Как я могу создать предупреждение в OMS, когда служба Windows остановлена?

Question

Мне нужна OMS для запуска оповещения при остановке службы, например службы IIS.Может кто-нибудь посоветовать лучший способ сделать это?

Спасибо

Answer 1

Для этого я использовал решение «Отслеживание изменений»: ConfigurationChange |где ConfigChangeType == "WindowsServices" и SvcName == "W3SVC" и SvcState! = "Выполняется"

Затем для предупреждения при резервном копировании: ConfigurationChange |где ConfigChangeType == "WindowsServices" и SvcName == "W3SVC" и SvcState == "Работает"

Answer 2

Я сам все понял

Чтобы получить этот список, вам нужно перейти к расширенная аналитика в вашем рабочем пространстве OMS, а затем выполнить запрос, как показано ниже

search EventLog == "System"
| where ( EventLevelName == "Information" )
| where ( Computer == "server1" )

Затем он показывает список других полей, я обнаружил, что поле ParameterXml содержит то, что мне нужно, то есть ключевые слова "служба публикации в Интернете" и "остановлено".Затем я добавил это в приведенный выше запрос, чтобы отфильтровать, где остановилась служба IIS (World Wide Web Publishing)

search EventLog == "System"
| where ( EventLevelName == "Information" )
| where ( Computer == "server1" )
| where ParameterXml == "<Param>World Wide Web Publishing Service</Param><Param>stopped</Param><Param>-</Param>"

Все, что вам нужно сделать, это создать оповещение и установить условия