Come posso monitorare passivamente il registro eventi di Windows?

Come posso monitorare il registro eventi di Windows da remoto in modo da essere informato automaticamente quando si verificano determinati eventi?

Esistono molte soluzioni di monitoraggio attivo, ma richiedono attenzione umana o sondaggi costanti. Ho bisogno di una soluzione passiva che genererà semplicemente una notifica quando si verifica un evento particolare.

Windows Server ha un generatore di trap SNMP integrato per il registro / visualizzatore eventi di Windows, che può inviare trap al verificarsi di eventi arbitrari.

Modulo trap (OID)

Queste trappole saranno conformi alla filiale MIB dell'impresa privata Microsoft nel seguente formato:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n... 

Ogni "n" è una codifica decimale di un ottetto di caratteri ASCII dal nome della sorgente del registro eventi e la X indica il numero di caratteri da seguire.

Quindi, ad esempio, una trap generata dall'origine "Prefect" (come si vede nel Visualizzatore eventi) apparirebbe come:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116 

Windows 2000 Server non lo supporta completamente e genererà trap di un formato leggermente diverso, ma la procedura è identica. Tutte le versioni più recenti del server Windows lo supportano correttamente

Configurazione dell'invio trap

Esistono due strumenti integrati che verranno utilizzati per impostare la generazione di trap.

evntwin : crea il mapping dei messaggi del registro eventi su trap SNMP evntcmd : carica il mapping creato da evntwin in modo da generare trap

Esegui evntwin da un prompt dei comandi: questo genererà una GUI. Seleziona "Personalizzato" in Tipo di configurazione, quindi "Modifica". Ora vedrai un elenco di tutte le possibili fonti di eventi. Sotto la fonte a cui sei interessato, seleziona l'ID evento particolare su cui desideri generare trap. Quindi, fai clic su "Aggiungi".

Ora vedrai l'OID effettivo della trap, l'ID specifico e un'opzione per impostare una soglia temporale di occorrenze di eventi prima che la trap venga inviata.

Ripetere l'operazione fino a quando non è stata creata una mappatura per ciascuna combinazione trap / evento a cui tieni. Quindi, fai clic su "Applica", evidenzia tutte le mappature, quindi "Esporta ..." Salva il file ed esci dall'applicazione.

Ora, sempre dalla riga di comando, esegui evntcmd, specificando il nome del file che hai appena creato:

evntcmd myeventfile.cnf

Da questo punto in poi, gli eventi specificati genereranno trap SNMP, che verranno inviati a tutte le destinazioni del ricevitore trap configurate nelle impostazioni del servizio SNMP. Elaborali come faresti con qualsiasi normale trap SNMP.

È possibile utilizzare Event Sentry con notifiche:

Il monitoraggio dei registri eventi in tempo reale è la caratteristica principale di EventSentry e consente di monitorare tutti i registri eventi standard (Applicazione, Sicurezza, Sistema, Server DNS, Servizio di replica file, Servizio directory). Le voci del registro eventi possono essere inoltrate a una varietà di notifiche immediate (ad esempio e-mail, cercapersone, SNMP ecc.) O notifiche progettate per il consolidamento (ad esempio database, file, ecc.).

Se hai tempo e hai familiarità con gli script, potresti costruire una soluzione fai-da-te, utilizzando il codice e gli strumenti esistenti come PsLogList di SysInternal , uno script per monitorare il registro eventi da Microsoft ScriptCenter, LogParser e uno strumento da riga di comando SMTP gratuito come Blat o bmail .

http://www.blat.net/

Per il 2008, Vista, XP e 2003 è possibile utilizzare il servizio di abbonamento al registro eventi remoto di Windows. Questa è una funzione nativa di Vista e del 2008. Per 2003 e XP sono necessari service pack specifici. Windows utilizza RMI per raccogliere registri eventi da sistemi remoti molto simili ai syslog ma in modo più sicuro. È inoltre possibile utilizzare i criteri di gruppo per fare in modo che tutti i server inoltrino gli eventi a un singolo server 2K8, Vista o 2003. Puoi anche impostare notifiche / avvisi nel Visualizzatore eventi.

Se ti piacciono gli script, puoi scrivere un sink di eventi WMI in grado di ricevere notifiche quando vengono aggiunti nuovi eventi al registro eventi. Ho eseguito una versione VBScript di tale script come servizio e, alla ricezione di eventi, considera "interessante" (mediante una corrispondenza regexp da un file di configurazione), genera e-mail SMTP. È uno script abbastanza banale, ma non posso pubblicarlo poiché "appartiene" al Cliente per cui l'ho scritto.

Forse gli attivatori di eventi possono aiutarti ( http://technet.microsoft.com/en-us/library/cc773308(WS.10).aspx ). Cerca anche eventquery.vbs.

Penso che eTrap sia la soluzione perfetta per il monitoraggio degli eventi di Windows.