事件日志检查 - 远程管理监控

无评分

本文适用于所有远程管理监控和资产管理客户。

常规

事件日志检查是必须具有Windows操作系统的远程管理监控和资产管理检查,它使我们能够深入了解 Windows操作系统中发生了一个事件是什么?什么时候?如何发生?

什么是事件查看器和如何使用?

要了解有关此主题的更多信息,请参阅有关Digital Citizen和How-to Geek的文章:

事件日志检查如何工作?

远程管理监视和资产管理服务使用Windows API来监视事件查看器日志。每分钟一次,系统会将事件查看器日志与远程管理监视和资产管理策略中的事件日志检查要求进行比较。

当在事件查看器日志中找到我们需要报告的事件时,远程管理监视和资产管理服务会将其报告给TeamViewer管理控制台并发送电子邮件通知。

如何设置事件日志检查?

为了设置事件日志检查,我们需要将检查添加到远程管理监控和资产管理策略。

Workflow.png

提示:您可以在一个策略中添加多个事件日志检查

我们准备配置我们想要监控的事件。

名称:选择此检查的描述性名称。

事件记录到查询:这里我们需要选择要监视的Windows事件查看器文件夹。

  • 应用
  • 安全
  • 系统

事件ID:在这里我们可以添加一个特定的事件ID来监控,多个事件ID由“,”(逗号)分隔。

事件来源:在这里,我们粘贴生成事件的事件源的确切名称。

我们需要确保名称与事件查看器事件详细信息中列出的相同 - > System-> Provider  - > EventSourceName

Event Log in event Viewer.PNG

注意: 系统可以在不添加任何事件源的情况下工作,但是,我们建议指定事件源(如果已知)。这样,当Windows事件查看器生成所需事件时,将发送正确的通知,并将过滤掉由多个源生成的垃圾邮件通知。

事件类型:在这里,我们选择事件查看器触发时要通知的事件级别。

事件类型 描述
错误 指示诸如数据丢失或功能丧失等重大问题的事件。 例如,如果在启动期间无法加载服务,则会记录错误事件。
警告 事件不一定重大,但可能表明未来可能存在问题。 例如,当磁盘空间不足时,会记录警告事件。 如果应用程序可以从事件中恢复而不会丢失功能或数据,则通常可以将事件归类为警告事件。
信息 描述应用程序,驱动程序或服务的成功操作的事件。 例如,当网络驱动程序成功加载时,可能适合记录信息事件。 请注意,桌面应用程序通常不适合在每次启动时记录事件。
审计成功 记录成功的审计安全访问尝试的事件。 例如,用户成功登录系统的尝试将记录为“成功审核”事件。
审计失败 记录失败的审计安全访问尝试的事件。 例如,如果用户尝试访问网络驱动器并失败,则会将尝试记录为“失败审核”事件。

提示:如果对选择的事件类型有疑问,我们可以选择全选,这样系统将根据事件ID和源进行报告,在几次触发警报后,我们可以进一步过滤掉它。

通知:添加通知电子邮件。我们需要确保所需的电子邮件地址是TeamViewer 公司配置文件的一部分,或者是用户帐户中的联系人。这是系统中设计的安全设置。

 

现在我们可以保存策略,并从Manage Endpoints对话框中将它应用到计算机上。

注意: 如果我们需要将策略添加到一组计算机,我们需要将其添加到组属性中(将鼠标悬停在一个组上 - >单击笔 - >选择编辑),然后将所有系统从托管端点对话框设置为“继承自组“。

 

保存策略并将其应用于计算机或组后,它将在几秒钟内推送到受监控的端点,系统将开始监视Windows事件查看器。

如果触发警报,它将显示在监控页面的警报列表中,并将发送电子邮件通知以及有关事件的更多详细信息。MCO alert good.png

e-mail Alert good one.png

版本历史
修订号
4 / 4
上次更新时间:
1 个月之前
更新依据:
 
贡献者