嗨,我在 SCOM 2012 上创建了一个监视器,以使用事件 ID 4656、4663 为可移动设备生成警报。当插入 USB 并从 USB 复制出某些内容时,它会在 Win server 2012 但 scom 的事件查看器上获取事件 ID 4656/4663监视器根本不会生成警报。谁能告诉我这可能是什么问题?提前致谢
这是监视器的导出 XML。
-<监控>
-<监视器>
-<UnitMonitor ConfirmDelivery="true" TypeID="MicrosoftWindowsLibrary7585010!Microsoft.Windows.SingleEventLogManualReset2StateMonitorType" Priority="Normal" Remotable="true" ParentMonitorID="Health!System.Health.SecurityState" Target="MicrosoftWindowsLibrary7585010!Microsoft.Windows.Server .Computer" Enabled="true" Accessibility="Public" ID="UIGeneratedMonitor31432af1c0314b2ea7696791d7dac049">
<Category>自定义</Category>
-<AlertSettings AlertMessage="UIGeneratedMonitor31432af1c0314b2ea7696791d7dac049_AlertMessageResourceID">
<AlertOnState>警告</AlertOnState>
<AutoResolve>真</AutoResolve>
<AlertPriority>高</AlertPriority>
<AlertSeverity>警告</AlertSeverity>
-<警报参数>
<AlertParameter1>$Data[Default='']/Context/EventDescription$</AlertParameter1>
</AlertParameters>
</警报设置>
-<操作状态>
<OperationalState ID="UIGeneratedOpStateId58a8f14c9fe94927a4984dbec28a7e29" HealthState="Success" MonitorTypeStateID="ManualResetEventRaised"/>
<OperationalState ID="UIGeneratedOpStateIdb4815f99eb2248ff95a7b428c1dc702f" HealthState="Warning" MonitorTypeStateID="EventRaised"/>
</操作状态>
-<配置>
<ComputerName>$Target/Property[Type="MicrosoftWindowsLibrary7585010!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>安全</LogName>
-<表达式>
-<或>
-<表达式>
-<简单表达式>
-<值表达式>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</值表达式>
<运算符>相等</运算符>
-<值表达式>
<Value Type="UnsignedInteger">4656</Value>
</值表达式>
</SimpleExpression>
</表达式>
-<表达式>
-<简单表达式>
-<值表达式>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</值表达式>
<运算符>相等</运算符>
-<值表达式>
<Value Type="UnsignedInteger">4663</Value>
</值表达式>
</SimpleExpression>
</表达式>
</或>
</表达式>
</配置>
</UnitMonitor>
</监视器>
</监控>