19.新建规则
进入创作区,展开管理包对象,选中“规则”並右击选择“创建新规则”
展开“收集规则”,定位到“基于性能”下的“Windows性能”,並指定目标管理包
填写创建规则的名称、类别和目标
点击“选择”,浏览到计算机名称,指定性能计数器对象为“Process”,选择计数器“Private Bytes”,勾选“所有实例”
不采用优化收集设置,点击“创建”
上面创建了一个收集规则,下面再创建一个警报生成规则。进入创作区,展开管理包对象,选中“规则”並右击选择“创建新规则”
展开“警报生成规则”,选中“基于事件”下的“NT事件日志(警报)”,並指定目标管理包
默认产生的事件日志会存放在“Application”的事件文件中,我这里采用默认,下一步
点击“插入”,填写:“事件 ID 等于 XX”和“事件源等于 EventCreate”
点击“…”,填写警报描述,点击“目标”可定义产生警报信息计算机的一些基本特征,譬如:计算机名称、IP地址;点击“数据”可定义产生警报信息的事件等级、用户名等
点击“警报抑制”,选中“事件ID”
接下来,手动去模拟生成一个id 888的事件,以管理员身份运行命令行窗口,输入以下命令:
EventCreate/id 888 /t information /d test,同样的命令连续运行3次,以便测试警报抑制效果
进入监视区,定位到“活动警报”,可以查看我们自定义的警报规则已经生效,在警报描述里可以看到我们设置的一些基本信息
当打开产生的警报信息属性时,可以看到重复次数为“3”,即进行了警报抑制
接下来,我们再创建一个简单的规则,要求将目标计算机上的常规log文件抓取到指定服务器上。进入创作区,展开管理包对象,选中“规则”並右击,选择“创建新规则”
展开“定时命令”,选中“执行脚本”,並指定目标管理包
填写新建规则名称,指定规则类别、目标
指定计划设置。说明:基于固定的简单定期计划时间段为1~28天
脚本支持:.js和.vbs,以下我用的是.js脚本,名称随便命名,将脚本信息粘贴到以下空白处即可,点击“创建”,这是我的.js脚本:
var fso=new ActiveXObject("Scripting.FileSystemObject"); var source="\\\\192.168.0.2\\c$\\Windows\\system32\\winevt\\logs"; var dest="C:\\AD-logs"; var ObjShell=new ActiveXObject("WScript.Shell"); ObjShell.Exec("net user \\\\192.168.0.2\\C$ '123'/user:'sxleilong\SCOM'"); ObjShell.Exec("Xcopy "+source+" "+dest+" /e /v /r /y /z" );
稍等片刻,即可看到利用脚本收集到的log文件
转载于:https://blog.51cto.com/sxleilong/1321223