Surveillance du contenu des fichiers journaux

L'option Fichier journal de la surveillance est disponible dans les règles de surveillance de performances. Cet agent de surveillance analyse les fichiers journaux sur les périphériques Windows gérés, pour y rechercher des chaînes ou expressions spécifiques, et génère des alertes lorsqu'il les détecte. Cette fonction est utile si vous souhaitez être alerté lorsqu'une condition particulière existe et peut être suivie dans un fichier journal.

Vous pouvez surveiller un fichier texte généré par une application, y compris les fichiers .htm ou .xml (toutefois les fichiers Unicode ne peuvent pas être surveillés). Une fois que vous avez spécifié le fichier à surveiller et défini les règles à l'aide d'expressions régulières, le fichier est surveillé tant que la règle de surveillance de fichier journal est présente dans un ensemble de règles en vigueur sur ce périphérique.

Lorsque du texte figurant dans le fichier journal correspond à une expression régulière pour la première fois, une alerte est générée. L'alerte est générée uniquement pour ce fichier même en présence de plusieurs correspondances. Ultérieurement si le fichier est modifié et que la condition de correspondance n'existe plus, l'agent commence à rechercher à nouveau cette expression régulière et génère une alerte pour la prochaine occurrence de la correspondance.

Vous pouvez également analyser des fichiers de sauvegarde, créés lorsqu'un fichier journal devient trop volumineux et que les entrées les plus anciennes de ce journal sont ajoutées à un autre fichier (fichier journal « cumulé »). Toutefois les fichiers journaux « avec retour » qui suppriment les entrées plus anciennes d'un fichier unique pour faire de la place aux nouvelles entrées, ne sont pas pris en charge.

Pour cette option de surveillance, vous devez spécifier l'emplacement et le nom exact du fichier sur le périphérique géré, et spécifier les critères de recherche avec une expression régulière. Lorsqu'une chaîne du fichier correspond à l'expression, une alerte d'action est générée si vous avez défini un type d'alerte Fichier journal de surveillance dans l'ensemble de règles d'alerte approprié.

Vous pouvez inclure la surveillance de fichier journal dans tout ensemble de règles d'alerte que vous avez défini. La procédure suivante décrit les cinq étapes générales de configuration de la surveillance d'un fichier journal :

  1. Créez une règle de surveillance de fichier journal dans un ensemble de règles d'alerte.
  2. Spécifiez le fichier journal à surveiller sur les périphériques gérés.
  3. Définissez les règles de surveillance pour ce fichier à l'aide d'expressions régulières.
  4. Sélectionnez un niveau de gravité pour la règle et nommez l'instance pour qu'elle puisse être identifiée dans les alertes.
  5. Appliquez les règles d'action et d'heure, puis enregistrez la règle dans l'ensemble de règles d'alerte.
Pour configurer une règle de surveillance de fichier journal
  1. Dans la console du serveur principal, cliquez sur Outils > Configuration > Paramètres d'agent > Alertes.
  2. Sous Ensemble de règles d'alerte, sélectionnez l'ensemble de règles que vous voulez modifier puis cliquez sur Modifier dans la barre d'outils.
  3. Dans la colonne de gauche de la fenêtre Ensemble de règles d'alerte qui s'ouvre, cliquez sur Alerte. Dans le dossier Surveillance de la liste d'alertes, cliquez sur Surveillance de fichier journal.
  4. Dans la barre d'outils, cliquez sur Nouveau .
  5. Dans la boîte de dialogue Surveillance de fichiers journaux, saisissez un nom et une description pour la règle de surveillance des fichiers journaux.
  6. Pour modifier la fréquence à laquelle l'élément est surveillé, modifiez les paramètres Intervalle de vérification.
  7. Cliquez sur Configuration de fichier journal pour spécifier les fichiers journaux à surveiller, les éléments à rechercher et la méthode d'alerte.
    Des expressions régulières sont utilisées pour définir le contenu du fichier journal à surveiller. Lorsque le service de surveillance trouve une correspondance pour l'expression régulière dans le fichier journal, il suit les règles d'alerte pour vous envoyer une notification concernant cette occurrence.
  8. Cliquez sur Gérer. Dans la boîte de dialogue Gestion des expressions régulières, ajoutez un nom descriptif et une expression régulière, puis cliquez sur Ajouter. Répétez l'opération pour chaque expression régulière à utiliser pour surveiller les fichiers journaux. Lorsque vous avez tout ajouté, cliquez sur OK.
    Vous pouvez ajouter autant d'expressions régulières que vous le souhaitez dans cette boîte de dialogue. Notez que vous devez créer une nouvelle règle pour chaque expression que vous voulez rechercher, et chaque règle n'est appliquée qu'à un seul fichier journal. Autrement dit, chaque règle inclut une seule expression régulière et un seul fichier journal.
  9. Sélectionnez une expression régulière dans la liste déroulante Expressions régulières.
  10. Entrez le chemin et le nom complet du fichier journal à surveiller dans le champ Chemin du fichier journal. Il doit s'agir d'un nom de fichier spécifique est seul ce nom de fichier sera surveillé (par exemple, c:\logs\error.txt)
  11. Pour inclure des fichiers de sauvegarde du journal, entrez le chemin et le nom de fichier complet du fichier de sauvegarde dans la zone Chemin du journal de sauvegarde (cette étape est facultative). Il doit également s'agir du chemin et du nom de fichier complets d'un fichier spécifique.
  12. Saisissez un nom descriptif d'Instance. Cette valeur identifie la règle de surveillance des fichiers journaux dans les notifications d'alerte que vous recevez.
  13. Sélectionnez le niveau de gravité que vous voulez appliquer à cette règle d'alerte.
  14. Si vous ne voulez surveiller que les nouvelles entrées du fichier journal (en commençant par de l'heure à laquelle la règle de surveillance est déployée sur le périphérique), cliquez sur Surveiller les modifications des fichiers journaux. (Cette option est généralement utilisée pour les fichiers journaux afin que l'agent ne continue pas à analyser un même texte existant.)
    Pour surveiller toutes les entrées existantes et nouvelles dans le fichier journal, cliquez sur Surveiller l'ensemble du fichier journal. (Cette option est généralement utilisée pour surveiller d'autres fichiers moins dynamiques, comme les fichiers de configuration.)
  15. Cliquez sur OK pour ajouter la règle à la liste des règles de surveillance de fichier journal.
  16. Répétez les étapes 4-15 pour ajouter d'autres règles de surveillance de fichier journal.
    Après avoir créé les règles de surveillance de fichier journal voulues, vous devez les ajouter à l'ensemble de règles. Vous pouvez ajouter plusieurs règles de surveillance, puis leur appliquer des règles d'action et d'heure, selon la manière dont vous voulez être averti lorsque des modifications des fichiers journaux déclenchent des alertes.
  17. Cliquez sur OK pour enregistrer les changements et quitter la boîte de dialogue Règles d'alerte.
  18. Dans la liste Récapitulatif des règles, sélectionnez la règle que vous avez créée, puis cliquez sur Modifier dans la barre d'outils.
  19. Ajustez la valeur Heure selon vos besoins. Cliquez sur les icônes État pour choisir les états pour lesquels vous voulez recevoir des notifications. Les états grisés ne feront l'objet d'aucune notification. Sélectionnez État de santé pour définir une alerte qui contribue à l'état de santé du périphérique.
  20. Cliquez sur Enregistrer pour fermer les boîtes de dialogue lorsque vous avez terminé.
  21. Déployez maintenant les paramètres d'agent Alertes que vous avez créés. Dans la barre d'outils de la fenêtre Paramètres d'agent, cliquez sur le bouton Créer une tâche, puis cliquez sur Modifier les paramètres.
  22. Dans la colonne Type, cliquez sur Alertes, puis sélectionnez dans cette zone votre nouveau paramètre d'agent Alertes.
  23. Cliquez sur Enregistrer ; la fenêtre Tâches planifiées s'ouvre et votre nouvelle tâche de changement de paramètres est sélectionnée.
  24. Ajoutez des cibles à la tâche, puis cliquez dessus avec le bouton droit et sélectionnez Démarrer maintenant > Tout.
  25. Surveillez la progression de la tâche. Lorsque la tâche s'achève, votre nouvel ensemble de règles est actif sur les périphériques ciblés.
Notes
  • La surveillance de fichier journal n'est prise en charge que par les périphériques gérés par Windows.
  • Lorsque vous modifiez ou supprimez une règle, les périphériques affectés ne reçoivent la mise à jour que lorsqu'ils exécutent leur prochaine analyse de sécurité. Pour que la mise à jour ait lieu plus rapidement, planifiez une mise à jour des paramètres d'agent pour le paramètre d'alerte modifié.
  • Cette fonction mappe les fichiers journaux de manière à utiliser moins de mémoire pendant une recherche. La mémoire d'exécution est allouée à cette opération lors des recherches d'expressions linéaires régulières. Parce que Windows verrouille le fichier lorsqu'il est mappé dans la mémoire, vous pouvez rencontrer des problèmes avec certaines applications.