Comment puis-je surveiller le journal des événements Windows à distance de manière à être informé automatiquement lorsque certains événements se produisent?
Il existe de nombreuses solutions de surveillance active, mais elles nécessitent l'attention humaine ou un sondage constant. J'ai besoin d'une solution passive qui générera simplement une notification lorsqu'un événement particulier se produit.
Windows Server dispose d'un générateur de pièges SNMP intégré pour le Journal/Visualiseur d'événements Windows, qui peut envoyer des pièges à l'occurrence d'événements arbitraires.
Ces pièges seront conformes à la branche MIB d'entreprise privée Microsoft sous la forme suivante:
1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n.n... Chaque "n" est un codage décimal d'un octet de caractère ASCII du nom de la source du Journal d'événements, et le X désigne le nombre de caractères à suivre.
Ainsi, par exemple, un piège généré par la source "Prefect" (comme vu dans l'Observateur d'événements) apparaîtrait comme suit:
1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116 Windows 2000 Server ne prend pas en charge cela pleinement, et générera des pièges d'un format légèrement différent, mais la procédure est par ailleurs identique. Toutes les versions plus récentes de Windows Server prennent en charge cela correctement.
Il existe deux outils intégrés que vous utiliserez pour configurer la génération de pièges.
evntwin:Créez une correspondance des messages du Journal d'événements avec des pièges SNMP evntcmd: Chargez la correspondance créée par evntwin de sorte que des pièges soient générés
Exécutez evntwin à partir d'une invite de commandes: cela ouvrira une interface graphique. Sélectionnez "Personnalisé" sous le type de configuration, puis "Éditer." Vous verrez maintenant une liste de toutes les sources d'événements possibles. Sous la source qui vous intéresse, sélectionnez l'ID d'événement particulier sur lequel vous souhaitez générer des pièges. Ensuite, cliquez sur "Ajouter".
Maintenant, vous verrez l'OID réel du piège, l'ID spécifique, et une option pour définir un seuil basé sur le temps d'occurrence d'événements avant que le piège ne soit envoyé.
Répétez jusqu'à ce que vous ayez créé une correspondance pour chaque combinaison de piège/événement particulière qui vous intéresse. Ensuite, cliquez sur "Appliquer," surlignez toutes les correspondances, puis "Exporter..." Enregistrez le fichier et quittez l'application.
Maintenant, toujours à partir de la ligne de commande, exécutez evntcmd, en spécifiant le nom du fichier que vous venez de créer:
evntcmd myeventfile.cnfÀ partir de ce moment, les événements que vous avez spécifiés généreront des pièges SNMP, qui seront envoyés à toutes les destinations de réception de pièges que vous avez configurées dans vos paramètres de service SNMP. Traitez-les comme vous le feriez avec n'importe quel piège SNMP normal.
Vous pourriez utiliser Event Sentry qui a des notifications :
La surveillance en temps réel du journal d'événements est la fonctionnalité principale d'EventSentry et vous permet de surveiller tous les journaux d'événements standard (Application, Sécurité, Système, Serveur DNS, Service de réplication de fichiers, Service d'annuaire) et personnalisés. Les entrées du journal d'événements peuvent être transmises à diverses notifications immédiates (par exemple, e-mail, pager, SNMP, etc.) ou des notifications conçues pour la consolidation (par exemple base de données, fichiers, etc.).
Si vous avez le temps et connaissez le script, vous pourriez construire une solution DIY, en utilisant du code et des outils existants comme PsLogList de SysInternal's PsLogList, un script pour surveiller le journal d'événements du ScriptCenter de Microsoft, LogParser et un outil en ligne de commande SMTP gratuit comme Blat ou bmail.
Pour 2008, Vista, XP et 2003, vous pouvez utiliser le service d'abonnement au journal des événements à distance de Windows. Il s'agit d'une fonction native de Vista et de 2008. Pour 2003 et XP, vous avez besoin de packs de services spécifiques. Windows utilise RMI pour collecter les journaux des événements à partir de systèmes distants, très similaire aux syslog mais de manière plus sécurisée. Vous pouvez également utiliser la stratégie de groupe pour faire avancer tous les serveurs les événements vers un seul serveur 2K8, Vista ou 2003. Vous pouvez également configurer des notifications/alertes dans l'observateur d'événements.
Si vous aimez le script, vous pouvez écrire un WMI event sink qui peut recevoir des notifications lorsque de nouveaux événements sont ajoutés au journal des événements. J'ai exécuté une version VBScript d'un tel script en tant que service, et lors de la réception d'événements qu'il considère comme "intéressants" (grâce à une correspondance avec une expression régulière d'un fichier de configuration), il génère des e-mails SMTP. C'est un script assez trivial, mais je ne peux pas le publier car il "appartient" au client pour lequel je l'ai écrit.
Peut-être que les déclencheurs d'événements peuvent vous aider (http://technet.microsoft.com/fr-fr/library/cc773308(WS.10).aspx). Recherchez également eventquery.vbs.
SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.
