監視記錄檔案的內容

記錄檔案監視是效能監視規則中的一個選項。該監視代理程式會掃描受管理的 Windows 裝置上的記錄檔案,用於特定字串或運算式,並在找到它們的時候產生警示。如果您希望在存在可透過記錄檔案追蹤的特定情形時得到警示,這個功能就很有用。

您可監視任何應用程式產生的文字檔案,包括 .htm 和 .xml 檔案 (但不會監視 Unicode 檔案)。指定好需要監視的檔案並使用正規運算式定義了規則之後,則只要記錄檔案監視規則包含在裝置上有效的規則集內,就會監視該檔案。

記錄檔案中的文字第一次符合正規運算式時就會產生警示。如果有多個符合,僅會為該檔案產生一次警示。稍後,如果檔案變更導致不再有符合的情況,則代理程式會開始再次掃描該正規運算式,並在下次符合的時候產生警示。

您亦可掃描在記錄檔案變得過大時建立的記錄備份檔案,檔案中較晚的項目會附加在不同檔案 (「積累式」記錄檔案) 的後面。但是,不支援「預包裝」記錄檔案,這會移除一個記錄檔案中較晚的項目,為新項目留下空間。

對於該監視選項,您必須指定該檔案在受管理裝置上的位置和確切名字,並且使用正規運算式指定搜尋條件。如果您在適當警示規則集中定義了記錄檔案監視警示類型,則檔案中的字串符合運算式時會產生警示動作。

您可將記錄檔案監視包含到您定義的任何警示規則集中。以下程序說明了設定記錄檔案監視所需的五個一般步驟:

  1. 在警示規則集中建立記錄檔案監視規則。
  2. 指定受管理裝置上需要監視的記錄檔案。
  3. 使用常規運算式定義該檔案的監視規則。
  4. 選擇規則的嚴重性層級並命名實例,以便在警示中識別。
  5. 套用動作和時間規則並將規則儲存於警示規則集中。
設定記錄檔案監視規則
  1. 在核心伺服器控制台中,按一下工具 > 組態 > 代理程式設定 > 警示
  2. 警示規則集合中選擇想要編輯的規則集,然後按一下工具列上的編輯
  3. 在開啟的警示規則集合視窗的左欄中按一下警示。在警示清單的監視資料夾中,按一下記錄檔案監視
  4. 在工具列上,按一下新增
  5. 記錄檔案監視對話方塊中,輸入記錄檔案監視規則的名稱及說明。
  6. 要變更監視項目的頻率,請變更輪詢間隔設定。
  7. 按一下記錄檔案設定指定受監視的檔案、監視內容以及警示方式。
    使用常規運算式定義記錄檔案中需要被監視的內容。當監視服務在記錄檔案中找到正規運算式的相符項時,隨後將出現警示規則,通知您發生動作。
  8. 按一下管理。在正規運算式管理對話方塊中,新增一個描述名稱和正規運算式,然後按一下新增。重複您想要用來監視記錄檔案的每個常規運算式。全部新增後,按一下確定
    您可以隨心所慾地新增正規運算式至該對話方塊。請注意,您需要為希望搜尋的每個運算式建立新規則,每個規則僅套用於一個記錄檔案。換言之,每個規則包含一個正規運算式和一個記錄檔案。
  9. 正規運算式下拉式清單中選擇一個正規運算式。
  10. 記錄檔案路徑對話方塊中輸入想要監視的記錄檔案的路徑與完整檔案名稱。必須為指定檔案名稱,並且只能監視該檔案名稱 (例如:c:\logs\error.txt)
  11. 如果您需要包含記錄檔案的備份檔案,請在備份記錄檔案路徑方塊中輸入備份檔案的路徑和完整檔案名稱 (該步驟是可選的)。這也必須為指定檔案的完整路徑和檔案名稱。
  12. 輸入一個實例描述性名稱。這樣可以識別您所接收的警示通知中的記錄檔案監視規則。
  13. 選擇想要套用於此警示規則的嚴重性層級。
  14. 如果您僅希望監視記錄檔案中的新項目 (在監視規則集部署至裝置時開始),請按一下監視記錄檔案的變更。(該選項通常用於記錄檔案,這樣代理程式就不會一直掃描相同的現有文字。)
    如果您希望監視記錄檔案中的所有現有項目和新項目,請按一下監視整個記錄檔案。(該選項通常用於監視動態性較差的檔案,例如設定檔案。)
  15. 按一下確定,將規則新增至記錄檔案監視規則清單中。
  16. 重複步驟 4-15 以新增其他記錄檔案監視規則。
    建立所需的記錄檔案監視規則後,您需要將它們新增至規則集中。視您需要在記錄檔案變更觸發警示時獲得通知的方式而定,您可以新增多個監視規則並為它們套用動作和時間規則。
  17. 按一下確定儲存您的變更並離開「警示規則」對話方塊。
  18. 在「規則摘要」清單中,選擇您建立的規則並按一下工具列內的「編輯」。
  19. 如有需要,請調整時間。按一下狀態圖示,選擇您想要的狀態通知。變暗的狀態不會觸發通知。若您想要可提供裝置健全性狀態的警示,請選擇狀況
  20. 完成時,按一下儲存即可離開對話方塊。
  21. 現在,讓我們部署您所建立的警示代理程式設定。在代理程式設定視窗工具列上,按一下建立工作按鈕,然後按一下變更設定
  22. 在類型欄中按一下警示,除此之外並選擇您新的警示代理程式設定。
  23. 按一下儲存排程工作視窗會隨即開啟,而且其中包含已選取的新變更設定工作。
  24. 將目標新增至工作,接著以滑鼠右鍵按一下立即開始 > 全部
  25. 監視工作進度。當工作完成時,新警示規則集便會在您設定的目標裝置上啟動。
注意
  • 僅有受管理的 Windows 裝置支援記錄檔案監視。
  • 當您編輯或刪除規則時,受影響的裝置到下次執行安全性掃描之前都不會獲得更新。若您想要更新更快進行,可為您所修改的警示設定排定代理程式設定更新。
  • 該功能會將記錄檔案對應到記憶體中,從而減少搜尋過程中對記憶體的使用。進行線性正規運算搜尋時,該操作會使用執行時間記憶體。由於在檔案被對應到記憶體時,Windows 會鎖定該檔案,您可能會遇到一些有關應用程式的問題。