Vorstellung des Tools evt-watch: Unterschied zwischen den Versionen
Flo84 (Diskussion | Beiträge) (Die Seite wurde neu angelegt: Anforderung war, ein Tool zu finden, welche das Windows Ereignisprotokoll auf Fehler überwacht. Auf der Suche nach einem kleinen, schlanken Progrämmchen bin ich auf [...) |
Flo84 (Diskussion | Beiträge) |
||
| Zeile 1: | Zeile 1: | ||
| + | == Grundkonfiguration zum Überwachen des Eventlogs auf Warnungen und Fehler == | ||
| + | |||
Anforderung war, ein Tool zu finden, welche das Windows Ereignisprotokoll auf Fehler überwacht. Auf der Suche nach einem kleinen, schlanken Progrämmchen bin ich auf [http://www.sql-und-xml.de/freeware-tools/ evt-watch von Jürgen Auer] gestoßen: die Software besteht aus einer EXE- und einer XML-Datei, wobei in Letzterer die Konfigurationen vorgenommen werden. Einzig und alleine die Dokumentation ist etwas "dürftig": zwar sind in der XML-Datei '''evt-Watch.exe.xml''' einige Parameter aufgeführt, doch wäre eine kleine Hilfe schon angebracht. Nichts desto trotz kommt man nach ein paar Minuten grübeln auf folgende Konfigurationseinstellungen, um sämtliche Fehler und Warnungen der einzelnen Ereignisprotokolle zu überwachen: | Anforderung war, ein Tool zu finden, welche das Windows Ereignisprotokoll auf Fehler überwacht. Auf der Suche nach einem kleinen, schlanken Progrämmchen bin ich auf [http://www.sql-und-xml.de/freeware-tools/ evt-watch von Jürgen Auer] gestoßen: die Software besteht aus einer EXE- und einer XML-Datei, wobei in Letzterer die Konfigurationen vorgenommen werden. Einzig und alleine die Dokumentation ist etwas "dürftig": zwar sind in der XML-Datei '''evt-Watch.exe.xml''' einige Parameter aufgeführt, doch wäre eine kleine Hilfe schon angebracht. Nichts desto trotz kommt man nach ein paar Minuten grübeln auf folgende Konfigurationseinstellungen, um sämtliche Fehler und Warnungen der einzelnen Ereignisprotokolle zu überwachen: | ||
| − | <add EventLog='Application' source='*' | + | <add EventLog='Application' source='*' time-between-two-mails='30' EntryType="'Error', 'Warning'"></add> |
| − | + | <add EventLog='System' source='*' time-between-two-mails='30' EntryType="'Error', 'Warning'"></add> | |
| − | + | <add EventLog='Directory Service' source='*' time-between-two-mails='30' EntryType="'Error', 'Warning'"></add> | |
| − | + | <add EventLog='DNS Server' source='*' time-between-two-mails='30' EntryType="'Error', 'Warning'"></add> | |
| − | <add EventLog='System' source='*' | + | <add EventLog='File Replication Service' source='*' time-between-two-mails='30' EntryType="'Error', 'Warning'"></add> |
| − | |||
| − | |||
| − | |||
| − | <add EventLog='Directory Service' source='*' | ||
| − | |||
| − | |||
| − | |||
| − | <add EventLog='DNS Server' source='*' | ||
| − | |||
| − | |||
| − | |||
| − | <add EventLog='File Replication Service' source='*' | ||
| − | |||
| − | |||
| − | |||
Dieser Inhalt kommt zwischen | Dieser Inhalt kommt zwischen | ||
| Zeile 28: | Zeile 15: | ||
</EventLog-List> | </EventLog-List> | ||
| − | Die SMTP-Serverkonfiguration ist relativ easy und in der Default-XML-Datei bereits enthalten, muss nur entsprechend angepasst werden. | + | == Negative Filter konfigurieren == |
| + | |||
| + | Es wird nun sicher der Fall eintreten, dass der Server irgendwelche Warnungen oder Fehler protokolliert, die allerdings ignoriert werden können. Wenn man - wie weiter unten gleich beschrieben - nun eine Mail-Benachrichtigung eingerichtet hat und man ständig Warnungen bzw. Fehler per Mail erhält, die allerdings uninteressant sind, möchte man einzelne Warnungen bzw. Fehler deaktivieren. Auch hier gibt es Abhilfe (Beschreibung vom Hersteller): | ||
| + | |||
| + | Negative Filter: Fügen Sie im Content eines add-Elements analoge Unterelemente ein, | ||
| + | dann gelten deren Werte als Filter. Die Haupt-add-Elemente werden wie gewohnt | ||
| + | ausgewertet. Anschließend wird überprüft, ob die Bedingung für ein Unterelement | ||
| + | erfüllt ist. Falls ja, wird keine Mail verschickt. | ||
| + | |||
| + | Will man z. B. nun über das Ereignis mit der ID 510, Quelle "Folder Redirection" nicht weiter benachrichtig werden, modifiziere den Bereich '''Application''' wie folgt: | ||
| + | |||
| + | <add EventLog='Application' source='*' time-between-two-mails='30' EntryType="'Error', 'Warning'"> | ||
| + | '''<add source='Microsoft-Windows-Folder Redirection' EventId='510' />''' | ||
| + | </add> | ||
| + | |||
| + | Es ist wichtig zu beachten, dass bei '''source''' NICHT die Quelle, wie sie im Ereignisprotokoll des Servers eingetragen wird, anzugeben, sondern hier ist hinzuschreiben, was in der Mail, die man erhält, hinter '''Source:''' steht: | ||
| + | |||
| + | Source: Microsoft-Windows-Folder Redirection | ||
| + | |||
| + | Der Hersteller gibt an, dass man den Parameter '''CategoryId''' verwenden soll - allerdings entspricht die CategoryId nicht der EventId. Daher: anstelle von CategoryId einfach '''EventId''' angeben und die ID, wie sie ebenfalls in der Mail aufgeführt ist, einsetzen: | ||
| + | |||
| + | EventId: 510 | ||
| + | |||
| + | Das reicht, um keine Benachrichtigungen mehr zu diesem speziellen Ereignis zu erhalten. Um weitere Ausschlüsse zu definieren, einfach einen weiteren add-Block hinzufügen - fertig. | ||
| + | |||
| + | == SMTP-Server für Mail-Benachrichtigung konfigurieren == | ||
| + | |||
| + | Die SMTP-Serverkonfiguration ist relativ easy und in der Default-XML-Datei bereits enthalten, muss nur entsprechend angepasst werden und bedarf keiner weiteren Dokumentation an dieser Stelle. | ||
| + | |||
| + | == evt-watch als Dienst installieren == | ||
| + | |||
| + | Das Programm kann mit folgendem Parameter intraktiv von der Eingabeaufforderung aus gestartet werden: | ||
evt-watch /i | evt-watch /i | ||
| − | Um das Ganze als Dienst laufen zu lassen, bedient man sich dem Tool '''InstallUtil''', welches man irgendwo im Ordner '''%windir%\Microsoft.Net\<dotnetversion''' findet. Kopiere die Datei am Besten raus in den Ordner, wo auch die '''evt-Watch.exe''' liegt, öffne die Eingabeaufforderung, navigiere zu dem Ordner und führe den Befehl aus: | + | Um das Ganze als Dienst laufen zu lassen, bedient man sich dem Tool '''InstallUtil''', welches man irgendwo im Ordner '''%windir%\Microsoft.Net\<dotnetversion>''' findet. Kopiere die Datei am Besten raus in den Ordner, wo auch die '''evt-Watch.exe''' liegt, öffne die Eingabeaufforderung, navigiere zu dem Ordner und führe den Befehl aus: |
InstallUtil evt-Watch.exe | InstallUtil evt-Watch.exe | ||
| Zeile 45: | Zeile 63: | ||
* [http://www.sql-und-xml.de/freeware-tools/ evt-watch von Jürgen Auer] | * [http://www.sql-und-xml.de/freeware-tools/ evt-watch von Jürgen Auer] | ||
| + | * [[Media:Evt-watch.2.0.zip|evt-watch 2.0 zum Download von dieser Webseite]] | ||
[[Kategorie:Security]] | [[Kategorie:Security]] | ||
Aktuelle Version vom 28. September 2011, 12:33 Uhr
Inhaltsverzeichnis
Grundkonfiguration zum Überwachen des Eventlogs auf Warnungen und Fehler[Bearbeiten]
Anforderung war, ein Tool zu finden, welche das Windows Ereignisprotokoll auf Fehler überwacht. Auf der Suche nach einem kleinen, schlanken Progrämmchen bin ich auf evt-watch von Jürgen Auer gestoßen: die Software besteht aus einer EXE- und einer XML-Datei, wobei in Letzterer die Konfigurationen vorgenommen werden. Einzig und alleine die Dokumentation ist etwas "dürftig": zwar sind in der XML-Datei evt-Watch.exe.xml einige Parameter aufgeführt, doch wäre eine kleine Hilfe schon angebracht. Nichts desto trotz kommt man nach ein paar Minuten grübeln auf folgende Konfigurationseinstellungen, um sämtliche Fehler und Warnungen der einzelnen Ereignisprotokolle zu überwachen:
<add EventLog='Application' source='*' time-between-two-mails='30' EntryType="'Error', 'Warning'"></add> <add EventLog='System' source='*' time-between-two-mails='30' EntryType="'Error', 'Warning'"></add> <add EventLog='Directory Service' source='*' time-between-two-mails='30' EntryType="'Error', 'Warning'"></add> <add EventLog='DNS Server' source='*' time-between-two-mails='30' EntryType="'Error', 'Warning'"></add> <add EventLog='File Replication Service' source='*' time-between-two-mails='30' EntryType="'Error', 'Warning'"></add>
Dieser Inhalt kommt zwischen
<EventLog-List> ... </EventLog-List>
Negative Filter konfigurieren[Bearbeiten]
Es wird nun sicher der Fall eintreten, dass der Server irgendwelche Warnungen oder Fehler protokolliert, die allerdings ignoriert werden können. Wenn man - wie weiter unten gleich beschrieben - nun eine Mail-Benachrichtigung eingerichtet hat und man ständig Warnungen bzw. Fehler per Mail erhält, die allerdings uninteressant sind, möchte man einzelne Warnungen bzw. Fehler deaktivieren. Auch hier gibt es Abhilfe (Beschreibung vom Hersteller):
Negative Filter: Fügen Sie im Content eines add-Elements analoge Unterelemente ein, dann gelten deren Werte als Filter. Die Haupt-add-Elemente werden wie gewohnt ausgewertet. Anschließend wird überprüft, ob die Bedingung für ein Unterelement erfüllt ist. Falls ja, wird keine Mail verschickt.
Will man z. B. nun über das Ereignis mit der ID 510, Quelle "Folder Redirection" nicht weiter benachrichtig werden, modifiziere den Bereich Application wie folgt:
<add EventLog='Application' source='*' time-between-two-mails='30' EntryType="'Error', 'Warning'"> <add source='Microsoft-Windows-Folder Redirection' EventId='510' /> </add>
Es ist wichtig zu beachten, dass bei source NICHT die Quelle, wie sie im Ereignisprotokoll des Servers eingetragen wird, anzugeben, sondern hier ist hinzuschreiben, was in der Mail, die man erhält, hinter Source: steht:
Source: Microsoft-Windows-Folder Redirection
Der Hersteller gibt an, dass man den Parameter CategoryId verwenden soll - allerdings entspricht die CategoryId nicht der EventId. Daher: anstelle von CategoryId einfach EventId angeben und die ID, wie sie ebenfalls in der Mail aufgeführt ist, einsetzen:
EventId: 510
Das reicht, um keine Benachrichtigungen mehr zu diesem speziellen Ereignis zu erhalten. Um weitere Ausschlüsse zu definieren, einfach einen weiteren add-Block hinzufügen - fertig.
SMTP-Server für Mail-Benachrichtigung konfigurieren[Bearbeiten]
Die SMTP-Serverkonfiguration ist relativ easy und in der Default-XML-Datei bereits enthalten, muss nur entsprechend angepasst werden und bedarf keiner weiteren Dokumentation an dieser Stelle.
evt-watch als Dienst installieren[Bearbeiten]
Das Programm kann mit folgendem Parameter intraktiv von der Eingabeaufforderung aus gestartet werden:
evt-watch /i
Um das Ganze als Dienst laufen zu lassen, bedient man sich dem Tool InstallUtil, welches man irgendwo im Ordner %windir%\Microsoft.Net\<dotnetversion> findet. Kopiere die Datei am Besten raus in den Ordner, wo auch die evt-Watch.exe liegt, öffne die Eingabeaufforderung, navigiere zu dem Ordner und führe den Befehl aus:
InstallUtil evt-Watch.exe
Daraufhin findest du in der Dienste-Verwaltung den Service EventLog-Watch - www.sql-und-xml.de. Zum Deinstallieren tippe ein:
InstallUtil /u evt-Watch.exe
Sollte sich der Dienst nicht installieren oder starten lassen, versuche erneut, die evt-Watch.exe über die Eingabeaufforderung zu starten und kontrolliere, ob hier nicht Fehler wegen falschen Konfigurationsparametern auftreten! Ist nämlich z. B. das Ereignisprotokoll DNS Server nicht vorhanden, bricht das Programm ab! Auch ist zu beachten, dass in der Dienste-Verwaltung der Dienst beim Starttyp in Automatisch Starten umgestellt wird.
