Windows Olay Günlüğünü pasif olarak nasıl izlerim?

Belirli olaylar meydana geldiğinde otomatik olarak bilgilendirilmem için Windows Olay Günlüğünü uzaktan nasıl izleyebilirim?

Çok sayıda aktif izleme çözümü vardır, ancak bunlar insanların dikkatini veya sürekli yoklamayı gerektirir. Sadece belirli bir olay meydana geldiğinde bir bildirim üretecek pasif bir çözüme ihtiyacım var.

Windows Server'da, Windows Olay Günlüğü / Görüntüleyicisi için isteğe bağlı olayların ortaya çıktığı tuzakları gönderebilen yerleşik bir SNMP tuzak oluşturucu vardır.

Bindirme Formu (OID)

Bu tuzaklar Microsoft özel kuruluş MIB şubesine aşağıdaki biçimde uyacaktır:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n... 

Her "n", Olay Günlüğü kaynak adından bir ASCII karakter sekizlisinin ondalık kodlamasıdır ve X, izlenecek karakter sayısını belirtir.

Örneğin, "Olay Görüntüleyicisi'nde görüldüğü gibi" "Kaymakam" kaynağı tarafından oluşturulan bir tuzak şöyle görünür:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116 

Windows 2000 Server bunu tam olarak desteklemez ve biraz farklı bir formatta tuzaklar oluşturur, ancak yordam aynıdır. Tüm yeni Windows sunucu sürümleri bunu düzgün bir şekilde destekler

Bindirme Göndermeyi Yapılandırma

Tuzak üretimini ayarlamak için kullanacağınız iki yerleşik araç vardır.

evntwin : Olay Günlüğü iletilerinin SNMP tuzaklarına eşleştirilmesi oluşturun evntcmd : Evntwin tarafından oluşturulan eşlemeleri yükleyerek tuzakların oluşturulmasını sağlayın

Bir komut isteminden evntwin komutunu çalıştırın: bu bir GUI oluşturur. Yapılandırma türü altında "Özel" i ve ardından "Düzenle" yi seçin. Şimdi tüm olası olay kaynaklarının bir listesini göreceksiniz. İlgilendiğiniz kaynağın altında, tuzak oluşturmak istediğiniz belirli olay kimliğini seçin. Ardından, "Ekle" yi tıklayın.

Şimdi, tuzağın gerçek OID'sini, belirli bir kimliği ve tuzak gönderilmeden önce olay oluşumlarının zamana dayalı eşiklerini ayarlama seçeneğini göreceksiniz.

Önem verdiğiniz her tuzak / etkinlik kombinasyonu için bir eşleme oluşturana kadar tekrarlayın. Ardından, "Uygula" yı tıklayın, tüm eşlemeleri vurgulayın ve sonra "Dışa aktar ..." Dosyayı kaydedin ve uygulamadan çıkın.

Şimdi, komut satırından, yeni oluşturduğunuz dosyanın adını belirterek evntcmd komutunu çalıştırın:

evntcmd myeventfile.cnf

Bu noktadan sonra, belirttiğiniz olaylar SNMP hizmet ayarlarınızda yapılandırdığınız tüm tuzak alıcı hedeflerine gönderilecek SNMP tuzakları oluşturur. Bunları normal SNMP tuzağında yaptığınız gibi işleyin.

Bildirimleri olan Event Sentry'yi kullanabilirsiniz :

Gerçek Zamanlı Olay Günlüğü izleme, EventSentry'nin temel özelliğidir ve tüm standart (Uygulama, Güvenlik, Sistem, DNS Sunucusu, Dosya Çoğaltma Hizmeti, Dizin Hizmeti) ve özel olay günlüklerini izlemenizi sağlar. Olay Günlüğü girdileri, çeşitli acil bildirimlere (örn. E-posta, çağrı cihazı, SNMP vb.) Veya konsolidasyon için tasarlanmış bildirimlere (örn. Veritabanı, dosyalar vb.) İletilebilir.

Zamanınız varsa ve komut dosyasına aşina iseniz , SysInternal'ın PsLogList'i gibi mevcut kodu ve araçları , Microsoft'un ScriptCenter, LogParser ve Blat veya bmail gibi ücretsiz bir SMTP komut satırı aracını olay günlüğünü izlemek için bir komut dosyası kullanarak bir DIY çözümü oluşturabilirsiniz .

http://www.blat.net/

2008, Vista, XP ve 2003 için Windows uzak olay günlüğü abonelik hizmetini kullanabilirsiniz. Bu Vista ve 2008'in yerel bir işlevidir. 2003 ve XP'ler için belirli hizmet paketlerine ihtiyacınız vardır. Windows, syslog'lara çok benzer ancak daha güvenli bir şekilde uzak sistemlerden olay günlükleri toplamak için RMI kullanır. Tüm sunucuları olayları tek bir 2K8, Vista veya 2003 sunucusuna iletmek için de grup ilkesini kullanabilirsiniz. Ayrıca olay görüntüleyicisinde bildirimleri / uyarıları ayarlayabilirsiniz.

Komut dosyalarından hoşlanıyorsanız, olay günlüğüne yeni olaylar eklendiğinde bildirim alabilen bir WMI olay havuzu yazabilirsiniz. Hizmet olarak böyle bir komut dosyasının VBScript sürümünü çalıştırdım ve olayları aldıktan sonra "ilginç" (bir yapılandırma dosyasından bir regexp maç yoluyla), SMTP e-posta oluşturur. Oldukça önemsiz bir senaryo, ama yazdığım müşteriye "ait" olduğu için gönderemiyorum.

Belki olay tetikleyicileri size yardımcı olabilir ( http://technet.microsoft.com/en-us/library/cc773308(WS.10).aspx ). Eventquery.vbs dosyasını da arayın.

Bence eTrap , Windows olaylarını izlemek için mükemmel bir çözüm formu.