指定在 vRealize Operations Manager 中将 Windows 事件记录为事件时 End Point Operations Management 代理所包括的 Windows 事件属性的内容和格式。
默认情况下,agent.properties 文件不包含此属性。
默认
启用 Windows 日志跟踪时,将针对与您在资源的“配置属性”页面上指定的条件相匹配的事件,记录采用 [Timestamp] Log Message (EventLogName):EventLogName:EventAttributes
形式的条目。
属性 | 描述 |
---|---|
Timestamp |
事件发生的时间 |
Log Message |
文本字符串 |
EventLogName |
Windows 事件日志类型 System 、Security 或 Application |
EventAttributes |
以冒号分隔的字符串,由 Windows 事件的“来源”和“消息”属性构成 |
例如,日志条目:04/19/2010 06:06 AM Log Message (SYSTEM): SYSTEM: Print: Printer HP LaserJet 6P was paused.
适用于在 2010 年 4 月 19 日上午 6:06 写入到 Windows 系统事件日志的 Windows 事件。Windows 事件的“来源”和“消息”属性分别为“Print
”和“Printer HP LaserJet 6P was paused.
”。
配置
使用以下参数配置代理针对 Windows 事件写入的 Windows 事件属性。每个参数均映射到具有相同名称的 Windows 事件属性。
参数 | 说明 |
---|---|
%user% |
事件发生所代表的用户的名称。 |
%computer% |
发生事件的计算机的名称。 |
%source% |
记录 Windows 事件的软件。 |
%event% |
识别特定事件类型的编号。 |
%message% |
事件消息。 |
%category% |
用于为事件分组的特定于应用程序的值。 |
例如,通过属性设置 platform.log_track.eventfmt=%user%@%computer% %source%:%event%:%message%
,End Point Operations Management 代理在记录 Windows 事件时写入以下数据 04/19/2010 06:06 AM Log Message (SYSTEM): SYSTEM: HP_Admistrator@Office Print:7:Printer HP LaserJet 6P was paused.
。此条目适用于在 2010 年 4 月 19 日上午 6:06 写入到 Windows 系统事件日志的 Windows 事件。与该事件相关联的软件在主机“Office”上作为“HP_Administrator”运行。该 Windows 事件的“来源”、“事件”和“消息”属性分别为“Print”、“7”和“Printer HP LaserJet 6P was paused”。