Zentrales Monitoring des Windows-Eventlog

Verwendung

Sie können auf Windows-Plattformen das Windows-Eventlog überwachen. Das Eventlog protokolliert standardmäßig Ereignisse aus den folgenden Bereichen:

Sicherheit

Dieses Protokoll enthält sicherheitsrelevante Ereignisse, wie z.B. Dateizugriffe und -änderungen, oder erfolgreiche und gescheiterte Anmeldungen. Welche Ereignisse protokolliert werden sollen, legen Sie in den entsprechenden Sicherheitseinstellungen fest.
Anwendungen

Dieses Protokoll enthält Ereignisse, die durch eine Anwendung oder ein Programm geschrieben wurden. Die Entscheidung, welche Ereignisse protokolliert werden sollen, liegt dabei beim jeweiligen Anwendungsentwickler.
System

Dieses Protokoll enthält Ereignisse, die von Windows-Systemkomponenten gemeldet werden.

Die Ereignisse werden dabei nach den folgenden Ereignistypen eingeteilt:

Information
Warnung
Fehler
Erfolgsüberwachung/Fehlerüberwachung ( Success Audit und Failure Audit, nur bei Sicherheitsereignissen)

Standardmäßig werden nach der Aktivierung des Eventlog-Monitoring alle Ereignisse des Eventlog überwacht und im Monitor Operating System im zentralen Monitoring-System (CEN) ausgegeben.

Darüber hinaus können Sie mit Eventlog-Templates (siehe Aufbau der Eventlog-Templates) selbst die folgenden Entscheidungen treffen:

Welche Eventlogs sollen überwacht werden?
Welche Ereignisquellen sollen überwacht werden?
Welche Farbe soll der Alerts bei den verschiedenen Ereignistypen haben?

Voraussetzungen

Auf dem Host muss ein Hostagent der SAP-NetWeaver-Management-Agenten laufen. Auf Hosts mit SAP-NetWeaver-Komponenten des Release 7.1 ist dies immer der Fall (siehe Überwachung von Hosts mit SAPHostControl und saphostexec).

Auch bei CCMS-Agenten ab Patch Collection 2005/3 ist das Eventlog-Monitoring integriert.

Der entsprechende Host muss am CEN registriert sein (siehe SAP-NetWeaver-Komponenten und Hosts im CEN registrieren).

Prozess

Um die Überwachung des Eventlog zu aktivieren, setzen Sie in der Parameter der Konfigurationsdatei SAPCCMSR.INI die folgenden Parameter:

Parameter	Bedeutung
`EventLogMon [On\|Off]`	`EventLogMon On` aktiviert das Eventlog-Monitoring auf dem Windows-Host; standardmäßig ist es ausgeschaltet.
`EventLogMon <Dateipfad>`	Dieser Parameter gibt ein Eventlog-Template an, das weitere Konfigurationseinstellungen zum Eventlog-Monitoring enthält (siehe Aufbau der Eventlog-Templates); standardmäßig werden alle Ereignisquellen mit jeweils allen Ereignistypen überwacht. Hinweis SAPCCMSR.INI kann mehrere Einträge dieser Form enthalten, die auf mehrere Eventlog-Templates zeigen.
`EventLogResolveMessages [On\|Off]`	`EventLogResolveMessages On` aktiviert die vollständige Auflösung der Eventlog-Meldungen, d.h. durch weitere Windows-Systemaufrufe wird eine genauere Beschreibung des Ereignisses ermittelt und in das CEN übertragen. Sie erhalten also auf Kosten der Performance genauere Informationen über die überwachten Ereignisse. Standardmäßig ist es ausgeschaltet.

Um diese Einstellungen zu aktivieren, müssen Sie nach dem Setzen der Parameter in SAPCCMSR.INI den SAP-NetWeaver-Management-Agenten durchstarten.

Ergebnis

Das Windows-Eventlog wird überwacht und als Teilbaum im Monitor Operating System des überwachten Hosts ausgegeben (siehe Anzeige des Eventlog-Monitoring im Alert-Monitor).

Weitere Informationen

Startseite Infrastruktur der SAP-NetWeaver-Management-Agenten