Como monitoro passivamente o Log de Eventos do Windows?

15

Como posso monitorar remotamente o Log de Eventos do Windows para ser informado automaticamente quando certos eventos ocorrerem?

Existem muitas soluções de monitoramento ativas, mas elas exigem atenção humana ou pesquisas constantes. Preciso de uma solução passiva que simplesmente gere uma notificação quando ocorrer um evento específico.

windows monitoring windows-event-log snmp Rym
fonte
O Windows deve ser capaz de fazer isso de forma nativa, portanto, soluções pagas ou complementos não gratuitos estão fora de questão.
Rym
A solução deve gerar uma interceptação SNMP, pois o SNMP é o protocolo de monitoramento padrão e mais universalmente implantado.
Rym

Respostas:

12

O Windows Server possui um gerador de interceptação SNMP embutido para o Windows Event Log / Viewer, que pode enviar interceptações na ocorrência de eventos arbitrários.

Formulário de interceptação (OID)

Esses traps estarão em conformidade com a filial MIB da empresa privada da Microsoft, da seguinte forma:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n...

Cada "n" é uma codificação decimal de um octeto de caracteres ASCII do nome da fonte do Log de Eventos e o X designa o número de caracteres a seguir.

Portanto, por exemplo, uma interceptação gerada pela origem "Prefect" (como vista no Event Viewer) apareceria como:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116

O Windows 2000 Server não oferece suporte completo e gera traps de um formato ligeiramente diferente, mas o procedimento é idêntico. Todas as versões mais recentes do servidor Windows suportam isso corretamente

Configurando o envio de interceptação

Existem duas ferramentas internas que você usará para configurar a geração de armadilhas.

evntwin : criar mapeamento de mensagens do log de eventos para traps SNMP evntcmd : carregar mapeamento criado por evntwin para que os traps sejam gerados

Execute o evntwin em um prompt de comando: isso gerará uma GUI. Selecione "Personalizado" em Tipo de configuração e, em seguida, "Editar". Agora você verá uma lista de todas as fontes de eventos possíveis. Sob a fonte na qual você está interessado, selecione o ID do evento específico no qual deseja gerar traps. Depois, clique em "Adicionar".

Agora, você verá o OID real da captura, o ID específico e uma opção para definir um limite baseado em tempo de ocorrências de eventos antes que a captura seja enviada.

Repita até criar um mapeamento para cada combinação de interceptação / evento em particular. Em seguida, clique em "Aplicar", realce todos os mapeamentos e, em seguida, "Exportar ..." Salve o arquivo e saia do aplicativo.

Agora, novamente na linha de comando, execute evntcmd, especificando o nome do arquivo que você acabou de criar:

evntcmd myeventfile.cnf

A partir deste momento, os eventos que você especificou gerarão traps SNMP, que serão enviados para todos os destinos do receptor de traps que você configurou nas configurações do serviço SNMP. Processe-os como faria com qualquer armadilha SNMP normal.

Rym
fonte
3

Você pode usar o Event Sentry que possui notificações:

O monitoramento de log de eventos em tempo real é o principal recurso do EventSentry e permite monitorar todos os logs de eventos personalizados (aplicativo, segurança, sistema, servidor DNS, serviço de replicação de arquivos, serviço de diretório). As entradas do log de eventos podem ser encaminhadas para uma variedade de notificações imediatas (por exemplo, email, pager, SNMP etc.) ou notificações projetadas para consolidação (por exemplo, banco de dados, arquivos etc.).

Se você tiver tempo e estiver familiarizado com scripts, poderá criar uma solução DIY, usando código e ferramentas existentes, como o PsLogList da SysInternal , um script para monitorar o log de eventos do ScriptCenter, LogParser da Microsoft e uma ferramenta de linha de comando SMTP gratuita, como Blat ou bmail .

http://www.blat.net/

splattne
fonte
1

Para 2008, Vista, XP e 2003, você poderia usar o serviço de assinatura de log de eventos remotos do Windows. Essa é uma função nativa do Vista e 2008. Para 2003 e XP, você precisa de service packs específicos. O Windows usa o RMI para coletar logs de eventos de sistemas remotos muito semelhantes aos syslogs, mas de uma maneira mais segura. Você também pode usar a política de grupo para fazer com que todos os servidores encaminhem eventos para um único servidor 2K8, Vista ou 2003. Você também pode configurar notificações / alertas no visualizador de eventos.

msvcyc
fonte
0

Se você gosta de scripts, pode gravar um coletor de eventos WMI que possa receber notificações quando novos eventos forem anexados ao log de eventos. Eu executei uma versão VBScript de um script como um serviço e, ao receber eventos que considera "interessantes" (por meio de uma correspondência de expressão regular de um arquivo de configuração), ele gera email SMTP. É um script bastante trivial, mas não posso publicá-lo, pois "pertence" ao Cliente para o qual escrevi.

Evan Anderson
fonte
0

Acho eTrap é a solução perfeita para monitorar os eventos do Windows.

zdanhauser
fonte