SCOM2012功能测试（19）—新建规则

19.新建规则

进入创作区，展开管理包对象，选中“规则”並右击选择“创建新规则”




展开“收集规则”，定位到“基于性能”下的“Windows性能”，並指定目标管理包




填写创建规则的名称、类别和目标




点击“选择”，浏览到计算机名称，指定性能计数器对象为“Process”，选择计数器“Private Bytes”，勾选“所有实例”




不采用优化收集设置，点击“创建”




上面创建了一个收集规则，下面再创建一个警报生成规则。进入创作区，展开管理包对象，选中“规则”並右击选择“创建新规则”




展开“警报生成规则”，选中“基于事件”下的“NT事件日志（警报）”，並指定目标管理包




填写自定的警报规则名称，並选择规则类别、目标，下一步



默认产生的事件日志会存放在“Application”的事件文件中，我这里采用默认，下一步




点击“插入”，填写：“事件 ID 等于 XX”和“事件源等于 EventCreate”



点击“…”，填写警报描述，点击“目标”可定义产生警报信息计算机的一些基本特征，譬如：计算机名称、IP地址；点击“数据”可定义产生警报信息的事件等级、用户名等




点击“警报抑制”，选中“事件ID”




点击“创建”



接下来，手动去模拟生成一个id 888的事件，以管理员身份运行命令行窗口，输入以下命令：
EventCreate/id 888 /t information /d test，同样的命令连续运行3次，以便测试警报抑制效果





进入监视区，定位到“活动警报”，可以查看我们自定义的警报规则已经生效，在警报描述里可以看到我们设置的一些基本信息




当打开产生的警报信息属性时，可以看到重复次数为“3”，即进行了警报抑制




接下来，我们再创建一个简单的规则，要求将目标计算机上的常规log文件抓取到指定服务器上。进入创作区，展开管理包对象，选中“规则”並右击，选择“创建新规则”




展开“定时命令”，选中“执行脚本”，並指定目标管理包




填写新建规则名称，指定规则类别、目标




指定计划设置。说明：基于固定的简单定期计划时间段为1~28天



脚本支持：.js和.vbs，以下我用的是.js脚本，名称随便命名，将脚本信息粘贴到以下空白处即可，点击“创建”，这是我的.js脚本：

var fso=new ActiveXObject("Scripting.FileSystemObject");
var source="\\\\192.168.0.2\\c$\\Windows\\system32\\winevt\\logs";
var dest="C:\\AD-logs";
var ObjShell=new ActiveXObject("WScript.Shell");
ObjShell.Exec("net user \\\\192.168.0.2\\C$ '123'/user:'sxleilong\SCOM'");
ObjShell.Exec("Xcopy "+source+" "+dest+" /e /v /r /y /z" );

稍等片刻，即可看到利用脚本收集到的log文件