监控Windows事件日志

事件日志用于监视网络中的windows服务器。日志可以帮助您监控Windows设备上发生的程序、安全性和系统事件。例如,识别性能问题(如流程失败)或安全事件(如未经授权的登录请求)。

如何监控设备上的事件日志

在Windows机器中有一个默认的事件查看器可以查看该机器中的事件。但是如果要监视企业网络,通过这种方法手动检查事件是不可行的。 OpManager支持事件日志监控,并帮助您在告警的帮助下轻松识别关键事件。

先决条件: OpManager使用WMI从窗口设备获取这些日志的详细信息。

因此,请确保为用户提供具有访问终端设备的管理权限的登录凭据。如果您是非管理员用户(请访问这篇文章了解更多信息)。要监视Windows事件,您需要将事件日志监视器与设备关联起来:

  • 导航到 资源清单 -> 设备 并点击一台设备;
  • 点击监视器 -> 事件日志监视器 -> 添加监视器
  • 选择设备中需要监控的事件日志;
  • 点击“关联” 将选定的监视器添加到设备。

注意: 必须启用“监控间隔”复选框。如果禁用,即使所有事件日志监视器都与该设备关联,都将被禁用而无法工作。

创建事件日志监视器

要创建事件日志监视器,请遵循以下步骤:

  1. 进入 设置 > 监控 > 事件日志规则
    在此页面中,您可以看到 OpManager支持的默认规则,分为应用程序、安全、系统、DNS服务器、文件复制服务和目录服务。

  2. 点击  “添加”添加新规则;
    注意:除“规则名称”外,其余字段的输入为可选择的。在字段中输入过滤事件必需的详细信息。例如,当您提到源和事件ID时,将监视来自所提到源的具有给定ID的所有事件。在另一个实例中,如果您只提到诸如error之类的类别,则将监视所有具有error类别的事件。

    • 选择日志文件名;

    • 键入唯一的规则名称;

    • 输入需要监控的“事件ID”,这是事件日志的唯一标识符,

    • 输入事件来源,这是记录事件的源,它可以是应用程序或应用程序的子组件;例如:DesktopCentral, Microsoft Windows安全

    • 进入事件类别,每个事件源定义了自己的类别,如数据写入错误、日期读取错误等,并将属于这些类别之一;

    • 键入用户名,以根据事件发生时已登录的用户筛选事件日志;

    • 选择“事件类型”,根据事件日志的类型筛选事件日志。这通常是错误、警告、信息、安全审计成功和安全审计失败中的一个;

    • 描述匹配文本:输入要与日志信息进行比对的字符串,这将过滤日志消息中包含此字符串的事件;

      您还可以使用正则表达式(RegEx)来指定此字段的匹配标准。例如,考虑一个Eventlog描述为“检查是否有防火墙正在阻止”。下面是一些如何为这个消息形成RegEx模式的例子:

      状态 使用逻辑 正则表达式模式 实际的正则表达式
      包含"check"和"any" AND (?=.*XXX)(?=.*YYY) (?=.*Check)(?=.*any)
      包含 "blocking" 或 "firewall" OR (XXX)|(YYY) (blocking)|(firewall)
      不包含 "firewall" NOT ^(?!.*XXX).*$ ^(?!.*firewall).*$
    • 事件发生时产生告警 : 默认情况下, OpManager会在该事件发生时发出告警。但是,您可以配置第n事件在指定的编号内连续发生的次数n秒发出告警。
    • 请根据该事件在 OpManager中产生的告警选择告警级别。例如,对于安全事件,您可以将严重性指定为临界。严重性级别有:严重、故障、需要关注的、正常和忽略事件。 (忽略事件选项用于避免为事件引发告警)
  3. 点击完成 保存事件日志规则。
 诸如源、类别事件ID等详细信息将在服务器上的事件查看器中显示。
 

 上面的图像显示了一个安全事件的示例。您可以在事件查看器中获取必要的详细信息,并在 OpManager中指定它们并监视事件。

监控自定义事件日志

您还可以在自定义类别下监视事件日志。一些应用程序将在一个新的类别中事件记录,而不是在默认的系统/应用程序/安全类别。您可以通过在 OpManager中配置规则来解析这些自定义类别中的事件,并在 OpManager中触发相应的告警。步骤如下:

  1. 进入  设置 > 监视 > 事件日志规则 ;
  2. 点击  添加自定义事件日志 
  3. 在下拉列表中选择需要查询事件分类的设备;
  4. 输入设备的WMI详细信息“用户名”“密码”;
  5. 列出最近一次创建的日志 ,配置日志的列出时间 ,单击“查询设备”;
  6. 列出所选设备的自定义日志。在“已发现的日志文件”中选择一条日志,单击“确定”

如何为多个设备批量配置事件日志监视器

将事件日志监视器关联到多个设备在 OpManager中使用快速配置向导 选项较为便捷。

  • 导航到设置 > 配置 > 快速配置向导
  • 点击事件日志规则
  • 选择日志文件, 例如:应用程序,安全。在规则下拉菜单下选择要监视的事件并关联该规则;
  • “所有设备”列中选择设备,推送到“已选设备”列中;
  • 点击“保存”。监视器将与网络中所有选定的设备相关联。

自动将事件日志规则关联到设备

使用QCW更容易将事件日志规则应用于多个设备,但是,如果经常发现有要监视的新设备,那么向新设备添加事件日志监视器将会变得繁琐。

可以使用发现规则引擎自动化事件日志规则关联过程。使用此选项可以创建自己的规则,将事件日志规则关联到特定设备(如Windows服务器)。

当Windows服务器在 OpManager中被发现时,事件日志规则将应用于Windows服务器。

接收关键事件的即时通知

可以配置通过各种渠道接收重要窗口事件的通知,例如使用通知配置文件功能的SMS/电子邮件。 在选择接收通知的条件时,请选择“事件日志规则生成告警”,以通过各种通道引发与事件相关的告警。