Windows

如何被動監視 Windows 事件日誌?

  • April 2, 2017

如何遠端監控 Windows 事件日誌,以便在發生某些事件時自動通知我?

有很多主動監控解決方案,但它們需要人工關注或不斷輪詢。我需要一個被動的解決方案,它只會在發生特定事件時生成通知。

Windows Server 有一個用於 Windows 事件日誌/查看器的內置 SNMP 陷阱生成器,它可以在發生任意事件時發送陷阱。

陷阱形式 (OID)

這些陷阱將符合以下形式的 Microsoft 私有企業 MIB 分支:

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n... 

每個“n”是來自事件日誌源名稱的 ASCII 字元八位字節的十進制編碼,X 指定要跟隨的字元數。

因此,例如,源“Prefect”(如在事件查看器中看到的)生成的陷阱將顯示為:

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116 

Windows 2000 Server 不完全支持這一點,並且會生成格式稍有不同的陷阱,但過程是相同的。所有較新版本的 Windows 伺服器都正確支持此功能

配置陷阱發送

有兩個內置工具可用於設置陷阱生成。

evntwin:創建事件日誌消息到 SNMP 陷阱 的映射evntcmd:載入由 evntwin 創建的映射,以便生成陷阱

從命令提示符執行 evntwin:這將生成一個 GUI。在配置類型下選擇“自定義”,然後選擇“編輯”。您現在將看到所有可能的事件源的列表。在您感興趣的源下,選擇您希望生成陷阱的特定事件 ID。然後,點擊“添加”。

現在,您將看到陷阱的實際 OID、特定 ID,以及在發送陷阱之前設置基於時間的事件發生門檻值的選項。

重複,直到您為您關心的每個特定陷阱/事件組合創建了映射。然後,點擊“應用”,突出顯示所有映射,然後“導出…”保存文件並退出應用程序。

現在,再次從命令行執行 evntcmd,指定剛剛創建的文件的名稱:

evntcmd myeventfile.cnf

從現在開始,您指定的事件將生成 SNMP 陷阱,這些陷阱將發送到您在 SNMP 服務設置中配置的所有陷阱接收器目標。像處理任何普通的 SNMP 陷阱一樣處理它們。

引用自:https://serverfault.com/questions/22489