Jak na… – kontrolu vypínání a restartování počítačů s pomocí SCOM 2007

Potřebujete mít přehled o počítačích, které byly vypnuty nebo restartovány a jakým způsobem se to stalo?  Není nic jednoduššího, než ve SCOM 2007 vytvořit pravidlo pro kontrolu systémového event logu (pokud tam již není).

Jak tedy vytvořit pravidlo (RULE)? Nejprve musíme v sekci Authoring, v oddíle Rules najít skupinu např. Windows Server. V této skupině vytvoříme nové pravidlo, které bude primárně vypnuto. Vypnuto je z důvodu budoucího směrování na konkrétní skupinu nebo objekt.

Šablonu pro pravidlo zvolíme z větve Alert Generating Rules \ Event Based \ NT Event Log (Alert).

Projdeme průvodce, zadáme požadované hodnoty, především konkrétní Event ID a Event Source. Po vytvoření pravidla vytvoříme Override pro konkrétní objekt nebo skupinu.

A co vlastně chceme sledovat? Zde uvádím několik příkladů záznamů z Event logu, které lze monitorovat.

EventID 1074, Source USER32

  • informace o ručním vypnutí počítače za použití služby Event Tracker

EventID 1076, Source USER32

  • informace o neočekávaném vypnutí a použití služby Event Tracker pokud se přihlásí Administrator nebo uživatel s právy vypnutí serveru

EventID 513, Source Security

  • informace o normálním vypnutí systému

EventID 6008, Event Log

  • poslední vypnutí systému bylo neočekávané

EventID 1073, Source USER32

  • informace o neúspěšném vypnutí nebo restartu systému

EventID 1100, Source Microsoft-Windows-Eventlog

  • informace o vypnutí služby logování (event logging service has shut down  pro Vista/Windows 2008)

Jsou i další záznamy v Event logu, které mohou zaznamenat vypnutí nebo restart systému. Nebo další záznamy z jiných systémů a služeb, které nejsou sledovány importovanými management packy. Postup jak je sledovat systémem SCOM 2007 je výše.

Reklamy

Zanechat Odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

WordPress.com Logo

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit / Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit / Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit / Změnit )

Google+ photo

Komentujete pomocí vašeho Google+ účtu. Odhlásit / Změnit )

Připojování k %s

%d bloggers like this: