Noções básicas sobre alertas

Para gerar alertas para um dispositivo gerenciado, o agente de alerta do Endpoint Manager deve ser distribuído para aquele dispositivo. Um agente de alerta padrão e um conjunto de regras de alerta podem ser implantados em cada dispositivo gerenciado quando você instala o agente padrão no dispositivo. Aquele agente segue as regras definidas no conjunto de regras de alerta para aquele dispositivo.

Ao definir um conjunto de regras personalizado, você pode distribuí-lo para os dispositivos para monitorar itens específicos para aquele tipo de dispositivo. Você pode distribuir vários conjuntos de regras aos dispositivos, embora deva estar ciente de que podem ocorrer conflitos entre regras similares em diferentes conjuntos de regras.

Eventos que podem gerar alertas

Este produto tem uma lista extensa de eventos que podem gerar alertas. Alguns eventos são problemas que necessitam de atenção imediata, tais como falha de um componente ou desligamento do sistema. Outros eventos são alterações de configurações que fornecem informações úteis a um administrador de sistema, tais como alterações que afetam o desempenho e instabilidade de um dispositivo ou causam problemas com uma instalação padrão.

Os exemplos de tipos de eventos que podem ser monitorados incluem:

  • Mudanças de hardware: Um componente como, por exemplo, processador, memória, unidade de disco ou placa de rede adicionada ou removida.
  • Aplicativos adicionados ou removidos: Um usuário instalou ou desinstalou um aplicativo em um dispositivo. Isto pode ser útil no acompanhamento de licenças e da produtividade de funcionários. Os aplicativos registrados em Adicionar ou Remover programas do Windows são monitorados e o nome do aplicativo ali usado é o nome que aparece na notificação de alerta.
  • Evento de serviço: Um serviço foi iniciado ou parado no dispositivo.
  • Desempenho: Um limite de desempenho foi ultrapassado, como por exemplo, a capacidade de unidade de disco, memória disponível etc.
  • Evento IPMI: Ocorreu um evento detectável nos dispositivos IPMI, que inclui mudanças em controladores, sensores, logs etc.
  • Uso do modem: O modem do sistema foi utilizado ou foi adicionado ou removido um modem.
  • Segurança física: Ocorreu uma intrusão no chassi, ciclagem de alimentação ou outra mudança física.
  • Instalação do pacote: Foi instalado um pacote no computador alvo.
  • Atividade do controle remoto: Ocorreu uma atividade de sessão de controle remoto, o que inclui iniciar, parar ou falhas.

Para exibir um registro dos alertas de mudanças na configuração, consulte o log de alertas no console de monitoramento e inventário em tempo real do dispositivo.

Os alertas só podem ser gerados quando os dispositivos estão equipados com o hardware apropriado. Por exemplo, os alertas gerados por leituras de sensor só são aplicáveis a dispositivos equipados com os sensores corretos.

O monitoramento de hardware também depende da configuração correta do hardware. Por exemplo, se um disco rígido com recursos de monitoramento S.M.A.R.T. estiver instalado em um dispositivo, mas a detecção S.M.A.R.T. não estiver habilitada nas configurações do BIOS do dispositivo, ou se o BIOS do dispositivo não suportar unidades S.M.A.R.T., não serão gerados alertas a partir do monitoramento de unidades S.M.A.R.T.

Níveis de severidade para os eventos

Problemas ou eventos podem ser associados a alguns ou a todos os níveis de gravidade mostrados. Em algumas partes da interface do produto, esses estados são observados associados a um valor numérico e ícone. Os valores numéricos estão entre parêntesis.

  • Informativo (1): Suporta mudanças de configuração ou eventos que os fabricantes incluem em seus sistemas. Esse nível de gravidade não afeta o funcionamento do dispositivo.
  • OK (2): Indica que o status é um nível aceitável.
  • Aviso (3): Fornece algum tipo de advertência antecipada de um problema antes deste atingir um ponto crítico.
  • Crítico (4): Indica que o problema precisa de atenção imediata.
  • Desconhecido: Não é possível determinar o status de alerta ou o agente de monitoramento não foi instalado no dispositivo.

Dependendo da natureza de um evento, alguns níveis de severidade não se aplicam e não são incluídos. Por exemplo, no caso do Evento de detecção de intrusão, o gabinete do dispositivo está aberto ou fechado. Se estiver aberta, uma ação de alerta pode ser disparada, mas somente com a severidade de Aviso. Outros eventos, tais como Espaço em disco e Memória virtual, incluem três níveis de severidade (OK, Aviso e Crítico) porque os diferentes estados podem indicar diferentes níveis relativos ao administrador.

Você pode escolher o nível de severidade ou limite que dispara alguns alertas. Por exemplo, você pode selecionar uma ação para um status de Aviso e uma ação diferente para um status Crítico para um alerta. O status desconhecido não pode ser selecionado como um disparador de alerta, ele só indica que o status não pode ser determinado.

Ações de alerta para notificações

Este produto pode notificá-lo ao ocorrer eventos monitorados através de uma das seguintes ações:

  • Adicionar informações ao log
  • Enviar um aviso por e-mail ou enviar uma mensagem para um pager
  • Executar um programa no núcleo ou em um dispositivo individual
  • Enviar uma interceptação SNMP para um console de gerenciamento de SNMP na rede
  • Reinicializar ou desligar um dispositivo

Ações de alerta são configuradas quando os conjuntos de regras de alerta são definidos.

Controle de alerta de 'inundação'

Certos alertas designados a grupos de dispositivos podem gerar simultaneamente um grande número de respostas. Por exemplo, você pode incluir a regra de alerta para alterações da configuração do computador e associá-la a uma ação de e-mail. Se um patch de distribuição de software for aplicado a muitos dispositivos com essa configuração de alerta, esta ação gera um número de e-mails do servidor núcleo igual ao número de dispositivos aos quais o patch foi aplicado, potencialmente inundando seu servidor de e-mail com uma "avalanche" de notificações de alerta.

Este recurso de controle de alerta de inundação do produto limita automaticamente o número de vezes que uma ação de alerta ocorre para um alerta. Se um alerta dispara uma ação 5 vezes em 5 minutos, a ação de alerta é descontinuada mas os alertas ainda são gravados no arquivo de log núcleo. O administrador é notificado da inundação de alertas com um e-mail automático. Quando o alerta cessa e não ocorre novamente por uma hora, o controle de inundação de alerta é redefinido para aquele alerta. As ações de alerta serão disparadas novamente se aquele alerta ocorrer novamente.