监视Windows事件日志
首页 » 功能 » 监视Windows事件日志

使用OpManager监视Windows事件日志

(下载PDF)

Windows事件日志是用作Windows计算机上所有事件的占位符的文件。这包括系统、应用程序或操作系统上特定事件的日志。无论是不正确的登录尝试、黑客攻击、应用程序故障还是系统故障—所有这些事件都会“记录”在此处,有助于排除故障,还可以监视系统的健康状况。所有Windows事件都包含有关事件发生的信息,例如事件时间、事件源、故障类型以及事件类型的唯一ID。事件日志包含大量信息,可帮助管理员排除故障并管理系统。Windows设备上的事件查看器实用程序有助于查看该计算机上的所有事件。

为什么要监视事件日志?

预防胜于治疗。这也非常适用于网络监控!在这个黑客攻击司空见惯的互联网时代,成为一个聪明的主动管理者是必须的。保护网络信息、确保数据完整性、确保重要服务100%正常运行等对业务至关重要。使用多种工具来解决不同的监控问题只会加剧压力。让我们考虑以下两种可能性:

1.每日备份

定期备份网络数据是灾难恢复的第一步。假设您有一个像Veritas这样的应用程序为您执行备份工作。确保平稳备份是一项关键任务,特别是在您保存重要客户数据的环境中。如果备份失败了,而你只在第二天早上发现了它,你几乎不需要想象就会知道会发生什么!

2.ISA防火墙服务

当防火墙服务关闭或不愿意启动时,启用防火墙以实现安全性的目标将是一个折腾,而您将在数小时后发现它!最重要的是,没有一个管理员愿意在保护网络方面失败。通过短信息或电子邮件发出快速警告,或者在您的计算机上弹出ISA防火墙故障的弹出窗口,将节省大量时间。监视ID为11000的特定事件日志可以解决这个问题。

事件日志是第一个求助电话!当然,作为一名管理员,关注求助电话的责任在于您,您需要选择并制定适当的解决方案来跟踪重要事件。可以通过监视事件日志57751、34113来避免或至少及时修复上述两种情况,以防备份故障。

尽管Windows事件查看器对事件进行了详尽的描述,但问题是缺乏跨计算机的这些事件的集中视图。此外,大量的事件日志是“信息”事件,可以方便地忽略。自动监视重要事件日志是下一个合乎逻辑的步骤,因此需要一个有效的监视工具。也就是说,让我们看看除了监视所有其他网络资源之外,OpManager如何帮助您实现这一点。

OpManager-守护天使

我们理解简化、集中监控的重要性。没有什么比应用程序智能地过滤重要事件日志并定期通知它更酷的了。这除了监视设备、应用程序和其他硬件资源之外!

OpManager提供了一组大约50个预定义的事件日志规则。此外,您可以根据需要配置任意多的规则,以满足事件日志监视需要并分配适当的严重性。默认规则也可以修改或删除。根据这些规则,事件日志将转换为OpManager警报,您还可以通过电子邮件或sms收到通知。基于任何或所有windows事件日志属性定义规则的能力是肯定的!

OpManager充当您网络的守护天使,监视整个Windows环境的重要事件日志,如上所述。例如,对特定计算机的访问受到限制的用户试图访问其中一台计算机上的网络驱动器,这会引起安全问题。事件日志中会触发失败审核事件,您将看到安全事件日志类别中列出的事件。只需单击几下,就可以为所有windows计算机配置此失败审核事件日志监视。当发生这种性质的安全事件时,OpManager会生成相应的有意义的警报,并通过SMS或电子邮件立即通知。

管理员不可能在每台机器的事件日志上监视安全漏洞。当他能从一个控制台看到所有的问题时,生活就容易多了。如果OpManager部署在这个网络中,这是可能的。

需要监视的典型Windows事件:

安全事件

通常,从内部用户那里保护网络成为一项艰巨的任务。受限制访问关键服务器的用户尝试登录。黑客有时会干预审计服务,这样就不会追踪登录尝试。所有这些都记录了安全事件。

应用程序事件

任何应用程序失败都会引发事件。高度关键的服务(如Active Directory及其相关服务)、关键服务(如ISA)启动失败、尝试访问应用程序的用户超过允许数量、应用程序运行的系统资源不足等,都需要全天候监控。所有这些对企业来说都是至关重要的,如果无人看管,成本将会很高。您将找到所有这些的事件日志。

系统事件

系统的健康状况必须良好,才能服务于重要的应用程序。任何系统故障都需要监控。它可能是坏磁盘,用户试图替换系统文件。同样,失败的第一条线索来自事件日志。

DNS服务器

Active Directory在很大程度上依赖于DNS服务的可用性。不用说,它需要监督。域控制器有一个特定的类别来记录特定于DNS的系统事件。

文件复制服务器

此服务负责跨域控制器复制数据。此服务失败会导致登录等关键问题。因此,这也需要监测。与DNS一样,也为FRS提供了一个单独的类别,以便更快地进行故障排除。

OpManager监视上述所有类别的事件日志,实际上您可以定义自己的事件日志规则!以下是一些显示OpManager功能的屏幕截图:

查看Windows事件日志的单独视图:

单独视图中的事件日志

处理成OpManager报警的事件日志:

事件日志警报

OpManager中直观的预定义事件日志规则:

直观的预定义规则

通过电子邮件或短信通知事件日志:

事件日志通知配置文件

选择应发送通知的规则:

选择事件日志规则

我们建议监视以下事件日志。请注意

类别 事件ID
安全
  • 564- Object Deletion failure due to restricted permissions
  • 536 -  NetLogon inactive or not available for this user
  • 537 - Unknown/Unexpected error
  • 513 - Server shutting down
Application
  • 11000 - ISA Service failure
  • 17052 - Insufficient memory available for MS SQL
  • 5774, 5775, 5781, 5783, 5805 - Netlogon service events
  • 40960, 40961 - LDAP service events
System
  • 64001- System file replacement
  • 7 - Disk : Bad Sector detected
  • 4202 - Network adaptor disconnected
DNS Server
  • 6004 - Bad DNS Zone Transfer
  • 4016 - DNS Server has timed out
  • 6527 - DNS Zone has been shut down
File Replication Server 13508, 13509, 13511, 13522, 13526

摘要

OpManager是一个全面的监视解决方案,它监视网络上的所有资源,并具有广泛的windows事件日志监视功能。集中管理事件日志再简单不过了!!如有任何疑问,请访问我们的支持门户。

我们的客户

相关产品
Back to Top