EC - Events zählen

Global Community Deutsch
#1

Hallo,

ich möchte überprüfen ob in das Anwendung-EventLog auf einem Win-Server eine bestimmte Meldung regelmäßig geschrieben wird.

Dazu habe ich die Regel Logwatch Event Console Forwarding konfiguriert und eine EC-Regel erstellt.
Bei der EC-Regel habe ich folgendes eingestellt:

image
image1145×347 14.7 KB

image
image983×235 13.7 KB

Ich erhalte aber mMn komische Events:

image
image1583×682 70.5 KB

Die Regel war eine Zeit lang deaktiviert, kann es sein das Checkmk jetzt versucht diese Perioden nun aufzuholen und deswegen Events wie Expected message did not arrive since 2021-01-01 07:00:00 kommen?

#2

Eigentlich sieht das ganz ok aus wenn wirklich weniger wie 2 Meldungen innerhalb von 15 Minuten kommen.
Deine Regel besagt ja es müssen mindestens zwei Meldungen sein pro 15 Minuten alles was drunter ist erzeugt einen Fehler/Event.

#4

Warum? Und kann man das irgendwie abbrechen?

#5

Erstmal kurz zur Klärung - was soll mit der EC wirklich erreicht werden.
Wie gesagt erwartet diese Regel zur Zeit mindestens 2 Messages pro 15 Minuten. Wenn weniger kommen werden Events generiert. Das sind die im Screenshot mit “COUNTFAILED”.

Aus dem ersten Beitrag geht hervor das eine regelmäßige Meldung erwartet wird. Die Frage wäre nur wie oft kommt die wirklich. Wenn du die entsprechende Meldung erstmal einfach so in die EC laufen lässt sind dann alle erwarteten Einträge vorhanden?

#6

Genau das - mich haben nur die COUNTFAILED vom 01.01.2021 irritiert

Ca. alle 5 Minuten :slight_smile:

#7

Hi,
die Event Console arbeitet im Normalfall auf hostname und Syslog Application. Willst du es genauer haben, musst du das Gruppieren nutzen. Ich denke das du das mal dein RegEX wie folgt:

.* (16386.1) OnLine … [0-9]+ seconds

Damit sollten nur die EventIDs gezählt werden. Die Sekunden, die du im Grouping hattest, können ja variieren.

Viele Grüße, Christian