none
Не получается фильтровать события Event Log, прошу помочь RRS feed

  • Общие обсуждения

  • Приветствую коллеги.  Создал правило, которое собирает все события уровня Event и Warning на контроллерах домена. Затем решил фильтровать ряд событий, чтобы по ним не приходили алерты. Изменил правило, но в результате все равно идет сбор всех событий. Правило пробовал пересоздавать, службу на серверах перезапускал. Видимо напутал с логикой, но не понимаю где. Пробовал 2 варианта, оба не сработали.

    Вот первый вариант правила:

    Вот второй вариант, все равно не успешно:

    UPD: Во втором варианте ошибка в разделе Error, видимо при повторном создании пропустил конструкцию OR. Но раздел Warning также не работает.



    • Изменено maxim2222 9 июля 2013 г. 8:55

Все ответы

  • Используйте регулярные выражения.

    Evant ID doesn't matches regexp (123|1234|1313)


    http://OpsMgr.ru/

    Отвечающий
  • Используйте регулярные выражения.

    Evant ID doesn't matches regexp (123|1234|1313)


    http://OpsMgr.ru/


          Спасибо большое, так вроде получилось, сейчас еще потестирую. Но я совершенно не понимаю, почему не работал мой вариант. Где-то можно почитать подробнее или это street magic?
    9 июля 2013 г. 11:05
  • Читайте внимательно.

    Any of these are true у вас выполняется ВСЕГДА. Какое бы число не было на входе.


    http://OpsMgr.ru/

    9 июля 2013 г. 15:34
    Отвечающий

  • Vladimir Zelenov | http://systemcenter4all.wordpress.com

    9 июля 2013 г. 19:27
    Отвечающий
  • Читайте внимательно.

    Any of these are true у вас выполняется ВСЕГДА. Какое бы число не было на входе.


    http://OpsMgr.ru/

    Так я и спросил где можно про это почитать. После вашего первого ответа я ошибочно решил , что проблема была исключительно в том, что я не использовал регулярные выражения, а не в изъяне логики. Но, судя по примеру который позже привел Владимир, это не так.  Пока я все равно не понимаю, почему группа OR правильно отрабатывает на Event Level, но по другому работает для Event ID.  

    UPD: В этой статье не смог найти ответ http://technet.microsoft.com/en-us/library/hh457585.aspx     

        
    • Изменено maxim2222 10 июля 2013 г. 6:47 UPDATE
    10 июля 2013 г. 6:16
  • Про булеву алгебру много источников, самый простой пример - http://ru.wikipedia.org/wiki/%D0%91%D1%83%D0%BB%D0%B5%D0%B2%D0%B0_%D0%B0%D0%BB%D0%B3%D0%B5%D0%B1%D1%80%D0%B0

    В ваших примерах везде, где есть Event Id должно быть AND вместо OR, иначе, допустим Event ID 1111 проскочит через условие Event ID Does Not Equal 27, а Event ID 27 проскочит через правило Event ID Does Not Equal 1111. Таким образом ваш массив всегда будет возвращать True. Т.е. установив OR, если хоть одно условие вернет True, то ваш "массив" вернет True. А если установить AND, то когда все условия будут возвращать True, то ваш "массив" вернет True, т.е. наглядно так:

    В фильтр попадает Event ID 27 ->

    Event Id Does Not Equal 1111 -> True

    Event Id Does Not Equal 27 -> False

    And вернет False, т.к. не все условия вернули True,

    а Or вернет True, т.к. одно из условий вернуло True.


    Vladimir Zelenov | http://systemcenter4all.wordpress.com


    10 июля 2013 г. 6:52
    Отвечающий
  • Был такой курс когда-то :) Владимир, спасибо большое, сразу ошибка стала понятна после примера. Вопрос закрыт.

    10 июля 2013 г. 7:01