Como faço para monitorar passivamente o log de eventos do Windows?

Question

Como faço para monitorar passivamente o log de eventos do Windows?

#1 resposta do (12 votos)
#2 resposta do (3 votos)
#3 resposta do (1 votos)
#4 resposta do (0 votos)
#5 resposta do (0 votos)
#6 resposta do (0 votos)

15

Como posso monitorar o log de eventos do Windows remotamente, de modo que serei informado automaticamente quando determinados eventos ocorrerem?

Existem muitas soluções de monitoramento ativo, mas elas exigem atenção humana ou pesquisa constante. Eu preciso de uma solução passiva que simplesmente gere uma notificação quando um determinado evento ocorre.

windows monitoring snmp windows-event-log

por Rym 09.06.2009 / 13:08

6 respostas

3

Você pode usar Sentinela do evento que tem notificações:

Real-time Event Log monitoring is the core feature of EventSentry and allows you to monitor all standard (Application, Security, System, DNS Server, File Replication Service, Directory Service) and custom event logs. Event Log entries can be forwarded to a variety of immediate notifications (e.g. email, pager, SNMP etc.) or notifications designed for consolidation (e.g. database, files, etc.).

Se você tiver tempo e estiver familiarizado com o script, poderá criar uma solução de bricolage, usando o código e as ferramentas existentes, como o PsLogList , um script para monitorar o log de eventos do ScriptCenter da Microsoft, LogParser e uma ferramenta de linha de comando de SMTP gratuita, como Blat ou bmail .

link

por 09.06.2009 / 13:22

1

Para 2008, Vista, XP e 2003, você pode usar o serviço de assinatura de log de eventos remotos do Windows. Esta é uma função nativa do Vista e 2008. Para 2003 e XP, você precisa de service packs específicos. O Windows usa o RMI para coletar logs de eventos de sistemas remotos muito semelhantes aos syslogs, mas de uma maneira mais segura. Você também pode usar a diretiva de grupo para fazer todos os servidores encaminharem eventos para um único servidor 2K8, Vista ou 2003. Você também pode configurar notificações / alertas no visualizador de eventos.

por 09.06.2009 / 21:03

0

Se você gosta de scripts, pode gravar um coletor de eventos do WMI que possa receber notificações quando novos eventos forem anexados ao log de eventos. Eu executei uma versão VBScript de tal script como um serviço, e ao receber eventos que considera "interessante" (por meio de uma correspondência de expressão regular a partir de um arquivo de configuração), ele gera um email SMTP. É um roteiro bastante trivial, mas não posso postar porque "pertence" ao cliente para o qual o escrevi.

por 09.06.2009 / 13:46

0

Talvez os eventtriggers possam ajudar você ( link ). Procure por eventquery.vbs também.

por 09.06.2009 / 14:36

0

Eu acho que eTrap é o formulário de solução perfeita para monitorar eventos do Windows .

por 02.04.2017 / 19:56

Tags windows monitoring snmp windows-event-log

Verifique a impressão digital da chave ECDSA enviada pelo host remoto [closed] Compactação HTTP no IIS 6.0 (Windows Server 2003)

score 12 · Accepted Answer

O Windows Server foi construído em um gerador de interceptação SNMP para o Log / Visualizador de Eventos do Windows, que pode enviar interceptações na ocorrência de eventos arbitrários.

Formulário de armadilha (OID)

Essas armadilhas estarão em conformidade com a ramificação MIB da empresa privada da Microsoft no seguinte formato:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n...

Cada "n" é uma codificação decimal de um octeto de caracteres ASCII do nome da fonte do Log de Eventos, e o X designa o número de caracteres a serem seguidos.

Assim, por exemplo, uma armadilha gerada pela fonte "Prefeito" (como visto no Visualizador de Eventos) apareceria como:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116

O Windows 2000 Server não suporta isso completamente, e irá gerar traps de um formato ligeiramente diferente, mas o procedimento é idêntico. Todas as versões mais recentes do servidor Windows suportam isso corretamente

Configurando o envio de interceptações

Existem duas ferramentas internas que você usará para configurar a geração de trapping.

evntwin : cria um mapeamento de mensagens do log de eventos para traps SNMP evntcmd : Carrega o mapeamento criado pelo evntwin para que os traps sejam gerados

Execute o evntwin em um prompt de comando: isso gerará uma GUI. Selecione "Personalizado" em Tipo de configuração e, em seguida, "Editar". Você verá agora uma lista de todas as fontes de eventos possíveis. Sob a fonte em que você está interessado, selecione o ID do evento em particular no qual você deseja gerar traps. Em seguida, clique em "Adicionar".

Agora, você verá o OID real da interceptação, a ID específica e uma opção para definir um limite baseado em tempo de ocorrências de eventos antes que a interceptação seja enviada.

Repita até criar um mapeamento para cada combinação de armadilha / evento em particular com a qual você se importa. Em seguida, clique em "Aplicar", realce todos os mapeamentos e, em seguida, "Exportar ..." Salve o arquivo e saia do aplicativo.

Agora, novamente a partir da linha de comando, execute evntcmd, especificando o nome do arquivo que você acabou de criar:

evntcmd myeventfile.cnf

Deste ponto em diante, os eventos que você especificou irão gerar traps SNMP, que serão enviados a todos os destinos receptores de traps que você configurou nas configurações do serviço SNMP. Processe-os como faria com qualquer armadilha SNMP normal.