SCOM 2007 事件收集規則 - Generic CSV Text Log

SCOM 2007 事件收集規則 - Generic CSV Text Log

Generic CSV Text Log類型的日誌檔是帶有分隔符號的普通文本日誌檔，分隔符號將每條日誌行目分成若干欄位。SCOM 2007將監視新產生的日誌行目中指定的欄位，當發現符合規則設定的過濾條件時將觸發事件並顯示在用戶端的事件視圖上。

-日誌檔是存放在被監視用戶端上的。

-過濾條件運算式中參數名稱是Params/Param[#]，“#”表示第幾個欄位（從1開始）。

創建收集規則：

本例監視用戶端電腦CSS-27中的日誌檔C:\temp\test-3.txt。當發現新日誌行目的第三欄位含有字串“engineer”時將觸發產生事件，並顯示在用戶端CSS-27的事件視圖上。

本例的日誌檔是如下所示的C:\temp\test-3.txt，逗號是分隔符號。它存放在用戶端電腦CSS-27中。

（01） 設置規則類型和管理組件。

規則類型：Collection Rules->Event Based->Generic CSV Text Log

管理組件：選擇新創建的test-MP。

（02） 設置規則名稱和描述，選擇目標（本例為Agent）並啟用該規則。

（03） 指定日誌檔的路徑、名稱和分隔符號。如果日誌檔包含有UTF8編碼的資料，請勾選UTF8。

Directory：日誌檔路徑，本例是c:\temp

Pattern：日誌檔案名稱，本例是test-3.txt

Separetor：分隔符號，本例是逗號“，”

（04） 設置過濾條件。本例將過濾出第三欄位中包含字串“engineer”的日誌行目。

Parameter Name： Params/Param[3]

Operator： 選擇Contains

Value： engineer

按下"Create"完成事件規則建置

測試：

在電腦CSS-27上執行下面的命令（c:\temp\test.txt中只有一行日誌行目）添加第三欄位含有字串“engineer”的新日誌行到日誌檔c:\temp\test-3.txt中。

more c:\temp\test.txt >> c:\temp\test-3.txt

查看電腦CSS-27的事件視圖將顯示符合過濾條件的該行資訊，該行有4個欄位。

點擊“View Event data”查看事件詳細資料。

SCOM Agent 部份欄位顯示Unknow或空白

SCOM Agent 有某些欄位會顯示Unknow或空白如下圖

會發生這種原因主要問題大致可分為二種

1. Agent 本身Performance Count 有損毀,處理這種問題請在Agent 的命令提示字元視窗下執行lodctr /R 後重新開機

2. Agent 本身JS檔案關連性被改掉了,因為針對Agent的某些特定資料是透過執行JS檔案來收集,如果JS檔案關連性被改掉了,檔案無法執行成功資料也就收不回來了,處理方式為打開登錄編輯程式找到HKEY_CLASSES_ROOT\.js將預設值由xxxx.js改為JSFile,然後清除SCOM Agent Cache,再重啟SCOM Agent Service 即可

SCOM 2007 事件收集規則 - Generic Text Log

SCOM 2007 事件收集規則 - Generic Text Log

Generic Text Log類型的日誌檔是不帶分隔符號的普通文本日誌檔。SCE 2007將檢查日誌檔中新產生的日誌行目，當發現符合規則設定的過濾條件時將觸發事件並顯示在用戶端的事件視圖上。

-日誌檔是存放在被監視用戶端上的。

-過濾條件運算式中參數名稱是Params/Param[1]，是把整行看作一個欄位。

建置收集規則：

本例監視用戶端電腦CSS-27中的日誌檔C:\temp\test-3.txt。當發現含有字串“engineer”的新日誌行目時將觸發產生事件，並顯示在用戶端CSS-27的事件視圖上。

本例的日誌檔如下所示，此處的逗號不是分隔符號。它存放在用戶端電腦CSS-27中。

1. 設置規則類型和管理包。

規則類型：Collection Rules->Event Based->Generic Text Log

管理組件：選擇新創建管理組件test-MP。

2. 設置規則名稱和描述，選擇目標並啟用該規則。

Rule target：Agent

3. 指定日誌檔的路徑、名稱。如果事件檔包含有UTF8編碼的資料，請勾選UTF8。

Directory：事件檔路徑，本例是c:\temp

Pattern：事件檔案名稱，本例是test-3.txt

4. 設置過濾條件。本例將過濾出日誌行目中包含字串“enginerr”的行。

Parameter Name： Params/Param[1]

Operator： 選擇Contains

Value： engineer

按下"Create"完成創建事件收集規則。

測試：

在電腦CSS-27上執行下面的命令添加含有字串“engineer”的新日誌行到日誌檔c:\temp\test-3.txt中（c:\temp\test.txt中只有一行日誌行目）。

more c:\temp\test.txt >> c:\temp\test-3.txt

查看電腦CSS-27的事件視圖將顯示符合過濾條件的該行資訊，它是把整行看作一個欄位。

點擊“View Event data”，可以看到事件的詳細內容。

Microsoft Office InfoPath 2010 介紹

什麼是 InfoPath ?

        InfoPath是一個「表單建立」和「資料收集」工具，搭載輕量型程式開發編輯區( Visual Studio Tools for Applications, VSTA)，適用於進階商務使用者和程式開發人員，可根據組織所需的表單解決方案類型運用。
　　在 InfoPath 中，表單範本是以 XML 技術為根據，而且會使用 XML 格式來儲存或送出表單資料。XML 是一種業界標準的語言，用來描述、組織及交換資料。

InfoPath 2010 的系統規格需求

InfoPath 的優勢

1.      快速並有效率地建立表單以及縮減訓練時間。

使用熟悉的 Microsoft Office 工具，例如字型、項目符號及編號、資料表設計以及美工圖案，來建立支援商業流程的表單。熟悉的工具與環境有助於縮減訓練時間並加快表單的建立。

InfoPath 2010 包含 Fluent 使用者介面，這是在許多 2007 Office system 應用程式中就引入的。Fluent 使用者介面是根據詳盡的可用性資料和最近研發的軟硬體技術所設計的，是為了讓您更容易找到並使用 Office 應用程式的各種功能，以及取得您想要的結果。

2.       不需要撰寫程式碼即可輕鬆建立複雜的表單。

例如，您可以：
使用增強的規則管理、快速規則、樣式以及動態版面配置區段，來快速建立並部署表單。
針對設定格式化的條件設定規則。
建立包含動作 (例如提醒、計算值及資料驗證) 的表單。
根據使用者角色建立驗證、格式設定或動作，或是建立會根據欄位類型顯示的驗證和動作。

3.       可讓參與者在線上或離線填寫表單。

有了 InfoPath 2010，使用者可以在 Microsoft SharePoint Workspace 介面中使用表單的原生整合，填寫線上或離線的表單。在 SharePoint Workspace 環境中，使用者可以輕鬆地離線使用具有 InfoPath 表單的 SharePoint 文件庫。參與者再次連線時，在表單中所輸入的資訊就會自動同步化到 SharePoint 文件庫，因此無論使用者是否連線到網路，都可以最佳化生產力。

4.        建置模組化、可延伸且可移植的 SharePoint 應用程式。

使用 SharePoint Server 2010 及 InfoPath 2010 即可建立 SharePoint 應用程式。您可以建置 SharePoint 應用程式，以供部門或企業使用 (可能不需要撰寫程式碼，或只需要撰寫少量的程式碼)。這些解決方案都是模組化 (可從現有表單或文件庫建置)、可延伸 (可透過程式碼新增功能) 且可移植 (可使用 .wsp 格式來發佈，在網站之間或伺服器之間移植應用程式)。

5.        使瀏覽器表單符合標準。

SharePoint Server 2010 上的 InfoPath 2010 表單現在已符合 Web 內容協助工具規則 2.0 (Web Content Accessibility Guidelines 2.0，WCAG 2.0) AA，可協助您建立方便殘障人士存取的表單。此外，SharePoint Server 2010 中的表單現在已完全符合 XHTML 1.0 規範。

6.        享受功能更強大的網頁瀏覽器表單。

InfoPath 2010 用戶端表單與 SharePoint Server 2010 中的 InfoPath 表單之間有更高的相容性，可為填寫表單的使用者提供更高的一致性。例如，在這兩個環境中均可使用的功能包含：項目符號、編號及一般清單；多重選擇清單方塊；下拉式方塊；圖片按鈕；超連結功能；選擇群組及區段；篩選功能；日期和時間控制項，以及人員選擇器。

7.        在網頁組件中內嵌表單。

在 SharePoint Server 2010 中，使用新的 InfoPath 表單網頁組件在網頁上裝載表單變得更加容易。在 SharePoint Server 2007 中，想要在網頁上裝載 InfoPath 表單的使用者必須在 Visual Studio 中撰寫程式碼。現在，您不需要撰寫任何程式碼，就可以將 InfoPath 表單網頁組件新增至網頁組件頁面，並將其指向發佈的表單。

您可以使用網頁組件來裝載任何已發佈至 SharePoint 清單或表單庫的 InfoPath 瀏覽器表單。您也可以將表單連接至網頁上的其他網頁組件，以傳送或接收資料。

8.       以程式碼增強表單功能。

雖然您不需要撰寫程式碼即可自訂 InfoPath 表單的許多層面，但如果宣告式邏輯不符合實作解決方案功能的需求，您也可以利用程式碼來增強 InfoPath 表單功能。

您可以使用隨附於 InfoPath 2010 的 Visual Studio Tools for Applications (VSTA)，來增強 InfoPath 2010 表單。VSTA 會提供輕量版的 Visual Studio Integrated Development Environment。您可以使用 VSTA，在 C# 或 VB.NET 中撰寫 Managed 程式碼，然後將程式碼內嵌於 InfoPath 表單範本 (.xsn file) 中。例如，如果您要在表單中包含計算利息的功能，則可以在表單本身中內嵌程式碼，當開啟或編輯表單時，InfoPath Filler 或 InfoPath Forms Services 就會執行此程式碼。

9.       連結表單與企業營運資訊和 REST Web 服務。

SharePoint Server 2010 的架構有絕佳的可延伸性，以管理使用者對於資料連線和系統的存取。InfoPath 2010 也可以與 SharePoint Server 2010 的 Business Connectivity Services (BCS) 整合。BCS 有現成的功能、服務，以及工具，能夠與外部資料和服務密切地整合，並簡化解決方案的開發作業，藉此增強 Office 應用程式和 SharePoint 平台的功能。此外，InfoPath 2010 支援從 REST Web 服務取得 XML 資料。REST Web 服務可以使用透過 URL 傳入的輸入參數。表單設計人員可以在不使用任何程式碼的情況下，於 InfoPath 表單中動態變更 URL 參數，以使用規則從 REST Web 服務取得想要的資料。

10.      輕鬆管理伺服器上的表單。

　　InfoPath 表單可以當做 SharePoint Server 2010 的元件來監控。新的 SharePoint 維護引擎規則，可確保伺服器陣列中的 InfoPath 表單已正確設定。您也可以使用包含在 SharePoint Server 2010 中的 Windows PowerShell 命令列功能和指令碼語言，來管理 InfoPath 表單。

InfoPath 如何應用XML技術

XML 是 InfoPath 表單所產生的輸出格式，XSL用於將 XML 文件轉換成其他類型文件(如：HTML語法)，作為XSLT 是的檢視檔格式，XML 結構描述使用 XML 撰寫的正式規格，定義 XML 文件的結構，包括元素名稱及豐富資料類型、哪些元素可以組合形式顯示，以及每個元素可以使用哪些屬性。文件物件模型 (DOM)描述動態 HTML 及 XML 文件的結構，描述時允許透過網頁瀏覽器來對這些文件進行操作。XML 簽章 XML 數位簽章可用來幫忙保護包含在 XML 文件中的資料。XML 處理程式是用來將文件的來源 XML 載入電腦的動態記憶體中、使用 XML 結構描述進行驗證，以及透過 XSLT 來產生文件檢視。

InfoPath 和 Form Services 支援之功能

若未來欲將設計好的InfoPath表單範本放上SharePoint Form Services，以瀏覽器模式填寫表單，則必須使用上述控制項，可為填寫表單的使用者提供更高的一致性。

※新手上路，如有謬誤，請不吝指正。

SCOM 2007 Audit Report 建議使用週期

SCOM 2007 提供Windows 安全稽核報表服務，但必須要靈活運用這些報表功能

方能達到整合客戶日常稽核流程！不同的報表依造其內容特性，

固定周期產出報表進行稽核作業。請參考下表：

帳號管理-稽核報表
報表名稱	每日	每週	每月	每季	稽核
Access-Violation-Unsuccessful Logon Attempts	★	★	★		★
Account Management-Domain and Build-in Administrator Membership Changes		★	★		★
Account Management-Password Change Attempts by Non-Ower		★	★		★
Account Management-User Account Create			★		★
Account Management-User Account Delete			★		★

特定事件-稽核報表
報表名稱	每日	每週	每月	每季	稽核
Forensic_-_All_Events_For_Specified_Computer					★
Forensic_-_All_Events_For_Specified_User					★
Forensic_-_All_Events_With_Specified_Event_ID					★

效能調校用報表
報表名稱	每日	每週	每月	每季	稽核
Planning-Event_Count			★
Planning-Event Count By Computer			★
Planning-Hourly Event Distribution			★
Planning-Logon Counts of Privileged Users		★	★		★

效能調校用報表
報表名稱	每日	每週	每月	每季	稽核
System_Integrity-Audit_Failure		★	★	★	★
System_Integrity-Audit_Log_Cleared		★	★	★	★

使用統計類-稽核報表
報表名稱	每日	每週	每月	每季	稽核
Usage_-_Object_Access		★	★	★	★
Usage_-_Privileged_logon		★	★	★	★
Usage_-_Sensitive_Security_Groups_Changes		★	★	★	★
Usage_-_User_Logon					★