Please enable JavaScript to view this site.

Filterzeitgeber geben Ihnen die Möglichkeit, ein Ereignis - selbst wenn es einem Ihrer Filter entspricht - zu ignorieren, wenn ein bestimmtes nachfolgendes Ereignis innerhalb einer konfigurierbaren Zeitspanne eintritt.

 

Betrachten Sie das folgende Szenario: Ein kritischer Dienst stoppt, wird aber innerhalb von 1 Minute automatisch neu gestartet (z.B. nachdem sich eine AntiVirus-Engine aktualisiert hat), was zu zwei Ereignissen führt, die je einen Fehler im Ereignisprotokoll erzeugen. Erstens, wenn der Dienst stoppt und erneut, wenn der Dienst neu gestartet wird. Sie könnten natürlich die Überwachung des Dienstes ganz einstellen, aber das wäre nicht wünschenswert, da Sie vermutlich benachrichtigt werden möchten, wenn der Dienst ohne Neustart beendet wird. Filter-Timers bieten hier eine Lösung.

 

Filterzeitgeber lösen dieses Problem, indem sie es Ihnen ermöglichen, zwei Filter zu erstellen: Einen Filter, der mit dem ersten Ereignis übereinstimmt, und einen Filter, der mit dem nachfolgenden Ereignis übereinstimmt, das wiederum den ersten Alarm löscht. Als solches werden Sie nie über das ursprüngliche Ereignis benachrichtigt, wenn es innerhalb der Timeout-Periode "gelöscht" wurde.

 

info_32

Beachten Sie, dass Sie aufgrund der Art dieser Funktion erst nach Ablauf der Timer-Periode über ein Ereignis benachrichtigt werden, das auf einen Filter mit der Option Enable Timer passt.

 

Aktivieren eines Timers

Um einen Timer im Filter zu aktivieren, bearbeiten Sie den Filter und klicken Sie auf die Registerkarte Timer. Wählen Sie auf der Registerkarte "Timer" die Option "Enable Timer", um den Timer zu aktivieren. Geben Sie dann eine Timeout-Periode an (z.B. 2 Minuten) und geben Sie einen Filter an, der den Timer durch Klicken auf die Schaltfläche "Plus +" löscht. Wenn Sie auf diese Schaltfläche klicken, erscheint ein Dialog, der alle geeigneten Filter (z.B. Include-Filter) anzeigt, die zum Löschen dieses Timers verwendet werden können.

 

clip0130

 

Der "Clearing"-Filter

Dieser Filter wird von einem Timerfilter referenziert und hat die Fähigkeit, den Timer zu löschen. Wenn Sie diesen Filter einrichten, geben Sie dieselbe Aktion an wie die im Timer-Filter angegebene Aktion. Wenn dieser Filter übereinstimmt, während ein Timer-Filter von der eingestellten Zeitüberschreitung herunterzählt, löscht er den Timer, und die Aktion wird nicht benachrichtigt.

 

Wenn der Löschfilter mit einem Ereignis übereinstimmt, während kein Timer aktiv ist, verhält er sich wie ein normaler Filter. Als solcher können Sie mehrere Aktionen auf dem Löschfilter angeben.

 

 

Einfügungstexte

Diese Funktion ist besonders nützlich bei der Erstellung eines Filterzeitgebers, der mit einer Vielzahl von Ereignissen übereinstimmen sollte. Zum Beispiel eine "Service-Stop / Service-Start"-Kombination oder eine "Prozess-Ende / Prozess-Start"-Kombination. Ohne die Verwendung der Einfügetext wäre es notwendig, für jedes eindeutige Ereignis (z.B. Dienst), das Sie überwachen wollten, ein Filterpaar zu erstellen.

 

Nehmen wir an, Sie möchten benachrichtigt werden, wenn ein überwachter Dienst für mehr als 5 Minuten gestoppt wurde (oder wenn ein Host für mehr als 5 Minuten offline ist usw.). Nehmen wir an, der DNS-Server-Dienst würde angehalten, was einen Timer auslösen würde, der in 5 Minuten ablaufen würde. Nehmen wir auch an, dass der Lizenzprotokollierungsdienst auf demselben Host 3 Minuten nach dem Stoppen des DNS-Server-Dienstes gestartet wurde. Da beide mit dem generischen Filter übereinstimmten, der Dienststartereignisse generell auffängt, würde der Zeitgeber gelöscht und Sie würden nicht über den gestoppten DNS-Server Dienst benachrichtigt werden.

 

Durch die Verwendung von Einfügetexten können Sie jedoch die ausgewählten Einfügetexte aus dem Ursprungsereignis, das den Filterzeitgeber festgelegt hat, und dem Zeitgeber, der den Filter löschen wird, zu vergleichen. Wenn sie übereinstimmen, wird der Filterzeitgeber gelöscht, andernfalls nicht. Wir empfehlen Ihnen, den Ereignis-Meldungs-Browser zu verwenden, um die Anzahl und Position der Einfügetexte innerhalb der Ereignisse zu bestimmen.

 

Beachten Sie folgende Ereignisse, die sowohl die Dienstüberwachung als auch die Prozessgestaltung/-beendigung betreffen:

 

Event Source

Event Category

Event ID

Event Description (insertion strings start with % character)

EventSentry

Service Monitoring

10100

The status for service %1 (%2) changed from %3 to %4.

Security

Detailed Tracking

592

A new process has been created:

 

           New Process ID:        %1

          Image File Name:        %2

           Creator Process ID:        %3

           User Name:                %4

           Domain:                %5

           Logon ID:                %6

Security

Detailed Tracking

593

A process has exited:

 

           Process ID:                %1

          Image File Name:        %2

           User Name:                %3

           Domain:                %4

           Logon ID:                %5

 

Immer wenn EventSentry eine Dienststatusänderung aufzeichnet, protokolliert es Ereignis 10100 im Ereignisprotokoll und ersetzt %1 durch den Namen des Dienstes, dessen Status sich geändert hat. Wenn also eine Übereinstimmung mit dem Einfügetext #1 erforderlich ist, kann ein Ereignis, das sich auf den Dienst "Lizenzprotokollierung" bezieht, den eingestellten Timer nicht aus dem "DNS-Serverdienst" löschen.

 

Ein ähnlicher Aufbau könnte mit den Ereignissen erreicht werden, die von Windows protokolliert werden, wenn sich ein Benutzer anmeldet und dann wieder abmeldet. Wenn wir einen Filter-Timer auf der Grundlage des Ereignisses 4624 und den Filter-Clearing-Timer auf der Grundlage des Ereignisses 4647 einstellen, dann müssen wir die Einfügezeichenfolge #8 des Anmeldeereignisses mit der Einfügezeichenfolge #4 des Abmeldeereignisses verbinden.

 

Bei der Angabe von Einfügezeichenfolgen müssen sowohl die Einfügung aus dem Filtertimer-Ereignis als auch aus dem Löschungsereignis angegeben werden. Die gleiche Einfügezeichenfolge kann für beide Ereignisse angegeben werden, wenn sie gleich sind (in den obigen Beispielen sind die Einfügezeichenfolgen für das Dienstüberwachungsereignis gleich, aber nicht für die An-/Abmeldeereignisse).

 

Wie es funktioniert

Wenn ein Ereignis mit einem Timer-aktivierten Filter übereinstimmt, wartet EventSentry, bis die Timeout-Periode abgelaufen ist, bevor es das Ereignis an die konfigurierten Benachrichtigungen weiterleitet. EventSentry hängt die Zeichenfolge TIMER-DELAY an den Betreff einer E-Mail an, wenn eine der konfigurierten Benachrichtigungen vom Typ SMTP ist.

 

Wenn der in der Liste "Filter, der diesen Timer löschen kann" angegebene Filter mit einem Ereignis innerhalb der Timeout-Periode übereinstimmt, dann wird weder der Original- noch der "Clearing"-Filter die Benachrichtigung, das Ziel dieser Funktion, verarbeiten.

 

Benachrichtigungen steurn

Der Sinn eines Filter-Timers besteht natürlich darin, Benachrichtigungen zu unterdrücken, wenn das Ereignis, das einen Filter-Timer auslöst, innerhalb des konfigurierten Zeitraums gelöscht wird. Folglich gibt es kein Szenario, in dem %PRODUCT% eine Benachrichtigung verschicken würde, wenn der Timer-Filter gelöscht wird.

 

Es ist möglich zu steuern, ob Benachrichtigungen versendet werden, wenn das Ereignis, das einen Filtertimer löscht, außerhalb des konfigurierten Zeitfensters eintritt. Ein Beispiel: Ein Filter-Timer für einen Dienst ist für 3 Minuten konfiguriert, aber der Dienst wird erst nach 4 Minuten neu gestartet. Je nach den Umständen kann es wünschenswert sein oder nicht, eine Benachrichtigung zu erhalten, wenn der Filter, der den Timer löscht, das Ereignis verarbeitet.

 

Empfang einer Benachrichtigung

Um eine Benachrichtigung auszulösen, wenn das Ereignis außerhalb des konfigurierten Zeitfensters eintritt, konfigurieren Sie einfach die gleiche Aktion für den Löschfilter wie für den Zeitgeberfilter. Tritt das Ereignis, das den Timer löschen soll, verspätet ein, also außerhalb des Zeitfensters, dann wird eine Benachrichtigung ausgelöst. Im Fall des Beispiels der Dienstüberwachung würde dies den Benutzer darüber informieren, dass der Dienst schließlich neu gestartet wurde, wenn auch mit einer Verzögerung.

 

Unterdrückung von Benachrichtigungen

Um Benachrichtigungen zu unterdrücken und lediglich darüber informiert zu werden, dass der Timer des Filters abgelaufen ist, sollte für den Timer-Löschfilter keine Aktion angegeben werden. Dadurch wird der Timer-Filter immer noch gelöscht, wenn das Ereignis innerhalb des angegebenen Zeitfensters eintritt, es werden aber keine Benachrichtigungen gesendet, wenn das Ereignis außerhalb (nach) dem Zeitfenster eintritt.

 

architecture_filters_timers