die Protokolldatei einen Alarm auslöst.
  17. Klicken Sie auf OK, um Ihre Änderungen zu speichern und das Dialogfeld Alarmregeln zu verlassen.
  18. Markieren Sie in der Liste „Alarmübersicht“ die Regel, die Sie angelegt haben, und klicken Sie dann in der Symbolleiste auf „Bearbeiten“.
  19. Falls notwendig, passen Sie die Zeit an. Klicken Sie auf die Symbole Status, um die Status auszuwählen, für die Sie Meldungen erhalten möchten. Abgeblendete Status lösen keine Meldungen aus. Wählen Sie Zustand, wenn Sie eine Alarmmeldung erhalten möchten, die zum guten Allgemeinzustand (Health) des Geräts beiträgt.
  20. Wenn Sie fertig sind, klicken Sie auf Speichern, um die Dialogfelder zu schließen.
  21. Wir kommen jetzt zur Bereitstellung der Einstellungen des von Ihnen angelegten Alarmagenten. Klicken Sie in der Symbolleiste des Fensters Agenteneinstellungen auf Task-Schaltfläche erstellen und klicken Sie dann auf Einstellungen ändern.
  22. Klicken Sie in der Spalte „Typ“ auf Alarmfunktion und wählen Sie daneben Ihre neue Einstellung für den Alarmagenten.
  23. Klicken Sie auf Speichern. Das Fenster Geplante Tasks öffnet sich dann mit Ihrem neu ausgewählten Task zur Änderung der Einstellungen.
  24. Fügen Sie Ziele zur Aufgabe hinzu und klicken Sie dann mit der rechten Maustaste auf den Task und klicken Sie auf Jetzt starten > Alles.
  25. Überwachen Sie den Task-Fortschritt. Wenn der Task beendet ist, wird Ihr neuer Alarmregelsatz auf den von Ihnen ausgewählten Geräten aktiv sein.
Hinweise
  • Die Protokolldatei-Überwachung wird nur für verwaltete Windows-Geräte unterstützt.
  • Wenn Sie eine Regel bearbeiten oder löschen, erhalten die betroffenen Geräte die Updates erst, wenn sie zum nächsten Mal einen Sicherheitsscan ausführen. Wenn Sie möchten, dass die Aktualisierung früher geschieht, planen Sie eine Aktualisierung der Agenteneinstellung für die von Ihnen geänderte Alarmeinstellung.
  • Diese Funktion ordnet Protokolldateien im Speicher zu, um auf diese Weise den Speicherbedarf während einer Suche zu reduzieren. Hierfür wird Runtime-Speicher den stattfindenden linearen (auf regulären Ausdrücken basierenden) Suchvorgängen zugewiesen. Da Windows die Datei sperrt, wenn sie im Speicher zugeordnet wird, können bei einigen Anwendungen Probleme auftreten.