ImplementierungshandbuchKonfigurieren der Ereigniserfassung › Beispiel: Aktivieren direkter Erfassung mithilfe von WinRMLinuxLogSensor

Vorheriges Thema: Beispiel: Aktivieren direkter Erfassung mithilfe von ODBCLogSensor

Nächstes Thema: Anzeigen und Steuern des Agenten- bzw. Connector-Status

Beispiel: Aktivieren direkter Erfassung mithilfe von WinRMLinuxLogSensor

Sie können die direkte Erfassung von Ereignissen aktivieren, die von Windows-Anwendungen oder dem Windows Server 2008-Betriebssystem mit WinRMLinuxLogSensor generiert wurden. Dazu müssen Sie einen Connector auf dem Standardagenten erstellen, basierend auf einer Integration, die WinRMLinuxLogSensor verwendet. Viele Integrationen verwenden diesen Sensor, zum Beispiel, Active_Directory_Certificate_Services, Forefront_Security_for_Exchange_Server, Hyper-V, MS_OCS und WinRM. Für die Anwendung und das Betriebssystem von Microsoft Windows, die Ereignisse generieren, die über WinRMLinuxLogSensor abgerufen werden können, ist die Windows-Remoteverwaltung aktiviert.

Die folgende Liste zeigt einige Produkte an, die Ereignisse generieren, die direkt vom Standardagenten auf einem CA Enterprise Log Manager-Server erfasst werden können. Für jedes Produkt wird ein einziger Connector verwendet; jeder Connector verwendet WinRMLinuxLogSensor.

Die vollständige Liste finden Sie unter Produktintegrationsmatrix auf Support Online.

Dieses Beispiel zeigt, wie die direkte Erfassung von Ereignissen mithilfe eines auf der WinRM-Integration basierten Connectors aktiviert werden kann. Wenn ein solcher Connector bereitgestellt wird, werden Ereignisse von einer Ereignisquelle des Windows Server 2008-Betriebssystems erfasst. Die Erfassung beginnt, nachdem Sie die Ereignisquellen konfiguriert haben, um Ereignisse in der Windows-Ereignisanzeige zu protokollieren und die Windows-Remoteverwaltung auf dem Server zu aktivieren, wie in dem Connector-Handbuch zu dieser Integration beschrieben wird.

So konfigurieren Sie die Windows Server 2008-Ereignisquelle

  1. Klicken Sie auf die Registerkarte "Verwaltung" und auf die Unterregisterkarte "Bibliothek".
  2. Erweitern Sie "Ereignisverfeinerungs-Bibliothek", anschließend "Integrationen", "Automatisches Software-Update" und wählen Sie "WinRM" aus.

    Das Dialogfeld "Integrationsdetails anzeigen" zeigt den Sensorennamen, WinRMLinuxLogSensor, an. Unterstützte Plattformen umfassen sowohl Windows als auch Linux.

  3. Klicken Sie im WinRM-Dialogfeld "Integrationsdetails anzeigen" auf den Link "Hilfe".

    Das Connector-Handbuch für Microsoft Windows Server 2008 – WinRM wird angezeigt.

So konfigurieren Sie die Ereignisquelle und überprüfen die Protokollierung

  1. Melden Sie sich beim Zielhost mit einem Windows Server 2008-Betriebssystem an.
  2. Folgen Sie den Anweisungen im CA Connector-Handbuch für Microsoft Windows Server 2008, um sicherzustellen, dass Ereignisse in der Windows-Ereignisanzeige angezeigt werden und dass die Windows-Remoteverwaltung auf dem Zielserver aktiviert ist.

    Hinweis: Ein Bestandteil dieses Prozesses ist die Erstellung des Benutzernamens und des Kennworts. Sie müssen diese Daten eingeben, um den Connector zu konfigurieren. Diese Anmeldeinformationen aktivieren die Authentifizierung, die zur Herstellung der Verbindung zwischen der Ereignisquelle und CA Enterprise Log Manager erforderlich ist.

  3. Überprüfen Sie die Protokollierung.
    1. Öffnen Sie "eventvwr" im Dialogfeld "Ausführen".

      Die Ereignisanzeige wird geöffnet.

    2. Erweitern Sie "Windows-Protokolle", und klicken Sie auf "Sicherheit".

      Wenn Sie eine der folgenden ähnlichen Ansicht erhalten, wird die Protokollierung durchgeführt.

    In der Ereignisanzeige werden Ereignisse dargestellt.

So aktivieren Sie die direkte Ereigniserfassung von Windows-Ereignisquellen

  1. Klicken Sie auf die Registerkarte "Verwaltung" und auf die Unterregisterkarte "Protokollerfassung".
  2. Erweitern Sie den Agenten-Explorer im Protokollerfassungs-Explorer, und erweitern Sie anschließend die Agentengruppe, die den CA Enterprise Log Manager-Standardagenten enthält.
  3. Wählen Sie einen Standardagenten aus, d. h., einen Agenten mit dem Namen eines CA Enterprise Log Manager-Servers.

    Der Standardagent verfügt möglicherweise über andere bereitgestellte Connectors.

  4. Klicken Sie auf "Neuen Connector erstellen".

    Wählen Sie den Agenten aus, und klicken Sie auf "Neuen Connector erstellen".

    Der Assistent zum Erstellen von neuen Connectors wird geöffnet. Der Schritt der Connector-Details ist ausgewählt.

  5. Wählen Sie aus der Drop-down-Liste "Integration" eine Integration aus, die den WinRM-Protokollsensor verwendet.

    Geben Sie beispielsweise WinRM ein.

    Wenn Sie die WinRM-Integration auswählen, wird "WinRM_Connector" erstellt.

    Diese Auswahl füllt das Feld "Connectorname" mit "WinRM_Connector" auf.

  6. (Optional) Klicken Sie auf "Unterdrückungsregeln anwenden" und wählen Sie die Regeln aus, die mit den unterstützten Ereignissen verbunden sind.
  7. Klicken Sie auf den Schritt "Connector-Konfiguration" und klicken Sie auf den Link "Hilfe".

    Die Anweisungen umfassen CA Enterprise Log Manager-Sensor-Konfiguration – WinRM.

    Klicken Sie auf den Link "CA Enterprise Log Manager-Sensorkonfiguration--WinRM".

  8. Folgen Sie den Anweisungen in diesem Connector-Handbuch, um den Sensor zu konfigurieren. Geben Sie statt des Hostnamens vorzugsweise die IP-Adresse des Hosts ein, auf dem Sie die Windows-Remoteverwaltung konfiguriert haben. Die Angaben zu Benutzernamen und Kennwort reflektieren die Anmeldeinformationen, die Sie während der Konfiguration der Windows-Remoteverwaltung hinzugefügt haben.

    Beispiel:

    Befolgen Sie zur Sensorkonfiguration die Anweisungen im Connector-Handbuch.

  9. Klicken Sie auf "Speichern und schließen".
  10. Der neue Connectorname wird unter dem Agenten im Agenten-Explorer angezeigt.

    Im Agenten-Explorer wird "WinRM_Connector" unter dem Standardagenten angezeigt.

  11. Klicken Sie auf "WinRM_Connector", um die Statusdetails anzuzeigen.

    Zu Beginn wird der Status "Ausstehende Konfiguration" angezeigt. Warten Sie, bis der Status "Wird ausgeführt" angezeigt wird.

    Für "WinRM_Connector" wird der Status "Wird ausgeführt" angezeigt.

  12. Klicken Sie auf "Wird ausgeführt", um zusammenfassende Daten wie EPS (Ereignisse pro Sekunde) zu erhalten.

    Als Status wird neben anderen Metriken ein durchschnittlicher EPS-Wert angezeigt.

So überprüfen Sie, ob der Standardagent Ereignisse von der Zielereignisquelle erfasst

  1. Wählen Sie die Registerkarte "Abfragen und Berichte". Die Unterregisterkarte "Abfragen" wird angezeigt.
  2. Erweitern Sie "Eingabeaufforderungen" in der Abfrageliste und wählen Sie "Connector" aus.
  3. Geben Sie den Connectornamen ein, und klicken Sie auf "Los".
  4. Die erfassten Ereignisse werden angezeigt.

Weitere Informationen:

Ereignisquellen für die direkte Protokollerfassung