15 votos

¿Cómo puedo pasivamente supervisar el Registro de Eventos de Windows?

¿Cómo puedo supervisar el Registro de Eventos de Windows de forma remota tales que voy a ser informado de forma automática cuando se producen determinados eventos?

Hay un montón de vigilancia activa de soluciones, pero que requieren de atención humana o sondeo constante. Necesito un pasivo solución que simplemente generará una notificación cuando se produce un evento determinado.

12voto

Rym Puntos 374

Windows Server ha construido en la trampa de SNMP generador para el Registro de Eventos de Windows/Espectador, que se puede enviar capturas de la ocurrencia de acontecimientos arbitrarios.

Trampa de la Forma (OID)

Estas trampas se ajustan a los de Microsoft la empresa privada MIB rama en la siguiente forma:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n...

Cada "n" es un número decimal de codificación de un carácter ASCII octeto desde el Registro de Sucesos nombre de la fuente, y la X se designa el número de caracteres a seguir.

Así, por ejemplo, una trampa generado por la fuente de "Prefecto" (como se ve en el Visor de Sucesos) aparecerá como:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116

Windows 2000 Server no admite esto, y va a generar trampas de un formato ligeramente diferente, pero el procedimiento es por lo demás idéntico. Todas las versiones más recientes de soporte técnico de Windows server esta bien

La Configuración De La Trampa De Envío

Hay dos herramientas integradas que va a utilizar en la trampa de la generación.

evntwin: Crear la asignación de los mensajes del Registro de Eventos de SNMP evntcmd: Carga de asignación creado por evntwin por lo que se genera capturas

Ejecutar evntwin desde un símbolo del sistema: esto va a generar una interfaz gráfica de usuario. Seleccione "Custom" en virtud del tipo de Configuración, y luego en "Editar". Ahora verá una lista de todas las posibles fuentes de eventos. En virtud de la fuente en la que está interesado, seleccione el IDENTIFICADOR de suceso concreto en el que desea generar trampas. A continuación, haga clic en "Agregar".

Ahora, verá la OID de la trampa, el ID específico, y una opción para establecer un tiempo basado en el umbral de evento apariciones antes de que la trampa iba a ser enviado.

Repita hasta que haya creado una asignación para cada trampa/evento a la combinación que te importan. A continuación, haga clic en "Aplicar", destacan todas las asignaciones, y luego "Exportar..." Guarde el archivo y salga de la aplicación.

Ahora, de nuevo desde la línea de comandos, ejecute evntcmd, especificando el nombre del archivo que acaba de crear:

evntcmd myeventfile.cnf

Desde este punto en adelante, los eventos especificados va a generar traps SNMP, el cual será enviado a todos trampa receptor de los destinos que se ha configurado el servicio SNMP configuración. Proceso de como lo haría cualquier normal de la trampa de SNMP.

3voto

Bob Puntos 34449

Usted podría utilizar Evento Centinela que ha notificaciones:

En tiempo Real Registro de Sucesos de la supervisión es el característica fundamental de los EventSentry y permite supervisar todos los estándares de (Aplicación, Seguridad, Sistema de DNS Servidor, El Servicio De Replicación De Archivos, Servicio de directorio) y eventos personalizados de los registros. Entradas del Registro de eventos puede ser reenviado a una variedad de inmediato notificaciones (por ejemplo, correo electrónico, buscapersonas, SNMP etc.) o notificaciones diseñado para consolidación (por ejemplo, base de datos, archivos, etc.).


Si usted tiene el tiempo y están familiarizados con las secuencias de comandos, usted podría construir una solución de BRICOLAJE, utilizando el código existente y las herramientas como SysInternal del PsLogList, una secuencia de comandos para supervisar el registro de sucesos de Microsoft ScriptCenter, LogParser y una conexión SMTP de la línea de comandos de la herramienta como Blat o bmail.

http://www.blat.net/

1voto

msvcyc Puntos 113

Para 2008, Vista, XP y 2003 se podría usar el remoto de Windows registro de sucesos del servicio de suscripción. Esta es una función nativa de Vista y 2008. Para el 2003 y el XPs se necesitan paquetes de servicio. Windows uso de RMI para recolectar los registros de eventos de sistemas remotos es muy similar a la del sistema, pero en un lugar más seguro de la moda. También puede utilizar directiva de grupo para que todos los servidores reenviar los eventos de una sola 2K8,Vista o 2003 server. También puede configurar notificaciones/alertas en el visor de sucesos.

0voto

Evan Anderson Puntos 118832

Si usted disfruta de secuencias de comandos, usted puede escribir una WMI receptor de eventos que puede recibir notificaciones de nuevos eventos se anexan en el registro de eventos. Me he encontrado un VBScript versión de este script como un servicio, y al recibir eventos a los que considera "interesante" (por medio de un regexp partido desde un archivo de configuración), se genera de correo electrónico SMTP. Es bastante trivial de secuencia de comandos, pero no puedo publicarlo, ya que "pertenece" al Cliente lo escribí.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: