OMS 記錄搜尋中的縮小

概要:學習縮小是如何統整搜尋結果並讓其變得更好理解。 縮小將紀錄搜尋結果分組來減少雜訊並產生一個統整的視圖。您只需在記錄搜尋的結果上方點選"縮小",便會縮小搜尋結果。如下圖:   下圖是過去24小時縮小後的事件記錄:   從範例中可以看到縮小出了1272個不同的事件群組。這是一個很好統整結果的方法。 您可以利用選取敏感度的橫桿調整群組中事件的相似程度。敏感度越低,就越多事件會被分類在同一個群組中。然而若是將敏感度調得太低,將可能會把沒什麼關聯性的世間分在同一個群組,導致分組變得無效。   縮小也會偵測您的事件和群組事件中相似的變數,您可以點擊藍色的 “*" 來查看。點擊後您還可以任意點擊一個事件來深入查看其詳細資料。而若要查看所有完整的資料,可以點選上方的 [顯示較多]。

0

設定 OMS 警示來偵測可疑的可執行文件

概要:學習如何跟著步驟設定警示來偵測可疑的可執行文件。 可疑的可執行文件警示 Security Event 8002 在處理執行時就會回報。此事件回報了許多有用的資訊像是 path、process name、file hash、甚至是 FQBN。 Note: FQBN 是 Fully Qualified Binary Name 的縮寫,它是一個字串包含了:publisher\product\file name\version。 一個簡單回報 Security Event 8002 的搜尋指令如下: Type=SecurityEvent EventID=8002   接著要加入FQBN。OMS 記錄搜尋對指令是很敏感的,因此在輸入指令時有兩點需要注意。首先,必須輸入正確的大小寫: Fqbn,若輸成 FQBN 將會跳出錯誤,如下圖:   再者,* 這個符號被視為是文字字符,而非通用的字符,因此若執行下圖的輸入,雖然不會造成錯誤產生,但也無法成功搜尋到資料:   正確的指令應為: Type=SecurityEvent EventID=8002 Fqbn = *MICROSOFT* Note: MICROSOFT 也是一個敏感的字,若輸入 *Microsoft* 將不會回傳任何資料。 執行結果在左側詳細資料中並不會顯示 Fqbn。要顯示出 Fqbn,需先點擊左下角的 [+新增],接著在列表中找到 Fqbn 並勾選: 完成後按下右上角的 x 即可在左方看到配對 *MICROSOFT* 的 Fqbn 總覽。如下圖: Measure…

0

OMS 中依據需求的指標之集合和視覺化

概要:在 MS OMS 中依據需求對任何指標數據做集合並將其視覺化。 隨時間依據需求的指標集合 有了接近即時的性能數據的收集,您可以收集並視覺化任何 OMS 中的性能計數器。在記錄搜尋中輸入:Type:Perf ,將會回傳上千個基於您 OMS 環境中的計數器和伺服器數量的指標圖表。有了依據需求的指標集合,您可以在更高處查看總體指標,並依需求深入瞭解更多資訊。 現在假設想要知道在您所有電腦的平均 CPU,一台一台查看每台的平均 CPU 是沒有太大的效果的。想要查看細節,您可以將您的結果集合成一個小的時間視窗,並依據不同比例和時間序列來查看。例如,您可以呈現出您所有電腦每小時的平均 CPU 用量,指令和結果如下: Type:Perf CounterName=”% Processor Time” InstanceName=”_Total” | measure avg(CounterValue) by Computer Interval 1HOUR 這個方法有多種好處。首先,您可以輕易的比較多台電腦並查出哪台有問題。再者,您可以看到在哪個時間間隔電腦遭遇到問題(例如 CPU 尖峰)。也就是說,您可以一眼看到多種不同的問題以方便您做故障排除。 圖表是互動式的,您可以藉由點擊和拖拉圖表來放大查看有興趣的區域。 在您放大之後,只需點選  Reset Zoom 便會回到原始的畫面。 您也可以隱藏特定的類別,只需點擊下方該類別的圖示即可。 隱藏後只需再次點擊該圖示便會重新顯示。 若您想要詳細查看數據的特定圖表(例如:電腦。),您可以點擊圖示旁的搜尋圖標,便會自動跳到特定的圖表。 您也可以依其他領域分組。在此範例中,將會搜尋特定電腦的所有 % 計數器,並查出每小時每個計數器的 70 percentiles。指令和結果如下: Type:Perf Computer=beefpatty4 CounterName=%* InstanceName=_Total | measure percentile70(CounterValue) by CounterName Interval 1HOUR…

0

利用 OMS 記錄搜尋功能來回報自訂的 OMS 警示

搜尋警示 大家應該都知道可以利用 OMS 記錄搜尋功能來搜尋警示,但除此之外,此功能還能搜尋自訂的警示。如此一來便能依照自己的需求列出一段時間內自訂警示的結果。 若想要警示,可以利用以下指令: Type=Alert 此搜尋為通用搜尋警示的指令,執行結果如下:   若我想要搜尋我自訂的 OMS 警示,只需在指令後方加上來源即可。利用關鍵字  SystemSource 並指定來源是 OMS。指令如下: Type=Alert SourceSystem=OMS 執行結果如下:   現在瞭解如何搜尋自訂的警示後,還可以再增加指令過濾以查看更深入的資訊。 例如,若我想要深入查看我昨天寫的 Suspicious Executables 搜尋,只需在指令後加上關鍵字 AlertName 並讓其等於 “Suspicious Executables"。指令如下: Type=Alert SourceSystem=OMS AlertName:"Suspicious Executables" 執行結果如下:   此指令的其中一項好處是,它會回傳用來建立警示的指令並將其放在第一位,而這是一個很好的故障排除技巧。  

0

故障排除 OMS 中的問題

微軟發佈了一個知識庫文章,其描述的內容包含一系列用於 OMS 中 Operations Manager 的客戶端附加模式和 Direct Agent Access的步驟、程序、和故障排除方法。 其中包含了以下幾個項目: 作業管理員註冊錯誤 說明當您註冊作業管理員 (OpsMgr) 管理群組,可能會遇到的兩個錯誤訊息。 Proxy 登錄或組態步驟 說明如何設定要讓傳輸作業的見解 proxy 伺服器 (如果您有的話)。 確認登錄後的進行部署 整合式的作業管理員附加模式以及直接連線的代理程式,請提供疑難排解步驟。也說明如何檢查資料流,以及尋找常見的錯誤,以及如何修正它們。 其他已知的問題及因應措施的作業管理員 描述其他從作業管理員作業的見解 onboarding 相關的其他問題。 詳情請參閱:如何疑難排解作業管理套件 onboarding 問題。

0

在 OMS 中尋找警示

概要:學習如何在 OMS 記錄搜尋中指定警示種類,和如何利用各種領域快速分析數據來過濾警示。 首先您可以在 警示管理 看到您的警示概觀:   除了看到概觀外,您可能會想更深入查看特定的警示,所以就像 OMS 中其他項目,您一樣可以利用記錄搜尋來深入了解。 利用警示種類 首先,打開 OMS 中的記錄搜尋。利用 Type = Alert 來搜尋警示種類,此範例還過濾出沒有關閉的警示,指令如下: Type=Alert AlertState!=Closed 執行結果如下圖:   過濾警示結果 從以上結果可以看到回傳從過去一天內的1000筆結果。這個數量有點太多,因此需要再進階過濾來減少結果數量。您可以點選一個結果的 [+]顯示較多 來查看要哪個項目過濾。   此範例過濾出 AlertSeverity 為 Critical 的結果,指令與結果如下: Type=Alert AlertState!=Closed AlertSeverity=Critical   接著,您還可以再根據另一個項目進階過濾。如此範例再過濾出 AlertName 為 High CPU 的警示。如以下指令和結果: Type=Alert AlertState!=Closed AlertSeverity=Critical AlertName="High CPU"   除此之外,您還可以再根據不同的過濾條件加上額外的指令。依照以上的範例,您可以輕易的依照需求搜尋出有興趣的警示結果。

0

在 OMS 中建立自訂的閾值

概要:學習如何在 OMS 設定自訂的監視閾值。 配置客製化警示的簡易方法 首先,在 OMS 概觀中點選 我的儀表板,如下圖: 進入後,可以在左上角看到 自訂 的圖示:   以下以自訂事前建立的 MyBlankPasswordQuery 為例: 從 我的儀表板 中找到 MyBlankPasswordQuery 的磚,看到此磚在畫面中後點選 自訂。如下圖: 換成數字視圖 若想要換成數字視圖,只需直接在畫面右側自訂欄位中點選 Tile Visualization 下方的數字圖示。點下後您可以看到兩件事: Tile Visualization 下方的數字圖示被框成藍色。 MyBlankPasswordQuery 磚的視圖從圖形轉為數字。 如下圖: 為警示設定閾值 若想為警示設定閾值,在畫面右側自訂欄位中,依照以下步驟執行: 在 Threshold 下方,點選 On。 選擇要在 超過(over) 或是 低於(under) 某數值時警示。 設定該數值。 次此範例設定超過 12 個空白密碼就會警示。如下圖:   最後要儲存變更,只需再次點選左上角的自訂圖示即可。現在若 OMS 偵測到超過12個空白密碼,就會將數字轉為紅色,從上圖可以看到其中一個磚的數字24是紅色的,這就代表此數值已經超過自定的閾值。

0

啟用 OMS 電子郵件警示

概要:學習如何啟用 OMS 警示和如何配置 email 提醒。 設定根據搜尋的警示 您可以利用已儲存的指令或是新建立一個想要驅動警示的搜尋指令。以下為搜尋指令: shutdown Type=Event EventLog=System Source=User32 Note: 想瞭解更多 shutdown 指令,請參閱:利用 OMS 搜尋追蹤關機事件。 搜尋結果出現後,點選上方的警示來新增警示。如下圖:   新增警示規則 新增警示規則畫面跳出後,您需要填寫以下幾個項目: 警示名稱 警示排程 警示閾值 警示頻率 電子郵件通知 電子郵件主旨 收信者 是否需要Webhook 按下儲存警示 如下圖:   填寫完成並按下儲存後,以下確認訊息便會跳出。如下圖:   現在回到 OMS 概觀,點選 設定,再點選 Alert。在畫面右側便能看到剛剛新增的警示,您也可以在此移除任何警示。如下圖:

0

利用 OMS 線路傳輸資料方案進行簡易網路分析

概要:學習如何利用 OMS 線路傳輸資料方案來分析網路協定、子網路、電腦、和潛在的威脅。 從方案庫加入線路傳輸資料方案(WireData Solution)後,在 OMS 概觀中可以看到此方案,並顯示出過去24小時的代理程式數、區域子網路數、應用程式層級通訊協定數。如以下範例:   接著點選此方案磚便能看到更詳細的資料。在此範例您可以看到擷取網路流量的 agent 有7個,並看到4個子網路的概觀,13個應用程式層級通訊協定,和一些常用的搜尋指令。如下圖:   若點選擷取網路流量的 agent 的磚,便會執行以下指令: Type:WireData | measure Sum(TotalBytes) by Computer | top 500000 執行後在畫面的左側也能看到 protocol name、IP version 等等。如下圖:   您也可以再點選任意電腦,點選後會自動執行搜尋指令,並列出該電腦與線路傳輸資料相關的所有事件。如下圖:

0

MS OMS 數據使用方式

OMS 中的數據使用方式 有些人在使用雲端時可能會感覺迷失,可能會對使用率和數據感到不確定,進而感覺自己身在一個不確定的環境中。 在 OMS 儀表板的左方,可以看到一個磚寫著 使用方式。如下圖:   點選進入後,您可以看到分為 資料量、電腦、供應項目、效能、和查詢清單。資料量又分為一段時間的資料量、依照解決方案的資料量、和資料未與電腦相關聯。可以看到一段時間的資料量方塊中有一個圖表依據時間顯示出資料量大小的折線圖,並顯示總共114MB。而在依照解決方案得資料量方塊中,圖表則依據不同的方案分成不同顏色,分別顯示個別資具時間的資料量折線圖。您也可以點擊圖表進入記錄搜尋頁面深入瞭解詳細資訊。如下圖:   電腦的部分則分為傳送資料的電腦和最近24小時沒有傳資料的電腦。從此範例可以看到,最近1小時有23部電腦有回傳資料,而過去24小時內沒有電腦沒回傳資料。同樣地,您也可以點擊圖表進入記錄搜尋頁面深入瞭解詳細資訊。如下圖:   接著可以看到供應項目的部分,分為深入解析與分析節點、自動化與控制節點、安全性節點。此三個部分分別是在計算不同的方案類別所具有的節點數量,此範例中可以看到,深入解析與分析平均有25.1個節點,自動化與控制平均有5.55個節點,而安全性平均有9.90個節點。您也可以點選圖表查看詳細資訊。如下圖:   在效能的部分顯示了收集及編製資料索引所花費的時間。其中圖表顯示了每個時間點延遲的時間長短並分成最大、平均、百分比,分別顯示其過去一小時內延遲的秒數。如下圖:   最後,查詢清單列出了幾個常用的記錄搜尋指令,您只需要點擊有興趣的指令便會自動開始搜尋並顯示結果。

0