Nur Crit Alarmierung bei DFS Log

Hallo zusammen,

ich würde gerne nur eine Alarmierung bekommen wenn im Log eine Crit Meldung erscheint. Wie kann man das am besten filtern?

Hi,

am besten im Windows Agenten. Her musst du die Anpassungen in der yaml Datei vornehmen, siehe check_mk.user.yaml :slight_smile:

logwatch:
    # enabled: yes

    # sendall: no   # this is MANDATORY
    # vista_api: no # this is RECOMMENDED
    # max_size: 500000 # default value

   # entries in the windows eventlog
   logfile:
       # - 'EventLogName': <crit|warn|all|off> + [context|nocontext]
       # - 'Application': crit context # example
       # - 'System': warn nocontext    # another example
       # - 'YourOwn': all nocontext    # yet another example
       # - '*': warn nocontext         # This is default params for not missing entries
       'Log DFS Replication': crit nocontext # Hier das Beispiel für deinen Fall

Ich hoffe es hilft dir weiter.

Viele Grüße, Christian

1 Like

Hallo Christian,

super Vielen Dank für deine Hilfe.
wie bekomm ich dann eine OK Meldung. Auf eine Crit Meldung muss ja auch im besten Fall eine OK Meldung kommen. Mit dem Filter bekomm ich nur die Crit Meldung, weiß aber nicht, ob es wieder läuft

Hi,

das Problem bei Windows- oder auch Log Events in checkmk ist, dass immer nur die Anzahl der Evenst und der höchste Status angezeigt wird. Um so etwas zu umgehen ist es besser, die Ereignisse an die Event Console zu übertragen und dort auszuwerten.Hier kannst du dann entscheiden, ob und wie du mit den Einträgen umgehst.
Die Event Console - Logs und SNMP-Traps in Checkmk verarbeiten
Im Kapitel 8. findest du die notwendigen Einstellung,

Viele Grüße, Christian