Comments on: Damit dem Windows-Team nichts mehr entgeht – Allesfresser check_logfiles

By: lausser

lausser — Thu, 18 Mar 2010 21:31:38 +0000

Bei eventlog=>eventlog kann man nicht einfach eine Liste angeben. Wenn sowohl System- als auch Application-Eventlog in einer Konfiguration untersucht werden sollen, muss man dafür zwei Einträge im @searches-Array anlegen.

By: Thomas

Thomas — Mon, 15 Mar 2010 07:56:07 +0000

jetzt habe ich folgende Zeile in der Konfigdatei von check_eventlog geändert

eventlog => { eventlog => 'system,application', },

und jeweils einen Fehler im System- und einen im ApplicationLog generiert. check_eventlog.exe erkennt aber lediglich den neuen Eintrag in ApplicationLog. Der im SystemLog wird nicht gefunden.

hm?

By: Thomas

Thomas — Mon, 15 Mar 2010 07:31:23 +0000

ich habe noch ein weing getestet und dabei festgestellt, dass zwar Fehler im System EventLog gefunden werden, nicht aber im Application EventLog.

die aktuelle Konfigdatei von check_logfiles schaut so aus:

@searches = ({ tag => 'EventLog', type => 'eventlog', eventlog => { eventlog => 'system','application', }, options => 'winwarncrit','eventlogformat=%w %s ID:%id %m','noperfdata', })

Fällt Dir etwas dazu ein?!

By: Thomas

Thomas — Mon, 15 Mar 2010 05:27:15 +0000

Danke für den Tip. Der Kommandozeilenaufruf funktioniert wie erwartet. Eventuell war ich nur zu ungeduldig, weil länger als 5 Tage kein Fehler in den EventlLogs gefunden wurde. ;-)

DANKE nochmals

By: lausser

lausser — Mon, 08 Mar 2010 20:52:44 +0000

Ich habe mir ein 64bit/W2K8-System aufgesetzt, um dein Problem nachzustellen, aber … alles funktioniert so, wie es soll.

By: lausser

lausser — Wed, 03 Mar 2010 14:05:09 +0000

Hallo Thomas, kannst du bitte mal in einem CMD-Fenster den folgenden Aufruf probieren?

check_logfiles --type "eventlog:eventlog=system" --winwarncrit --lookback 30d

Was mich interessiert, ist der Eintrag default_lines= in den Performancedaten. Der gibt an, wieviele Events überhaupt aus dem Eventlog gelesen wurden. Der lookback-Parameter bedeutet dabei “schau 30 Tage in die Vergangenheit zurück”. Ich nahme mal an, daß in den letzten 30 Tagen einige Ereignisse ins system-Eventlog geschrieben wurden, die Zahl sollte also größer 0 sein. Wenn tatsächlich 0 rauskommt, gibt es womöglich ein Kompatibilitätsproblem mit dem 32bit/XP-Executable unter 64bit/W2K8. Gerhard

By: Thomas

Thomas — Tue, 02 Mar 2010 08:09:48 +0000

Hallo Gerhard,

ich habe vor ein paar Tagen versucht check_logfiles.exe auf einem W2K8 R2 (64Bit) Server zum Laufen zu bringen. Leider ist es mir nicht gelungen. Hast Du oder jemand aus eurem Windows-Admin-Team bei Consol schon Erfahrungen mit W2K8 und check_logfiles?

Ich habe check_logfiles über NSClient++ auf, es findet aber keinen einzigen Eintrag vom Typ WARNING, oder CRITICAL. Bei W2K3 habe ich mit der gleichen Konfigurationsdatei von check_logfiles keine Probleme.

MfG Thomas