Vérification du journal de bord - Remote Management Surveillance

Pas d'évaluation

Cet article s'applique à tous les clients Remote Management Surveillance & Asset Management.

Général

La vérification du journal de bord est un must Remote Management Surveillance & Asset Management vérifient le système d'exploitation Windows, nous permettant d'obtenir des informations sur ce qui s'est passé, à quel moment et comment dans le système d'exploitation Windows.

Qu'est-ce que l'Observateur d'événements et comment l'utiliser ?

Pour en savoir plus sur ce sujet, veuillez consulter les articles des magazines Digital Citizen et How-to Geek :

Comment fonctionnent les vérifications du journal de bord ?

Remote Management Surveillance & Asset Management Le service utilise l'API Windows pour contrôler les journaux de  l'Observateur d'événements. Chaque minute, le système compare les journaux de l'Observateur d'événements avec les exigences en matière de vérification du journal de bord de la stratégie Remote Management Surveillance & Asset Management.

Lorsqu'un événement qui doit être signalé est identifié dans les journaux de l'Observateur d'événements, le service Remote Management Surveillance & Asset Management  en informe TeamViewer Management Console et envoie une notification par e-mail.

Comment configurer la vérification du journal de bord ?

Pour configurer la vérification du journal de bord, il convient d'ajouter cette vérification à la stratégie Remote Management Surveillance & Asset Management.

Workflow.png

Astuce : vous pouvez ajouter plusieurs vérifications du journal de bord dans une stratégie

Nous sommes maintenant prêts à configurer le ou les événements à contrôler.

Nom : sélectionnez un nom descriptif pour cette vérification.

Journal de bord à interroger : sélectionnez ici le dossier Observateur d'événements Windows à contrôler.

  • Application
  • Sécurité
  • Système

ID(s) d'événement : ajoutez ici un ID d'événement spécifique à contrôler, plusieurs ID d'événements séparés par « , »(virgule).

Source de l'événement :  collez ici le nom exact de la source de l'événement générant les événements.

Assurez-vous que le nom est identique à celui qui est répertorié dans les détails de l'événement de l'Observateur d'événements -> Système -> Fournisseur -> Nom de la source de l'événementEvent

Note : le système peut fonctionner sans ajouter la source de l'événement. Toutefois, nous vous recommandons de la spécifier si vous la connaissez. Ainsi,  une notification appropriée sera envoyée lorsque l'événement souhaité sera généré par l'Observateur d'événements Windows et filtrera les notifications de spams générées par plusieurs sources.

Type d'événement :  choisissez ici le niveau de l'événement qui vous sera notifié lorsqu'il sera déclenché par l'Observateur d'événements.

Type d'événement Description
Erreur Un événement indique un problème majeur, comme une perte de données ou de fonctionnalités. Par exemple, si le chargement d'un service échoue lors du démarrage, un événement Erreur est journalisé.
Avertissement Un événement qui n'est pas nécessairement significatif, mais qui peut indiquer un futur problème potentiel. Par exemple, lorsque l'espace disque est faible, un événement Avertissement est journalisé. Si une application peut récupérer à la suite d'un événement, sans perte de fonctionnalités ni de données, elle peut généralement classer l'événement comme un événement Avertissement.
Information Un événement qui décrit le fonctionnement correct d'une application, d'un pilote ou d'un service. Par exemple, lorsqu'un pilote réseau se charge correctement, il peut être approprié de journaliser un événement Information. Notez qu'il est généralement inapproprié pour une application de Bureau de journaliser un événement à chacun de ses démarrages.
Audit réussi Un événement qui enregistre une tentative d'accès de sécurité auditée correcte. Par exemple, la tentative réussie d'un utilisateur de se connecter au système est journalisée en tant qu'événement Audit réussi.
Échec d'audit Un événement qui enregistre une tentative d'accès de sécurité auditée incorrecte. Par exemple, si un utilisateur essaie d'accéder à un lecteur réseau et échoue, la tentative est journalisée en tant qu'événement Échec d'audit.

 

Astuce : en cas de doute sur le type d'événement à sélectionner, vous pouvez choisir Tout sélectionner pour que le système fasse les signalements en fonction de l'ID et de la source de l'événement. Après quelques alertes déclenchées, vous pouvez filtrer davantage.

 Notification : ajoutez le ou les e-mail(s) de notification. Vous devez vous assurer que l'adresse e-mail souhaitée fait partie du profil d'entreprise TeamViewer ou est un contact dans le compte de l'utilisateur. Ce paramètre de sécurité est intégré dans le système.

 

Vous pouvez maintenant enregistrer la stratégie qui sera appliquée aux ordinateurs à partir de la boîte de dialogue Gérer les terminaisons.

Note : si vous devez ajouter la stratégie à un groupe d'ordinateurs, ajoutez-la dans les propriétés du groupe (passez la souris sur un groupe -> Cliquez sur le crayon -> et sélectionnez Éditer), puis configurez tous les systèmes à partir de la boîte de dialogue Gérer les terminaisons sur « Hériter à partir du groupe ».

 

Après avoir enregistré la stratégie et l'avoir appliquée aux ordinateur(s) ou groupe(s), elle est poussée en quelques secondes vers les points de terminaison contrôlés, et le système démarre la surveillance de l'Observateur d'événements Windows.

Si une alerte est déclenchée, elle est affichée dans la liste des alertes de la page Monitoring, et une notification par e-mail est envoyée, contenant des informations plus détaillées sur l'événement.

 MCO

 

e-mail

 

Historique des versions
Numéro de la révision
4 de 4
Dernière mise à jour :
‎04 juin 2019, 10:36 AM
Mis à jour par :
 
Contributeurs