NetXMS Support Forum

Sorry, https://www.netxms.org/download/rc/nxagent-0.9.0-rc1-x64.exe

сегодня наконец поставил, буду посмотреть как оно себя поведёт...

Виктор, поскольку всё что мы тут понаписали сожрал проклятый кризис катаклизм, прошу повториться и написать подробнее о нововведениях в мониторинге логов Windows...

я про

- Added support for matching Windows event log records by event source,
  severity, and event code

если Вас не затруднит, не могли бы Вы дать несколько примеров по использованию этой новой возможности?

Для фильтрации по этим полям в тэге <rule> можно указывать следующие тэги:

<id>event code range</id> - код события или диапазон, например <id>10</id> или <id>21-28</id>

<level>severity level</level> - уровень серьезности (тип) события. Здесь надо указывать маскуб составляемую из следующих значений:

1 error
2 warning
4 information
8 audit success
16 audit failure

если требуется несколько уровней, то эти значения суммируются - например для соответствия уровням error и information надо использовать значение 5 (1 + 4).

<source>event source pattern</source> - шаблон для имени источника события. Это не регулярное выражение, а именно шаблон, где можно использовать символы * и ?. Например, для всех имен, начинающихся на VNC, надо использовать VNC*.

Вот вроде и все.

Расскажите, плиз, подробнее про <event param="1"> в парсере.
Для начала хочу передавать в NetXMS текст эвента ошибки из виндового System Log.
Сделал простейший парсер:

<parser>
<file>*System</file>
<rules>
<rule>
<level>1</level>
<match>*</match>
<event params="1">100012</event>
</rule>
</rules>
</parser>

Теперь при появлении ошибки в System Log, в NetXMS Event Browser'е появляется эвент, но без текста ошибки, хотя Message Template у него стоит %1. Что-то недокрутил?

P.S. И ещё вопросик вдогонку: не планируется ли доработать в будущем модуль для update/deploy клиентов, чтобы заодно распространять на них файлики с парсерами? Чтобы не копировать ручками .xml-файлик на 20 серверов.

Quote from: Ethril on May 18, 2009, 06:03:53 PM
Расскажите, плиз, подробнее про <event param="1"> в парсере.
Для начала хочу передавать в NetXMS текст эвента ошибки из виндового System Log.
Сделал простейший парсер:

Code Select Expand


<parser>
<file>*System</file>
<rules>
<rule>
<level>1</level>
<match>*</match>
<event params="1">100012</event>
</rule>
</rules>
</parser>

Теперь при появлении ошибки в System Log, в NetXMS Event Browser'е появляется эвент, но без текста ошибки, хотя Message Template у него стоит %1. Что-то недокрутил?

Ту часть текста, которую надо передать как параметр события, надо брать в скобки, например:

(.*) - весь текст будет взят как параметр
^Error (.*) - текст после слова Error будет взят как параметр

Quote from: Ethril on May 18, 2009, 06:03:53 PM
P.S. И ещё вопросик вдогонку: не планируется ли доработать в будущем модуль для update/deploy клиентов, чтобы заодно распространять на них файлики с парсерами? Чтобы не копировать ручками .xml-файлик на 20 серверов.

Планируется - будет возможность централизованно распространять конфиги, скрипты, и т.д.

Поменял * на (.*) - всё работает. Спасибо.

Hi There

It would be great, if the information regarding LogWatch and Windows Event Log monitoring would be available in english too!

Any chance?

Thanks a lot!

Проблема, не проблема...
Решил написать:

Win2008 - x86, NXMS 0.2.26.1

Подключил в Агенте LogWatch. И теперь лог буквально усыпан сообщениями:

LogWatch: Unable to read event log "Application": The event log file has changed between read operations.

Как с этим бороться?

Ja vilozil obnovlennij logwatch dlja testov - https://www.netxms.org/forum/index.php/topic,670.0.html. Teper' dolzen korrektno rabotat' na 2008.

премного благодарен, буду посмотреть ASAP... =)

Добрый день!
Такой вопрос.
А как можно парсить логи имя которых не постоянно, а типа log090810.log? На следующий день соответственно log090811.log.

мм.... может быть использовать шаблон типа log%date%.log ?
правда указанный тобой формат потребует предварительной обработки...

Quote from: oleg on August 10, 2009, 07:09:55 PM
Добрый день!
Такой вопрос.
А как можно парсить логи имя которых не постоянно, а типа log090810.log? На следующий день соответственно log090811.log.

В имени файла можно использовать макросы:

%a   Abbreviated weekday name
%A   Full weekday name
%b   Abbreviated month name
%B   Full month name
%c   Date and time representation
%d   Day of the month (01-31)
%H   Hour in 24h format (00-23)
%I   Hour in 12h format (01-12)
%j   Day of the year (001-366)
%m   Month as a decimal number (01-12)
%M   Minute (00-59)
%p   AM or PM designation
%S   Second (00-61)
%U   Week number with the first Sunday as the first day of week one (00-53)
%w   Weekday as a decimal number with Sunday as 0 (0-6)
%W   Week number with the first Monday as the first day of week one (00-53)
%x   Date representation
%X   Time representation
%y   Year, last two digits (00-99)
%Y   Year
%Z   Timezone name or abbreviation
%%   A % sign

В нашем случае это будет log%y%m%d.log