监视Windows事件日志

事件日志（Event Log）是Windows操作系统中一个用来记录程序错误、安全通知、系统故障等事件的工具。这个工具可以帮助用户查看一段时间内Windows系统中出现过的事件，这些时间主要包括应用程序事件、安全性事件、系统事件，还包括一些其他的事件，如Office诊断事件、Office会话事件等。OpManager可以帮助用户对这些事件进行监视，并在出现符合用户定制标准的事件后生成告警通知用户。OpManager是通过WMI协议来获取事件日志信息的，所以请在使用此功能前请确保已经为被管设备配置了正确的WMI凭证。

用户打开管理页面，点击时间日志规则查看所有的事件监视器

监视一个设备的Windows事件

要监视Windows事件，用户需要为设备配置事件日志监视器，配置操作如下：

1. 打开设备的快照页面
2. 点击动作菜单项，点击事件日志规则  
3. 选择一个设备中需要监视的事件日志 
4. 按照需要修改轮询间隔。在每次轮询的过程中，选定的事件日志会与当前设备中的事件日志进行匹配，当匹配成功时就会产生告警
5. 点击保存来保存修改

使用快速配置向导

用户也可以使用快速配置向导同时为多台设备配置事件日志规则

1. 打开管理标签，选择快速配置向导
2. 选择关联事件日志规则到多个设备并点击下一步
3. 从事件列表中选择一个日志文件
4. 从规则列表中选择一个规则并点击下一步
5. 选择用户希望监视事件的设备并将它们移动到右侧的设备列表框中
6. 点击完成。事件日志规则就会被关联到选定的设备中

创建一个事件日志监视器

要创建一个事件日志监视器，请按照如下步骤操作

1. 打开管理页面，点击事件日志规则.
   
   在此页面中用户可以看到OpManager支持的所有的事件日志规则，它们被归类到应用程序、安全性、系统、DNS服务器、文件复制服务和目录服务六个模块中。用户也可以在对应模块中按自己需要创建监视器

2. 点击每个分类中新建规则来添加此种类事件的规则
   
   规则明细中除了规则名称以外其他的都是可选项。事件ID是用来确认事件身份的，但是在特殊的情况下可以选择不填，例如 监视某事件类型中所有的事件错误或信息。下面是基于事件类型规则明细介绍

   • 输入一个唯一的规则名称 

   • 输入需要监视的事件ID，它会作为该事件日志的唯一标识

   • 输入事件来源，一般为触发事件日志软件的名称

   • 输入事件的分类。每个事件的来源都为自己设定了分类比如数据写错误、读错误等，并被归入到对应的分类中。

   • 输入当事件发生时登录到被监视设备的用户的名称

   • 选择事件类型，该类型代表事件日志的性质。用户可以选择使用错误、警告、信息、安全审计成功、安全审计失败中的一个作为其事件类型

   • 输入用于匹配日志信息的字符串，它用来过滤所有日志信息中含有此字符串的事件

   • 选择此事件被触发时OpManager产生告警的重要级别

3. 点击添加规则来保存事件日志规则

创建完成后，用户便可以按照需要将此规则关联到设备中