Supervisión del contenido de los archivos de registro

La opción Supervisión de archivos de registro está disponible en las reglas de supervisión del desempeño. Este agente de supervisión rastrea los archivos de registro en los dispositivos de Windows administrados en busca de cadenas de texto o expresiones específicas y genera alertas cuando las encuentra. Esto resulta útil si desea recibir alertas cuando exista una condición particular que pueda controlarse a través de un archivo de registro.

Puede supervisar un archivo de texto generado por cualquier aplicación, incluso archivos .htm y .xml (pero no se pueden supervisar archivos Unicode). Después de especificar el archivo que se supervisará y de definir las reglas utilizando expresiones regulares, el archivo se supervisará siempre y cuando la regla de supervisión de archivos de registro esté contenida en un reglamento que esté vigente en dicho dispositivo.

La primera vez que el texto del archivo de registro coincide con una expresión regular, se genera una alerta. La alerta se genera solamente una vez para dicho archivo aunque hayan varias coincidencias. Luego, si el archivo cambia para que ya no exista una condición de coincidencia, el agente empieza de nuevo el rastreo de la expresión regular y genera una alerta la próxima vez que se encuentre una coincidencia.

También puede rastrear los archivos de copia de seguridad de registros que se crean cuando un archivo de registro se torna demasiado grande y las entradas anteriores del archivo se agregan a otro archivo (es decir un archivo de registro “rodante”). No obstante, no se admiten los archivos de registro "envueltos”, que eliminan las entradas anteriores dentro de un solo archivo de registro a fin de dar lugar para las entradas nuevas.

Para esta opción de supervisión debe especificar la ubicación y el nombre exacto del archivo en el dispositivo administrado y especificar el criterio de búsqueda con una expresión regular. Cuando una cadena del archivo coincide con la expresión, se genera una alerta si se ha definido un tipo de alerta de Supervisión de archivos de registro en el reglamento de alertas correspondiente.

Puede incluir la supervisión de archivos de registro en cualquier reglamento de alertas que haya definido. El procedimiento a continuación describe los cinco pasos generales para configurar la supervisión de archivos de registro:

  1. Cree una regla de supervisión de archivos de registro en un reglamento de alertas.
  2. Especifique los archivos de registro que se supervisarán en los dispositivos administrados.
  3. Defina las reglas de supervisión para ese archivo utilizando expresiones regulares.
  4. Seleccione un nivel de gravedad para la regla y nombre la instancia de manera que se pueda identificar en las alertas.
  5. Aplique reglas de acción y hora, y guarde la regla en el reglamento de alertas.
Para configurar una regla de supervisión de archivos de registro
  1. En la consola del servidor central, haga clic en Herramientas > Configuración > Configuración de agentes > Alertas.
  2. En Reglamentos de alertas, seleccione el reglamento que desee modificar y después haga clic en Modificar en la barra de herramientas.
  3. En la columna izquierda de la ventana Reglamento de alertas que se abre, haga clic en Alertas. Bajo la carpeta Supervisor en la lista de alertas, haga clic en Supervisión de archivos de registro.
  4. En la barra de herramientas, haga clic en Nuevo.
  5. En el cuadro de diálogo Supervisión de archivos de registro, escriba un nombre y una descripción para la regla de supervisión de archivos de registro.
  6. Para cambiar la frecuencia de supervisión del elemento, cambie la configuración de Intervalo de sondeo.
  7. Haga clic en Configuración del archivo de registro para especificar qué archivos de registro son supervisados, lo que está supervisando, y cómo se le avisará.
    Se utilizan expresiones regulares para definir qué contenido del archivo de registro deben ser monitorizado. Cuando el servicio de supervisión concuerde con la expresión regular del archivo de registro, éste sigue las reglas de alerta para notificarle la situación.
  8. Haga clic en Administrar. En el cuadro de diálogo Administración de la expresión regular, agregue un nombre descriptivo y una expresión regular y luego haga clic en Agregar. Repita el procedimiento para cada expresión regular que desee usar para la supervisión de archivos de registro. Cuando las haya agregado todas, haga clic en Aceptar.
    Puede agregar tantas expresiones regulares como desee en el cuadro de diálogo. Observe que debe crear un nuevo reglamento de alertas para cada expresión que desee buscar, y cada regla se aplica a un archivo de registro solamente. En otras palabras, cada regla incluye una expresión regular y un archivo de registro.
  9. Seleccione una expresión regular en la lista desplegable Expresión regular.
  10. Escriba la ruta y el nombre completo del archivo que desee supervisar en el cuadro Ruta del archivo de registro. El nombre del archivo debe ser específico, y se supervisará sólo ese nombre de archivo (por ejemplo, c:\registros\error.txt)
  11. Si desea incluir archivos de copia de seguridad en el archivo de registro, escriba la ruta y el nombre completo del archivo de copia de seguridad en el cuadro Ruta de acceso de registro de copia de seguridad (este paso es opcional). Aquí también debe ingresarse la ruta completa y el nombre de archivo de un archivo específico.
  12. Escriba un nombre descriptivo para la Instancia. Este identifica la regla del monitor de archivos de registro en las notificaciones de alertas que recibe.
  13. Seleccione el nivel de gravedad que desee aplicar a esta regla de alerta.
  14. Si desea supervisar sólo nuevas entradas en el archivo de registro (comenzando en el momento en que la regla de supervisión se instala en el dispositivo), haga clic en Supervisar cambios en los archivos de registro. (Esta opción se utiliza en los archivos de registro para que el agente no permanezca rastreando el mismo texto existente.)
    Si desea supervisar todas las entradas actuales y nuevas del archivo de registro, haga clic en Monitorizar todo el archivo de registro . (Esta opción se utiliza normalmente para supervisar otros archivos menos dinámicos, como los archivos de configuración).
  15. Haga clic en Aceptar para agregar la regla a la lista de reglas de supervisión de archivos de registro.
  16. Repita los pasos 4-15 para agregar otras reglas de supervisión del archivo de registro.
    Después de haber creado las reglas de supervisión del archivo de registro que desee, debe agregarlas al reglamento. Puede agregar diversas reglas de supervisión y aplicarles reglas de acción y tiempo, dependiendo de cómo desea que se le notifique cuando los cambios en el archivo de registro activen las alertas.
  17. Haga clic en Aceptar para guardar los cambios y salir del cuadro de diálogo Reglamento de alertas.
  18. En la lista Resumen de reglas, seleccione la regla que creó y haga clic en Editar, en la barra de herramientas.
  19. Ajuste la Hora según necesite. Haga clic en el icono de Estado para seleccionar los estados para los que desee notificaciones. Los estados oscurecidos no activarán notificaciones. Seleccione Condición se desea una alerta que que contribuya al estado de la condición del dispositivo.
  20. Cuando termine, haga clic en Guardar para salir de los cuadros de diálogo.
  21. Ahora vamos a implementar el ajuste del agente de alertas que creó. En la barra de herramientas de la ventana Configuración de agentes, haga clic en el botón de la barra de herramientas Crear una tarea y a continuación, haga clic en Cambiar configuración.
  22. En la columna de tipo, haga clic en Alertas y junto a ella, seleccione el nuevo ajuste del agente de alertas.
  23. Haga clic en Guardar y se abrirá la ventana Tareas programadas con la nueva tarea de ajustes de cambio seleccionada.
  24. Agregue destinos a la tarea y haga clic con el botón derecho sobre la tarea y en Iniciar ahora > Todos.
  25. Monitorice el progreso de la tarea. Cuando se completa la tarea, el Nuevo reglamento de alertas estará activo en los dispositivos de destino.
Notas
  • La supervisión de archivos de registro sólo es compatible con dispositivos Windows administrados.
  • Cuando se edita o se elimina una regla, los dispositivos afectados no obtendrán actualizaciones hasta la próxima vez que se ejecute un rastreo de seguridad. Si desea que la actualización se lleve a cabo antes, programe una actualización de ajustes de agentes para el ajuste del agente que modificó.
  • Esta función asigna archivos de registro en la memoria a fin de utilizar menos memoria durante la búsqueda. La memoria de tiempo de ejecución se asigna para esto a medida que se realiza una búsqueda lineal de la expresión regular. Debido a que Windows bloquea el archivo cuando está asignado a la memoria, es probable que se produzcan problemas en algunas aplicaciones.