Как пассивно контролировать журнал событий Windows?

Как я могу удаленно следить за журналом событий Windows, чтобы автоматически получать информацию о наступлении определенных событий?

Существует множество решений для активного мониторинга, но они требуют внимания человека или постоянного опроса. Мне нужно пассивное решение, которое будет просто генерировать уведомление, когда происходит конкретное событие.

Windows Server имеет встроенный генератор прерываний SNMP для журнала событий Windows / средства просмотра событий, которое может отправлять прерывания при возникновении произвольных событий.

Форма ловушки (OID)

Эти ловушки будут соответствовать филиалу MIB частного предприятия Microsoft в следующей форме:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n... 

Каждое «n» представляет собой десятичную кодировку октета символа ASCII из имени источника журнала событий, а X обозначает количество символов, которым следует следовать.

Так, например, ловушка, сгенерированная источником «Префект» (как видно в Event Viewer) будет выглядеть так:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116 

Windows 2000 Server не поддерживает это полностью и генерирует ловушки немного другого формата, но в остальном процедура идентична. Все новые версии сервера Windows поддерживают это должным образом

Настройка отправки ловушек

Есть два встроенных инструмента, которые вы будете использовать для настройки генерации ловушек.

evntwin : создание сопоставления сообщений журнала событий с ловушками SNMP evntcmd : загрузка сопоставления, созданного evntwin, для создания ловушек

Запустите evntwin из командной строки: это вызовет графический интерфейс. Выберите «Пользовательский» в разделе «Тип конфигурации», а затем «Изменить». Теперь вы увидите список всех возможных источников событий. Под источником, в котором вы заинтересованы, выберите конкретный идентификатор события, для которого вы хотите создать ловушки. Затем нажмите «Добавить».

Теперь вы увидите фактический OID ловушки, конкретный идентификатор и опцию, чтобы установить временной порог возникновения событий перед отправкой ловушки.

Повторяйте, пока не создадите отображение для каждой конкретной комбинации ловушек / событий, которая вас волнует. Затем нажмите «Применить», выделите все сопоставления, а затем «Экспорт ...» Сохраните файл и выйдите из приложения.

Теперь снова из командной строки запустите evntcmd, указав имя только что созданного файла:

evntcmd myeventfile.cnf

С этого момента указанные вами события будут генерировать прерывания SNMP, которые будут отправляться всем получателям прерываний, которые вы настроили в настройках службы SNMP. Обрабатывайте их так же, как обычную SNMP-ловушку.

Вы можете использовать Event Sentry, который имеет уведомления:

Мониторинг журнала событий в режиме реального времени является основной функцией EventSentry и позволяет вам отслеживать все стандартные (приложение, безопасность, система, DNS-сервер, служба репликации файлов, служба каталогов) и пользовательские журналы событий. Записи журнала событий могут быть перенаправлены на различные немедленные уведомления (например, по электронной почте, на пейджер, SNMP и т. Д.) Или уведомления, предназначенные для консолидации (например, база данных, файлы и т. Д.).

Если у вас есть время и знакомы с помощью сценариев, вы можете построить DIY решение, используя существующий код и инструменты , такие как SysInternal в PsLogList , скрипт для мониторинга журнала событий от компании Microsoft ScriptCenter, LogParser и бесплатный инструмент SMTP командной строки , как Блат или BMail .

http://www.blat.net/

В 2008, Vista, XP и 2003 вы могли использовать службу подписки на удаленные журналы событий Windows. Это встроенная функция Vista и 2008. Для 2003 и XP вам нужны специальные пакеты обновлений. Windows использует RMI для сбора журналов событий с удаленных систем, очень похожих на системные журналы, но более безопасным способом. Вы также можете использовать групповую политику, чтобы все серверы пересылали события на один сервер 2K8, Vista или 2003. Вы также можете настроить уведомления / оповещения в средстве просмотра событий.

Если вам нравится писать сценарии, вы можете написать приемник событий WMI, который будет получать уведомления, когда новые события добавляются в журнал событий. Я запустил VBScript-версию такого скрипта в качестве службы, и после получения событий он считает «интересным» (путем сопоставления регулярных выражений из файла конфигурации), он генерирует электронную почту SMTP. Это довольно тривиальный сценарий, но я не могу опубликовать его, поскольку он «принадлежит» Заказчику, для которого я написал его.

Возможно, триггеры событий могут вам помочь ( http://technet.microsoft.com/en-us/library/cc773308(WS.10).aspx ). Посмотрите также на eventquery.vbs.

Я думаю, что eTrap - это идеальное решение для мониторинга событий Windows.