¿Cómo puedo monitorear el registro de eventos de Windows de forma remota para que se me informe automáticamente cuando ocurran ciertos eventos?
Existen muchas soluciones de monitoreo activo, pero requieren atención humana o sondeos constantes. Necesito una solución pasiva que simplemente generará una notificación cuando ocurra un evento en particular.
Respuestas:
Windows Server tiene un generador de capturas SNMP integrado para el Registro / Visor de eventos de Windows, que puede enviar capturas en caso de eventos arbitrarios.
Formulario de trampa (OID)
Estas trampas se ajustarán a la rama MIB de la empresa privada de Microsoft de la siguiente forma:
Cada "n" es una codificación decimal de un octeto de caracteres ASCII del nombre de origen del registro de eventos, y la X designa el número de caracteres a seguir.
Entonces, por ejemplo, una trampa generada por la fuente "Prefecto" (como se ve en el Visor de eventos) aparecería como:
Windows 2000 Server no lo admite completamente y generará capturas de un formato ligeramente diferente, pero el procedimiento es idéntico. Todas las versiones más recientes del servidor de Windows lo admiten correctamente.
Configurar el envío de capturas
Hay dos herramientas integradas que usará para configurar la generación de trampas.
evntwin : crea una asignación de mensajes de registro de eventos a trampas SNMP evntcmd : carga la asignación creada por evntwin para que se generen trampas
Ejecute evntwin desde un símbolo del sistema: esto generará una GUI. Seleccione "Personalizado" en Tipo de configuración y luego "Editar". Ahora verá una lista de todas las posibles fuentes de eventos. Debajo de la fuente en la que está interesado, seleccione el ID de evento particular en el que desea generar trampas. Luego, haga clic en "Agregar".
Ahora, verá el OID real de la trampa, la ID específica y una opción para establecer un umbral de ocurrencia de eventos basado en el tiempo antes de que se envíe la trampa.
Repita hasta que haya creado una asignación para cada combinación de trampa / evento en particular que le interese. Luego, haga clic en "Aplicar", resalte todas las asignaciones y luego "Exportar ..." Guarde el archivo y salga de la aplicación.
Ahora, nuevamente desde la línea de comando, ejecute evntcmd, especificando el nombre del archivo que acaba de crear:
A partir de este momento, los eventos que especificó generarán capturas SNMP, que se enviarán a todos los destinos del receptor de trampa que haya configurado en la configuración del servicio SNMP. Proceselos como lo haría con cualquier trampa SNMP normal.
fuente
Puedes usar Event Sentry que tiene notificaciones:
Si tiene tiempo y está familiarizado con las secuencias de comandos, puede crear una solución de bricolaje, utilizando el código y las herramientas existentes como PsLogList de SysInternal , un script para monitorear el registro de eventos del ScriptCenter de Microsoft, LogParser y una herramienta de línea de comandos SMTP gratuita como Blat o bmail .
http://www.blat.net/
fuente
Para 2008, Vista, XP y 2003, puede utilizar el servicio de suscripción de registro de eventos remotos de Windows. Esta es una función nativa de Vista y 2008. Para 2003 y XP necesita paquetes de servicio específicos. Windows usa RMI para recopilar registros de eventos de sistemas remotos muy similares a los syslogs pero de una manera más segura. También puede usar la política de grupo para hacer que todos los servidores reenvíen eventos a un solo servidor 2K8, Vista o 2003. También puede configurar notificaciones / alertas dentro del visor de eventos.
fuente
Si le gustan las secuencias de comandos, puede escribir un receptor de eventos WMI que pueda recibir notificaciones cuando se agreguen nuevos eventos al registro de eventos. Ejecuté una versión VBScript de tal script como servicio, y al recibir eventos lo considera "interesante" (a través de una coincidencia regexp de un archivo de configuración), genera un correo electrónico SMTP. Es un script bastante trivial, pero no puedo publicarlo ya que "pertenece" al Cliente para el que lo escribí.
fuente
Quizás los activadores de eventos pueden ayudarlo ( http://technet.microsoft.com/en-us/library/cc773308(WS.10).aspx ). Busque eventquery.vbs también.
fuente
Creo que eTrap es la solución perfecta para monitorear eventos de Windows.
fuente