AdministrationshandbuchAktionsalarme › Beispiel: E-Mail an den Administrator, wenn Ereignisfluss stoppt

Vorheriges Thema: Beispiele: Erstellen eines Alarms für ein selbstüberwachendes Ereignis

Nächstes Thema: Konfigurieren des Aufbewahrungszeitraums für Aktionsalarme

Beispiel: E-Mail an den Administrator, wenn Ereignisfluss stoppt

Administratoren müssen benachrichtigt werden, wenn ein Connector oder Agent keine Ereignisse mehr protokolliert. Sie können diese Benachrichtigung automatisieren, wenn ein Indikator darauf hinweist, dass diese Situation eingetreten ist. Sie können den Indikator konfigurieren. Dabei handelt es sich um die Zeit, die vergangen sein muss, seit ein Protokollquellserver Ereignisse von einem Connector erhalten hat. Sie können diese Zeitspanne auf eine beliebige Anzahl von Minuten, Stunden oder Tagen einstellen. Sie können die Abfrage auf alle Protokollquellserver in der Föderation erweitern.

Um die Anzahl von E-Mails zu beschränken, die versendet werden, wenn ein Connector fehlschlägt, sollten nur die Connectors berücksichtigt werden, die bis zu diesem Zeitpunkt Ereignisse erfasst haben. Stellen Sie einen Alarm beispielsweise so ein, dass nur Zeilen für Connectors zurückgegeben werden, die Ereignisse bis zu einer Stunde vor diesem Zeitpunkt erfasst haben, jedoch in der letzten Stunde keine Ereignisse mehr erfasst haben.

Um diese Daten zu erfassen, wählen Sie die vordefinierte Abfrage "Erfassungsüberwachung nach Protokollmanager - Agent-Connector nicht verfügbar". Diese Abfrage gibt den Namen des Connectors und des Agenten zurück, wenn keine Ereignisse mehr ankommen, wie in den Ergebnisbedingungen dieses Alarms definiert. Orientieren Sie sich an dem folgenden Beispiel, um einen Alarm zu generieren, wenn während der letzten Stunde keine Ereignisse von einem Connector empfangen wurden, der noch ein bis zwei Stunden zuvor Ereignisse gesendet hat. Geben Sie als Ziel für den Alarm die E-Mail-Adresse der Person an, die benachrichtigt werden soll. Um einen Plan zum Ausführen der Abfrage zu erstellen, legen Sie eine Frequenz fest, die größer oder gleich der abgelaufenen Zeitspanne ist.

Hinweis: E-Mail-Einstellungen müssen vor Erstellen des Alarms unter "Verwaltung", "Berichtsserver" vorgenommen werden.

So senden Sie eine E-Mail an den Administrator, wenn ein Connector keine Ereignisse mehr erfasst

  1. Wählen Sie den Server, von dem aus dieser Alarm ausgeführt werden soll. Wählen Sie in einer Hub-and-Spoke-Architektur einen Erfassungsserver aus, um die Bedingung so schnell wie möglich zu erfassen.
  2. Wählen Sie die Registerkarte "Alarmverwaltung" und die Unterregisterkarte "Alarmplanung".
  3. Klicken Sie auf "Aktionsalarm planen".
  4. Geben Sie einen Namen für den Job ein, z. B: "Connector nicht verfügbar".
  5. Wählen Sie unter "Verfügbare Abfragen" die Abfrage "Erfassungsüberwachung nach Protokollmanager - Agent-Connector nicht verfügbar", und verschieben Sie sie in die Liste "Ausgewählte Abfragen".

    Wählen Sie die Abfrage "Erfassungsüberwachung nach Protokollmanager - Agent-Connector nicht verfügbar".

  6. Klicken Sie auf "Ergebnisbedingungen".
  7. Legen Sie die Zeit auf die letzten beiden Stunden fest.
    1. Wählen Sie "Vordefinierte Bereiche: Letzte Stunde".

      Dadurch setzen Sie die dynamische Endzeit genau auf "jetzt", "-2 Minuten".

    2. Klicken Sie unter "Dynamische Startzeit" auf "Dynamische Zeitzeichenfolge bearbeiten".
    3. Ersetzen Sie unter "Dynamische Zeitzeichenfolge" den Wert "62" durch "122".
    4. Klicken Sie auf OK.

    Bearbeiten Sie die Bereiche. Die dynamische Endzeit sollte zwischen 'jetzt' und'-1 Minute' und die dynamische Startzeit zwischen 'jetzt' und '-121 Minuten' liegen.

  8. Legen Sie die Ergebnisbedingungen fest.
    1. Wählen Sie "Spätestes gruppiertes Ereignis vor dem", und klicken Sie auf "Bearbeiten".
    2. Wählen Sie als Referenzzeit "Jetzt", und klicken Sie auf "Referenzzeit zur dynamischen Zeitzeichenfolge hinzufügen".
    3. Klicken Sie einmal auf den Pfeil nach unten, um die Zeit auf "-1" zu verschieben, wählen Sie aus der Dropdown-Liste "Stunde", und klicken Sie auf "Zeitverschiebung zur dynamischen Zeitzeichenfolge hinzufügen".
    4. Klicken Sie auf OK.

    Spätestes gruppiertes Ereignis vor 'jetzt', '-1 Stunde'

  9. Klicken Sie auf den Schritt "Jobs planen", und definieren Sie das Wiederholungsintervall. Setzen Sie das Intervall zum Beispiel auf 1 Stunde.

    Wählen Sie "1" als Wiederholungsintervall und "Stunden" als Maßeinheit.

  10. Klicken Sie auf "Ziel", und füllen Sie die Registerkarte "E-Mail" aus.
    1. Wählen Sie "E-Mail-Benachrichtigung aktivieren".
    2. Geben Sie unter "E-Mail an" die E-Mail-Adresse des Administrators ein.
    3. Geben Sie unter "E-Mail von" Ihre E-Mail-Adresse ein.
    4. Geben Sie im Feld "Betreff" einen Betreff ein. Geben Sie beispielsweise "Connector möglicherweise ausgefallen" ein.
    5. Geben Sie den E-Mail-Text ein. Geben Sie beispielsweise ein: "Connector hat in der letzten Stunde keine Ereignisse mehr gesendet".
  11. Klicken Sie auf "Serverauswahl", und löschen Sie den Wert unter "Föderiert", falls gewünscht.
  12. Klicken Sie auf "Speichern und schließen".

Sie können diesen Alarm so definieren, dass der Datumsbereich in Tagen anstelle von Stunden abgefragt wird, und ihn dann so planen, dass er nur einmal am Tag ausgeführt wird. In diesem Fall wird die dynamische Endzeit auf 'Jetzt', die dynamische Startzeit auf 'Jetzt', '-2 Tage' und "Spätestes gruppiertes Ereignis vor dem" auf 'Jetzt', '-1 Tage' gesetzt.

Weitere Informationen:

Hinweise zum Berichtsserver

Beispiel: Föderationsübersicht für ein mittelgroßes Unternehmen