欢迎查阅事件日志监视教程部分2,在完成此教程后,您将有能力在您的网络中配置Windows事件日志监视。如果您是一个初学者,您可能需要查阅Part I来了解事件日志的基础信息。
此教程主要包括以下内容:
事件日志记录了所有发生在设备上的动作,支持追踪一些安全操作和应用性能问题的线索。 对于管理员来讲,在每一台Windows设备上手动检查和追踪事件是一项非常繁琐的任务。 如果能够使用一个统一的控制台,通过特定的标准在所有Windows设备上追踪指定的事件日志,此项工作就会变得非常简单、高效。 因此,需要一个能够监视部分关键Windows事件日志,可以显示处理过的事件日志以及相关告警信息, 为管理员提供灵活可靠的网络故障管理方案。
OpManager就是这样一个网络监视解决方案,它可以帮助您监视您的设备性能,管理网络的故障。 作为网络故障管理的拓展,OpManager还可以监视Windows和Unix日志文件。 以下教程将为您介绍如何使用OpManager来监视Windows事件日志:
以下为一些推荐监视的事件日志,如果在您的网络中存在一些其它的关键安全问题,您也可以将它们记录下来进行监视。
Windows 事件ID | Windows Vista事件ID | 事件类型 | 描述 |
---|---|---|---|
(512 to 516), (518 to 520) | (4608 to 4612), (4614 to 4616) | 系统事件 | 记录本地系统进程,如系统启动和停止,以及对应的系统时间。 |
517 | 4612 | 审计日志被清除 | 表示清除所有审计日志的事件。 |
528, 540 | 4624 | 成功的用户登录 | 表示所有用户登录的事件。 |
(529 to 537), 539 | 4625 | 登陆失败 | 表示所有失败的用户登录事件。 |
538 | 4634 | 成功的用户退出 | 表示所有的用户退出事件。 |
560, (562 to 568) | 4656, (4658 to 4664) | 对象访问 | 表示对指定对象(文件、目录等)的访问事件,它还包括访问的类型(读取、写入、删除),访问的成功与否,以及执行动作的用户。 |
612 | 4719 | 审计策略变更 | 表示所有在审计策略中执行变更的事件。 |
(624 to 630), 642, 644 | 4720, (4722 to 4726), 4738, 4740 | 用户账户变更 | 表示所有与用户账户相关的操作事件,如用户账户的创建、删除、密码变更等。 |
(631 to 641), 643, (645 to 666) | (4727 to 4737), (4739 to 4762) | 用户组变更 | 表示所有与用户组相关的操作,如添加、移除全局或本地组,在组中添加或移除成员等。 |
672, 680 | 4768, 4776 | 成功的用户账户验证 | 表示成功的用户账户登录事件,它是在域用户账户通过域控制器进行验证的时候生成的。 |
675, 681 | 4771, 4777 | 失败的用户账户验证 | 表示失败的用户账户登录事件,它是在域用户账户通过域控制器进行验证的时候生成的。 |
682, 683 | 4778, 4779 | 主机会话状态 | 表示会话重新连接或断开连接的事件。 |
除了以上相关的安全事件以外,您还可以为关键的应用和系统资源启用和追踪记录。
OpManager会基于以下属性生成事件日志的告警,下表为Windows事件日志和OpManager的事件告警参数对比:
Windows事件日志属性 | 对应的OpManager告警属性 |
---|---|
事件类型(Error、Warning、Information) | 告警严重性(Critical、Attention、Trouble、Clear) |
Date | Date/Time |
Time | 上次更新时间(time) |
Source(故障的源) | Entity(故障的源,但是名称不会出现在界面上) |
Description | Message |
OpManager内建50个事件日志监视器,要监视Windows事件日志,您需要将事件日志监视器关联到设备。请参阅以下说明:
另外,您还可以使用快速配置向导,在多个设备上关联事件日志。
创建新的事件日志监视器,请参阅下面的步骤:
您还可以监视自定义的事件日志,一些应用的事件可以记录到一个新的分类下,而非系统默认的分类,以便管理。 您现在可以在OpManager中为这些事件日志配置规则,以及相应的告警。
步骤:
在您将事件日志监视器关联到设备之后,OpManager就会按照事件日志规则中设置条件来监视设备中的事件, 当出现与条件匹配的日志时,OpManager就会生成一个对应的告警,您可以在OpManager告警页面查看明细。