Wie kann ich das Windows-Ereignisprotokoll passiv überwachen?

15

Wie kann ich das Windows-Ereignisprotokoll remote überwachen, sodass ich automatisch benachrichtigt werde, wenn bestimmte Ereignisse auftreten?

Es gibt viele aktive Überwachungslösungen, aber sie erfordern menschliche Aufmerksamkeit oder ständiges Abfragen. Ich benötige eine passive Lösung, die einfach eine Benachrichtigung generiert, wenn ein bestimmtes Ereignis eintritt.

windows  monitoring  windows-event-log  snmp 
Rym
quelle
Windows sollte dies von Haus aus können, sodass kostenpflichtige Lösungen oder unfreie Addons nicht in Frage kommen.
Rym
Die Lösung sollte einen SNMP-Trap generieren, da SNMP das Standard- und am häufigsten eingesetzte Überwachungsprotokoll ist.
Rym

Antworten:

12

Windows Server verfügt über einen integrierten SNMP-Trap-Generator für das Windows-Ereignisprotokoll / die Windows-Ereignisanzeige, mit dem Traps beim Auftreten beliebiger Ereignisse gesendet werden können.

Überfüllungsformular (OID)

Diese Traps entsprechen der Microsoft Private Enterprise MIB-Verzweigung in der folgenden Form:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n...

Jedes "n" ist eine Dezimalcodierung eines ASCII-Zeichen-Oktetts aus dem Ereignisprotokoll-Quellennamen, und das X gibt die Anzahl der folgenden Zeichen an.

So würde beispielsweise eine von der Quelle "Prefect" (in der Ereignisanzeige) erzeugte Trap wie folgt aussehen:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116

Windows 2000 Server unterstützt dies nicht vollständig und generiert Traps mit einem etwas anderen Format, die Vorgehensweise ist jedoch ansonsten identisch. Alle neueren Versionen von Windows Server unterstützen dies ordnungsgemäß

Konfigurieren des Trap-Sendens

Es gibt zwei integrierte Tools, mit denen Sie die Trap-Generierung einrichten können.

evntwin : Erstellen einer Zuordnung von Ereignisprotokollnachrichten zu SNMP-Traps. evntcmd : Laden Sie die von evntwin erstellte Zuordnung, damit Traps generiert werden

Führen Sie evntwin an einer Eingabeaufforderung aus: Dadurch wird eine GUI erstellt. Wählen Sie "Benutzerdefiniert" unter Konfigurationstyp und dann "Bearbeiten". Sie sehen nun eine Liste aller möglichen Ereignisquellen. Wählen Sie unter der Quelle, an der Sie interessiert sind, die jeweilige Ereignis-ID aus, für die Sie Traps generieren möchten. Klicken Sie anschließend auf "Hinzufügen".

Jetzt sehen Sie die tatsächliche OID des Traps, die spezifische ID und eine Option zum Festlegen eines zeitbasierten Schwellenwerts für das Auftreten von Ereignissen, bevor der Trap gesendet wird.

Wiederholen Sie diesen Vorgang, bis Sie eine Zuordnung für jede bestimmte Trap / Event-Kombination erstellt haben, die Sie interessiert. Klicken Sie anschließend auf "Übernehmen", markieren Sie alle Zuordnungen und klicken Sie dann auf "Exportieren ...". Speichern Sie die Datei und beenden Sie die Anwendung.

Führen Sie nun erneut über die Befehlszeile den Befehl evntcmd aus und geben Sie den Namen der soeben erstellten Datei an:

evntcmd myeventfile.cnf

Ab diesem Zeitpunkt werden durch die von Ihnen angegebenen Ereignisse SNMP-Traps generiert, die an alle Trap-Empfängerziele gesendet werden, die Sie in Ihren SNMP-Diensteinstellungen konfiguriert haben. Verarbeiten Sie sie wie normale SNMP-Traps.

Rym
quelle
3

Sie können Event Sentry mit folgenden Benachrichtigungen verwenden:

Die Ereignisprotokollüberwachung in Echtzeit ist die Kernfunktion von EventSentry und ermöglicht die Überwachung aller Standard- (Anwendung, Sicherheit, System, DNS-Server, Dateireplikationsdienst, Verzeichnisdienst) und benutzerdefinierten Ereignisprotokolle. Ereignisprotokolleinträge können an verschiedene sofortige Benachrichtigungen (z. B. E-Mail, Pager, SNMP usw.) oder für die Konsolidierung bestimmte Benachrichtigungen (z. B. Datenbank, Dateien usw.) weitergeleitet werden.

Wenn Sie Zeit haben und mit Skripten vertraut sind, können Sie eine DIY-Lösung erstellen, indem Sie vorhandenen Code und Tools wie SysInternals PsLogList , ein Skript zum Überwachen des Ereignisprotokolls von Microsoft ScriptCenter, LogParser und ein kostenloses SMTP- Befehlszeilentool wie Blat oder bmail verwenden .

http://www.blat.net/

splattne
quelle
1

Für 2008, Vista, XP und 2003 können Sie den Windows-Abonnementdienst für Remote-Ereignisprotokolle verwenden. Dies ist eine native Funktion von Vista und 2008. Für 2003 und XP benötigen Sie bestimmte Service Packs. Windows verwendet RMI, um Ereignisprotokolle von Remotesystemen zu erfassen, die den Syslogs sehr ähnlich sind, jedoch sicherer. Sie können auch Gruppenrichtlinien verwenden, damit alle Server Ereignisse an einen einzelnen 2K8-, Vista- oder 2003-Server weiterleiten. Sie können Benachrichtigungen / Warnungen auch in der Ereignisanzeige einrichten.

msvcyc
quelle
0

Wenn Sie gerne Skripte erstellen, können Sie eine WMI-Ereignissenke erstellen, die Benachrichtigungen erhält, wenn neue Ereignisse an das Ereignisprotokoll angehängt werden. Ich habe eine VBScript-Version eines solchen Skripts als Dienst ausgeführt und beim Empfang von Ereignissen, die es als "interessant" erachtet (durch einen regulären Ausdruck aus einer Konfigurationsdatei), werden SMTP-E-Mails generiert. Es ist ein ziemlich triviales Skript, aber ich kann es nicht posten, da es dem Kunden "gehört", für den ich es geschrieben habe.

Evan Anderson
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.