Какие события в журнале событий нужно превратить в уведомления для серверов Windows?

Какие события я должен настроить, чтобы получать уведомления, чтобы:

получать уведомление, если обнаружено что-то, что необходимо исправить
получать уведомления, в частности, о различных проблемах с дисками и других проблемах с оборудованием
не спамить о неважных событиях

Как будет выглядеть типичный список таких событий?

На самом деле это довольно частый вопрос, и, к сожалению, такого списка нет. Сейчас есть некоторые списки (некоторые от поставщиков программного обеспечения, некоторые с веб-сайтов сообществ, групп пользователей и т. Д.), Но я бы использовал их только как отправную точку - если вообще.

IMHO, полагаться на фиксированный список событий немного опасно, если у вас нет полного контроля над программным обеспечением, генерирующим события (например, программным обеспечением, разработанным внутри компании). Без этого знания вы неизбежно пропустите важные события.

По моему опыту, почти невозможно предвидеть все критические события в сети и установить соответствующие правила по следующим причинам:

Поставщики программного обеспечения часто плохо документируют события или вообще не документируют их.
Даже когда события задокументированы, часто неясно, какие события являются критическими, а какие - нет (сама по себе серьезность часто не свидетельствует об этом).
События могут меняться от версии к версии, поэтому события из ABC Software v1 могут отличаться от событий из ABC Software v2. Таким образом, список событий, который был так тщательно создан для v1, может быть устаревшим для v2, и критическое событие, созданное в v2, будет проигнорировано.
Поставщики программного и аппаратного обеспечения часто используют один шаблон для событий и динамически вставляют фактическое содержимое событий (в отличие от правильного использования инфраструктуры регистрации событий Microsoft, что на самом деле неплохо), что делает невозможным предсказать, какие события регистрируются, если у вас нет доступа. к исходному коду.

Не существует стандартизованного способа получения списка событий, поэтому импорт / ввод множества событий будет очень кропотливый. Именно по этой причине мы решили по умолчанию включать все события предупреждений и ошибок в наше программное обеспечение для мониторинга событий / журналов. EventSentry, а затем попросите конечного пользователя исключить шум.

Мы также поставляем с изрядным количеством исключений по умолчанию (так что у нас есть «список»), чтобы максимально уменьшить шум и дать нашим пользователям фору. Такой подход требует немного больше работы, но гарантирует, что критические события никогда не будут пропущены. Если вы прилежны, настройку обычно можно выполнить за неделю, поскольку большинство предупреждений, которые можно игнорировать, появляются на регулярной основе. Этот подход достаточно хорошо работал у наших клиентов на протяжении многих лет.