19.新建规则

进入创作区,展开管理包对象,选中“规则”並右击选择“创建新规则”

233246825.png


展开“收集规则”,定位到“基于性能”下的“Windows性能”,並指定目标管理包

233250323.png


填写创建规则的名称、类别和目标

233253266.png


点击“选择”,浏览到计算机名称,指定性能计数器对象为“Process”,选择计数器“Private Bytes”,勾选“所有实例”

233256679.png


不采用优化收集设置,点击“创建”

233259383.png


上面创建了一个收集规则,下面再创建一个警报生成规则。进入创作区,展开管理包对象,选中“规则”並右击选择“创建新规则”

233303785.png


展开“警报生成规则”,选中“基于事件”下的“NT事件日志(警报)”,並指定目标管理包

233306872.png


填写自定的警报规则名称,並选择规则类别、目标,下一步233308827.png


默认产生的事件日志会存放在“Application”的事件文件中,我这里采用默认,下一步

233312698.png


点击“插入”,填写:“事件 ID 等于 XX”和“事件源等于 EventCreate233314812.png


点击“…”,填写警报描述,点击“目标”可定义产生警报信息计算机的一些基本特征,譬如:计算机名称、IP地址;点击“数据”可定义产生警报信息的事件等级、用户名等

233317392.png


点击“警报抑制”,选中“事件ID

233320355.png


点击“创建”233323390.png


接下来,手动去模拟生成一个id 888的事件,以管理员身份运行命令行窗口,输入以下命令:

EventCreate/id 888 /t information /d test,同样的命令连续运行3次,以便测试警报抑制效果

233325377.png


进入监视区,定位到“活动警报”,可以查看我们自定义的警报规则已经生效,在警报描述里可以看到我们设置的一些基本信息

233330915.png


当打开产生的警报信息属性时,可以看到重复次数为“3”,即进行了警报抑制

233332789.png


接下来,我们再创建一个简单的规则,要求将目标计算机上的常规log文件抓取到指定服务器上。进入创作区,展开管理包对象,选中“规则”並右击,选择“创建新规则”

233336883.png


展开“定时命令”,选中“执行脚本”,並指定目标管理包

233339544.png


填写新建规则名称,指定规则类别、目标

233341615.png


指定计划设置。说明:基于固定的简单定期计划时间段为1~28233345650.png


脚本支持:.js.vbs,以下我用的是.js脚本,名称随便命名,将脚本信息粘贴到以下空白处即可,点击“创建”,这是我的.js脚本:

var fso=new ActiveXObject("Scripting.FileSystemObject");
var source="\\\\192.168.0.2\\c$\\Windows\\system32\\winevt\\logs";
var dest="C:\\AD-logs";
var ObjShell=new ActiveXObject("WScript.Shell");
ObjShell.Exec("net user \\\\192.168.0.2\\C$ '123'/user:'sxleilong\SCOM'");
ObjShell.Exec("Xcopy "+source+" "+dest+" /e /v /r /y /z" );



233348317.png


稍等片刻,即可看到利用脚本收集到的log文件

233351890.png