¿Cómo monitorizo ​​pasivamente el registro de eventos de Windows?

15

¿Cómo puedo monitorear el registro de eventos de Windows de forma remota para que se me informe automáticamente cuando ocurran ciertos eventos?

Existen muchas soluciones de monitoreo activo, pero requieren atención humana o sondeos constantes. Necesito una solución pasiva que simplemente generará una notificación cuando ocurra un evento en particular.

Rym
fuente
Windows debería poder hacer esto de forma nativa, por lo que las soluciones de pago o los complementos no gratuitos están fuera de discusión.
Rym
La solución debería generar una trampa SNMP, ya que SNMP es el protocolo de monitoreo estándar y más universalmente implementado.
Rym

Respuestas:

12

Windows Server tiene un generador de capturas SNMP integrado para el Registro / Visor de eventos de Windows, que puede enviar capturas en caso de eventos arbitrarios.

Formulario de trampa (OID)

Estas trampas se ajustarán a la rama MIB de la empresa privada de Microsoft de la siguiente forma:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n... 

Cada "n" es una codificación decimal de un octeto de caracteres ASCII del nombre de origen del registro de eventos, y la X designa el número de caracteres a seguir.

Entonces, por ejemplo, una trampa generada por la fuente "Prefecto" (como se ve en el Visor de eventos) aparecería como:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116 

Windows 2000 Server no lo admite completamente y generará capturas de un formato ligeramente diferente, pero el procedimiento es idéntico. Todas las versiones más recientes del servidor de Windows lo admiten correctamente.

Configurar el envío de capturas

Hay dos herramientas integradas que usará para configurar la generación de trampas.

evntwin : crea una asignación de mensajes de registro de eventos a trampas SNMP evntcmd : carga la asignación creada por evntwin para que se generen trampas

Ejecute evntwin desde un símbolo del sistema: esto generará una GUI. Seleccione "Personalizado" en Tipo de configuración y luego "Editar". Ahora verá una lista de todas las posibles fuentes de eventos. Debajo de la fuente en la que está interesado, seleccione el ID de evento particular en el que desea generar trampas. Luego, haga clic en "Agregar".

Ahora, verá el OID real de la trampa, la ID específica y una opción para establecer un umbral de ocurrencia de eventos basado en el tiempo antes de que se envíe la trampa.

Repita hasta que haya creado una asignación para cada combinación de trampa / evento en particular que le interese. Luego, haga clic en "Aplicar", resalte todas las asignaciones y luego "Exportar ..." Guarde el archivo y salga de la aplicación.

Ahora, nuevamente desde la línea de comando, ejecute evntcmd, especificando el nombre del archivo que acaba de crear:

evntcmd myeventfile.cnf

A partir de este momento, los eventos que especificó generarán capturas SNMP, que se enviarán a todos los destinos del receptor de trampa que haya configurado en la configuración del servicio SNMP. Proceselos como lo haría con cualquier trampa SNMP normal.

Rym
fuente
3

Puedes usar Event Sentry que tiene notificaciones:

La supervisión del registro de eventos en tiempo real es la característica principal de EventSentry y le permite monitorear todos los registros de eventos estándar (aplicaciones, seguridad, sistema, servidor DNS, servicio de replicación de archivos, servicio de directorio) y personalizados. Las entradas del registro de eventos se pueden reenviar a una variedad de notificaciones inmediatas (por ejemplo, correo electrónico, buscapersonas, SNMP, etc.) o notificaciones diseñadas para la consolidación (por ejemplo, bases de datos, archivos, etc.).


Si tiene tiempo y está familiarizado con las secuencias de comandos, puede crear una solución de bricolaje, utilizando el código y las herramientas existentes como PsLogList de SysInternal , un script para monitorear el registro de eventos del ScriptCenter de Microsoft, LogParser y una herramienta de línea de comandos SMTP gratuita como Blat o bmail .

http://www.blat.net/

splattne
fuente
1

Para 2008, Vista, XP y 2003, puede utilizar el servicio de suscripción de registro de eventos remotos de Windows. Esta es una función nativa de Vista y 2008. Para 2003 y XP necesita paquetes de servicio específicos. Windows usa RMI para recopilar registros de eventos de sistemas remotos muy similares a los syslogs pero de una manera más segura. También puede usar la política de grupo para hacer que todos los servidores reenvíen eventos a un solo servidor 2K8, Vista o 2003. También puede configurar notificaciones / alertas dentro del visor de eventos.

msvcyc
fuente
0

Si le gustan las secuencias de comandos, puede escribir un receptor de eventos WMI que pueda recibir notificaciones cuando se agreguen nuevos eventos al registro de eventos. Ejecuté una versión VBScript de tal script como servicio, y al recibir eventos lo considera "interesante" (a través de una coincidencia regexp de un archivo de configuración), genera un correo electrónico SMTP. Es un script bastante trivial, pero no puedo publicarlo ya que "pertenece" al Cliente para el que lo escribí.

Evan Anderson
fuente
0

Creo que eTrap es la solución perfecta para monitorear eventos de Windows.

zdanhauser
fuente