Мониторинг содержимого файлов журналов

Функция мониторинга файлов журналов доступна в правилах мониторинга производительности. Агент мониторинга сканирует файлы журналов на управляемых устройствах Windows, проверяя наличие определенных строк и выражений, и генерирует предупреждения при их обнаружении. Это полезно в тех случаях, когда вы хотите получать предупреждения при появлении определенных условий, которые можно отследить по файлу журнала.

Можно осуществлять мониторинг текстового файла, создаваемого любым приложением, включая файлы .htm и .xml (однако файлы в формате Юникод мониторингу не подлежат). После того, как вы указали файл для мониторинга и определили правила с использованием регулярных выражений, мониторинг файла осуществляется до тех пор, пока правило мониторинга файла журнала содержится в наборе правил, действующем на данном устройстве.

Как только текст в файле журнала соответствует регулярному выражению, генерируется предупреждение. Предупреждение генерируется только один раз для этого файла, даже если таких соответствий в нем несколько. Если впоследствии файл изменяется таким образом, что в нем больше нет соответствия условию, агент снова начинает сканирование для этого регулярного выражения и генерирует предупреждение для следующего соответствия.

Можно также сканировать файлы резервных копий журналов, которые создаются, когда файл журнала становится слишком большим и более старые записи в файле добавляются в другой файл ("развернутый" файл журнала). Однако "свернутые" файлы журналов, которые удаляют более старые записи в одном файле журнала, чтобы освободить место для новых записей, не поддерживаются.

Для этой функции мониторинга необходимо указать расположение и точное имя файла на управляемом устройстве, а также критерии поиска с использованием регулярного выражения. Когда строка в файле соответствует выражению, генерируется действие предупреждения, если в соответствующем наборе правил предупреждений определен тип предупреждения Мониторинг файлов журналов (Log file monitoring).

Мониторинг файла журнала можно включить в любой определяемый пользователем набор правил. В приведенной далее процедуре описываются пять основных действий по настройке мониторинга файла журнала.

  1. Создайте правило мониторинга файла журнала в наборе правил предупреждений.
  2. Укажите файл журнала для мониторинга на управляемых устройствах.
  3. Определите правила мониторинга для этого файла, используя регулярные выражения.
  4. Выберите уровень важности для правила и присвойте имя экземпляру для идентификации его в предупреждениях.
  5. Примените правила действия и времени и сохраните правило в наборе правил предупреждений.
Настройка правила мониторинга файла журнала
  1. На консоли главного сервера нажмите Сервис > Конфигурация > Настройки агента > Предупреждения (Tools > Configuration > Agent Settings > Alerting).
  2. В окне Наборы правил предупреждений (Alert rulesets) выберите набор правил для изменения, затем нажмите Правка (Edit) на панели инструментов.
  3. В левом столбце открывшегося окна Набор правил предупреждения нажмите Предупреждения (Alerts). В папке Монитор (Monitor ) в списке предупреждений щелкните Мониторинг файлов журналов (Log file monitoring).
  4. На панели инструментов нажмите Создать (New).
  5. В диалоговом окне Мониторинг файлов журналов (Log file monitoring) введите имя и описание для правила мониторинга файла журнала.
  6. Чтобы изменить частоту мониторинга элемента, измените настройки Интервал опроса (Polling interval).
  7. Щелкните Конфигурация файлов журналов (Log file configuration), чтобы указать файлы журналов для мониторинга, отслеживаемые элементы и способы предупреждения.
    С помощью регулярных выражений определяется содержимое файла журнала, мониторинг которого осуществляется. Когда служба мониторинга обнаруживает в файле журнала соответствие регулярному выражению, она следует правилам предупреждения по оповещению пользователя о ситуации.
  8. Щелкните Управление (Manage). В диалоговом окне Управление регулярными выражениями (Regular expression management) добавьте описательное имя и регулярное выражение, затем нажмите Добавить (Add). Повторите эти действия для каждого регулярного выражения, которое хотите использовать для мониторинга файлов журналов. После добавления всех выражений нажмите OK.
    В этом диалоговом окне можно добавить столько регулярных выражений, сколько потребуется. Помните, что необходимо создать новое правило для каждого выражения, по которому будет выполняться поиск, и каждое правило применяется только для одного файла журнала. Другими словами, каждое правило включает одно регулярное выражение и один файл журнала.
  9. В раскрывающемся списке Регулярное выражение (Regular expression) выберите регулярное выражение.
  10. В поле Путь к файлу журнала (Log file path) ведите путь и полное имя файла журнала, который требуется контролировать. Это должно быть индивидуальное имя файла; будет выполняться мониторинг только файла с этим именем (например, c:\logs\error.txt)
  11. Чтобы включить файлы резервных копий файла журнала, введите путь и полное имя файла резервной копии в поле Путь к резервной копии файла журнала (Backup log file path) (это действие не является обязательным). Здесь также нужно указывать полный путь и имя для конкретного файла.
  12. В поле Экземпляр (Instance) введите описательное имя экземпляра. Оно определяет правило мониторинга файла журнала в получаемых вами предупредительных оповещениях.
  13. Выберите уровень важности для применения к этому правилу предупреждения.
  14. Чтобы контролировать только новые записи файла журнала (со времени развертывания правила мониторинга на устройство), выберите Мониторинг изменений в файле журнала (Monitor changes to log files). (Этот параметр обычно используется для файлов журналов, чтобы агенту не нужно было продолжать сканирование уже существующего текста.)
    Если необходимо, чтобы выполнялся мониторинг всех существующих и новых записей в файле журнала, выберите Мониторинг всего файла журнала (Monitor entire log file). (Этот параметр обычно используется для мониторинга других, менее динамичных файлов, например конфигурационных файлов.)
  15. Нажмите OK, чтобы добавить правило в список правил мониторинга файлов журналов.
  16. Повторите действия с 4 по 15 для добавления других правил мониторинга файлов журналов.
    После создания требуемых правил мониторинга файлов журналов необходимо добавить их в набор правил. Можно добавить несколько правил мониторинга и применить к ним правила действия и времени в зависимости от того, какой способ оповещения вы предпочитаете, когда в результате изменения файла журнала создаются предупреждения.
  17. Нажмите OK, чтобы сохранить изменения и выйти из диалога "Правила предупреждений" (Alert rules).
  18. В списке "Сводка правил" (Rules summary) выберите созданное правило и нажмите "Правка" (Edit) на панели инструментов.
  19. Измените параметр Время (Time), если необходимо. Нажмите значки состояния (State) для выбора состояний, для которых нужны оповещения. Затемненные состояния не активируют предупреждения. Выберите Состояние (Health), если нужно отправлять предупреждение, которое представляет состояние устройства.
  20. Нажмите Сохранить (Save) для выхода из диалога после завершения.
  21. Теперь давайте установим созданную вами настройку предупреждений в агенте. На панели инструментов в окне Настройки агента (Agent settings) нажмите кнопку Создать задачу (Create a task) и выберите Изменить настройки (Change settings).
  22. В столбце типа щелкните Предупреждения (Alerting) и рядом с ним выберите новую настройку агента для предупреждений.
  23. Нажмите Сохранить (Save). Будет открыто окно Запланированные задачи (Scheduled tasks) с выбранной задачей новых настроек изменения.
  24. Добавьте цели для задачи, а затем щелкните задачу правой кнопкой мыши и нажмите Запустить сейчас > Все (Start now > All).
  25. Отслеживайте выполнение задачи. После выполнения задачи ваш новый набор правил предупреждений станет активен на целевых устройствах.
Примечания
  • Мониторинг файлов журналов поддерживается только для управляемых устройств Windows.
  • Когда вы изменяете или удаляете правило, соответствующие устройства не получат обновления до выполнения следующего сканирования безопасности. Если вы хотите, чтобы обновление произошло раньше, запланируйте обновление настройки агента для измененной настройки предупреждения.
  • Эта функция заносит файлы журналов в память, чтобы использовать меньше памяти во время поиска. Рабочая память для этого выделяется при выполнении линейного поиска регулярного выражения. Поскольку Windows блокирует файл при его занесении в память, могут возникать проблемы с некоторыми приложениями.