Server-Eye

Mit dieser Anleitung könnt ihr eine Aktion bei einem Sensor Alarm ausführen, hier am Beispiel von beendeten Diensten.

Beschreibung:

Mit dem neuen Event Trigger in der Aufgabenplanung können jetzt auf alle Eventlog-Einträge im Windows Aufgaben auf dem System hinterlegt werden.

In diesem Beispiel nutzen wir das "Server-Eye Client History" Eventlog, um beendete Dienste auf einem System wieder zu starten.

Bitte folgende Schritte durchführen:

Erstellen der benötigen XML Query im Eventlog: dafür nutzt ihr am besten unseren Blog-Beitrag: Eventlog Monitoring in einfach!

Query für den Sensor "Windows Dienst Gesundheit", hier wird die Sensor-Typ ID genutzt:

<QueryList>
    <Query Id="0" Path="Server-Eye Client History">
        <Select Path="Server-Eye Client History">
        *[EventData[Data='||agenttype||43C5B1C4-EF06-4117-B84A-7057EA3B31CF'] and
            System[Provider[@Name='AgentState'] and (Level=3) and (EventID=1)]]
        </Select>
    </Query>
</QueryList>

[EventData[Data='||agenttype||43C5B1C4-EF06-4117-B84A-7057EA3B31CF']

[EventData[Data='||agentid||ID des jeweiligen Sensors']

Für diese ID kann eine Sensor-Typ ID oder eine direkte Sensor ID genutzt werden.

Systeme auswählen und Query als Trigger setzen:

PowerShell Skript in den Aktionen setzen: damit legt ihr fest, was gemacht werden soll, wenn der Sensor in den Alarm geht.

Aufgabe speichern.

Alle Dienste die im Sensor auf den ausgewählten Systemen gemeldet werden, werden einmalig neu gestartet.

---------------------------------------------------------

Bitte beachten:

Erst mit den Client Update H2/2021 wird in den Events von Server-Eye auch der Bereich "actionData" gepflegt.

In diesem Feld würden dann zum Beispiel die Dienste aufgelistet werden, die neu gestartet werden müssen.