Làm cách nào để theo dõi thụ động Nhật ký sự kiện Windows?


15

Làm cách nào tôi có thể theo dõi Nhật ký sự kiện Windows từ xa để tôi sẽ được thông báo tự động khi xảy ra một số sự kiện nhất định?

Có rất nhiều giải pháp giám sát tích cực, nhưng chúng đòi hỏi sự chú ý của con người hoặc bỏ phiếu liên tục. Tôi cần một giải pháp thụ động đơn giản sẽ tạo ra một thông báo khi một sự kiện cụ thể xảy ra.


Windows sẽ có thể thực hiện điều này một cách tự nhiên, vì vậy các giải pháp trả tiền hoặc các addon không miễn phí là không cần thiết.
Rym

Giải pháp sẽ tạo ra bẫy SNMP, vì SNMP là giao thức giám sát được triển khai tiêu chuẩn và phổ biến nhất.
Rym

Câu trả lời:


12

Windows Server có trình tạo bẫy SNMP tích hợp cho Trình ghi / Trình xem sự kiện Windows, có thể gửi bẫy khi xảy ra các sự kiện tùy ý.

Mẫu bẫy (OID)

Các bẫy này sẽ tuân thủ chi nhánh MIB của doanh nghiệp tư nhân Microsoft theo mẫu sau:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n... 

Mỗi "n" là một mã hóa thập phân của một octet ký tự ASCII từ tên nguồn Nhật ký sự kiện và X chỉ định số lượng ký tự theo dõi.

Vì vậy, ví dụ, một cái bẫy được tạo bởi nguồn "Tỉnh trưởng" (như được thấy trong Trình xem sự kiện) sẽ xuất hiện dưới dạng:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116 

Windows 2000 Server không hỗ trợ đầy đủ điều này và sẽ tạo ra các bẫy có định dạng hơi khác nhau, nhưng quy trình thì giống hệt nhau. Tất cả các phiên bản mới hơn của máy chủ Windows đều hỗ trợ đúng cách

Cấu hình gửi bẫy

Có hai công cụ tích hợp mà bạn sẽ sử dụng để thiết lập việc tạo bẫy.

evntwin : Tạo ánh xạ các thông điệp Nhật ký sự kiện vào bẫy SNMP evntcmd : Tải ánh xạ được tạo bởi evntwin để các bẫy được tạo

Chạy evntwin từ một dấu nhắc lệnh: điều này sẽ sinh ra GUI. Chọn "Tùy chỉnh" trong Loại cấu hình và sau đó "Chỉnh sửa". Bây giờ bạn sẽ thấy một danh sách tất cả các nguồn sự kiện có thể. Trong nguồn mà bạn quan tâm, hãy chọn ID sự kiện cụ thể mà bạn muốn tạo bẫy. Sau đó, nhấp vào "Thêm."

Bây giờ, bạn sẽ thấy OID thực tế của bẫy, ID cụ thể và tùy chọn đặt ngưỡng theo thời gian của các sự kiện xảy ra trước khi bẫy được gửi.

Lặp lại cho đến khi bạn đã tạo một ánh xạ cho từng kết hợp bẫy / sự kiện cụ thể mà bạn quan tâm. Sau đó, nhấp vào "Áp dụng", tô sáng tất cả các ánh xạ và sau đó "Xuất ..." Lưu tệp và thoát khỏi ứng dụng.

Bây giờ, một lần nữa từ dòng lệnh, chạy evntcmd, chỉ định tên của tệp bạn vừa tạo:

evntcmd myeventfile.cnf

Từ thời điểm này trở đi, các sự kiện bạn chỉ định sẽ tạo ra bẫy SNMP, sẽ được gửi đến tất cả các điểm đến của máy thu bẫy mà bạn đã định cấu hình trong cài đặt dịch vụ SNMP của mình. Xử lý chúng như bất kỳ bẫy SNMP bình thường nào.


3

Bạn có thể sử dụng Event Sentry có thông báo:

Giám sát Nhật ký Sự kiện theo thời gian thực là tính năng cốt lõi của EventSentry và cho phép bạn giám sát tất cả các tiêu chuẩn (Ứng dụng, Bảo mật, Hệ thống, Máy chủ DNS, Dịch vụ Sao chép Tệp, Dịch vụ Thư mục) và nhật ký sự kiện tùy chỉnh. Các mục Nhật ký Sự kiện có thể được chuyển tiếp đến nhiều thông báo tức thời (ví dụ: email, máy nhắn tin, SNMP, v.v.) hoặc thông báo được thiết kế để hợp nhất (ví dụ: cơ sở dữ liệu, tệp, v.v.).


Nếu bạn có thời gian và quen thuộc với việc viết kịch bản, bạn có thể xây dựng giải pháp DIY, sử dụng mã và công cụ hiện có như PsLogList của SysI INTERNal , một tập lệnh để theo dõi nhật ký sự kiện từ ScriptCenter, LogParser của Microsoft và công cụ dòng lệnh SMTP miễn phí như Blat hoặc bmail .

http://www.blat.net/


1

Đối với năm 2008, Vista, XP và 2003, bạn có thể sử dụng dịch vụ đăng ký nhật ký sự kiện từ xa của Windows. Đây là chức năng riêng của Vista và năm 2008, đối với năm 2003 và XP, bạn cần các gói dịch vụ cụ thể. Windows sử dụng RMI để thu thập nhật ký sự kiện từ các hệ thống từ xa tương tự như nhật ký hệ thống nhưng theo cách an toàn hơn. Bạn cũng có thể sử dụng chính sách nhóm để làm cho tất cả các máy chủ chuyển tiếp các sự kiện đến một máy chủ 2K8, Vista hoặc 2003. Bạn cũng có thể thiết lập thông báo / cảnh báo trong trình xem sự kiện.


0

Nếu bạn thích kịch bản, bạn có thể viết một sự kiện chìm WMI có thể nhận thông báo khi các sự kiện mới được thêm vào nhật ký sự kiện. Tôi đã chạy phiên bản VBScript của một tập lệnh như một dịch vụ và khi nhận được các sự kiện mà nó cho là "thú vị" (bằng cách khớp với biểu thức chính quy từ tệp cấu hình), nó sẽ tạo ra email SMTP. Đó là một kịch bản khá tầm thường, nhưng tôi không thể đăng nó vì nó "thuộc về" Khách hàng mà tôi đã viết.



0

Tôi nghĩ rằng eTrap là hình thức giải pháp hoàn hảo để theo dõi các sự kiện Windows.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.