Как я пассивно контролирую Windows Event Log?
VMware предлагает некоторую документацию относительно предмета здесь: http://www.vmware.com/support/v2p/index.html
Windows Server имеет созданный в генераторе прерывания SNMP для Windows Event Log / Viewer, который может отправить прерывания на возникновении случайных событий.
Форма прерывания (OID)
Эти прерывания будут соответствовать ответвлению частного предприятия Microsoft MIB в следующей форме:
1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n...
Каждый "n" является десятичным кодированием октета символа ASCII с исходного имени журнала событий, и эти X определяют количество символов следовать.
Так, например, прерывание, сгенерированное источником "Префект" (как замечено в Event Viewer), появилось бы как:
1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116
Windows 2000 Server не поддерживает это полностью и генерирует прерывания немного отличающегося формата, но процедура в других отношениях идентична. Все более новые версии Windows Server поддерживают это правильно
Конфигурирование отправки прерывания
Существует два встроенных инструмента, которые Вы будете использовать для установки поколения прерывания.
evntwin: Создайте отображение сообщений журнала событий к evntcmd прерываний SNMP: отображение Загрузки, созданное evntwin так, чтобы прерывания были сгенерированы
Выполненный evntwin от командной строки: это породит GUI. Выберите "Пользовательский" под типом Конфигурации и затем "Редактированием". Вы будете теперь видеть список всех возможных источников события. Под источником, которым Вы интересуетесь, выберите конкретный идентификатор события, на котором Вы хотите генерировать прерывания. Затем нажмите "Add".
Теперь, Вы будете видеть фактический OID прерывания, определенного идентификатора и опции установить основанный на времени порог случаев события, прежде чем прерывание было бы отправлено.
Повторитесь, пока Вы не создали отображение для каждой конкретной комбинации прерывания/события, о которой Вы заботитесь. Затем нажмите "Apply", выделите все отображения, и затем "Экспорт..." Сохраните файл и выйдите из приложения.
Теперь, снова из командной строки, выполненного evntcmd, указывая название файла Вы просто создали:
evntcmd myeventfile.cnf
От этой точки вперед, события, которые Вы указали, генерируют прерывания SNMP, которые будут отправлены всем местам назначения получателя прерывания, которые Вы настроили в своих сервисных настройках SNMP. Обработайте их, поскольку Вы были бы любое нормальное прерывание SNMP.
Вы могли использовать Часового События, который имеет уведомления:
Контроль журнала событий в реальном времени является базовой функцией EventSentry и позволяет Вам контролировать весь стандарт (Приложение, безопасность, Система, DNS-сервер, Сервис Репликации файлов, Служба каталогов) и пользовательские журналы событий. Записи журнала событий могут быть переданы множеству немедленных оповещений (например, электронная почта, пейджер, SNMP и т.д.) или уведомления, разработанные для консолидации (например, база данных, файлы, и т.д.).
Если Вы имеете время и знакомы со сценариями, Вы могли бы создать решение DIY, с помощью существующего кода и инструментов как PsLogList SysInternal, сценарию для контроля журнала событий от ScriptCenter Microsoft, LogParser и свободного инструмента командной строки SMTP нравится, Блеют или bmail.
На 2008, Vista, XP и 2003 Вы могли использовать Windows удаленный сервис подписки журнала событий. Это - собственная функция Vista и 2008. На 2003 и XPS Вам нужны определенные пакеты обновления. Использование Windows RMI для сбора журналов событий из удаленных систем, очень подобных системным журналам, но более безопасным способом. Вы могли также использовать групповую политику, чтобы заставить все серверы передать события к синглу 2K8, Vista или сервер 2003. Можно также установить уведомления/предупреждения в средстве просмотра события.
Если Вы любите писать сценарий, можно записать приемник события WMI, который может получить уведомления, когда новые события добавляются к журналу событий. Я выполнил версию VBScript такого сценария как услуга, и после получения событий, которые это считает "интересным" (посредством соответствия regexp от конфигурационного файла), это генерирует электронную почту SMTP. Это - довольно тривиальный сценарий, но я не могу отправить его, так как это "принадлежит" Клиенту, для которого я записал это.
Возможно, eventtriggers может помочь Вам (http://technet.microsoft.com/en-us/library/cc773308 (WS.10) .aspx). Ищите eventquery.vbs также.