Monitorando o conteúdo de arquivos de log

O monitoramento de arquivos de log é uma opção disponível nas regras de monitoramento de desempenho. O agente de monitoração analisa os arquivos de log nos dispositivos Windows gerenciados em busca de seqüências de caracteres ou expressões específicas e gera alertas ao encontrá-las. Isso é útil se você deseja ser alertado sobre condições específicas que podem ser rastreadas por meio de arquivos de log.

Você pode monitorar arquivos de texto gerados por qualquer aplicativo, incluindo arquivos .htm e .xml (com exceção de arquivos Unicode). Após especificar o arquivo que será monitorado e definir as regras usando expressões regulares, o arquivo será monitorado enquanto as regras de monitoramento de um arquivo de log contidas em um conjunto de regras estiver em vigor no dispositivo em questão.

Na primeira vez que um trecho de texto no arquivo de log corresponder a uma expressão regular, um alerta será gerado. O alerta será gerado somente uma vez para o arquivo, mesmo se houver várias correspondências. Posteriormente, se o arquivo sofrer alguma alteração a ponto de não haver mais uma condição de correspondência, o assistente começará a procurar a expressão regular novamente e gerará outro alerta ao encontrar a próxima correspondência.

Você pode também analisar os arquivos de backup de log criados quando um arquivo de log se torna muito grande, fazendo com que as entradas mais antigas no arquivo sejam adicionadas a um arquivo diferente (um arquivo de log "deslocável"). No entanto, não há suporte para arquivos de log "empacotados”, que removem as entradas mais antigas em um único arquivo de log para liberar espaço para novas entradas).

Para esta opção de monitoramento, você deve especificar o local e o nome exato do arquivo no dispositivo gerenciado, além dos critérios de pesquisa por meio de uma expressão regular. Quando uma seqüência de caracteres no arquivo atender à expressão, uma ação de alerta será gerada se você tiver definido o tipo de alerta Monitoramento de arquivos de log no conjunto apropriado de regras de alerta.

Você pode incluir o monitoramento de arquivos de log em qualquer conjunto de alertas definido. O prosseguimento a seguir descreve as cinco etapas gerais para a configuração do monitoramento de arquivos de log:

  1. Criar uma regra de monitoramento de arquivo de log em um conjunto de regras de alerta
  2. Especificar quais os arquivos que devem ser monitorados nos dispositivos gerenciados.
  3. Definir as regras de monitoramento para aquele arquivo, usando expressões regulares
  4. Selecionar um nível de severidade e nomeie a instância para que seja identificada nos alertas.
  5. Aplicar regras de ação e tempo e salvar a regra no conjunto de regras de alerta
Para configurar uma regra de monitoramento de arquivos de log
  1. No console do servidor núcleo, clique em Ferramentas > Configuração > Configuração de agente > Alerta.
  2. Em Conjunto de regras de alerta, selecione o conjunto de regras que deseja editar e clique em Editar na barra de ferramentas.
  3. Na coluna da esquerda, na janela Conjunto de regras de alerta que se abrirá, clique em Alertas. Na pasta Monitor na lista de alertas, clique em Monitoramento de arquivos de log.
  4. Na barra de ferramentas, clique em Novo .
  5. Na caixa de diálogo Monitoramento de arquivo de log digite um nome e uma descrição para a regra de monitoramento de arquivo de log.
  6. Para alterar a freqüência na qual um item é monitorado, altere as configurações Intervalo de sondagem.
  7. Clique em Configuração do arquivo de log para especificar quais arquivos de log serão monitorados, o que você está monitorando e como será alertado.
    Expressões regulares são usadas para definir qual o conteúdo no arquivo de log deve ser monitorado. Quando o serviço de monitoramento encontra um correspondente para a expressão regular no arquivo de log, ele segue as regras de alerta para notificá-lo da ocorrência.
  8. Clique em Gerenciar. Na caixa de diálogo Gerenciamento de expressões regulares, adicione um nome descritivo e uma expressão regular e clique em Adicionar. Repita o procedimento para cada expressão regular que você desejar utilizar para monitoramento dos arquivos de log. Após adicionar todas, clique em OK.
    Você pode adicionar quantas expressões regulares desejar nesta caixa de diálogo. Observe que você precisa criar uma nova regra para cada expressão que deseja pesquisar e cada regra é aplicada em um único arquivo de log. Em outras palavras, cada regra inclui uma expressão regular e um arquivo de log.
  9. Selecione uma expressão regular na lista suspensa Expressão regular.
  10. Digite o caminho e preencha o nome de arquivo do arquivo de log que deseja monitorar na caixa Caminho do arquivo de log. Deve ser um nome de arquivo específico e somente ele será monitorado (por exemplo, c:\logs\error.txt)
  11. Para incluir arquivos de backup para o arquivo de log, insira o caminho e o nome completos do arquivo de backup na caixa Arquivo de log de backup (esta etapa é opcional). Isso também é necessário para completar o caminho e o nome de arquivo para um arquivo específico.
  12. Digite um nome descritivo de Instância . Isso identifica a regra de monitoramento de arquivo de log nas notificações de alerta que você receber.
  13. Selecione o nível de severidade que deseja aplicar a esta regra de alerta.
  14. Se quiser monitorar somente novas entradas no arquivo de log (começando no momento em que a regra for implementada no dispositivo), clique em Monitorar alterações em arquivos de log. (Esta opção é normalmente usada para arquivos de log para que o agente não continue analisando o mesmo texto existente.)
    Para monitorar todas as entradas novas e existentes no arquivo de log, clique em Monitorar o arquivo de log inteiro. (Esta opção é usada tipicamente para monitorar outros arquivos menos dinâmicos, tais como arquivos de configuração.)
  15. Clique em OK para adicionar a regra à lista de regras de monitoramento de arquivos de log.
  16. Repita os passos 4 à 15 para adicionar outras regras de monitoramento de arquivos de log.
    Depois de criar as regras de monitoramento de arquivos de log conforme desejado, você precisa adicioná-las ao conjunto de regras. Você pode adicionar várias regras de monitoramento e aplicar regras de tempo e ação nelas, dependendo de como você deseja ser notificado quando o "gatilho" de mudanças nos arquivos de log for disparado.
  17. Clique em OK para salvar suas alterações e sair da caixa de diálogo Regras de alerta.
  18. Na lista Resumo das regras, selecione a regra que você criou e clique em Editar na barra de ferramentas.
  19. Ajuste a Hora conforme necessário. Clique nos ícones de Estado para selecionar os estados para os quais deseja notificações. Os estados esmaecidos não dispararão notificações. Marque a caixa de seleção Integridade se quiser um alerta que contribua para o status de integridade do dispositivo.
  20. Clique em Salvar para sair das caixas de diálogo quando terminar.
  21. Agora vamos implantar a configuração do agente de alerta que você criou. Na barra de ferramentas da janela Configurações do agente, clique no botão Criar uma tarefa, depois clique em Alterar configurações.
  22. Na coluna de tipo, clique em Alerta e, ao lado, selecione a nova configuração do agente de alerta.
  23. Clique em Salvar, e a janela Tarefas agendadas será aberta com sua nova tarefa de configurações de alteração selecionada.
  24. Adicione alvos à tarefa, depois clique com o botão direito na tarefa e clique em Iniciar agora > Tudo.
  25. Monitore o progresso da tarefa. Quando a tarefa terminar, o novo conjunto de regras de alerta estará ativo nos dispositivos que você segmentou.
Notas
  • O monitoramento de arquivos de log é suportado somente para dispositivos Windows gerenciados.
  • Quando você editar ou excluir uma regra, os dispositivos afetados não receberão as atualizações até a próxima vez que executarem uma análise de segurança. Se quiser que a atualização aconteça mais cedo, agende uma atualização de configuração de agente para a configuração de alerta que você modificou.
  • Este recurso mapeia os arquivos de log na memória para usar menos memória durante uma pesquisa. Memória de tempo de execução é alocada para este processo à medida que pesquisas de expressões regulares ocorrem. Como o Windows bloqueia os arquivos mapeados na memória, poderá haver problemas com alguns aplicativos.