EventSentry kann jede beliebige Protokolldatei überwachen und Inhalte auf der Grundlage der von Ihnen aufgestellten Regeln verarbeiten. Sie können z.B. alle Zeilen aus einer Protokolldatei in Ihrer Datenbank speichern und/oder ausgewählte Inhalte in das Anwendungsereignisprotokoll protokollieren.
Voraussetzungen
Ähnlich wie bei der Überwachung von Ereignisprotokollen werden beim Start des EventSentry-Agenten vorhandene Dateien nicht erneut gescannt. Daher werden nur neue Zeilen geparst, die der/den Monitor-Protokolldatei(en) hinzugefügt werden.
Log-Datei-Typen
Bei der Überwachung von Logdateien unterscheiden wir zwischen
•Einfachen Protokolldateien (ohne Formatierung)
•Formatierte Protokolldateien (z.Bsp. CSV)
|
Protokolldateien werden in Echtzeit überwacht, und jedes Mal, wenn der Protokolldatei eine oder mehrere neue Zeilen (abgeschlossen mit einem konfigurierbaren Neuzeilenzeichen) hinzugefügt werden, werden diese von EventSentry verarbeitet. |
Einfache Protokolldateien
Einfache Protokolldateien sind Dateien, die keinem bestimmten Muster folgen und keine Trennzeichen enthalten. Bei der Konsolidierung dieser Dateien speichert EventSentry einfach jede Zeile (gemäß Ihren Regeln) in der Datenbank für spätere Analyse und Archivierungszwecke. Beispiele für nicht einfache Protokolldateien sind etliche Protokolldateien von Windows (windowsupdate.log, setupapi dev log) und von Entwicklungswerkzeugen erzeugte Debug-Dateien.
Einfache Protokolldateien sind am einfachsten zu konfigurieren, erlauben aber keine Sortierung oder Gruppierung in den Web-Reports.
Formatierte Protokolldateien
Hier handelt es sich um Dateien, die einem voreingestellten Format folgen, bei dem jede Zeile aus einer Reihe von Feldern besteht, die mit einem gemeinsamen Trennzeichen, z.B. einem Semikolon, abgegrenzt sind. Bei der Konsolidierung dieser Protokolldateien speichert EventSentry jedes Feld separat in der Datenbank und ermöglicht es Ihnen, Informationen auf verschiedene Weise zu suchen und anzuzeigen, z.B. durch Gruppierung der Ausgabe nach einem bestimmten Feld.
Formatierte Protokolldateien erfordern eine Dateidefinition, damit EventSentry weiß, wie jede Zeile analysiert werden muss. Das Einrichten von Dateidefinitionen ist einfach, wenn eine der vordefinierten Vorlagen (z.B. IIS, DHCP) verwendet wird, kann aber zeitaufwendiger sein, wenn Sie einen Dateityp überwachen müssen, für den keine Definitionen vorhanden sind.
|
Das Einrichten von Dateidefinitionen für formatierte Protokolldateien ist nur bei der Konsolidierung von Inhalten in einer Datenbank erforderlich. Wenn Sie nur ausgewählte Zeilen in das Ereignisprotokoll protokollieren wollen, dann können auch formatierte Protokolldateien wie einfache Protokolldateien behandelt werden. |
Schritte zur Überwachung einer Protokolldatei
1. Nur formatierte Dateien: Erstellen einer Dateidefinition wenn keine existiert
2. Definieren der überwachte(n) Datei(en)
3. Erstellen & Zuweisen eines Protokolldateipakets
4. Spezifizieren der Konsolidierungs- und Überwachungsoptionen
