Windows Ereignisanzeige mit check_mk-logwatch auslesen, keine Daten vorhanden

Hallo Zusammen,

hier unsere Config:

Check_MK virt1 Mark I (Version: 1.4.8)
Checkmk Enterprise - Managed Services
Check_MK Version 1.6.0p14
Agent Version auf Problem Host 1.6.0p2
Host OS Windows Server 2012 R2

Problem:
Das Windows Ereignisanzeige Protokoll “iCampus-Sync” wird automatisch gefunden und angezeigt im Wato - Services, nach aktivierem des Monitoring des Services werden jedoch keine Logs abgerufen und angezeigt.
Obwohl man via Windows Ereigsnanzeige Informationen und Fehler darin sieht.
Im Check_MK auf dem Service “Open Log” zeigt: This logfile contains no unacknowledged messages.

Auszug aus cmk --debug -vvn SERVER
Log iCampus-Sync OK - no error messages

Auszug aus check_mk_agent.exe test > out.txt
[[[DNS Server]]]
[[[File Replication Service]]]
[[[HardwareEvents]]]
[[[iCampus-Sync]]]
[[[Internet Explorer]]]
[[[Key Management Service]]]
[[[Security]]]

Ereignisanzeige Windows

was könnte hier das Problem sein?

Beste Grüsse Stefan

Hallo,
ich weiß nicht ob das hier zutrifft: Ich hatte bei einem Kunden ein ähnliches Problem mit einer anderen Logdatei. Da kamen die Meldungen erst, nachdem wir für CMK die VistaAPI in der Regel aktiviert hatten.

Karl

Das Problem welches @kdeutsch beschrieben hat sollte hier zwar nicht der Fall sein. Probieren kann man es aber trotzdem mal.
Es wäre aber hier relevant wie die YAML Datei konfiguriert ist für die Logfiles.
Das das gezeigte Event nicht im Agent Output vorhanden ist, ist ganz normal weil ja immer nur das übermittelt wird was seit der letzten Abfrage des Agenten passiert ist.
Das komplette alte Log wird nur einmal ausgegeben bei der allerersten Abfrage.
Es gibt aber in der YAML Datei die Option alles zu senden - aber bitte nur für Testzwecke verwenden.

Hallo Zusammen,

ich habe weitere Infos zum Fehler, folgendes habe ich nun wenn ich auf open Log klicke: The logfile does not exist
Angepasst habe ich noch nichts.

Hier den auszug aus der check_mk.user.yml (haben eine Bakery) Datei:

logwatch:
# enabled: yes

# sendall: no   # this is MANDATORY
# vista_api: no # this is RECOMMENDED

 # entries in the windows eventlog
logfile:
    # - 'EventLogName': <crit|warn|all|off> + [context|nocontext]
    # - 'Application': crit context # example
    # - 'System': warn nocontext    # another example
    # - 'YourOwn': all nocontext    # yet another example
    # - '*': warn nocontext         # This is default params for not missing entries

wie müsste nun die user.yml aussehen um dies zu testen?

Wenn ihr die Bakery verwendet dann sollte in der “check_mk.user.yml” auch nix geändert werden. Hier ist einzig das Bakery yml File relevant. Damit werden aber auch nur die Regeln, welche im WATO definiert sind oder auch nicht, berücksichtigt :slight_smile:

Für Testzwecke gibt es im WATO dort die folgende Option


Damit sollten von den übertragenen Logfiles auch alte Meldungen immer wieder gesendet werden.
Achtung das kann viel sein.

Danke für die Erläuterung, ich habe jetzt im WATO den Parameter für das Finetuning eingestellt und Historic messages aktiviert.
Leider hat dies nicht funktioniert.

Als zweiten Punkt habe ich das Vista API aktiviert.
Leider hat auch dies nicht funktioniert.

Feststellen konnte ich zudem, dass auch LOG Security und LOG System den gleichen fehler zeigen (es werden keine Logs abgerufen).
Beim Klick auf open log - The Logfile does not exist (erscheint nicht immer)

Beim klick auf All Logfiles of Host sehe ich nur den Application.

Nach dem Erstellen der Regel auch den Agenten neu gebacken und signiert? Danach auch abgewartet das der Host sich den neuen Agenten gezogen hat?
Ich würde jetzt mir erstmal die Bakery yml anschauen. Wenn ich bei mir dort eintrage immer alles senden wird eine endlose Menge an Daten gesendet :slight_smile: