Задача: есть сервер, или группа серверов. Периодически в журнал системы сыпятся события с определенным кодом. Необходимо разослать письмо ответственным при возникновении таких событий.
Создадим правило в SCOM.
Authoring - Rules - New Rule
Alert Generating Rules - Event Based - NT Event Log (Alert)
Management Pack создаем новый, или выбираем существующий
Выбираем Rule Category - нужная группа серверов, на которую будет распространяться правило.Пример, Windows server
Выключим его (убрать галочку Rule is enabled). Зачем? Просто потом мы создадим мелкую группу серверов и переопределим правило для этой группы серверов (включим).
Выберем тип журнала, в котором будем искать событие
Определим выражение, по которому правило будет срабатывать.
Пусть код события будет "1111", а текст равен "Test"
Здесь можно указать какой-нибудь текст (потом будет отображаться в сообщении) и различные выражения. Также можно указать, какой тип критичность будет у алерта в SCOM.
Теперь необходимо создать группу серверов и поместить туда необходимые нам сервера,
Authoring - Groups - new
Теперь нужно найти наше созданное правило в общем списке правил. Правой кнопкой - Overrides for a group
Выбрать группу, поставить галочку на Enabled и сделать True. Теперь общее правило для всех серверов будет выключено, а для этой маленькой группы серверов будет включено.
Теперь создаем подписку:
Administration - Notifications - Subscriptions - New
Выберем created by rules и выберем наше правило
Дальше укажем подписчиков. Как это сделать, указано в предыдущем посте
Дальше выберем Channels - тут ничего сложного, нужно создать новый канал, в котором указать почтовый сервер для отправки.
Теперь можно протестировать. Зайдем на сервер, где наши события могут возникать. В Powershell запустим команду, должно свалиться тестовая запись в журнал, а нам придет письмо.
Write-EventLog –LogName Application –Source "Test" –EntryType Warning –EventID 1111 –Message "test message"
