指定在 vRealize Operations Manager 中将 Windows 事件记录为事件时 Endpoint Operations Management 代理所包括的 Windows 事件属性的内容和格式。

默认情况下,agent.properties 文件不包含此属性。

默认

启用 Windows 日志跟踪时,将针对与您在资源的“配置属性”页面上指定的条件相匹配的事件,记录采用 [Timestamp] Log Message (EventLogName):EventLogName:EventAttributes 形式的条目。

属性 描述
Timestamp 事件发生的时间
Log Message 文本字符串
EventLogName Windows 事件日志类型 SystemSecurityApplication
EventAttributes 以冒号分隔的字符串,由 Windows 事件的“来源”和“消息”属性构成

例如,日志条目:04/19/2010 06:06 AM Log Message (SYSTEM): SYSTEM: Print: Printer HP LaserJet 6P was paused. 适用于在 2010 年 4 月 19 日上午 6:06 写入到 Windows 系统事件日志的 Windows 事件。Windows 事件的“来源”和“消息”属性分别为“Print”和“Printer HP LaserJet 6P was paused.”。

配置

使用以下参数配置代理针对 Windows 事件写入的 Windows 事件属性。每个参数均映射到具有相同名称的 Windows 事件属性。

参数 描述
%user% 事件发生所代表的用户的名称。
%computer% 发生事件的计算机的名称。
%source% 记录 Windows 事件的软件。
%event% 识别特定事件类型的编号。
%message% 事件消息。
%category% 用于为事件分组的特定于应用程序的值。

例如,通过属性设置 platform.log_track.eventfmt=%user%@%computer% %source%:%event%:%message%Endpoint Operations Management 代理在记录 Windows 事件时写入以下数据 04/19/2010 06:06 AM Log Message (SYSTEM): SYSTEM: HP_Admistrator@Office Print:7:Printer HP LaserJet 6P was paused.。此条目适用于在 2010 年 4 月 19 日上午 6:06 写入到 Windows 系统事件日志的 Windows 事件。与该事件相关联的软件在主机“Office”上作为“HP_Administrator”运行。该 Windows 事件的“来源”、“事件”和“消息”属性分别为“Print”、“7”和“Printer HP LaserJet 6P was paused”。