ฉันจะตรวจสอบบันทึกเหตุการณ์ของ Windows อย่างอดทนได้อย่างไร

ฉันจะตรวจสอบบันทึกเหตุการณ์ของ Windows จากระยะไกลเช่นที่ฉันจะได้รับแจ้งโดยอัตโนมัติเมื่อมีเหตุการณ์บางอย่างเกิดขึ้นได้อย่างไร

มีโซลูชันการตรวจสอบที่ใช้งานอยู่มากมาย แต่พวกเขาต้องการความสนใจของมนุษย์หรือการสำรวจอย่างต่อเนื่อง ฉันต้องการโซลูชันแบบพาสซีฟที่จะสร้างการแจ้งเตือนเมื่อมีเหตุการณ์เกิดขึ้น

Windows Server มีตัวกำเนิด SNMP trap ที่สร้างขึ้นสำหรับ Windows Event Log / Viewer ซึ่งสามารถส่งกับดักในการเกิดเหตุการณ์ตามอำเภอใจ

แบบฟอร์มกับดัก (OID)

กับดักเหล่านี้จะเป็นไปตามสาขา MIB องค์กรเอกชนของ Microsoft ในรูปแบบต่อไปนี้:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n... 

แต่ละ "n" คือการเข้ารหัสทศนิยมของ octet อักขระ ASCII จากชื่อแหล่งบันทึกเหตุการณ์และ X กำหนดจำนวนอักขระที่จะติดตาม

ตัวอย่างเช่นกับดักที่สร้างขึ้นโดยแหล่ง "นายอำเภอ" (ตามที่เห็นใน Event Viewer) จะปรากฏเป็น:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116 

Windows 2000 Server ไม่รองรับสิ่งนี้อย่างเต็มที่และจะสร้างกับดักของรูปแบบที่แตกต่างกันเล็กน้อย แต่ขั้นตอนนั้นไม่เหมือนกัน เซิร์ฟเวอร์ Windows เวอร์ชันใหม่ทั้งหมดสนับสนุนสิ่งนี้อย่างถูกต้อง

การกำหนดค่า Trap Sending

มีเครื่องมือในตัวสองตัวที่คุณจะใช้เพื่อตั้งค่าการสร้างกับดัก

evntwin : สร้างการแมปข้อความ Event Log กับ SNMP traps evntcmd : การแมปโหลดที่สร้างโดย evntwin เพื่อสร้าง traps

เรียกใช้ evntwin จากพรอมต์คำสั่ง: สิ่งนี้จะวางไข่ GUI เลือก "กำหนดเอง" ภายใต้ประเภทการกำหนดค่าแล้วเลือก "แก้ไข" ตอนนี้คุณจะเห็นรายการแหล่งที่มาของเหตุการณ์ที่เป็นไปได้ทั้งหมด ใต้แหล่งที่คุณสนใจเลือกรหัสเหตุการณ์เฉพาะที่คุณต้องการสร้างกับดัก จากนั้นคลิก "เพิ่ม"

ตอนนี้คุณจะเห็น OID ที่แท้จริงของกับดัก ID ที่เฉพาะเจาะจงและตัวเลือกในการตั้งค่าขีด จำกัด เวลาตามเหตุการณ์ที่เกิดขึ้นก่อนที่จะส่งกับดัก

ทำซ้ำจนกว่าคุณจะสร้างการแมปสำหรับชุดค่าผสมกับดัก / เหตุการณ์เฉพาะที่คุณสนใจ จากนั้นคลิก "นำไปใช้" เน้นการแมปทั้งหมดแล้ว "ส่งออก ... " บันทึกไฟล์และออกจากแอปพลิเคชัน

ตอนนี้อีกครั้งจากบรรทัดคำสั่งเรียกใช้ evntcmd ระบุชื่อของไฟล์ที่คุณเพิ่งสร้าง:

evntcmd myeventfile.cnf

จากจุดนี้ไปข้างหน้าเหตุการณ์ที่คุณระบุจะสร้างกับดัก SNMP ซึ่งจะถูกส่งไปยังปลายทางทั้งหมดของตัวรับสัญญาณดักจับที่คุณกำหนดค่าไว้ในการตั้งค่าบริการ SNMP ของคุณ ดำเนินการตามที่คุณต้องการกับกับดัก SNMP ปกติ

คุณสามารถใช้Event Sentryซึ่งมีการแจ้งเตือน:

การตรวจสอบบันทึกเหตุการณ์แบบเรียลไทม์เป็นคุณสมบัติหลักของ EventSentry และช่วยให้คุณสามารถตรวจสอบมาตรฐานทั้งหมด (แอปพลิเคชัน, ความปลอดภัย, ระบบ, เซิร์ฟเวอร์ DNS, บริการการจำลองไฟล์, บริการไดเรกทอรี) และบันทึกเหตุการณ์ที่กำหนดเอง รายการบันทึกเหตุการณ์สามารถส่งต่อไปยังการแจ้งเตือนทันทีที่หลากหลาย (เช่นอีเมล, เพจเจอร์, SNMP เป็นต้น) หรือการแจ้งเตือนที่ออกแบบมาสำหรับการรวม (เช่นฐานข้อมูล, ไฟล์, ฯลฯ )

หากคุณมีเวลาและคุ้นเคยกับการเขียนสคริปต์คุณสามารถสร้างโซลูชัน DIY โดยใช้รหัสและเครื่องมือที่มีอยู่เช่นPsLogListของ SysInternal ซึ่งเป็นสคริปต์ในการตรวจสอบบันทึกเหตุการณ์จากศูนย์รวมของ Microsoft LogParserและเครื่องมือฟรี SMTP commandline เช่นBlatหรือbmail

http://www.blat.net/

สำหรับปี 2008, Vista, XP และ 2003 คุณสามารถใช้บริการสมัครสมาชิกบันทึกเหตุการณ์ระยะไกลของ Windows นี่เป็นฟังก์ชั่นดั้งเดิมของ Vista และ 2008 สำหรับปี 2003 และ XP คุณต้องมี Service Pack เฉพาะ Windows ใช้ RMI เพื่อรวบรวมบันทึกเหตุการณ์จากระบบระยะไกลคล้ายกับ syslogs แต่มีความปลอดภัยมากกว่า คุณสามารถใช้นโยบายกลุ่มเพื่อให้เซิร์ฟเวอร์ทั้งหมดส่งต่อเหตุการณ์ไปยังเซิร์ฟเวอร์ 2K8, Vista หรือ 2003 เดียว นอกจากนี้คุณยังสามารถตั้งค่าการแจ้งเตือน / การเตือนภายในตัวแสดงเหตุการณ์

หากคุณสนุกกับการเขียนสคริปต์คุณสามารถเขียน sink เหตุการณ์ WMI ที่สามารถรับการแจ้งเตือนเมื่อมีการเพิ่มเหตุการณ์ใหม่ต่อท้ายบันทึกเหตุการณ์ ฉันใช้งานสคริปต์เวอร์ชัน VBScript เป็นบริการและเมื่อได้รับเหตุการณ์ก็ถือว่า "น่าสนใจ" (โดยการจับคู่ regexp จากไฟล์กำหนดค่า) จะสร้างอีเมล SMTP มันเป็นสคริปต์ที่ค่อนข้างน่าสนใจ แต่ฉันไม่สามารถโพสต์ได้เนื่องจากเป็น "ของ" ต่อลูกค้าที่ฉันเขียนไว้

บางที Eventtriggers สามารถช่วยคุณได้ ( http://technet.microsoft.com/en-us/library/cc773308(WS.10).aspx ) มองหา eventquery.vbs เช่นกัน

ฉันคิดว่าeTrapเป็นโซลูชันที่สมบูรณ์แบบในการตรวจสอบเหตุการณ์ของ Windows