ImplementierungshandbuchKonfigurieren der Ereigniserfassung › Beispiel: Aktivieren der direkten Erfassung mit "WinRMLinuxLogSensor"

Vorheriges Thema: Beispiel: Aktivieren der direkten Erfassung mit "ODBCLogSensor"

Nächstes Thema: Anzeigen und Steuern des Agenten- bzw. Connector-Status

Beispiel: Aktivieren der direkten Erfassung mit "WinRMLinuxLogSensor"

Sie können die direkte Erfassung der von Windows-Anwendungen oder dem Betriebssystem Windows Server 2008 generierten Ereignisse mit dem Sensor "WinRMLinuxLogSensor" aktivieren. Hierzu erstellen Sie einen Connector auf dem Standardagenten, der auf einer Integration basiert, in der "WinRMLinuxLogSensor" verwendet wird. Dieser Sensor wird in vielen Integrationen verwendet, beispielsweise in "Active_Directory_Certificate_Services", "Forefront_Security_for_Exchange_Server", "Hyper-V", "MS_OCS" und "WinRM". Unter den Microsoft Windows-Anwendungen und -Betriebsystemen, die Ereignisse generieren, kann "WinRMLinuxLogSensor" Ereignisse von denjenigen abrufen, für die die Windows-Remoteverwaltung aktiviert ist.

Im Folgenden finden Sie eine Liste mit einem Auszug von Produkten, die Ereignisse generieren, die direkt vom Standardagenten auf einem CA Enterprise Log Manager-Server erfasst werden können. Für jedes Produkt wird ein eindeutiger Connector verwendet. Alle Connectors wiederum verwenden den Sensor "WinRMLinuxLogSensor".

Eine vollständige Liste finden Sie unter "Support Online" in der Produktintegrationsmatrix.

In diesem Beispiel wird gezeigt, wie Sie die direkte Erfassung von Ereignissen mit einem Connector basierend auf der WinRM-Integration aktivieren. Wenn ein solcher Connector bereitgestellt wird, erfasst er Ereignisse aus einer Ereignisquelle des Betriebssystems Windows Server 2008. Die Erfassung beginnt, nachdem Sie die Ereignisquellen entsprechend den Angaben in dem dieser Integration zugeordneten Connector-Handbuch so konfiguriert haben, dass Ereignisse in der Windows-Ereignisanzeige erfasst werden und die Windows-Remoteverwaltung auf dem Server aktiviert wird.

So konfigurieren Sie die Windows Server 2008-Ereignisquelle:

  1. Klicken Sie auf die Registerkarte "Verwaltung".
  2. Blenden Sie nacheinander "Ereignisverfeinerungs-Bibliothek", "Integrationen" und "Automatisches Software-Update" ein, und wählen Sie "WinRM" aus.

    Im Fensterbereich "Integrationsdetails anzeigen" wird der Name des Sensors angezeigt, "WinRMLinuxLogSensor". Die unterstützten Plattformen sind Windows und Linux.

  3. Klicken Sie im Fensterbereich "Integrationsdetails anzeigen" für WinRM auf den Link "Hilfe".

    Das Connector-Handbuch für Microsoft Windows Server 2008 zu WinRM wird angezeigt.

So konfigurieren Sie die Ereignisquelle und überprüfen die Protokollierung:

  1. Melden Sie sich auf dem Zielhost, auf dem eine Edition von Windows Server 2008 installiert ist.
  2. Befolgen Sie die Anweisungen im CA Connector-Handbuch für Microsoft Windows Server 2008, um sicherzustellen, dass Ereignisse in der Windows-Ereignisanzeige angezeigt werden und die Windows-Remoteverwaltung auf dem Zielserver aktiviert ist.

    Hinweis: Im Rahmen dieses Prozesses erstellen Sie den Benutzernamen und das Kennwort, die Sie bei der Konfiguration des Connectors eingeben müssen. Durch diese Anmeldeinformationen wird die Authentifizierung ermöglicht, die zum Herstellen von Konnektivität zwischen der Ereignisquelle und CA Enterprise Log Manager erforderlich ist.

  3. Überprüfen Sie die Protokollierung.
    1. Führen Sie im Dialogfeld "Ausführen" den Befehl "eventvwr" aus.

      Die Ereignisanzeige wird geöffnet.

    2. Blenden Sie "Windows-Protokolle" ein, und klicken Sie auf "Sicherheit".

      Der daraufhin eingeblendeten Anzeige können Sie entnehmen, dass die Protokollierung durchgeführt wird. Sie sieht in etwa wie folgt aus:

    In der Ereignisanzeige werden Ereignisse dargestellt.

So aktivieren Sie die direkte Erfassung von Ereignissen aus Windows-Ereignisquellen:

  1. Klicken Sie auf die Registerkarte "Verwaltung" und auf die Unter-Registerkarte "Protokollerfassung".
  2. Blenden Sie im Protokollerfassungs-Explorer den Agenten-Explorer und anschließend die Agentengruppe ein, die den CA Enterprise Log Manager-Standardagenten enthält.
  3. Wählen Sie einen Standardagenten aus, das heißt, einen Agenten mit dem Namen eines CA Enterprise Log Manager-Servers.

    Der Standardagent verfügt möglicherweise über weitere Connectors, die für ihn bereitgestellt wurden.

  4. Klicken Sie auf "Neuen Connector erstellen".

    Wählen Sie den Agenten aus, und klicken Sie auf "Neuen Connector erstellen".

    Der Assistent "Erstellung eines neuen Connectors" wird angezeigt. Der Schritt "Connector-Details" ist ausgewählt.

  5. Wählen Sie in der Dropdown-Liste "Integration" eine Integration aus, in der der Protokollsensor "WinRM" verwendet wird.

    Wählen Sie beispielsweise "WinRM" aus.

    Wenn Sie die WinRM-Integration auswählen, wird "WinRM_Connector" erstellt.

    Hierdurch wird das Feld "Connector-Name" mit der Zeichenfolge "WinRM_Connector" gefüllt.

  6. (Optional) Klicken Sie auf "Unterdrückungsregeln anwenden", und wählen Sie Regeln aus, die den unterstützten Ereignissen zugeordnet sind.
  7. Klicken Sie auf den Schritt "Connector-Konfiguration" und dann auf den Link "Hilfe".

    In den Anweisungen finden Sie auch Angaben zur CA Enterprise Log Manager-Sensorkonfiguration für WinRM.

    Klicken Sie auf den Link "CA Enterprise Log Manager-Sensorkonfiguration--WinRM".

  8. Befolgen Sie die Anweisungen in diesem Connector-Handbuch, um den Sensor zu konfigurieren. Geben Sie statt des Hostnamens die IP-Adresse des Hosts ein, auf dem Sie die Windows-Remoteverwaltung konfiguriert haben. Die Felder "Benutzername" und "Kennwort" enthalten die Anmeldeinformationen, die Sie während der Konfiguration der Windows-Remoteverwaltung eingegeben haben.

    Beispiel:

    Befolgen Sie zur Sensorkonfiguration die Anweisungen im Connector-Handbuch.

  9. Klicken Sie auf "Speichern und schließen".
  10. Der neue Connector-Name wird unter dem Agenten im Agenten-Explorer angezeigt.

    Im Agenten-Explorer wird "WinRM_Connector" unter dem Standardagenten angezeigt.

  11. Klicken Sie auf "WinRM_Connector", um die Statusdetails anzuzeigen.

    Als Anfangsstatus wird "Konfiguration ausstehend" angezeigt. Warten Sie, bis der Status "Wird ausgeführt" angezeigt wird.

    Für "WinRM_Connector" wird der Status "Wird ausgeführt" angezeigt.

  12. Klicken Sie auf "Wird ausgeführt", um Übersichtsdaten anzuzeigen, beispielsweise zu den EPS-Werten (Ereignisse pro Sekunde).

    Als Status wird neben anderen Metriken ein durchschnittlicher EPS-Wert angezeigt.

So überprüfen Sie, ob der Standardagent Ereignisse aus der Zielereignisquelle erfasst:

  1. Wählen Sie die Registerkarte "Abfragen und Berichte". Die Unterregisterkarte "Abfragen" wird angezeigt.
  2. Erweitern Sie in der Abfrageliste den Eintrag "Eingabeaufforderungen", und wählen Sie "Connector" aus.
  3. Geben Sie den Connector-Namen ein, und klicken Sie auf "Los".
  4. Zeigen Sie die erfassten Ereignisse an.

Weitere Informationen:

Ereignisquellen für die direkte Protokollerfassung