Da der Computerstatus nicht alle Informationen zur Verfügung stellt, muss der Administrator nicht nur Computer, sondern auch Ereignisse suchen.
Standardselektionen
Der erste Ort, an dem man nach Ereignissen suchen sollte, sind die Standard-Ereignisselektion im Element Ereignisse innerhalb des Elements Ereignis- und Computerselektionen.
Die Standardselektionen ermöglichen eine gesonderte Analyse von Ereignissen jeder Prioritätsstufe, Auditereignissen und kürzlich innerhalb eines bestimmten Zeitraums eingetretenen Ereignissen.
Im Unterschied zu den Standard-Computerselektionen, für die es überhaupt keine konfigurierbaren Parameter gibt, kann man in den Eigenschaften der Standard-Ereignisselektionen die Anzahl der angezeigten Ereignisse und die Suchtiefe ändern. Hierzu dienen folgende Parameter:
Anzahl der angezeigten Ereignisse begrenzen
Suche auf eine bestimmte Anzahl der letzten Ereignisse beschränken
Beide Parameter sind dazu da, die Dauer der Suche und der Darstellung der Ereignisse im Ergebnisfenster zu verringern, damit der Administrator nicht allzu lange warten muss.
In der Standardselektion Letzte Ereignisse kann man auch den Zeitraum anzeigen, für den die Ereignisse angezeigt werden. So kann man u.a. auch einen Zeitraum auswählen, der nicht der Selektionsbezeichnung entspricht, wie z.B. Ereignisse für die vorletzte Woche. Standardmäßig beinhaltet die Selektion die Ereignisse für die letzten 7 Tage. Die Auswahl des Zeitraums funktioniert genauso wie bei den benutzerdefinierten Selektionen, die anschließend besprochen werden.
Andere Parameter stehen für die Standardselektionen nicht zur Verfügung.
Benutzerdefinierte Selektionen
Auch wenn die Standardselektionen eine Filterung der Ereignisse nach ihrer Priorität vornehmen, können die verbleibenden Ereignisse noch immer zu zahlreich für eine komfortable Analyse sein. In diesem Fall kann der Administrator eine eigene Selektion mit präziseren Suchparametern anlegen.
Anlegen von Ereignisselektionen
Ereignisselektionen werden in etwa genauso angelegt wie Computerselektionen. Hierzu ist eine der beiden folgenden Aktionen erforderlich:
Auswahl des Elements Ereignisse innerhalb des Elements Ereignis- und Computerselektionen und Klick auf den Link Neue Selektion erstellen im Ergebnisfenster
Aufrufen des Kontextmenüs des Elements Ereignisse innerhalb des Elements Ereignis- und Computerselektionen und Auswahl des Befehls Neu, Neue Selektion
Danach muss lediglich noch der Name der Selektion angegeben werden, woraufhin sie innerhalb des Elements Ereignisse als Ordner verfügbar ist. Muss eine Selektion umbenannt werden, geschieht dies durch Öffnen ihrer Eigenschaften und Eingabe eines anderen Namens auf der Registerkarte Allgemein.
Einstellungen der Ereignissuche
Direkt nach ihrer Erstellung führt eine Ereignisselektion keinerlei Filterung durch und zeigt alle auf dem Server befindlichen Ereignisse unter Berücksichtigung zweier Beschränkungen an:
Es werden höchstens 3.000 Ereignisse dargestellt
Die letzten Ereignisse, unter denen die Suche stattfindet, sind auf 200.000 beschränkt
Es sind also lediglich auf der Registerkarte Allgemein Parameter vorgegeben. Die restlichen Suchparameter sind auf drei zusätzlichen Registerkarten zusammengefasst.
Die Registerkarte Ereignisse ermöglicht die Angabe, welche Ereignistypen in den Ergebnissen angezeigt werden sollen. Auf ihr befindet sich zentral angeordnet eine Liste aller verfügbaren Ereignistypen. Soll ein Typ in eine Selektion aufgenommen oder aus dieser ausgeschlossen werden, erfolgt dies über das daneben angeordnete Kontrollkästen.
Da die Liste viele Ereignisse enthält, kann die Suche nach einem oder mehreren davon ziemlich aufwändig werden. Die Suche lässt sich vereinfachen, wenn man die Typenliste vorab durch Nutzung der Einstellungen oberhalb der Liste nach der Anwendung und Priorität filtert.
Da die Ereignistypen mit Produkten verknüpft sind, enthält die Registerkarte Parameter zur Filterung anhand des Namens und der Version des Produkts:
Produktname, wird wie bei der Computersuche aus einer Liste ausgewählt
Versionsnummer – wird als String eingegeben, wobei Sonderzeichen erlaubt sind
Die Liste der möglichen Ereignistypen kann durch Festlegung des Aufgabennamens und der Priorität noch weiter eingeengt werden:
Aufgabenname – wird als String eingegeben, wobei Sonderzeichen erlaubt sind
Priorität – wird aus einer Liste ausgewählt: Informative Meldung, Warnung, Funktionsstörung und Kritisches Ereignis
Standardmäßig sind in der Liste alle Ereignistypen aktiviert. Wenn der Administrator nur ein Ereignis oder ein paar Ereignisse davon beibehalten möchte, ist die einzelne Deaktivierung der restlichen nicht sonderlich komfortabel. Stattdessen kann man den Befehl Alle deaktivieren im Kontextmenü der Liste auswählen und dann die erforderlichen Ereignistypen aktivieren. In demselben Kontextmenü gibt es Befehle, die es ermöglichen, alle Ereignisse oder alle Ereignisse einer bestimmten Priorität zu aktivieren.
Im unteren Teil der Registerkarte Ereignisse befinden sich Einstellungen für die Aufnahme der Aufgabenergebnisse in die Selektion. So kann man beispielsweise in eine Selektion für Funktionsstörungen auf den Computern einer bestimmten Gruppe auch Meldungen über Aufgaben mit aufnehmen, die mit Fehler beendet wurden.
Wenn man einfach das Kontrollkästchen Ergebnisse der Aufgabenausführung aktiviert, werden alle Ergebnisse in die Selektion aufgenommen, die den restlichen Suchbedingungen auf den Registerkarten Allgemein, Computer und Zeit entsprechen.
Man kann aber auch nur Ergebnisse eines bestimmten Typs einbeziehen, z.B. Beendet oder Mit Fehler beendet, indem man den entsprechenden Typ aus einer Dropdown-Liste auswählt.
Wenn den Administrator nur Ergebnisse interessieren, die bei der letzten Aufgabenausführung ermittelt wurden, muss er zusätzlich das Kontrollkästchen Nur letzte Ergebnisse der Aufgabenausführung aktivieren.
Auf der Registerkarte Computer werden die Ereignisse anhand der Netzwerkattribute der Computer gefiltert, auf denen sie eingetreten sind:
Computername in der Administrationskonsole — wird in Form eines Strings eingegeben; die Verwendung von Sonderzeichen ist erlaubt, und man kann aus früher verwendeten Werten auswählen
Computername im Windows-Netzwerk — wird genauso als String eingegeben
Administrationsgruppe
DNS-Domäne
Windows-Domäne
IP-Adress-Intervall, zu dem die Adresse des Computers gehört — wird durch eine Anfangs- und eine Endadresse definiert
Auf der Registerkarte Zeit wird das Zeitintervall angegeben, in dem die Ereignisse gesucht werden sollen. Das Intervall kann durch zwei Zeitpunkte oder durch eine Anzahl von Tagen bis zum aktuellen Tag angegeben werden. Bei der Einstellung des Intervalls kann man durch die Eingabe von zwei Punkten anstatt konkreter Zeitpunkte die Variablen Erstes Ereignis und Letztes Ereignis verwenden. Ab dem ersten Ereignis bedeutet alle Ereignisse, unabhängig davon, vor wie langer Zeit diese eingetreten sind, und bis zum letzten Ereignis bedeutet bis zum aktuellen Zeitpunkt. Und zwar nicht bis zum Zeitpunkt der Erstellung der Selektion, sondern bis zum Zeitpunkt deren Anzeige.
Suchergebnisse
Die gefundenen Ereignisse werden in Form einer Tabelle angezeigt. Der Administrator kann die Tabelle durch einen Mausklick auf den jeweiligen Feldtitel nach verschiedenen Feldern sortieren lassen. Weiterhin kann er die Liste und die Reihenfolge der angezeigten Felder über das Menü Ansicht, Spalten hinzufügen/entfernen ändern.
Hierbei ist anzumerken, dass die Selektionen selbst auf dem Administrationsserver gespeichert werden und für alle mit dem Server verbundenen Konsolen verfügbar sind. Die Einstellungen für die Darstellung der Spalten in der Selektion werden hingegen in jeder Konsole getrennt gespeichert.
Der Administrator kann auch Ereignisse markieren und aus der Datenbank des Administrationsservers entfernen oder sie in eine Textdatei exportieren.
Ereignisse von Computern
Das Element Ereignisse im Container Ereignis- und Computerselektionen ist nicht der einzige Ort in der Administrationskonsole, wo man Ereignisse einsehen und analysieren kann. Der Administrator kann das Ereignisfenster eines beliebigen Client-Computers öffnen, wenn ihn die Ereignisse der anderen Computer nicht interessieren.
Im Ereignisfenster eines Computers gibt es keine Möglichkeit, Selektionen zu erstellen, jedoch lassen sich die Filterparameter ändern, wo die gleichen Suchparameter zur Verfügung stehen, außer der Suche anhand von Computerattributen.
