Jak pasywnie monitorować dziennik zdarzeń systemu Windows?

Jak mogę zdalnie monitorować dziennik zdarzeń systemu Windows, aby automatycznie otrzymywać informacje o określonych zdarzeniach?

Istnieje wiele aktywnych rozwiązań monitorujących, ale wymagają one ludzkiej uwagi lub ciągłego odpytywania. Potrzebuję pasywnego rozwiązania, które po prostu wygeneruje powiadomienie o wystąpieniu określonego zdarzenia.

Windows Server ma wbudowany generator pułapek SNMP dla dziennika zdarzeń / przeglądarki zdarzeń systemu Windows, który może wysyłać pułapki w przypadku wystąpienia dowolnych zdarzeń.

Formularz pułapki (OID)

Pułapki te będą zgodne z oddziałem MIB prywatnego przedsiębiorstwa Microsoft w następującej formie:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n... 

Każde „n” oznacza dziesiętne kodowanie oktetu znaków ASCII z nazwy źródła dziennika zdarzeń, a X oznacza liczbę znaków do naśladowania.

Na przykład pułapka wygenerowana przez źródło „Prefekt” (jak widać w Podglądzie zdarzeń) wyglądałaby następująco:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116 

Windows 2000 Server nie obsługuje tego w pełni i generuje pułapki w nieco innym formacie, ale procedura jest w przeciwnym razie identyczna. Wszystkie nowsze wersje serwera Windows obsługują to poprawnie

Konfigurowanie wysyłania pułapek

Istnieją dwa wbudowane narzędzia, których będziesz używać do konfigurowania generowania pułapek.

evntwin : Utwórz mapowanie komunikatów dziennika zdarzeń na pułapki SNMP evntcmd : Mapowanie obciążenia utworzone przez evntwin, aby generować pułapki

Uruchom evntwin z wiersza polecenia: spowoduje to uruchomienie GUI. Wybierz „Niestandardowy” w polu Typ konfiguracji, a następnie „Edytuj”. Zobaczysz teraz listę wszystkich możliwych źródeł zdarzeń. Pod źródłem, którym jesteś zainteresowany, wybierz konkretny identyfikator zdarzenia, na którym chcesz wygenerować pułapki. Następnie kliknij „Dodaj”.

Teraz zobaczysz rzeczywisty identyfikator OID pułapki, konkretny identyfikator oraz opcję ustawiania progu czasowego wystąpienia zdarzeń przed wysłaniem pułapki.

Powtarzaj, dopóki nie utworzysz mapowania dla każdej kombinacji pułapek / zdarzeń, na której Ci zależy. Następnie kliknij „Zastosuj”, zaznacz wszystkie mapowania, a następnie „Eksportuj ...” Zapisz plik i zamknij aplikację.

Teraz ponownie z wiersza poleceń uruchom evntcmd, podając nazwę właśnie utworzonego pliku:

evntcmd myeventfile.cnf

Od tego momentu określone zdarzenia będą generować pułapki SNMP, które będą wysyłane do wszystkich miejsc docelowych odbiorników pułapek skonfigurowanych w ustawieniach usługi SNMP. Przetwarzaj je jak normalną pułapkę SNMP.

Możesz użyć Event Sentry, który ma powiadomienia:

Monitorowanie dziennika zdarzeń w czasie rzeczywistym jest podstawową funkcją EventSentry i umożliwia monitorowanie wszystkich standardowych (aplikacji, bezpieczeństwa, systemu, serwera DNS, usługi replikacji plików, usługi katalogowej) i niestandardowych dzienników zdarzeń. Wpisy w dzienniku zdarzeń można przekazywać do różnych natychmiastowych powiadomień (np. E-mail, pager, SNMP itp.) Lub powiadomień przeznaczonych do konsolidacji (np. Baza danych, pliki itp.).

Jeśli masz czas i znasz skrypty, możesz zbudować rozwiązanie dla majsterkowiczów, korzystając z istniejącego kodu i narzędzi, takich jak PsLogList SysInternal , skrypt do monitorowania dziennika zdarzeń z ScriptCenter Microsoftu, LogParser oraz bezpłatnego narzędzia wiersza poleceń SMTP, takiego jak Blat lub bmail .

http://www.blat.net/

W 2008, Vista, XP i 2003 można było skorzystać z usługi subskrypcji dziennika zdarzeń Windows. Jest to natywna funkcja systemów Vista i 2008. W przypadku wersji 2003 i XP potrzebne są specjalne dodatki Service Pack. Windows używa RMI do zbierania dzienników zdarzeń ze zdalnych systemów, podobnych do syslog, ale w bardziej bezpieczny sposób. Możesz także użyć zasad grupy, aby wszystkie serwery przekazywały zdarzenia do pojedynczego serwera 2K8, Vista lub 2003. Możesz także skonfigurować powiadomienia / alerty w przeglądarce zdarzeń.

Jeśli lubisz pisać skrypty, możesz napisać ujście zdarzeń WMI, które może otrzymywać powiadomienia o dodawaniu nowych zdarzeń do dziennika zdarzeń. Uruchomiłem wersję takiego skryptu VBScript jako usługę, a po otrzymaniu zdarzeń, które uważa za „interesujące” (na podstawie dopasowania wyrażenia regularnego z pliku konfiguracyjnego), generuje wiadomość e-mail SMTP. Jest to dość trywialny skrypt, ale nie mogę go opublikować, ponieważ „należy” do klienta, dla którego go napisałem.

Być może wyzwalacze zdarzeń mogą Ci pomóc ( http://technet.microsoft.com/en-us/library/cc773308(WS.10).aspx ). Poszukaj również eventquery.vbs.

Myślę, że eTrap to idealne rozwiązanie do monitorowania zdarzeń Windows.