Як пасивно слідкувати за журналом подій Windows?

Як я можу дистанційно відстежувати Журнал подій Windows, щоб мені було автоматично повідомлено про певні події?

Є багато активних рішень для моніторингу, але вони вимагають уваги людини або постійного опитування. Мені потрібно пасивне рішення, яке просто генерує сповіщення про певну подію.

Windows Server має вбудований генератор пасток SNMP для Журналу / Переглядача подій Windows, який може надсилати пастки про виникнення довільних подій.

Форма пастки (OID)

Ці пастки відповідатимуть відділенню MIB приватного підприємства Microsoft у такій формі:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n... 

Кожне "n" - це десяткове кодування октету символів ASCII від імені джерела журналу подій, а X позначає кількість символів, які слід слідувати.

Так, наприклад, пастка, згенерована джерелом "Префект" (як видно з переглядача подій), виглядатиме як:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116 

Windows 2000 Server не підтримує це повністю, і генерує пастки дещо іншого формату, але процедура інакше ідентична. Усі новіші версії сервера Windows підтримують це належним чином

Настроювання відправки пастки

Є два вбудовані інструменти, які ви використовуєте для налаштування генерації пасток.

evntwin : Створіть відображення повідомлень журналу подій у пастки SNMP evntcmd : Завантажте відображення, створене evntwin, щоб генерувалися пастки

Запустіть evntwin з командного рядка: це породжує графічний інтерфейс. Виберіть "Спеціальний" під Тип конфігурації, а потім "Редагувати". Тепер ви побачите список усіх можливих джерел подій. Під джерелом, в якому вас цікавить, виберіть конкретний ідентифікатор події, на якому ви бажаєте генерувати пастки. Потім натисніть "Додати".

Тепер ви побачите фактичний OID пастки, конкретний ідентифікатор та опцію встановити часовий поріг подій подій до відправки пастки.

Повторіть, доки не створите відображення кожної конкретної комбінації пастки / події, яка вас цікавить. Потім натисніть кнопку "Застосувати", виділіть всі відображення, а потім "Експорт ..." Збережіть файл та вийдіть із програми.

Тепер знову в командному рядку запустіть evntcmd, вказавши назву файлу, який ви тільки що створили:

evntcmd myeventfile.cnf

З цього моменту вказані вами події будуть генерувати SNMP-пастки, які надсилатимуться всім адресатам приймача пастки, які ви налаштували у своїх параметрах служби SNMP. Обробляйте їх, як і будь-яку звичайну ловушку SNMP.

Ви можете використовувати Sentry Event, який має сповіщення:

Моніторинг журналу подій у реальному часі є основною особливістю EventSentry і дозволяє відстежувати всі стандартні (Програми, безпека, система, DNS-сервер, служба реплікації файлів, служба каталогів) та власні журнали подій. Записи журналу подій можна пересилати на різноманітні негайні сповіщення (наприклад, електронну пошту, пейджер, SNMP тощо) або сповіщення, призначені для консолідації (наприклад, база даних, файли тощо).

Якщо у вас є час і знайомі з допомогою сценаріїв, ви можете побудувати DIY рішення, використовуючи існуючий код і інструменти , такі як SysInternal в PsLogList , скрипт для моніторингу журналу подій від компанії Microsoft ScriptCenter, LogParser і безкоштовний інструмент SMTP командного рядка , як Блат або BMail .

http://www.blat.net/

Для 2008, Vista, XP та 2003 ви можете скористатися послугою підписки на віддалений журнал подій Windows. Це основна функція Vista та 2008 року. Для 2003 та XP потрібні спеціальні пакети послуг. Windows використовує RMI для збору журналів подій із віддалених систем, подібних до системних журналів, але більш безпечним. Ви також можете використовувати групову політику для перенаправлення всіх серверів на один сервер 2K8, Vista або 2003. Ви також можете налаштувати сповіщення / сповіщення в переглядачі подій.

Якщо вам подобається сценарій, ви можете написати раковину подій WMI, яка може отримувати сповіщення, коли до журналу подій додаються нові події. Я запустив VBScript версії такого сценарію як послугу, і після отримання подій він вважає "цікавим" (шляхом збігу повторних виразів з файлу конфігурації), він генерує SMTP-пошту. Це досить тривіальний сценарій, але я не можу розмістити його, оскільки він "належить" замовнику, для якого я його написав.

Можливо, триггери подій можуть вам допомогти ( http://technet.microsoft.com/en-us/library/cc773308(WS.10).aspx ). Знайдіть і eventquery.vbs.

Я думаю, що eTrap є ідеальним рішенням для моніторингу подій Windows.