监视Windows事件日志 - 教程
部分 II - 实现
欢迎查阅事件日志监视教程部分2,在完成此教程后,您将有能力在您的网络中配置Windows事件日志监视。如果您是一个初学者,您可能需要查阅Part I来了解事件日志的基础信息。
集中的事件日志监视
此教程主要包括以下内容:
概述
事件日志记录了所有发生在设备上的动作,支持追踪一些安全操作和应用性能问题的线索。 对于管理员来讲,在每一台Windows设备上手动检查和追踪事件是一项非常繁琐的任务。 如果能够使用一个统一的控制台,通过特定的标准在所有Windows设备上追踪指定的事件日志,此项工作就会变得非常简单、高效。 因此,需要一个能够监视部分关键Windows事件日志,可以显示处理过的事件日志以及相关告警信息, 为管理员提供灵活可靠的网络故障管理方案。
OpManager就是这样一个网络监视解决方案,它可以帮助您监视您的设备性能,管理网络的故障。 作为网络故障管理的拓展,OpManager还可以监视Windows和Unix日志文件。 以下教程将为您介绍如何使用OpManager来监视Windows事件日志:
事件日志监视是怎么工作的
- OpManager服务器在这里扮演了一个中心的Syslog服务器角色,从不同的被管设备收集消息。 OpManager通过WMI来认证网络中的Windows设备,收集指定的事件日志消息。
- 通过定义OpManager中的事件日志规则,OpManager将收集指定的事件日志消息。
- 将这些事件与OpManager告警关联,使之可以显示在OpManager的告警视图中。 这里为避免造成视图的紊乱,以及便于理解和查询,将不显示事件的内容。
- 您可以通过Web客户端或手机视图来查看告警信息。
- 只查看由Windows事件日志触发的告警,可以在告警标签下,选择菜单活动的告警 --> Windows事件。
需要监视的关键事件日志
以下为一些推荐监视的事件日志,如果在您的网络中存在一些其它的关键安全问题,您也可以将它们记录下来进行监视。
| Windows 事件ID | Windows Vista事件ID | 事件类型 | 描述 |
|---|---|---|---|
| (512 to 516), (518 to 520) | (4608 to 4612), (4614 to 4616) | 系统事件 | 记录本地系统进程,如系统启动和停止,以及对应的系统时间。 |
| 517 | 4612 | 审计日志被清除 | 表示清除所有审计日志的事件。 |
| 528, 540 | 4624 | 成功的用户登录 | 表示所有用户登录的事件。 |
| (529 to 537), 539 | 4625 | 登陆失败 | 表示所有失败的用户登录事件。 |
| 538 | 4634 | 成功的用户退出 | 表示所有的用户退出事件。 |
| 560, (562 to 568) | 4656, (4658 to 4664) | 对象访问 | 表示对指定对象(文件、目录等)的访问事件,它还包括访问的类型(读取、写入、删除),访问的成功与否,以及执行动作的用户。 |
| 612 | 4719 | 审计策略变更 | 表示所有在审计策略中执行变更的事件。 |
| (624 to 630), 642, 644 | 4720, (4722 to 4726), 4738, 4740 | 用户账户变更 | 表示所有与用户账户相关的操作事件,如用户账户的创建、删除、密码变更等。 |
| (631 to 641), 643, (645 to 666) | (4727 to 4737), (4739 to 4762) | 用户组变更 | 表示所有与用户组相关的操作,如添加、移除全局或本地组,在组中添加或移除成员等。 |
| 672, 680 | 4768, 4776 | 成功的用户账户验证 | 表示成功的用户账户登录事件,它是在域用户账户通过域控制器进行验证的时候生成的。 |
| 675, 681 | 4771, 4777 | 失败的用户账户验证 | 表示失败的用户账户登录事件,它是在域用户账户通过域控制器进行验证的时候生成的。 |
| 682, 683 | 4778, 4779 | 主机会话状态 | 表示会话重新连接或断开连接的事件。 |
除了以上相关的安全事件以外,您还可以为关键的应用和系统资源启用和追踪记录。
将事件日志变量添加到OpManager告警中
OpManager会基于以下属性生成事件日志的告警,下表为Windows事件日志和OpManager的事件告警参数对比:
| Windows事件日志属性 | 对应的OpManager告警属性 |
|---|---|
| 事件类型(Error、Warning、Information) | 告警严重性(Critical、Attention、Trouble、Clear) |
| Date | Date/Time |
| Time | 上次更新时间(time) |
| Source(故障的源) | Entity(故障的源,但是名称不会出现在界面上) |
| Description | Message |
配置事件日志监视
前提条件
- 在您将服务器移到产品环境之前,您需要确认日志的一些默认设置(大小和覆写选项),按照您企业的需求设置这些值,已匹配您的环境。
- OpManager使用WMI从远程Windows中获取事件日志,请确保您为所有被管Windows设备配置了正确WMI凭证。
- 您想要监视的Windows设备,必须首先使用OpManager发现它们。
配置监视的步骤:
配置WMI凭证
- 在OpManager用户界面,点击管理 --> 凭证设置,新建凭证
- 输入凭证的名称和描述
- 选择WMI凭证类型,输入以下参数:
- 域名\用户名
密码
示例:- TestDomain\TestUser.
监视设备中的事件日志
OpManager内建50个事件日志监视器,要监视Windows事件日志,您需要将事件日志监视器关联到设备。请参阅以下说明:
- 打开设备快照页面。
打开动作菜单,点击事件日志规则。
- 选择要监视的事件日志
- 如果需要,可配置轮询间隔,在每次轮询期间,选择的事件日志会和设备上记录的事件日志对比,如果有匹配的时间,OpManager就会生成告警。
- 点击保存。
使用快速配置向导
另外,您还可以使用快速配置向导,在多个设备上关联事件日志。
- 在管理页面,选择快速配置向导
- 选择关联事件日志到多个设备,点击下一步
- 从列表中选择日志文件
- 从规则列表中选择规则,点击下一步
- 选择您要监视事件日志的设备,将它们从左边列表移动到右边列表框中
点击完成,事件日志监视器就关联到了选择的设备
创建一个事件日志监视器
创建新的事件日志监视器,请参阅下面的步骤:
- 在管理页面,点击事件日志规则。
在此页面,您可以查看OpManager支持的规则,它们分为应用、安全、系统、DNS服务器、文件复制服务和目录服务。 您可以在这些类别下添加您想要监视的事件日志。 - 点击任意分类对应的添加链接,在该分类下创建新的规则。
除了规则名称以外的其它字段都为可选字段,事件ID是识别事件的必需字段,但是在一些例外的情况下可以留空,如:您要监测某事件类型下的所有事件,无论是错误或是信息消息。此种情况过滤器只需通过事件类型过滤即可。- 输入一个唯一的规则名称。
- 输入要监视的事件ID,这是事件日志唯一的标识符。
- 输入事件的源,这是记录事件日志的软件名称。
- 输入事件的类型, 每个事件源都会定义它自己的类型,如数据写入错误、数据读取错误等,将对应的事件记录在这些类型下。
- 输入用户名称,按照事件发生时,登陆到设备的用户来检索事件日志。
- 选择事件类型,如错误、告警、消息、安全审计成功、安全审计失败。
- 输入要与日志消息匹配的字串,这将会检索包含字串的日志。
- 选择OpManager中为此事件生成的告警的严重度。
点击添加股则来保存事件日志规则。
监视自定义事件日志
您还可以监视自定义的事件日志,一些应用的事件可以记录到一个新的分类下,而非系统默认的分类,以便管理。 您现在可以在OpManager中为这些事件日志配置规则,以及相应的告警。
步骤:
- 管理 > 事件日志规则 > 添加自定义事件日志(您可以在右上角的位置找到此链接)。
- 选择一个您可以用来查询日志类别的设备,点击查询设备,这将列出设备中的自定义日志类别。
- 选择您要监视的事件日志的类别,点击添加。
- 您可以在事件日志规则页面查看新建的类别。
点击添加,添加更多的日志类别。
在您添加完自定义的事件类别后,在此分类下添加规则。
将规则关联到需要监视的设备,在设备快照页面,从动作菜单中选择事件日志,选择要监视的事件日志规则。
在OpManager中查看事件日志的告警
在您将事件日志监视器关联到设备之后,OpManager就会按照事件日志规则中设置条件来监视设备中的事件, 当出现与条件匹配的日志时,OpManager就会生成一个对应的告警,您可以在OpManager告警页面查看明细。
- 点击OpManager的告警页签,您可以看到所有OpManager生成的告警
从活动的告警菜单,选择Windows事件,与事件日志相关的告警将会显示出来。
