我正在使用基本 NRPE 插件让 Nagios 被动监控 Windows Eventlog。该插件允许将 EventID 例外列表作为命令参数。因此,例如,我可以阻止任何 EventID 为 1024 的事件。
当然,这并没有查明事件的根源。
我想知道的是两个源使用相同 EventID 的可能性。一些抽样检查(谷歌搜索 eventid)只发现了唯一性,所以这可能是一个可以接受的风险,但我想听听你的想法。你有没有遇到过两个使用相同 EventID 的源?
答案1
对于事件源使用程序员决定的任何 ID 没有任何限制。举一个具体的例子,我的ts_block例如,脚本(源“ts_block”)使用事件 ID 1、2、3、256 和 257。在公共事件数据库中搜索这些事件 ID(就像——我捏着鼻子说——eventid.net) 将向您显示许多其他使用这些相同事件 ID 的来源。
如果您仅根据事件 ID 进行比较,那么比较还不够。