Мониторинг содержимого файлов журналов

Функция мониторинга файлов журналов доступна в правилах мониторинга производительности. Агент мониторинга сканирует файлы журналов на управляемых устройствах Windows, проверяя наличие определенных строк и выражений, и генерирует предупреждения при их обнаружении. Это полезно в тех случаях, когда вы хотите получать предупреждения при появлении определенных условий, которые можно отследить по файлу журнала.

Можно осуществлять мониторинг текстового файла, создаваемого любым приложением, включая файлы .htm и .xml (однако файлы в формате Юникод мониторингу не подлежат). После того, как вы указали файл для мониторинга и определили правила с использованием регулярных выражений, мониторинг файла осуществляется до тех пор, пока правило мониторинга файла журнала содержится в наборе правил, действующем на данном устройстве.

Как только текст в файле журнала соответствует регулярному выражению, генерируется предупреждение. Предупреждение генерируется только один раз для этого файла, даже если таких соответствий в нем несколько. Если впоследствии файл изменяется таким образом, что в нем больше нет соответствия условию, агент снова начинает сканирование для этого регулярного выражения и генерирует предупреждение для следующего соответствия.

Можно также сканировать файлы резервных копий журналов, которые создаются, когда файл журнала становится слишком большим и более старые записи в файле добавляются в другой файл ("развернутый" файл журнала). Однако "свернутые" файлы журналов, которые удаляют более старые записи в одном файле журнала, чтобы освободить место для новых записей, не поддерживаются.

Для этой функции мониторинга необходимо указать расположение и точное имя файла на управляемом устройстве, а также критерии поиска с использованием регулярного выражения. Когда строка в файле соответствует выражению, генерируется действие предупреждения, если в соответствующем наборе правил предупреждений определен тип предупреждения Мониторинг файлов журналов (Log file monitoring).

Мониторинг файла журнала можно включить в любой определяемый пользователем набор правил. В приведенной далее процедуре описываются пять основных действий по настройке мониторинга файла журнала.

  1. Создайте правило мониторинга файла журнала в наборе правил предупреждений.
  2. Укажите файл журнала для мониторинга на управляемых устройствах.
  3. Определите правила мониторинга для этого файла, используя регулярные выражения.
  4. Выберите уровень важности для правила и присвойте имя экземпляру для идентификации его в предупреждениях.
  5. Примените правила действия и времени и сохраните правило в наборе правил предупреждений.
Настройка правила мониторинга файла журнала
  1. Выберите Сервис > Конфигурация > Предупреждения (Tools > Configuration > Alerting).
  2. В окне Наборы правил предупреждений (Alert rulesets) выберите набор правил для изменения, затем нажмите Правка (Edit) на панели инструментов.
  3. В левом столбце открывшегося окна Набор правил предупреждения нажмите Предупреждения (Alerts). В папке Монитор (Monitor ) в списке предупреждений щелкните Мониторинг файлов журналов (Log file monitoring).
  4. В правом столбце выберите Задачи> Создать (Tasks > New).
  5. В диалоговом окне Мониторинг файлов журналов (Log file monitoring) введите имя и описание для правила мониторинга файла журнала.
  6. Чтобы изменить частоту мониторинга элемента, измените настройки Интервал опроса (Polling interval).
  7. Щелкните Конфигурация файлов журналов (Log file configuration), чтобы указать файлы журналов для мониторинга, отслеживаемые элементы и способы предупреждения.
    С помощью регулярных выражений определяется содержимое файла журнала, мониторинг которого осуществляется. Когда служба мониторинга обнаруживает в файле журнала соответствие регулярному выражению, она следует правилам предупреждения по оповещению пользователя о ситуации.
  8. Щелкните Управление (Manage). В диалоговом окне Управление регулярными выражениями (Regular expression management) добавьте описательное имя и регулярное выражение, затем нажмите Добавить (Add). Повторите эти действия для каждого регулярного выражения, которое хотите использовать для мониторинга файлов журналов. После добавления всех выражений нажмите ОК.
    В этом диалоговом окне можно добавить столько регулярных выражений, сколько потребуется. Помните, что необходимо создать новое правило для каждого выражения, по которому будет выполняться поиск, и каждое правило применяется только для одного файла журнала. Другими словами, каждое правило включает одно регулярное выражение и один файл журнала.
  9. В раскрывающемся списке Регулярное выражение (Regular expression) выберите регулярное выражение.
  10. В поле Путь к файлу журнала (Log file path) ведите путь и полное имя файла журнала, который требуется контролировать. Это должно быть индивидуальное имя файла; будет выполняться мониторинг только файла с этим именем (например, c:\logs\error.txt)
  11. Чтобы включить файлы резервных копий файла журнала, введите путь и полное имя файла резервной копии в поле Путь к резервной копии файла журнала (Backup log file path) (это действие не является обязательным). Здесь также нужно указывать полный путь и имя для конкретного файла.
  12. В поле Экземпляр (Instance) введите описательное имя экземпляра. Оно определяет правило мониторинга файла журнала в получаемых вами предупредительных оповещениях.
  13. Выберите уровень важности для применения к этому правилу предупреждения.
  14. Чтобы контролировать только новые записи файла журнала (со времени развертывания правила мониторинга на устройство), выберите Мониторинг изменений в файле журнала (Monitor changes to log files). (Этот параметр обычно используется для файлов журналов, чтобы агенту не нужно было продолжать сканирование уже существующего текста.)
    Если необходимо, чтобы выполнялся мониторинг всех существующих и новых записей в файле журнала, выберите Мониторинг всего файла журнала (Monitor entire log file). (Этот параметр обычно используется для мониторинга других, менее динамичных файлов, например конфигурационных файлов.)
  15. Нажмите OK, чтобы добавить правило в список правил мониторинга файлов журналов.
  16. Повторите действия с 4 по 15 для добавления других правил мониторинга файлов журналов.
    После создания требуемых правил мониторинга файлов журналов необходимо добавить их в набор правил. Можно добавить несколько правил мониторинга и применить к ним правила действия и времени в зависимости от того, какой способ оповещения вы предпочитаете, когда в результате изменения файла журнала создаются предупреждения.
  17. Открыв список правил в окне Мониторинг файлов журналов (Log file monitoring), в правом столбце нажмите Правило > Создать (Rule > New).
    В нижней части страницы появляются три поля или "отсека".
  18. Перетащите одно или несколько правил в поле Предупреждения (Alerts).
  19. Слева от столбца щелкните Действия (Actions), затем перетащите одно или несколько правил действий в поле Действия. Эти действия будут применяться к каждому добавленному правилу.
  20. Слева от столбца щелкните Время (Time), затем перетащите правило времени в поле Время.
  21. Нажмите OK, чтобы добавить новые правила в набор правил.
    Для просмотра новых правил мониторинга файлов журналов в наборе правил выберите Сводка правил (Rules summary). Каждое правило отображается в отдельной строке; можно изменять отдельные правила или клонировать их, а также создавать копии правил с различными действиями, правилами времени или уровнями важности. Чтобы правило предупреждения воздействовало на состояние устройства, дважды щелкните правило в списке Сводка правил (Rules summary) и установите флажок Состояние (Health).
  22. После добавления правил мониторинга файлов журналов в набор правил нажмите Публикация, чтобы сохранить изменения в наборе правил. Изменения будут применены к отдельным устройствам при следующем развертывании набора правил или следующем выполнении службы инвентаризации устройства.
Примечания