Как я могу удаленно контролировать журнал событий Windows, чтобы получать автоматическое уведомление о наступлении определенных событий?
Существует множество решений для активного мониторинга, но они требуют внимания человека или постоянного опроса. Мне нужно пассивное решение, которое просто генерирует уведомление при наступлении определенного события.
Windows Server имеет встроенный генератор ловушек SNMP для журнала / средства просмотра событий Windows, который может отправлять ловушки при возникновении произвольных событий.
Эти ловушки будут соответствовать ветви MIB частного предприятия Microsoft в следующей форме:
1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n...
Каждый «n» представляет собой десятичную кодировку октета символа ASCII из имени источника журнала событий, а X обозначает количество следующих символов.
Так, например, ловушка, созданная источником «Префект» (как видно в средстве просмотра событий), будет выглядеть так:
1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116
Windows 2000 Server не поддерживает это полностью и будет генерировать ловушки немного другого формата, но в остальном процедура идентична. Все новые версии Windows Server поддерживают это должным образом.
Есть два встроенных инструмента, которые вы будете использовать для настройки генерации ловушек.
Evntwin: Создание сопоставления сообщений журнала событий с ловушками SNMP evntcmd: Загрузить отображение, созданное evntwin, чтобы сгенерировать ловушки
Запустите evntwin из командной строки: откроется графический интерфейс. Выберите «Пользовательский» в разделе «Тип конфигурации», а затем «Изменить». Теперь вы увидите список всех возможных источников событий. Под интересующим вас источником выберите конкретный идентификатор события, для которого вы хотите создавать ловушки. Затем нажмите «Добавить».
Теперь вы увидите фактический OID ловушки, конкретный идентификатор и возможность установить пороговое значение возникновения событий, основанное на времени, прежде чем ловушка будет отправлена.
Повторяйте, пока не создадите сопоставление для каждой конкретной комбинации ловушка / событие, которая вас интересует. Затем нажмите «Применить», выделите все сопоставления, а затем «Экспорт ...». Сохраните файл и выйдите из приложения.
Теперь снова из командной строки запустите evntcmd, указав имя только что созданного файла:
evntcmd myeventfile.cnf
С этого момента указанные вами события будут генерировать ловушки SNMP, которые будут отправляться всем получателям ловушек, которые вы настроили в настройках службы SNMP. Обрабатывайте их, как обычные ловушки SNMP.
Вы могли бы использовать Страж событий который имеет уведомления:
Мониторинг журнала событий в режиме реального времени является основной функцией EventSentry и позволяет отслеживать все стандартные (приложения, безопасность, систему, DNS-сервер, службу репликации файлов, службу каталогов) и настраиваемые журналы событий. Записи журнала событий могут быть перенаправлены на различные немедленные уведомления (например, электронная почта, пейджер, SNMP и т. Д.) Или уведомления, предназначенные для консолидации (например, база данных, файлы и т. Д.).
Если у вас есть время и вы знакомы со сценариями, вы можете создать самостоятельное решение, используя существующий код и инструменты, такие как SysInternal. PsLogList, а скрипт для мониторинга журнала событий из Microsoft ScriptCenter, LogParser и бесплатный инструмент командной строки SMTP, например Блат или bmail.
Для 2008, Vista, XP и 2003 вы можете использовать службу подписки на удаленный журнал событий Windows. Это встроенная функция Vista и 2008. Для 2003 и XP вам потребуются специальные пакеты обновления. Windows использует RMI для сбора журналов событий из удаленных систем, очень похожих на системные журналы, но более безопасным образом. Вы также можете использовать групповую политику, чтобы все серверы пересылали события на один сервер 2K8, Vista или 2003. Вы также можете настроить уведомления / предупреждения в средстве просмотра событий.
Если вам нравится писать сценарии, вы можете написать приемник событий WMI, который может получать уведомления, когда новые события добавляются в журнал событий. Я запустил VBScript-версию такого сценария в качестве службы, и после получения событий, которые он считает «интересными» (путем совпадения регулярного выражения из файла конфигурации), он генерирует электронную почту SMTP. Это довольно тривиальный сценарий, но я не могу опубликовать его, поскольку он «принадлежит» Заказчику, для которого я его написал.
Возможно, вам помогут eventtrigger (http://technet.microsoft.com/en-us/library/cc773308(WS.10).aspx). Также ищите eventquery.vbs.
думаю eTrap это идеальное решение для мониторинга событий Windows.