本文适用于所有远程管理监控和资产管理客户。
概述
事件日志检查是必须具有Windows操作系统的远程管理监控和资产管理检查,它使我们能够深入了解 Windows操作系统中发生了一个事件是什么?什么时候?如何发生?
什么是事件查看器和如何使用?
要了解有关此主题的更多信息,请参阅有关Digital Citizen和How-to Geek的文章:
事件日志检查如何工作?
远程管理监视和资产管理服务使用Windows API来监视事件查看器日志。每分钟一次,系统会将事件查看器日志与远程管理监视和资产管理策略中的事件日志检查要求进行比较。
当在事件查看器日志中找到我们需要报告的事件时,远程管理监视和资产管理服务会将其报告给TeamViewer (Classic)管理控制台并发送电子邮件通知。
如何设置事件日志检查?
为了设置事件日志检查,我们需要将检查添加到远程管理监控和资产管理策略。
💡提示:您可以在一个策略中添加多个事件日志检查
我们准备配置我们想要监控的事件。
名称:选择此检查的描述性名称。
事件记录到查询:这里我们需要选择要监视的Windows事件查看器文件夹。
事件ID:在这里我们可以添加一个特定的事件ID来监控,多个事件ID由“,”(逗号)分隔。
事件来源:在这里,我们粘贴生成事件的事件源的确切名称。
我们需要确保名称与事件查看器事件详细信息中列出的相同 - > System-> Provider - > EventSourceName
📌注意: 系统可以在不添加任何事件源的情况下工作,但是,我们建议指定事件源(如果已知)。这样,当Windows事件查看器生成所需事件时,将发送正确的通知,并将过滤掉由多个源生成的垃圾邮件通知。
事件类型:在这里,我们选择事件查看器触发时要通知的事件级别。
💡提示:如果对选择的事件类型有疑问,我们可以选择全选,这样系统将根据事件ID和源进行报告,在几次触发警报后,我们可以进一步过滤掉它。
通知:添加通知电子邮件。我们需要确保所需的电子邮件地址是TeamViewer (Classic) 公司配置文件的一部分,或者是用户帐户中的联系人。这是系统中设计的安全设置。
现在我们可以保存策略,并从Manage Endpoints对话框中将它应用到计算机上。
📌注意: 如果我们需要将策略添加到一组计算机,我们需要将其添加到组属性中(将鼠标悬停在一个组上 - >单击笔 - >选择编辑),然后将所有系统从托管端点对话框设置为“继承自组“。
保存策略并将其应用于计算机或组后,它将在几秒钟内推送到受监控的端点,系统将开始监视Windows事件查看器。
如果触发警报,它将显示在监控页面的警报列表中,并将发送电子邮件通知以及有关事件的更多详细信息。
