監視 Windows 事件記錄檔 - 教程

第 II 部分 - 實施

歡迎閱讀事件記錄檔監視教程的第 II 部分。在本教程結束時，您將能夠在您的網路中成功實施 Windows 事件記錄檔監視。如果您是初次使用者，您可能想要查看涵蓋事件記錄檔基礎的第 I 部分。

集中式事件記錄檔監視

以下是本教程中涵蓋的主題大綱：

概覽

事件記錄檔記錄了裝置上發生的所有事件，並包含了一些安全隱患和應用程式效能問題的線索。管理員手動檢查和追蹤每台 Windows 裝置上的問題是一項乏味的工作。使用統一主控台追蹤所有 Windows 裝置上的特定事件，讓事件管理變得輕鬆。一個能夠監視事件記錄檔的解決方案實際上可以剖析 Windows 事件，並顯示已處理事件以及解決方案觸發的其他警示，從而為管理員提供靈活性，從一個視窗進行完整的網路錯誤管理。

OpManager 是一個網路監視解決方案，可監視網路上所有資源的效能並管理網路錯誤。OpManager 擴展了其網路錯誤管理功能，還可以監視 Windows 和 Unix 記錄。本教程的以下部分可幫助您使用 OpManager 設定對 Windows 事件記錄檔的監視。

事件記錄檔監視如何工作

OpManager 伺服器的工作方式類似於集中式 Syslog 伺服器，用於收集來自不同受監視裝置的訊息。OpManager 使用 WMI 向網路上的 Windows 裝置進行驗證並收集指定的事件記錄檔訊息。
根據定義為事件記錄檔規則的處理標準，事件記錄訊息被收集並剖析到 OpManager 事件中。事件記錄檔規則可自訂。
然後，這些事件將作為 OpManager 警示相互關聯，並顯示在 OpManager 警告 GUI 中。事件將不會顯示，以免其塞滿您的視圖。
您可以連線到 Web 用戶端或 Smartphone GUI 來檢視警告。
要僅檢視由 Windows 事件記錄檔觸發的警告，請移至「警告」索引標籤，然後選取「活動警告」->「Windows 事件」。這裡列出了所有基於事件記錄檔的警示。

OpManager Event Log Monitoring - Workflow

要監視的事件記錄檔排序

以下是需要監視的推薦安全性事件記錄檔清單。確保識別特定於您的企業的其他安全性問題,並記錄下來以進行監視。

Windows 事件 ID	Windows Vista 事件 ID	事件類型	說明
(512 至 516), (518 至 520)	(4608 至 4612), (4614 至 4616)	系統事件	標識本機系統process，如係統啟動和關閉以及系統時間變更
517	4612	稽核記錄已清除	標識所有稽核記錄清除事件
528, 540	4624	使用者成功登入	標識所有使用者登入事件
(529 至 537), 539	4625	登入失敗	標識所有失敗的使用者登入事件
538	4634	使用者成功登出	標識所有使用者登出事件
560, (562 至 568)	4656, (4658 至 4664)	物件存取	標識何時存取給定物件（檔案、目錄等）、存取類型（如讀取、寫入、刪除）以及存取是否成功/失敗以及執行動作的人員
612	4719	稽核原則變更	標識稽核原則中所做的所有變更
(624 至 630), 642, 644	4720, (4722 至 4726), 4738, 4740	使用者帳戶變更	識別使用者帳戶所做的所有變更，如使用者帳戶建立、刪除、密碼變更等。
(631 至 641), 643, (645 至 666)	(4727 至 4737), (4739 至 4762)	使用者群組變更	標識在使用者群組組上完成的所有變更，例如新增或刪除全域或本機組、新增或刪除全域或本機組中的成員等。
672, 680	4768, 4776	使用者帳戶驗證成功	標識在網域控制器上驗證網域使用者帳戶時生成的使用者帳戶成功登入事件
675, 681	4771, 4777	使用者帳戶驗證失敗	標識在網域控制器上驗證網域使用者帳戶時,生成的使用者帳戶失敗登入事件
682, 683	4778, 4779	主機會話狀態	標識會話重新連線或斷開連線

除了上述與安全性相關的事件外，還啟用和追蹤任務關鍵型應用程式和系統資源的記錄

將事件記錄檔變數對應至 OpManager 警示

根據下面列出的事件記錄檔屬性,對事件記錄檔進行篩選，以剖析至 OpManager 警示。該表格顯示了事件記錄檔屬性和相應警示屬性的鬆散對應，以便於理解：

Windows 事件記錄檔屬性	相應的 OpManager 警示屬性
事件類型（錯誤、警告、資訊）	警示嚴重性（危險、注意、故障、清除）
號	日期/時間
時間	上次更新（時間）
來源（發生錯誤的源）	實體（發生錯誤的源，但名稱不顯示在 GUI 中）
說明	訊息

使用 OpManager 設定事件記錄檔監視

先決條件

在將伺服器移動到生產環境之前，您應該驗證事件記錄檔的預定義值（大小和覆寫選項）是否適合您的環境。根據企業需求變更值。
OpManager 使用 WMI 向網路中的遠端 Windows 裝置進行驗證以擷取事件記錄檔。確保您有正確的網域名稱、具有管理權限的使用者名稱,以及用於啟用驗證的相應密碼清單。
必須在 OpManager 中,探索要監視其事件記錄檔的 windows 裝置。

設定監視的步驟/h2>

設定 WMI 認證

監視裝置中的 Windows 事件

使用快速設定精靈

建立事件記錄檔監視器

監視自訂事件記錄檔

在 OpManager 中檢視基於事件記錄檔的警示

設定 WMI 認證

在 OpManager GUI 中，移至「管理員」->「認證設定」。
設定認證名稱和描述。
在此銀幕中按一下「新增」。
設定以下參數並按一下「新增」以新增認證：

網域名稱
使用者名稱
密碼。
範例：- TestDomain\TestUser.

監視裝置中的 Windows 事件記錄檔

OpManager 擁有 50 多個立即可用的事件記錄檔監視器。要監視 Windows 事件記錄檔，您需要將事件記錄檔監視器關聯到裝置。要執行此操作，請遵循以下給定步驟:

移至裝置快照頁面。
從動作功能表中，按一下事件記錄檔規則。
選擇要在裝置中監視的事件記錄檔。
如有必要，變更輪詢時間間隔。在每次輪詢期間，將所選事件記錄檔與裝置中記錄的事件進行比較，並為匹配事件生成警告。
按一下儲存以儲存變更。

使用快速設定精靈

或者，您可以使用「快速設定」精靈,一次性將事件記錄檔規則與多個裝置相關聯。

在「管理員」索引標籤中，選取「快速設定精靈」。
選取將事件記錄檔規則關聯至多個裝置選項，然後按一下「下一步」。
從顯示的清單中選取記錄檔案。
從顯示的規則清單中選取任一規則。按一下「下一步」。
從左側的欄中,選取要監視其事件記錄檔的裝置，並將它們移動到右側。
按一下「結束」。事件記錄檔監視器已關聯至所選裝置。

建立新的事件記錄檔監視器

要建立新的事件記錄檔監視器，請遵循以下步驟：

在管理員索引標籤，按一下事件記錄檔規則。

在此頁面中，您可以看到 OpManager 支援的規則。它們分類為應用程式、安全性、系統、DNS 伺服器、檔案複寫服務和目錄服務。您可以在任何這些類別下新增要監視的事件記錄檔。
在任何一個類別下,按一下新建規則以在其中新增規則。

除「規則名稱」外的所有欄位都是可選的。事件 ID 是標識事件的必填欄位，但在少數例外情況下,可以保留為空，例如您想要監視具有某個事件類型（如錯誤或資訊）的所有事件。這裡的篩選條件將基於事件類型。
- 輸入唯一的規則名稱。
- 輸入要監視的事件 ID。這是事件記錄檔的唯一識別碼。
- 輸入事件來源。這是記錄事件的軟體的名稱。
- 輸入事件類別。每個事件源都定義了自己的類別，例如資料寫入錯誤、日期讀取錯誤等，並且將歸入這些類別之中。
- 輸入使用者名稱,以根據事件發生時已登入的使用者,篩選事件記錄檔。
- 選擇事件類型,以根據其類型篩選事件記錄檔。這通常是錯誤、警告、資訊、安全性稽核成功和安全性稽核失敗之一。
- 輸入要與記錄訊息進行比較的字串。這將篩選記錄訊息中,包含此字串的事件。
- 在 OpManager 中為此事件生成的警告選擇嚴重性。
按一下新增規則以儲存事件記錄檔規則。