利用 OMS 搜尋查詢事件記錄資料

概要: 此文提供利用 OMS 搜尋工具從眾多伺服器中查詢 Windows 事件記錄的步驟指示。

利用 OMS 查詢特定事件記錄

在示範環境中具有眾多伺服器,且每一台都已安裝了 OMS Agent,因此可以快速的從中搜尋特定的事件記錄。只需要指定 Eventlog 的關鍵字並指定記錄名稱。以下範例是從環境中所有電腦的事件記錄中搜尋並會回傳資料(預設為過去7天內):

EventLog=Application

也可以輸入:

EventLog:Application

下圖是搜尋畫面和結果:

預設中,查詢使用了 AND。若為 EventLevelName (事件記錄中的屬性,能夠表示像是資訊、警示、或錯誤層級) 增加過濾,便會在過濾後回傳 Application event log 記錄和 Warning event level:

EventLog:Application EventLevelName=Warning

也可以輸入:

EventLog:Application EventLevelName:Warning

以下是範例畫面:

管理 200 萬筆回傳記錄

現在,已經能夠輕鬆地從來自伺服器的所有 application logs 中找到 Warning 記錄,接著需要管理並消化如此龐大的記錄量。

要做到這點,需要將結果傳遞到關鍵字 Measure。

在每台電腦的基礎上顯示警示訊息的數量是有意義的,這能夠幫助縮小範圍查看警示消息數量異常的電腦。

將結果傳遞到 Measure 指令並讓其 count(),再告訴它是要計算 Computer。以下是指令和範例畫面:

EventLog:Application EventLevelName:Warning | Measure count() by Computer

 

從搜尋結果可以看到列出了 29 台電腦,而 "Ex01.Contoso.Com" 這台電腦具有 2,188,413 個 Warning 記錄。因此接著深入查看這台電腦出了什麼狀況,只需在 Computer 後面加上等於 電腦名稱即可:

EventLog:Application EventLevelName:Warning Computer=”EX01.contoso.com”

將一個事件展開:

可以看到這個事件的 Event ID 是 2112。接著想要查看它多久發生一次,利用 Source 來測量和計算:

EventLog:Application EventLevelName:Warning Computer=”EX01.contoso.com” | measure count() by Source

回傳結果顯示從 MSExchange ADAccess 傳來的事件是罪魁禍首:
最後,再過濾到只搜尋 Source 為 MSExchange ADAccess 的事件:

EventLog:Application EventLevelName:Warning Computer=”EX01.contoso.com” Source=”MSExchange ADAccess”