Comment surveiller passivement le journal des événements Windows?

15

Comment puis-je surveiller le journal des événements Windows à distance afin d'être automatiquement informé lorsque certains événements se produisent?

Il existe de nombreuses solutions de surveillance active, mais elles nécessitent une attention humaine ou une interrogation constante. J'ai besoin d'une solution passive qui génère simplement une notification lorsqu'un événement particulier se produit.

Rym
la source
Windows devrait pouvoir le faire de manière native, il est donc hors de question de proposer des solutions payantes ou des extensions non gratuites.
Rym
La solution doit générer une interruption SNMP, car SNMP est le protocole de surveillance standard et le plus universellement déployé.
Rym

Réponses:

12

Windows Server dispose d'un générateur d'interruptions SNMP intégré pour le journal des événements / visionneuse Windows, qui peut envoyer des interruptions en cas d'événements arbitraires.

Formulaire d'interruption (OID)

Ces interruptions seront conformes à la branche MIB de l'entreprise privée Microsoft sous la forme suivante:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n... 

Chaque "n" est un codage décimal d'un octet de caractères ASCII à partir du nom de la source du journal des événements, et le X désigne le nombre de caractères à suivre.

Ainsi, par exemple, un piège généré par la source "Préfet" (comme vu dans l'Observateur d'événements) apparaîtrait comme:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116 

Windows 2000 Server ne prend pas totalement en charge cela et générera des interruptions d'un format légèrement différent, mais la procédure est par ailleurs identique. Toutes les versions plus récentes du serveur Windows le prennent correctement en charge

Configuration de l'envoi des interruptions

Il existe deux outils intégrés que vous utiliserez pour configurer la génération d'interruptions.

evntwin : créer un mappage des messages du journal des événements avec les interruptions SNMP evntcmd : charger le mappage créé par evntwin afin que les interruptions soient générées

Exécutez evntwin à partir d'une invite de commande: cela générera une interface graphique. Sélectionnez "Personnalisé" sous Type de configuration, puis "Modifier". Vous verrez maintenant une liste de toutes les sources d'événements possibles. Sous la source qui vous intéresse, sélectionnez l'ID d'événement particulier sur lequel vous souhaitez générer des interruptions. Ensuite, cliquez sur "Ajouter".

Maintenant, vous verrez l'OID réel de l'interruption, l'ID spécifique et une option pour définir un seuil temporel d'occurrences d'événements avant l'envoi de l'interruption.

Répétez jusqu'à ce que vous ayez créé un mappage pour chaque combinaison piège / événement particulière qui vous intéresse. Ensuite, cliquez sur "Appliquer", mettez en surbrillance tous les mappages, puis "Exporter ..." Enregistrez le fichier et quittez l'application.

Maintenant, toujours à partir de la ligne de commande, exécutez evntcmd, en spécifiant le nom du fichier que vous venez de créer:

evntcmd myeventfile.cnf

À partir de ce moment, les événements que vous avez spécifiés généreront des interruptions SNMP, qui seront envoyées à toutes les destinations de récepteur d'interruptions que vous avez configurées dans vos paramètres de service SNMP. Traitez-les comme vous le feriez pour tout piège SNMP normal.

Rym
la source
3

Vous pouvez utiliser Event Sentry qui a des notifications:

La surveillance du journal des événements en temps réel est la fonctionnalité principale d'EventSentry et vous permet de surveiller tous les journaux d'événements standard (application, sécurité, système, serveur DNS, service de réplication de fichiers, service d'annuaire) et personnalisés. Les entrées du journal des événements peuvent être transférées vers une variété de notifications immédiates (par exemple, e-mail, pager, SNMP, etc.) ou des notifications conçues pour la consolidation (par exemple, base de données, fichiers, etc.).


Si vous avez le temps et que vous connaissez les scripts, vous pouvez créer une solution de bricolage, en utilisant du code et des outils existants comme PsLogList de SysInternal , un script pour surveiller le journal des événements à partir de ScriptCenter de Microsoft, LogParser et un outil de ligne de commande SMTP gratuit comme Blat ou bmail .

http://www.blat.net/

splattne
la source
1

Pour 2008, Vista, XP et 2003, vous pouvez utiliser le service d'abonnement au journal des événements distant Windows. Il s'agit d'une fonction native de Vista et 2008. Pour 2003 et XP, vous avez besoin de service packs spécifiques. Windows utilise RMI pour collecter les journaux des événements à partir de systèmes distants très similaires aux journaux syslog mais de manière plus sécurisée. Vous pouvez également utiliser la stratégie de groupe pour que tous les serveurs transfèrent les événements vers un seul serveur 2K8, Vista ou 2003. Vous pouvez également configurer des notifications / alertes dans l'Observateur d'événements.

msvcyc
la source
0

Si vous aimez les scripts, vous pouvez écrire un récepteur d'événements WMI qui peut recevoir des notifications lorsque de nouveaux événements sont ajoutés au journal des événements. J'ai exécuté une version VBScript d'un tel script en tant que service, et lors de la réception d'événements qu'il considère "intéressants" (au moyen d'une correspondance d'expression régulière à partir d'un fichier de configuration), il génère un courrier électronique SMTP. C'est un script assez banal, mais je ne peux pas le poster car il "appartient" au client pour lequel je l'ai écrit.

Evan Anderson
la source
0

Je pense que eTrap est la solution parfaite pour surveiller les événements Windows.

zdanhauser
la source