web-dev-qa-db-ja.com

Windowsイベントログを受動的に監視するにはどうすればよいですか?

特定のイベントが発生したときに自動的に通知されるように、Windowsイベントログをリモートで監視するにはどうすればよいですか?

多くのアクティブな監視ソリューションがありますが、それらには人間の注意または継続的なポーリングが必要です。特定のイベントが発生したときに通知を生成するだけのパッシブソリューションが必要です。

15
Rym

Windows Serverには、Windowsイベントログ/ビューアのSNMPトラップジェネレータが組み込まれており、任意のイベントの発生時にトラップを送信できます。

トラップフォーム(OID)

これらのトラップは、次の形式のMicrosoftプライベートエンタープライズMIBブランチに準拠します。

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n... 

各「n」は、イベントログソース名からのASCII文字オクテットの10進エンコーディングであり、Xは続く文字数を示します。

したがって、たとえば、ソース「Prefect」によって生成されたトラップ(イベントビューアに表示される)は次のように表示されます。

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116 

Windows 2000 Serverはこれを完全にはサポートしておらず、わずかに異なる形式のトラップを生成しますが、手順はそれ以外は同じです。すべての新しいバージョンのWindowsサーバーはこれを適切にサポートします

トラップ送信の構成

トラップ生成の設定に使用する2つの組み込みツールがあります。

evntwin:SNMPトラップへのイベントログメッセージのマッピングを作成しますevntcmd:トラップが生成されるようにevntwinによって作成されたマッピングをロードします

コマンドプロンプトからevntwinを実行します。これによりGUIが生成されます。 [構成の種類]で[カスタム]を選択し、次に[編集]を選択します。すべての可能なイベントソースのリストが表示されます。関心のあるソースの下で、トラップを生成する特定のイベントIDを選択します。次に、[追加]をクリックします。

これで、トラップの実際のOID、特定のID、およびトラップが送信される前にイベント発生の時間ベースのしきい値を設定するオプションが表示されます。

気になる特定のトラップ/イベントの組み合わせごとにマッピングを作成するまで繰り返します。次に、[適用]をクリックし、すべてのマッピングを強調表示してから、[エクスポート...]ファイルを保存して、アプリケーションを終了します。

次に、再度コマンドラインから、作成したファイルの名前を指定して、evntcmdを実行します。

evntcmd myeventfile.cnf

これ以降、指定したイベントによってSNMPトラップが生成され、SNMPサービス設定で構成したすべてのトラップレシーバーの宛先に送信されます。通常のSNMPトラップと同じように処理します。

12
Rym

通知がある Event Sentry を使用できます:

リアルタイムのイベントログ監視は、EventSentryのコア機能であり、すべての標準(アプリケーション、セキュリティ、システム、DNSサーバー、ファイルレプリケーションサービス、ディレクトリサービス)およびカスタムイベントログを監視できます。イベントログエントリは、さまざまな即時通知(Eメール、ポケットベル、SNMPなど)または統合用に設計された通知(データベース、ファイルなど)に転送できます。


時間に余裕があり、スクリプト作成に精通している場合は、SysInternalの PsLogList 、MicrosoftのScriptCenterの イベントログを監視するスクリプト などの既存のコードとツールを使用して、DIYソリューションを構築できます。 、 LogParser および Blat または bmail などの無料のSMTPコマンドラインツール。

http://www.blat.net/

3
splattne

2008、Vista、XPおよび2003では、Windowsリモートイベントログサブスクリプションサービスを使用できます。これは、Vistaおよび2008のネイティブ機能です。2003およびXPでは、特定のサービスパックが必要です。Windowsでの使用リモートシステムからイベントログを収集するためのRMIは、syslogとよく似ていますが、より安全です。グループポリシーを使用して、すべてのサーバーにイベントを1つの2K8、Vistaまたは2003サーバーに転送させることもできます。イベント内で通知/アラートを設定することもできます。ビューア。

1
msvcyc

eTrap は、Windowsイベントを監視する完璧なソリューションフォームだと思います。

0
zdanhauser

スクリプトを楽しむ場合は、新しいイベントがイベントログに追加されたときに通知を受信できるWMIイベントシンクを作成できます。このようなスクリプトのVBScriptバージョンをサービスとして実行しました。イベントを受信すると、(構成ファイルからの正規表現の一致により)「興味深い」と見なされ、SMTP電子メールが生成されます。それはかなり自明なスクリプトですが、私が書いた顧客に「属している」ため、投稿することはできません。

0
Evan Anderson

おそらくイベントトリガーが役立ちます( http://technet.Microsoft.com/en-us/library/cc773308(WS.10).aspx )。 eventquery.vbsも探します。

0
Llorllale