如何被动监视Windows事件日志？

如何远程监控 Windows事件日志,以便在发生特定事件时自动通知我？

有许多主动监控解决方案,但它们需要人工关注或持续轮询.我需要一个被动解决方案,只需在特定事件发生时生成通知.

陷阱表格(OID)

这些陷阱将以下列形式符合Microsoft私有企业MIB分支：

1.3.6.1.4.1.311.1.13.X.n.n.n.n.n.n.n.n.n...

每个“n”是来自事件日志源名称的ASCII字符八位字节的十进制编码,X表示要遵循的字符数.

因此,例如,源“Prefect”生成的陷阱(如事件查看器中所示)将显示为：

1.3.6.1.4.1.311.1.13.7.80.114.101.102.101.99.116

Windows 2000 Server不完全支持此操作,并将生成稍微不同格式的陷阱,但过程在其他方面完全相同.所有较新版本的Windows服务器都支持此功能

配置陷阱发送

您将使用两个内置工具来设置陷阱生成.

evntwin：创建事件日志消息到SNMP陷阱的映射
evntcmd：由evntwin创建的加载映射,以便生成陷阱

从命令提示符运行evntwin：这将生成一个GUI.在配置类型下选择“自定义”,然后选择“编辑”.您现在将看到所有可能事件源的列表.在您感兴趣的来源下,选择您希望生成陷阱的特定事件ID.然后,单击“添加”.

现在,您将看到陷阱的实际OID,特定ID以及在发送陷阱之前设置事件发生的基于时间的阈值的选项.

重复,直到为您关心的每个特定陷阱/事件组合创建映射.然后,单击“应用”,突出显示所有映射,然后“导出…”保存文件,然后退出应用程序.

现在,再次从命令行运行evntcmd,指定刚刚创建的文件的名称：

evntcmd myeventfile.cnf

从现在开始,您指定的事件将生成SNMP陷阱,这些陷阱将发送到您在SNMP服务设置中配置的所有陷阱接收器目标.像处理任何普通的SNMP陷阱一样处理它们.

（编辑：站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!