Bagaimana cara saya memonitor Windows Event Log secara pasif?

Bagaimana saya bisa memonitor Windows Event Log dari jarak jauh sehingga saya akan diberitahu secara otomatis ketika peristiwa tertentu terjadi?

Ada banyak solusi pemantauan aktif, tetapi membutuhkan perhatian manusia atau pemungutan suara konstan. Saya membutuhkan solusi pasif yang hanya akan menghasilkan pemberitahuan ketika peristiwa tertentu terjadi.

Windows Server memiliki generator perangkap SNMP bawaan untuk Windows Event Log / Viewer, yang dapat mengirim jebakan pada kejadian peristiwa sewenang-wenang.

Formulir Perangkap (OID)

Perangkap ini akan sesuai dengan cabang MIB perusahaan swasta Microsoft dalam bentuk berikut:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n... 

Setiap "n" adalah pengkodean desimal dari karakter ASCII oktet dari nama sumber Log Kejadian, dan X menunjukkan jumlah karakter yang akan diikuti.

Jadi, misalnya, jebakan yang dihasilkan oleh sumber "Prefek" (seperti yang terlihat di Peraga Peristiwa) akan muncul sebagai:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116 

Windows 2000 Server tidak mendukung ini sepenuhnya, dan akan menghasilkan perangkap dari format yang sedikit berbeda, tetapi prosedurnya identik. Semua versi server Windows yang lebih baru mendukung ini dengan benar

Mengkonfigurasi Perangkap Mengirim

Ada dua alat bawaan yang akan Anda gunakan untuk mengatur generasi perangkap.

evntwin : Membuat pemetaan pesan Log Peristiwa ke perangkap SNMP evntcmd : Memuat pemetaan yang dibuat oleh evntwin sehingga perangkap dihasilkan

Jalankan evntwin dari prompt perintah: ini akan memunculkan GUI. Pilih "Kustom" di bawah Jenis konfigurasi, dan kemudian "Edit." Anda sekarang akan melihat daftar semua sumber acara yang mungkin. Di bawah sumber yang Anda minati, pilih ID peristiwa tertentu yang Anda inginkan untuk menghasilkan jebakan. Kemudian, klik "Tambah."

Sekarang, Anda akan melihat OID sebenarnya dari jebakan, ID spesifik, dan opsi untuk menetapkan batas waktu kejadian kejadian sebelum perangkap dikirim.

Ulangi sampai Anda telah membuat pemetaan untuk setiap kombinasi perangkap / peristiwa tertentu yang Anda pedulikan. Kemudian, klik "Terapkan," sorot semua pemetaan, dan kemudian "Ekspor ..." Simpan file, dan keluar dari aplikasi.

Sekarang, lagi dari baris perintah, jalankan evntcmd, tentukan nama file yang baru saja Anda buat:

evntcmd myeventfile.cnf

Dari titik ini ke depan, peristiwa yang Anda tentukan akan menghasilkan perangkap SNMP, yang akan dikirim ke semua tujuan penerima perangkap yang telah Anda konfigurasikan dalam pengaturan layanan SNMP Anda. Memprosesnya seperti yang Anda lakukan pada perangkap SNMP normal.

Anda dapat menggunakan Acara Sentry yang memiliki pemberitahuan:

Pemantauan Log Aktivitas waktu-nyata adalah fitur inti dari EventSentry dan memungkinkan Anda untuk memonitor semua standar (Aplikasi, Keamanan, Sistem, Server DNS, Layanan Replikasi File, Layanan Direktori) dan log peristiwa khusus. Entri Log Kejadian dapat diteruskan ke berbagai notifikasi langsung (mis. Email, pager, SNMP, dll.) Atau notifikasi yang dirancang untuk konsolidasi (mis. Database, file, dll.).

Jika Anda punya waktu dan terbiasa dengan scripting, Anda bisa membangun solusi DIY, menggunakan kode dan alat yang ada seperti SysInternal's PsLogList , skrip untuk memantau log peristiwa dari Microsoft ScriptCenter, LogParser dan alat baris perintah SMTP gratis seperti Blat atau bmail .

http://www.blat.net/

Untuk 2008, Vista, XP dan 2003 Anda bisa menggunakan layanan berlangganan log peristiwa jarak jauh Windows. Ini adalah fungsi asli dari Vista dan 2008. Untuk 2003 dan XP Anda memerlukan paket layanan khusus. Windows menggunakan RMI untuk mengumpulkan log peristiwa dari sistem jarak jauh yang mirip dengan syslog tetapi dengan cara yang lebih aman. Anda juga bisa menggunakan kebijakan grup untuk membuat semua server meneruskan acara ke server 2K8, Vista atau 2003. Anda juga dapat mengatur notifikasi / peringatan dalam penampil acara.

Jika Anda menikmati skrip, Anda dapat menulis acara WMI yang dapat menerima pemberitahuan saat acara baru ditambahkan ke log peristiwa. Saya sudah menjalankan versi VBScript dari skrip seperti layanan, dan setelah menerima acara yang dianggap "menarik" (dengan cara mencocokkan regexp dari file konfigurasi), itu menghasilkan email SMTP. Ini adalah skrip yang cukup sepele, tetapi saya tidak dapat mempostingnya karena "milik" Pelanggan tempat saya menulisnya.

Mungkin eventtriggers dapat membantu Anda ( http://technet.microsoft.com/en-us/library/cc773308(WS.10).aspx ). Cari eventquery.vbs juga.

Saya pikir eTrap adalah solusi sempurna untuk memonitor acara Windows.