Нужно загрузить subagent и указать файлы парсеров в конфигурации агента:
парсеров может быть несколько
Затем создать файл парсера parser1.xml
в нем минимально:
<file>*System</file> - тут файл журнала в которое пишется событие, например *System - System.evtx или *Application - Application.evtx и т.д.
<match>.*</match> - тут совпадения по содержимому события, .* - любое содержимое
<id>610</id> - event id, он же код события в журнале windows
<event>100033</event> - id, он же code или имя события в netxms (event configuration), которое сработает при попадании в условия парсера
в принципе для начала все.
Про параметры передаваемые в событие netxms:
Passing parameters to events
The log parser can send parameters to events. All capture groups will be sent to the event as a parameters. For Windows additional
Number Description
1 to n Capture groups
n+1 Windows publisher name
n+2 Windows event id
n+3 Windows severity
n+4 Windows record Id
n+5 to k Windows event strings
Параметры в эвентах можно получать через capture groups %1 %2 и т.д., Capture groups 1 to n, это (.*) в <match></match>, допустим если <match>(.*)</match>, то весь текст события windows будет в параметре %1, если же в <match>some text in log (.*) more text (.*)</match> уже будет две Capture group %1 и %2 в них будет только тот текст который был между log и more в случае %1 и весь текст до конца текста события после text в случае %2, а в %3 будет Windows publisher name(source) и т.д.
Code Select
SubAgent = filemgr.nsm
*LOGWATCH
Parser = C:\NetXMS\parser1.xml
парсеров может быть несколько
Затем создать файл парсера parser1.xml
в нем минимально:
Code Select
<parser>
<file>*System</file>
<rules>
<rule>
<match>.*</match>
<id>610</id>
<event>100033</event>
</rule>
</rules>
</parser>
<file>*System</file> - тут файл журнала в которое пишется событие, например *System - System.evtx или *Application - Application.evtx и т.д.
<match>.*</match> - тут совпадения по содержимому события, .* - любое содержимое
<id>610</id> - event id, он же код события в журнале windows
<event>100033</event> - id, он же code или имя события в netxms (event configuration), которое сработает при попадании в условия парсера
в принципе для начала все.
Про параметры передаваемые в событие netxms:
Passing parameters to events
The log parser can send parameters to events. All capture groups will be sent to the event as a parameters. For Windows additional
Number Description
1 to n Capture groups
n+1 Windows publisher name
n+2 Windows event id
n+3 Windows severity
n+4 Windows record Id
n+5 to k Windows event strings
Параметры в эвентах можно получать через capture groups %1 %2 и т.д., Capture groups 1 to n, это (.*) в <match></match>, допустим если <match>(.*)</match>, то весь текст события windows будет в параметре %1, если же в <match>some text in log (.*) more text (.*)</match> уже будет две Capture group %1 и %2 в них будет только тот текст который был между log и more в случае %1 и весь текст до конца текста события после text в случае %2, а в %3 будет Windows publisher name(source) и т.д.