👩‍👧‍👦 🕣 ♍️ एक नियमित विंडोज इवेंट लॉग रिपोर्ट बनाएं 🐂 🍵 👨🏼‍💻

विंडोज इवेंट लॉग की निगरानी की आवश्यकता निर्विवाद है। इस विषय पर लेख नियमित रूप से दिखाई देते हैं, जिसमें हैबे भी शामिल है। हालांकि, किसी कारण के लिए सभी उदाहरण एक पूर्वनिर्धारित EventID की निगरानी के लिए नीचे आते हैं। मेरे WinLogCheck उपयोगिता में, मैंने एक अलग रास्ता चुना - EventLog पर एक रिपोर्ट प्राप्त करें, नियमित रूप से दिखाई देने वाली घटनाओं को छोड़कर और मेरे लिए कोई दिलचस्पी नहीं है।

जैसा कि यह निकला, यह एक अनूठा विकल्प नहीं है; लिनक्स उपयोगिता, लॉगचेक , उसी दृष्टिकोण पर आधारित है। लेकिन यह पूरी तरह से संभव है कि मेरा निर्णय, फिर भी, थोड़ा पहले दिखाई दिया।

इस लेख में मैं तकनीकी विवरण के बिना करने की कोशिश करूंगा। सृजन के इतिहास के बारे में थोड़ा - मेरी राय में, यह समझने में मदद करेगा कि यह उपयोगिता क्यों और किन स्थितियों में दिखाई देती है और कहीं इसका उपयोग करना बेहतर है। निम्नलिखित ऑपरेशन एल्गोरिथ्म का संक्षिप्त विवरण और उपयोग के निर्देशों के समान कुछ है।

एक संक्षिप्त इतिहास और कौन WinLogCheck का उपयोग कर सकता है

यह समाधान मुझे वर्तमान में एक दर्जन से अधिक विंडोज सर्वर को नियंत्रित करने की अनुमति देता है और 1998 से मेरे काम में मेरी मदद कर रहा है। सक्रिय संस्करण Windows NT 4. पर तीन सर्वरों की निगरानी करने के लिए ActiveState Perl में लिखा गया था। Windows Server 2003 के लिए, JScript में Logparser के लिए एक शेल लिखा गया था। लेकिन विंडोज सर्वर 2008 की रिलीज के साथ, मुझे स्क्रैच से शुरू करना पड़ा। पॉवरशेल में लिखने का प्रयास किया गया था, लेकिन जब से मैं कभी-कभी कार्यक्रमों के विकास में भाग लेता हूं और थोड़ा सी # जानता हूं, तो यह विकल्प मेरे लिए सुविधाजनक हो गया।

बहुत पहले संस्करण को एक डोमेन में काम करने के लिए डिज़ाइन किया गया था - उपयोगिता को एक सर्वर पर लॉन्च किया गया था और डोमेन के सभी सर्वरों पर एक रिपोर्ट तैयार की गई थी। हालाँकि, पहले से ही विंडोज सर्वर 2003 में, नेटवर्क पर इवेंट लॉग के लिए एक अनुरोध बहुत लंबे समय के लिए निष्पादित किया जाना शुरू हो गया (कारणों को समझ में नहीं आया), और सर्वर उस कंपनी के मुख्य डोमेन के बाहर दिखाई दिए जिसमें मैं काम करता हूं। इसलिए, कुछ मामलों में किसी भी तैयार किए गए केंद्रीकृत समाधान का उपयोग करना असंभव है।

जब कुछ लिनक्स सर्वर मेरे "सबमिशन" में दिखाई दिए, तो मैंने अपनी उपयोगिता, लॉगचेक के एनालॉग के अस्तित्व के बारे में सीखा। जो लोग जानते नहीं हैं, उनके लिए उपयोगिता का उल्लेख किया गया है और कई लिनक्स और फ्रीबीएसडी सुरक्षा सामग्रियों की सिफारिश की जाती है, उदाहरण के लिए, डेबियन सुरक्षा गाइड में। उसके बाद, WinLogCheck (मूल रूप से इसे अननोनवेंट्स कहा जाता था) नाम के तहत उपयोग करने और प्रकाशित करने के लिए उनकी उपयोगिता को और अधिक सुविधाजनक बनाने का निर्णय लिया गया।

नतीजतन, उपयोगिता लॉगचेक के समान और भी अधिक हो गई - मेरे पास प्रत्येक सर्वर पर 9:00 बजे चल रहा है और मेरे मेलबॉक्स में 5-10 मिनट के बाद रिपोर्ट के साथ एक दर्जन से अधिक संदेश हैं। आमतौर पर एक दो मिनट मेरे लिए सब कुछ देखने के लिए पर्याप्त होता है।

कई बार मैंने एक तैयार निगरानी उपकरण खोजने की कोशिश की, लेकिन मैं कभी भी सुविधाजनक, सरल और व्यावहारिक कुछ भी नहीं मिला। शायद यह सब आदत की बात है। हालांकि, यदि आपके पास बहुत अधिक संख्या में सर्वर नहीं हैं - तो इसे आज़माएं, हो सकता है कि आप मेरे संस्करण को पसंद करेंगे।

कैसे Winlogcheck काम करता है

ऑपरेशन का मुख्य तरीका:

पंजीकृत घटना लॉग की एक सूची प्राप्त करें। सक्रिय निर्देशिका वाले सर्वर के लिए नियमित विंडोज सर्वर 2008 - 7 के लिए - 10।
प्रत्येक ईवेंट लॉग के लिए, एक अनुरोध उत्पन्न होता है - अंतिम दिन (लगभग) के लिए ईवेंट की एक सूची प्राप्त करें, अपवाद फ़ाइल में निर्दिष्ट घटनाओं को छोड़कर "\ path \ to \ winlogcheck \" eventlog_name> .conf।
एक HTML रिपोर्ट उस सूची से उत्पन्न होती है जो एक अस्थायी फ़ाइल को लिखी जाती है (यदि रिपोर्ट के साथ पत्र नहीं पहुंचता है)।
रिपोर्ट मेल द्वारा भेजी जाती है।

इस तथ्य के बावजूद कि .NET के पास घटनाओं की सूची प्राप्त करने के अपने तरीके हैं, मैं WMI (अधिक विवरण WMI कार्य: ईवेंट लॉग ) का उपयोग करता हूं। संदेश परीक्षण के साथ काम करना आसान है बड़ी संख्या में लॉग प्रविष्टियों के साथ प्रश्नों को निष्पादित करने में देरी केवल एकमात्र नकारात्मक है। उदाहरण के लिए, एक रिपोर्ट बनाने वाले डोमेन नियंत्रक में 5-6 मिनट लगते हैं।

प्रत्येक सर्वर के लिए कार्य दिवस की शुरुआत में, मुझे इस रिपोर्ट की तरह कुछ मिलता है (यह हाइपर- V के साथ वास्तव में काम करने वाले विंडोज सर्वर 2008 R2 से एक रिपोर्ट है):

सब कुछ क्रम में है, डीएनएस-क्लाइंट में एक बार की त्रुटि को विशेष ध्यान देने की आवश्यकता नहीं है। विषय संदेशों पर ध्यान दें - अक्सर अक्षरों को खोलने की भी आवश्यकता नहीं होती है: आमतौर पर विषय "त्रुटियों = 0, चेतावनी = 0, अन्य = 0" वाक्यांश के साथ समाप्त होता है।

WinLogCheck का उपयोग कैसे करें

कमांड लाइन विकल्प

उपयोगिता को कमांड लाइन से व्यवस्थापक अधिकारों के साथ लॉन्च किया गया है।
अनिवार्य पैरामीटर - ऑपरेटिंग मोड: EXCLUDE या INCLUDE। मुख्य EXCLUDE मोड में शुरू:

winlogcheck -m exclude

दो वैकल्पिक पैरामीटर INCLUDE मोड के लिए प्रदान किए जाते हैं (अपने लिए, मैं इसे विशेष रिपोर्टिंग मोड कहता हूं):

-l <eventlog_name> - एक रिपोर्ट प्राप्त करने के लिए लॉग को निर्दिष्ट करने के लिए
-f फ़ाइल में फ़िल्टर का नाम "\ path \ to \ winlogcheck \" है, जिसमें \ <Eventlog_name_f शामिल है।

उदाहरण के लिए, इस सर्वर पर आरएएस सर्वर के सफल कनेक्शन पर एक अलग रिपोर्ट के लिए, मेरे पास निम्न पाठ के साथ फाइल (पथ \ _ to \ winlogcheck \ _ \ system.conf) है (नीचे फिल्टर के साथ फ़ाइल प्रारूप के बारे में):

 [General] RASconnects : SourceName = 'RemoteAccess' AND EventCode = 20272

यह दिन में एक बार शुरू होता है:

winlogcheck -m include -l system -f RASconnects

स्वाभाविक रूप से, EXCUDE मोड के लिए एक ही फिल्टर है - ताकि ये रिकॉर्ड सामान्य सर्वर रिपोर्ट में न हों। रिपोर्ट में से एक:

EXCLUDE मोड में, मैं केवल परीक्षण के लिए वैकल्पिक मापदंडों का उपयोग करता हूं।

कार्यक्रम के मापदंडों

पैरामीटर winlogcheck.ini कॉन्फ़िगरेशन फ़ाइल में संग्रहीत हैं। फ़ाइल छोटी है, इसलिए मैं इसे अतिरिक्त टिप्पणियों के साथ पूरी तरह से देता हूं:

 [General] ##   ( ). ##  :  24  (  ) ## #TimePeriod = 24 ##     ##  : 'path\to\winlogcheck\reports\' ##        ,   ##   ,    -. ## -    . ## #ReportPath = c:\inetpub\wwwroot\winlogcheckreports ## CSS   . ##   ! ## ReportCSS = h1 {margin:0;font-weight:400} .servername, .subhead {font-weight:700} table {width:100%;} td {padding:0.25em} th {border:1px 0} tr:nth-child(odd) td {padding-bottom:1.5em, border-bottom:1px} tr:nth-child(even) {background-color:rgb(248,248,248)} caption {font-size:120%;text-align:left;padding:10px;background:rgb(216,216,216)} .error, .failure {background:rgb(255,127,127)} .warning {background:rgb(255,233,127)} ##   ##   -   . ##     ,  ##   . ## #[Mail] #SMTP_Server = localhost #Mail_From = Winlogcheck SERVERNAME <administrator@example.com> #Mail_To = Administrator SERVERNAME <administrator@example.com>

उपयोगिता की निगरानी करना

NLog का उपयोग हमारी कंपनी के विकास में किया जाता है, इसलिए मैंने पहिया को सुदृढ़ करना शुरू नहीं किया। पैकेज में शामिल NLog के लिए कॉन्फ़िगरेशन फ़ाइल निष्पादन लॉग को कंसोल में और "पथ \" to \ winlogcheck \ log \ winlogcheck.log "को रोटेशन (हर दिन एक नई फ़ाइल, भंडारण अवधि 10 दिन) के साथ आउटपुट करने के लिए कॉन्फ़िगर किया गया है।

फ़िल्टर सेटिंग्स

हम सबसे दिलचस्प से गुजरते हैं। IIS स्थापित सर्वर पर विशिष्ट ईवेंट व्यूअर स्क्रीन:

शायद हर कोई घटनाओं को जानता है:

Winlogon: ID 7001 या 7002 - ग्राहक अनुभव सुधार कार्यक्रम के लिए उपयोगकर्ता लॉगऑन / लॉगऑफ़ अधिसूचना
"सेवा नियंत्रण प्रबंधक": संदेशों के साथ आईडी 7036 या 7040: "WinHTTP वेब प्रॉक्सी ऑटो-डिस्कवरी सेवा सेवा ने चालू / बंद अवस्था में प्रवेश किया" या "WinHTTP वेब प्रॉक्सी ऑटो-डिस्कवरी सेवा का प्रारंभ प्रकार ... के लिए बदल दिया गया था" "

उनके साथ सब कुछ स्पष्ट है - हमें रिपोर्ट में उनकी आवश्यकता नहीं है।

एसक्यूएल सिंटैक्स का उपयोग करके फिल्टर दर्ज किए जाते हैं, इवेंट लॉग में फ़ील्ड्स के नाम स्क्रीन पर जो हम देखते हैं, उससे अलग हैं। फ़िल्टर संकलित करने के लिए, हम उपयोग कर सकते हैं:

इवेंट लॉग का नाम। इस स्थिति में, "सिस्टम", तो हम फाइल को "\ path \ to \ winlogcheck \ बहिष्कृत \ system.conf" में लिखते हैं।
स्तर - EventType (पूर्णांक)। पत्रिका में खुद संख्याओं से निर्धारित होता है:
- 1 - त्रुटि
- 2 - चेतावनी
- 3 - सूचना
- 4 - सफलता
- 5 - विफलता
इवेंट आईडी - ईवेंटकोड (पूर्णांक)
श्रेणी - श्रेणीकरण (स्ट्रिंग)
स्रोत - SourceName (स्ट्रिंग)

और जो हम घटना के विवरण में देखते हैं वह संदेश क्षेत्र में है।

इस प्रकार, उपरोक्त घटनाओं को रिपोर्ट से बाहर करने के लिए, फ़ाइल को पाठ के साथ "\ path \ to \ winlogcheck \ बहिष्कृत \ system.conf" बनाना आवश्यक है:

 [General] UserNotify : SourceName = 'Microsoft-Windows-Winlogon' AND ( EventCode = 7001 OR EventCode = 7002 ) WinHTTP : SourceName = 'Service Control Manager' AND (EventCode = 7036 OR EventCode = 7040) AND Message LIKE '%WinHTTP%'

फ़िल्टर के साथ फ़ाइल प्रारूप पर टिप्पणियाँ

प्रारंभ में, फ़िल्टर फाइलें भाषा में निर्मित डेटा प्रकारों का उपयोग करती थीं, उदाहरण के लिए, JScript संस्करण, डिक्टोनरी ऑब्जेक्ट में। फिर मैंने JSON की कोशिश की। लेकिन सभी मामलों में गलती करना आसान है, इसलिए आईएनआई-फ़ाइल प्रारूप चुना गया था।
फ़िल्टर नाम की आवश्यकता है, लेकिन वर्तमान में विशेष रिपोर्ट बनाते समय केवल INCLUDE मोड में उपयोग किया जाता है।
शर्तों की एक पंक्ति - सवाल पैदा नहीं करना चाहिए।
जैसा कि आपने देखा होगा, सभी उदाहरण विंडोज सर्वर के अंग्रेजी संस्करण के लिए हैं। फिर भी, रूसी संस्करण पर सब कुछ ठीक काम करता है। इसके लिए आवश्यक है कि फ़िल्टर फाइलें UTF-8 में हों। SourceName और CategoryString फ़ील्ड के मान को इवेंट व्यूअर में ही अनुवादित किया जाता है, इसलिए, अनुरोधों में अंग्रेज़ी समकक्षों का उपयोग करना चाहिए, लेकिन संदेश पाठ रूसी में है। शायद कार्यक्रम के अगले अपडेट में मैं विंडोज सर्वर के रूसी संस्करण के लिए एक उदाहरण शामिल करूंगा।

मेरे काम में मेरे द्वारा उपयोग किए जाने वाले मुख्य फिल्टर को उपयोगिता के साथ संग्रह में शामिल किया गया है।

एक विशेष संबंध केवल सुरक्षा लॉग के लिए है - बहुत बार इसमें बहुत सारी घटनाएं होती हैं, इसलिए डिफ़ॉल्ट फ़िल्टर कार्य करता है: केवल त्रुटियां रिपोर्ट में मिलती हैं।

हाल की टिप्पणियाँ

कोडप्लेक्स पर, एलजीपीएल लाइसेंस (विशेष रूप से समझा नहीं गया) के तहत कार्यक्रम और कार्यक्रम के स्रोत कोड के साथ एक संग्रह प्रकाशित किया जाता है। चूंकि मैं एक पेशेवर प्रोग्रामर नहीं हूं, इसलिए मुझे कोड का घमंड नहीं है।
उपयोगिता को विशेष रूप से वाइंडोव्स सर्वर 2008 के लिए लिखा गया था, हालांकि, यह केवल उपलब्ध विंडोज सर्वर 2003 पर भी काम करता है। मैंने इसे वाइंडोव्स सर्वर 2012 के नए संस्करण पर परीक्षण नहीं किया है, लेकिन कोई समस्या नहीं होनी चाहिए। यह विंडोज एक्सपी / विस्टा / 7/8 पर भी काम करना चाहिए।
कोडप्लेक्स के लिए विवरण और संक्षिप्त निर्देश Google अनुवाद का उपयोग करके तैयार किए गए थे। तैयार किए गए अनुवाद को जानकार लोगों द्वारा जांचा गया और वास्तविक अंग्रेजी के समान पाया गया। :-) यदि किसी को तकनीकी दस्तावेज का अनुवाद करने का अनुभव है, तो मुझे टिप्पणी और सुझाव सुनने में खुशी होगी।

बहुत बार, सक्रिय निर्देशिका की निगरानी का मुद्दा उठाया जाता है। इस समस्या के समाधान के लिए मेरे समाधान का उपयोग किया जा सकता है। हालाँकि, मैं लंबे समय से बड़े डोमेन का प्रबंधन नहीं कर रहा था, इसलिए मैंने इन घटनाओं की निगरानी के लिए काल्पनिक उदाहरणों के साथ नहीं आया।

यह समाधान सार्वभौमिक होने का दावा नहीं करता है, लेकिन, मेरी राय में, यह विंडोज चलाने वाले सर्वरों की एक छोटी संख्या के साथ किसी भी नेटवर्क पर अच्छी तरह से काम में आ सकता है।

एक नियमित विंडोज इवेंट लॉग रिपोर्ट बनाएं