Filterzeitgeber geben Ihnen die Möglichkeit, ein Ereignis - selbst wenn es einem Ihrer Filter entspricht - zu ignorieren, wenn ein bestimmtes nachfolgendes Ereignis innerhalb einer konfigurierbaren Zeitspanne eintritt. Diese Funktion funktioniert am besten, wenn die Ereignisse, die einen Timer setzen und löschen, oder von gleicher Struktur sind, d.h. die gleichen Einfügetexte in der gleichen Reihenfolge enthalten.
Betrachten Sie das folgende Szenario: Ein kritischer Dienst stoppt, wird aber innerhalb von 1 Minute automatisch neu gestartet (z.B. nachdem sich eine AntiVirus-Engine aktualisiert hat), was zu zwei Ereignissen führt, die je einen Fehler im Ereignisprotokoll erzeugen. Erstens, wenn der Dienst stoppt und erneut, wenn der Dienst neu gestartet wird. Sie könnten natürlich die Überwachung des Dienstes ganz einstellen, aber das wäre nicht wünschenswert, da Sie vermutlich benachrichtigt werden möchten, wenn der Dienst ohne Neustart beendet wird. Filter-Timers bieten hier eine Lösung.
Filterzeitgeber lösen dieses Problem, indem sie es Ihnen ermöglichen, zwei Filter zu erstellen: Einen Filter, der mit dem ersten Ereignis übereinstimmt, und einen Filter, der mit dem nachfolgenden Ereignis übereinstimmt, das wiederum den ersten Alarm löscht. Als solches werden Sie nie über das ursprüngliche Ereignis benachrichtigt, wenn es innerhalb der Timeout-Periode "gelöscht" wurde.
|
Beachten Sie, dass Sie aufgrund der Art dieser Funktion erst nach Ablauf der Timer-Periode über ein Ereignis benachrichtigt werden, das auf einen Filter mit der Option Enable Timer passt. |
Aktivieren eines Timers
Um einen Timer im Filter zu aktivieren, bearbeiten Sie den Filter und klicken Sie auf die Registerkarte Timer. Wählen Sie auf der Registerkarte "Timer" die Option "Enable Timer", um den Timer zu aktivieren. Geben Sie dann eine Timeout-Periode an (z.B. 2 Minuten) und geben Sie einen Filter an, der den Timer durch Klicken auf die Schaltfläche "Plus +" löscht. Wenn Sie auf diese Schaltfläche klicken, erscheint ein Dialog, der alle geeigneten Filter (z.B. Include-Filter) anzeigt, die zum Löschen dieses Timers verwendet werden können.
Der "Clearing"-Filter
Dieser Filter wird von einem Timerfilter referenziert und hat die Fähigkeit, den Timer zu löschen. Wenn Sie diesen Filter einrichten, geben Sie dieselbe Aktion an wie die im Timer-Filter angegebene Aktion. Wenn dieser Filter übereinstimmt, während ein Timer-Filter von der eingestellten Zeitüberschreitung herunterzählt, löscht er den Timer, und die Aktion wird nicht benachrichtigt.
Wenn der Löschfilter mit einem Ereignis übereinstimmt, während kein Timer aktiv ist, verhält er sich wie ein normaler Filter. Als solcher können Sie mehrere Aktionen auf dem Löschfilter angeben.
|
Filter welche einen Zeitgeber Filter (Filter Timer) löschen, leiten Ereignisse nicht an Benachrichtigungen weiter wenn sie mit einem Ereignis übereinstimmen, während ein Filterzeitgeber abwärts zählt. Stattdessen löschen sie einfach den Timer.
Wenn der Filter mit einem Ereignis übereinstimmt während kein Filter-Timer aktiv ist, dann verhält er sich wie ein normaler Filter. |
Einfügungstexte
Diese Funktion ist besonders nützlich bei der Erstellung eines Filterzeitgebers, der mit einer Vielzahl von Ereignissen übereinstimmen sollte. Zum Beispiel eine "Service-Stop / Service-Start"-Kombination oder eine "Prozess-Ende / Prozess-Start"-Kombination. Ohne die Verwendung der Einfügetext wäre es notwendig, für jedes eindeutige Ereignis (z.B. Dienst), das Sie überwachen wollten, ein Filterpaar zu erstellen.
Nehmen wir an, Sie möchten benachrichtigt werden, wenn ein überwachter Dienst für mehr als 5 Minuten gestoppt wurde (oder wenn ein Host für mehr als 5 Minuten offline ist usw.). Nehmen wir an, der DNS-Server-Dienst würde angehalten, was einen Timer auslösen würde, der in 5 Minuten ablaufen würde. Nehmen wir auch an, dass der Lizenzprotokollierungsdienst auf demselben Host 3 Minuten nach dem Stoppen des DNS-Server-Dienstes gestartet wurde. Da beide mit dem generischen Filter übereinstimmten, der Dienststartereignisse generell auffängt, würde der Zeitgeber gelöscht und Sie würden nicht über den gestoppten DNS-Server Dienst benachrichtigt werden.
Durch die Verwendung von Einfügetexten können Sie jedoch die ausgewählten Einfügetexte aus dem Ursprungsereignis, das den Filterzeitgeber festgelegt hat, und dem Zeitgeber, der den Filter löschen wird, zu vergleichen. Wenn sie übereinstimmen, wird der Filterzeitgeber gelöscht, andernfalls nicht. Wir empfehlen Ihnen, den Ereignis-Meldungs-Browser zu verwenden, um die Anzahl und Position der Einfügetexte innerhalb der Ereignisse zu bestimmen.
Beachten Sie folgende Ereignisse, die sowohl die Dienstüberwachung als auch die Prozessgestaltung/-beendigung betreffen:
Event Source |
Event Category |
Event ID |
Event Description (insertion strings start with % character) |
EventSentry |
Service Monitoring |
10100 |
The status for service %1 (%2) changed from %3 to %4. |
Security |
Detailed Tracking |
592 |
A new process has been created:
New Process ID: %1 Image File Name: %2 Creator Process ID: %3 User Name: %4 Domain: %5 Logon ID: %6 |
Security |
Detailed Tracking |
593 |
A process has exited:
Process ID: %1 Image File Name: %2 User Name: %3 Domain: %4 Logon ID: %5 |
Immer wenn EventSentry eine Dienststatusänderung aufzeichnet, protokolliert es Ereignis 10100 im Ereignisprotokoll und ersetzt %1 durch den Namen des Dienstes, dessen Status sich geändert hat. Wenn also eine Übereinstimmung mit dem Einfügetext #1 erforderlich ist, kann ein Ereignis, das sich auf den Dienst "Lizenzprotokollierung" bezieht, den eingestellten Timer nicht aus dem "DNS-Serverdienst" löschen.
Ein ähnliches Setup könnte mit den Ereignissen erreicht werden, die von Windows protokolliert werden, wenn ein Prozess erstellt oder beendet wird. Wenn wir einen Filterzeitgeber auf der Grundlage von Ereignis 592 und den Filterlöschzeitgeber auf der Grundlage von Ereignis 593 festlegen, könnten wir entweder Einfügetext #1 oder #2 angeben, da beide die gleichen Informationen enthalten würden (wir könnten auch beide Einfügetexte angeben).
Wie es funktioniert
Wenn ein Ereignis mit einem Timer-aktivierten Filter übereinstimmt, wartet EventSentry, bis die Timeout-Periode abgelaufen ist, bevor es das Ereignis an die konfigurierten Benachrichtigungen weiterleitet. EventSentry hängt die Zeichenfolge TIMER-DELAY an den Betreff einer E-Mail an, wenn eine der konfigurierten Benachrichtigungen vom Typ SMTP ist.
Wenn der in der Liste "Filter, der diesen Timer löschen kann" angegebene Filter mit einem Ereignis innerhalb der Timeout-Periode übereinstimmt, dann wird weder der Original- noch der "Clearing"-Filter die Benachrichtigung, das Ziel dieser Funktion, verarbeiten.