监视Windows事件日志 - 教程

部分 II - 实现

欢迎查阅事件日志监视教程部分2,在完成此教程后,您将有能力在您的网络中配置Windows事件日志监视。如果您是一个初学者,您可能需要查阅Part I来了解事件日志的基础信息。

集中的事件日志监视

此教程主要包括以下内容:

概述

事件日志记录了所有发生在设备上的动作,支持追踪一些安全操作和应用性能问题的线索。 对于管理员来讲,在每一台Windows设备上手动检查和追踪事件是一项非常繁琐的任务。 如果能够使用一个统一的控制台,通过特定的标准在所有Windows设备上追踪指定的事件日志,此项工作就会变得非常简单、高效。 因此,需要一个能够监视部分关键Windows事件日志,可以显示处理过的事件日志以及相关告警信息, 为管理员提供灵活可靠的网络故障管理方案。

OpManager就是这样一个网络监视解决方案,它可以帮助您监视您的设备性能,管理网络的故障。 作为网络故障管理的拓展,OpManager还可以监视Windows和Unix日志文件。 以下教程将为您介绍如何使用OpManager来监视Windows事件日志:

事件日志监视是怎么工作的

  1. OpManager服务器在这里扮演了一个中心的Syslog服务器角色,从不同的被管设备收集消息。 OpManager通过WMI来认证网络中的Windows设备,收集指定的事件日志消息。
  2. 通过定义OpManager中的事件日志规则,OpManager将收集指定的事件日志消息。
  3. 将这些事件与OpManager告警关联,使之可以显示在OpManager的告警视图中。 这里为避免造成视图的紊乱,以及便于理解和查询,将不显示事件的内容。
  4. 您可以通过Web客户端或手机视图来查看告警信息。
  5. 只查看由Windows事件日志触发的告警,可以在告警标签下,选择菜单活动的告警 --> Windows事件。

OpManager Event Log Monitoring - Workflow

需要监视的关键事件日志

以下为一些推荐监视的事件日志,如果在您的网络中存在一些其它的关键安全问题,您也可以将它们记录下来进行监视。

Windows 事件ID Windows Vista事件ID 事件类型 描述
(512 to 516), (518 to 520) (4608 to 4612), (4614 to 4616) 系统事件 记录本地系统进程,如系统启动和停止,以及对应的系统时间。
517 4612 审计日志被清除 表示清除所有审计日志的事件。
528, 540 4624 成功的用户登录 表示所有用户登录的事件。
(529 to 537), 539 4625 登陆失败 表示所有失败的用户登录事件。
538 4634 成功的用户退出 表示所有的用户退出事件。
560, (562 to 568) 4656, (4658 to 4664) 对象访问 表示对指定对象(文件、目录等)的访问事件,它还包括访问的类型(读取、写入、删除),访问的成功与否,以及执行动作的用户。
612 4719 审计策略变更 表示所有在审计策略中执行变更的事件。
(624 to 630), 642, 644 4720, (4722 to 4726), 4738, 4740 用户账户变更 表示所有与用户账户相关的操作事件,如用户账户的创建、删除、密码变更等。
(631 to 641), 643, (645 to 666) (4727 to 4737), (4739 to 4762) 用户组变更 表示所有与用户组相关的操作,如添加、移除全局或本地组,在组中添加或移除成员等。
672, 680 4768, 4776 成功的用户账户验证 表示成功的用户账户登录事件,它是在域用户账户通过域控制器进行验证的时候生成的。
675, 681 4771, 4777 失败的用户账户验证 表示失败的用户账户登录事件,它是在域用户账户通过域控制器进行验证的时候生成的。
682, 683 4778, 4779 主机会话状态 表示会话重新连接或断开连接的事件。

除了以上相关的安全事件以外,您还可以为关键的应用和系统资源启用和追踪记录。

将事件日志变量添加到OpManager告警中

OpManager会基于以下属性生成事件日志的告警,下表为Windows事件日志和OpManager的事件告警参数对比:

Windows事件日志属性 对应的OpManager告警属性
事件类型(Error、Warning、Information) 告警严重性(Critical、Attention、Trouble、Clear)
Date Date/Time
Time 上次更新时间(time)
Source(故障的源) Entity(故障的源,但是名称不会出现在界面上)
Description Message

配置事件日志监视

前提条件

  • 在您将服务器移到产品环境之前,您需要确认日志的一些默认设置(大小和覆写选项),按照您企业的需求设置这些值,已匹配您的环境。
  • OpManager使用WMI从远程Windows中获取事件日志,请确保您为所有被管Windows设备配置了正确WMI凭证。
  • 您想要监视的Windows设备,必须首先使用OpManager发现它们。

配置监视的步骤:

配置WMI凭证

  1. 在OpManager用户界面,点击管理 --> 凭证设置,新建凭证
  2. 输入凭证的名称和描述
  3. 选择WMI凭证类型,输入以下参数:
    • 域名\用户名
    • 密码
      示例:- TestDomain\TestUser.
      Configuring WMI Credentials

监视设备中的事件日志

OpManager内建50个事件日志监视器,要监视Windows事件日志,您需要将事件日志监视器关联到设备。请参阅以下说明:

  1. 打开设备快照页面。
  2. 打开动作菜单,点击事件日志规则
    Event Log Rules
  3. 选择要监视的事件日志
  4. 如果需要,可配置轮询间隔,在每次轮询期间,选择的事件日志会和设备上记录的事件日志对比,如果有匹配的时间,OpManager就会生成告警。
  5. 点击保存

使用快速配置向导

另外,您还可以使用快速配置向导,在多个设备上关联事件日志。

  1. 在管理页面,选择快速配置向导
  2. 选择关联事件日志到多个设备,点击下一步
  3. 从列表中选择日志文件
  4. 从规则列表中选择规则,点击下一步
  5. 选择您要监视事件日志的设备,将它们从左边列表移动到右边列表框中
  6. 点击完成,事件日志监视器就关联到了选择的设备
    Quick Configuration

创建一个事件日志监视器

创建新的事件日志监视器,请参阅下面的步骤:

  1. 管理页面,点击事件日志规则

    在此页面,您可以查看OpManager支持的规则,它们分为应用、安全、系统、DNS服务器、文件复制服务和目录服务。 您可以在这些类别下添加您想要监视的事件日志。
  2. 点击任意分类对应的添加链接,在该分类下创建新的规则。

    除了规则名称以外的其它字段都为可选字段,事件ID是识别事件的必需字段,但是在一些例外的情况下可以留空,如:您要监测某事件类型下的所有事件,无论是错误或是信息消息。此种情况过滤器只需通过事件类型过滤即可。
    • 输入一个唯一的规则名称
    • 输入要监视的事件ID,这是事件日志唯一的标识符。
    • 输入事件的,这是记录事件日志的软件名称。
    • 输入事件的类型, 每个事件源都会定义它自己的类型,如数据写入错误、数据读取错误等,将对应的事件记录在这些类型下。
    • 输入用户名称,按照事件发生时,登陆到设备的用户来检索事件日志。
    • 选择事件类型,如错误、告警、消息、安全审计成功、安全审计失败。
    • 输入要与日志消息匹配的字串,这将会检索包含字串的日志。
    • 选择OpManager中为此事件生成的告警的严重度。
  3. 点击添加股则来保存事件日志规则。

    New Event Log Monitor

监视自定义事件日志

您还可以监视自定义的事件日志,一些应用的事件可以记录到一个新的分类下,而非系统默认的分类,以便管理。 您现在可以在OpManager中为这些事件日志配置规则,以及相应的告警。

Custom Eventlog Category

步骤:

  1. 管理 > 事件日志规则 > 添加自定义事件日志(您可以在右上角的位置找到此链接)。
  2. 选择一个您可以用来查询日志类别的设备,点击查询设备,这将列出设备中的自定义日志类别。
  3. 选择您要监视的事件日志的类别,点击添加。
  4. 您可以在事件日志规则页面查看新建的类别。
  5. 点击添加,添加更多的日志类别。

    Monitoring Custom Event Logs
  6. 在您添加完自定义的事件类别后,在此分类下添加规则。

    Custom Rule
  7. 将规则关联到需要监视的设备,在设备快照页面,从动作菜单中选择事件日志,选择要监视的事件日志规则。

    Monitor Event Logs

在OpManager中查看事件日志的告警

在您将事件日志监视器关联到设备之后,OpManager就会按照事件日志规则中设置条件来监视设备中的事件, 当出现与条件匹配的日志时,OpManager就会生成一个对应的告警,您可以在OpManager告警页面查看明细。

  1. 点击OpManager的告警页签,您可以看到所有OpManager生成的告警
  2. 从活动的告警菜单,选择Windows事件,与事件日志相关的告警将会显示出来。
    Event log based alerts

部分 I