Отслеживание создания теневых копий.

Started by vectorrus, January 18, 2019, 07:02:03 AM

Previous topic - Next topic

vectorrus

Добрый день! Не могу настроить отслеживание создания теневых копий.
Как я понял нужно написать парсер для отслеживания, но мой не работает. Подскажите плиз как это сделать (я новичок).
Привожу код парсера:
<parser name="WindowsBackups">
<file>{syslog}</file>
<rules>
<rule>
<match>VSS</match>
<event>USR_APP_ERROR</event>
</rule>
</rules>
</parser>

Монитор системного журнала пуст, несмотря на изменение EnableSyslogReceiver на 1 и перезагрузки.

voron

Нужно загрузить subagent и указать файлы парсеров в конфигурации агента:

SubAgent = filemgr.nsm
*LOGWATCH
Parser = C:\NetXMS\parser1.xml


парсеров может быть несколько
Затем создать файл парсера parser1.xml
в нем минимально:

<parser>
    <file>*System</file>
    <rules>
        <rule>
            <match>.*</match>
    <id>610</id>
    <event>100033</event>
        </rule>
    </rules>
</parser>

<file>*System</file> - тут файл журнала в которое пишется событие, например *System - System.evtx или *Application - Application.evtx и т.д.
<match>.*</match> - тут совпадения по содержимому события, .* - любое содержимое
<id>610</id> - event id, он же код события в журнале windows
<event>100033</event> - id, он же code или имя события в netxms (event configuration), которое сработает при попадании в условия парсера
в принципе для начала все.
Про параметры передаваемые в событие netxms:
Passing parameters to events

The log parser can send parameters to events. All capture groups will be sent to the event as a parameters. For Windows additional
Number    Description
1 to n    Capture groups
n+1    Windows publisher name
n+2    Windows event id
n+3    Windows severity
n+4    Windows record Id
n+5 to k    Windows event strings

Параметры в эвентах можно получать через capture groups %1 %2 и т.д., Capture groups 1 to n, это (.*) в <match></match>, допустим если <match>(.*)</match>, то весь текст события windows будет в параметре %1, если же в <match>some text in log (.*) more text (.*)</match> уже будет две Capture group %1 и %2 в них будет только тот текст который был между log и more в случае %1 и весь текст до конца текста события после text в случае %2, а в %3 будет Windows publisher name(source) и т.д.

vectorrus

Quote from: voron on January 27, 2019, 02:35:10 PM
Нужно загрузить subagent и указать файлы парсеров в конфигурации агента:

SubAgent = filemgr.nsm
*LOGWATCH
Parser = C:\NetXMS\parser1.xml


парсеров может быть несколько
Затем создать файл парсера parser1.xml
в нем минимально:

<parser>
    <file>*System</file>
    <rules>
        <rule>
            <match>.*</match>
    <id>610</id>
    <event>100033</event>
        </rule>
    </rules>
</parser>

<file>*System</file> - тут файл журнала в которое пишется событие, например *System - System.evtx или *Application - Application.evtx и т.д.
<match>.*</match> - тут совпадения по содержимому события, .* - любое содержимое
<id>610</id> - event id, он же код события в журнале windows
<event>100033</event> - id, он же code или имя события в netxms (event configuration), которое сработает при попадании в условия парсера
в принципе для начала все.
Про параметры передаваемые в событие netxms:
Passing parameters to events

The log parser can send parameters to events. All capture groups will be sent to the event as a parameters. For Windows additional
Number    Description
1 to n    Capture groups
n+1    Windows publisher name
n+2    Windows event id
n+3    Windows severity
n+4    Windows record Id
n+5 to k    Windows event strings

Параметры в эвентах можно получать через capture groups %1 %2 и т.д., Capture groups 1 to n, это (.*) в <match></match>, допустим если <match>(.*)</match>, то весь текст события windows будет в параметре %1, если же в <match>some text in log (.*) more text (.*)</match> уже будет две Capture group %1 и %2 в них будет только тот текст который был между log и more в случае %1 и весь текст до конца текста события после text в случае %2, а в %3 будет Windows publisher name(source) и т.д.
спасибо за ответ :-)