So erfassen Sie Anwendungs- und Dienstprotokolle aus den Windows-Ereignisprotokollen

So erfassen Sie Anwendungs- und Dienstprotokolle aus Windows-Ereignisprotokollen

Site24x7 AppLogs verwendet die Windows Management Instrumentation (WMI)-Abfrage auf dem Site24x7 Server Monitoring-Agenten, um Ereignisprotokolle abzurufen. Das WMI-Modul benötigt den folgenden Registrierungseintrag, um die Ereignisprotokolle aus der Gruppe "Applications and Services Log" zu lesen.

Ausführen der WMI-Abfrage

Dazu müssen Sie zunächst mit der folgenden WMI-Abfrage in PowerShell bestätigen, ob die Protokolldatei über Win32_NTLogEvent erreichbar ist. Dies ist dieselbe Abfrage, die der Site24x7-Server Monitoring Agent ausführt, um die Ereignisse zu erfassen.

Abfrage: Get-WmiObject -Query "Select EventCode,SourceName,TimeGenerated,Type,Message,Logfile from Win32_NTLogEvent WHERE ( LogFile = '<LogFileName>' )" | select -First 1

Hierbei ist LogFileName der Name der Kategorie von Ereignissen, die Sie erfassen möchten.
In den hier betrachteten Beispielen kann der  LogFileName Microsoft-Windows-PrintService/Admin oder Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational sein.
Wenn es keine Ergebnisse für diese Abfrage gibt, ist die Protokolldatei nicht erreichbar und Sie müssen sie über die Windows-Registrierung hinzufügen.

Notes
Ein Registrierungseintrag ist nicht für alle Kategorien von Veranstaltungstypen in der Gruppe "Applications and Services Log" obligatorisch. Überprüfen Sie, ob Ihr Eintrag in WMI vorhanden ist, und fügen Sie ihn gegebenenfalls hinzu.

Hinzufügen über die Windows-Registrierung

Sie können Ereignisprotokolldateien über die Windows-Registrierung hinzufügen. Dazu müssen Sie auf Ihrem Windows-Computer zur Windows-Registrierung gehen und den Speicherort der Registrierung aufrufen.

Speicherort der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog

Wenn Sie beispielsweise Protokolle aus der Kategorie Microsoft-Windows-PrintService/Admin erfassen möchten, müssen Sie den folgenden Schlüssel in der Windows-Registrierung hinzufügen.
Registrierungsschlüssel: Microsoft-Windows-PrintService/Admin




Wenn Sie den Registrierungsschlüssel bereitstellen, achten Sie darauf, dass Sie den Channel-Wert als vollständige Zeichenfolge in die Registrierung eingeben. Folgen Sie diesen Schritten:
  1. Gehen Sie zu Event Viewer > Applications and Services Logs.
  2. Wählen Sie die gewünschte Kategorie aus Ihren Anwendungen aus.
  3. Klicken Sie auf die Registerkarte Details.
  4. Erweitern Sie den Abschnitt System.
  5. Kopieren Sie den Channel-Wert wie im folgenden Screenshot gezeigt.
  6. Verwenden Sie diesen Channel-Wert als Registrierungsschlüssel, wenn Sie ihn zur Windows-Registrierung hinzufügen, wie im obigen Screenshot gezeigt.


Sobald Sie ihn zur Windows-Registrierung hinzugefügt haben, stellen Sie sicher, dass Sie die im Abschnitt "Ausführen der WMI-Abfrage" erwähnte WMI-Abfrage ausführen, wobei Sie <LogFileName> als den oben erstellten Registrierungsschlüssel verwenden.
Sie müssen diesen Registrierungsschlüssel eingeben, wenn Sie ein Protokollprofil für Windows-Ereignisprotokolle hinzufügen oder bearbeiten. Dazu:
  1. Melden Sie sich bei Site24x7 an, gehen zu Admin > AppLogs > Log Profile und klicken dann auf Windows Event Logs
  2. Fügen Sie im sich öffnenden Fenster Edit Log Profile den Registrierungsschlüssel in das Feld neben Windows Event Types ein.
  3. Klicken Sie auf Speichern.


Um ein weiteres Beispiel zu nennen: Wenn Sie Protokolle aus der Kategorie RemoteConnectionManager/Operational erfassen möchten, geben Sie den folgenden Schlüssel ein.
Registrierungsschlüssel: Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational

Fügen Sie in diesem Fall den obigen Schlüssel in das Feld neben Windows Event Types ein, um die Protokolle des Remote Control Managers zu erfassen.


Auf ähnliche Weise können Sie die erforderlichen Schlüssel neben dem Feld Windows Event Types im Protokollprofil einfügen, um andere Anwendungs- und Dienstprotokolle aus Windows-Ereignisprotokollen zu erfassen.