web-dev-qa-db-fra.com

Comment surveiller passivement le journal des événements Windows?

Comment puis-je surveiller le journal des événements Windows à distance de sorte que je serai informé automatiquement lorsque certains événements se produisent?

Il existe de nombreuses solutions de surveillance actives, mais elles nécessitent une attention humaine ou une interrogation constante. J'ai besoin d'une solution passive qui générera simplement une notification lorsqu'un événement particulier survient.

15
Rym

Windows Server dispose d'un générateur de piège SNMP intégré pour le journal/spectateur d'événement Windows, qui peut envoyer des pièges à la survenue d'événements arbitraires.

Formulaire de piège (OID)

Ces pièges seront conformes à la branche Microsoft Private Enterprise MIB dans le formulaire suivant:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n... 

Chaque "n" est un codage décimal d'un ASCII octet de caractères à partir du nom de la source de journal des événements et le x désigne le nombre de caractères à suivre.

Ainsi, par exemple, un piège généré par la source "préfet" (comme on le voit dans la visionneuse d'événements) apparaîtrait comme suit:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116 

Windows 2000 Server ne le supporte pas complètement et générera des pièges d'un format légèrement différent, mais la procédure est autrement identique. Toutes les versions plus récentes de Windows Server supportent ce correctement

Configuration de l'envoi de piège

Il existe deux outils intégrés que vous utiliserez pour configurer la génération de pièges.

Evntwin: Créez la cartographie des messages de journal des événements aux pièges SNMP EVNTCMD: Cartographie de charge créée par EvnTwin afin que les pièges soient générés

Exécutez Evntwin à partir d'une invite de commande: cela va frayer une interface graphique. Sélectionnez "Personnalisé" sous Type de configuration, puis "Modifier". Vous verrez maintenant une liste de toutes les sources d'événements possibles. Sous la source dans laquelle vous êtes intéressé, sélectionnez l'ID d'événement particulier sur lequel vous souhaitez générer des pièges. Ensuite, cliquez sur "Ajouter".

Maintenant, vous verrez le fichier OID du piège, l'ID spécifique et une option permettant de définir un seuil de l'événement de temps avant que le piège ne soit envoyé.

Répétez la répétition jusqu'à ce que vous ayez créé une cartographie pour chaque combinaison de pièges/événements particuliers que vous vous souciez. Ensuite, cliquez sur "Appliquer", mettez en surbrillance tous les mappages, puis sur "Exporter ..." Enregistrez le fichier et quittez l'application.

Maintenant, à nouveau à partir de la ligne de commande, exécutez EVNTCMD, spécifiant le nom du fichier que vous venez de créer:

evntcmd myeventfile.cnf

À partir de ce point, les événements que vous avez spécifiés généreront des pièges SNMP, qui seront envoyés à toutes les destinations de récepteur d'interruption que vous avez configurées dans vos paramètres de service SNMP. Traiter eux comme vous le feriez un piège SNMP normal.

12
Rym

Vous pouvez utiliser ( événement Sentry qui a des notifications:

La surveillance du journal des événements en temps réel est la principale caractéristique des événementsEntry et vous permet de surveiller toutes les normes (application, Sécurité, System, DNS Server, Service de réplication de fichier, Service de répertoire) et des journaux d'événements personnalisés. Les entrées de journal des événements peuvent être transmises à une variété de notifications immédiates (par exemple e-mail, pager, SNMP, etc.) ou des notifications conçues pour la consolidation (par exemple la base de données, les fichiers, etc.).


Si vous avez le temps et que vous connaissez des scripts, vous pouvez construire une solution de bricolage, en utilisant le code existant et les outils tels que Sysinternal's - psloglist , A script pour surveiller le journal des événements à partir de Microsoft's ScriptCenter , logparser et un outil de commande SMTP gratuit comme BLAT ou BMAIL .

http://www.blat.net/

3
splattne

Pour 2008, Vista, XP et 2003 Vous pouvez utiliser le service d'abonnement à journal d'événements distant Windows distant. Ceci est une fonction native de Vista et 2008. Pour 2003 et XPS, vous avez besoin de packs de service spécifiques. Utilisation de Windows. RMI pour collecter des journaux d'événements à partir de systèmes distants très similaires aux syslogs mais de manière plus sécurisée. Vous pouvez également utiliser la stratégie de groupe pour effectuer tous les événements verseurs de serveurs à un seul serveur 2K8, Vista ou 2003. Vous pouvez également configurer les notifications/alertes dans l'événement. téléspectateur.

1
msvcyc

Je pense ETTRAP est le formulaire de solution idéal pour la surveillance des événements Windows.

0
zdanhauser

Si vous aimez script, vous pouvez écrire un évier d'événement WMI pouvant recevoir des notifications lorsque de nouveaux événements sont annexés au journal des événements. J'ai exécuté une version VBScript d'un tel script en tant que service et lors de la réception d'événements qu'il considère "intéressant" (à titre d'une correspondance Regexp à partir d'un fichier de configuration), il génère un courrier électronique SMTP. C'est un script assez trivial, mais je ne peux pas la poster puisqu'il "appartient" au client que j'ai écrit pour.

0
Evan Anderson

Peut-être que EventTriggers peut vous aider ( http://technet.microsoft.com/en-us/library/cc773308 (WS.10) .aspx ). Recherchez aussi eventquery.vbs aussi.

0
Llorllale