⑴EventSentry是一款主动服务器监视软件,主要功能是可以帮助用户监视服务器,工作站以及网络设备等,以确保服务器的安全和运行正常,该软件还有助于满足SOX,HIPAA和其他合规性要求;使用事件日志,日志文件,运行状况和跟踪软件包可以轻松配置EventSentry;程序包中包含了一个或多个监视对象,并且会自动进行监控分配给计算机组或单个计算机;EventSentry附带了许多预配置的程序包,这些程序包会将大部分不需要的事件排除,然后再将一些比较重要的信息发送给您。
⑵监视基于Windows的系统的所有方面,并为您提供完整的映像。
⑶帮助用户监视计算机磁盘空间,性能,清单等。
⑷通过提供其他上下文,故障排除可以更快,更有效。
⑸安全代码会自动解释,性能警报包括嵌入式可视图表。
⑹时尚的报表引擎,可轻松访问所有日志和指标。
⑺原始的安全事件可以转换为易于理解的报告,这些报告立即变得有意义。
⑻监视服务器状态并提供实时警报服务
⑼灵活的仪表板,可以直接清晰地查看计算机中的数据
⑽它具有强大的宁静报告API
⑾完全遵守安全事件日志的规范化和相关性
⑿自己完成服务器的所有操作。
⒀在临时网络中断期间,该组的指标将缓存并重新传输。
⒁EventSentry的服务监视功能可让您在服务更改其状态或添加或删除服务和/或驱动程序时收到通知。
⒂重要的是要了解服务监视是“系统运行状况”项,可以将其添加到任何系统运行状况包中。健康项目本身实际上并不发送通知,而是将消息记录到应用程序事件日志中或将信息整合到数据库中。这与监视事件日志并将事件转发到通知目标(例如电子邮件的过滤器有点不同。其他运行状况项目包括磁盘空间监视,软件监视和性能监视。
⒃根据您要如何设置配置,可以将服务监视对象添加到现有程序包中,但是在本示例中,我们将创建一个新程序包并将其称为“服务”。
⒄现在已经创建了包,我们将需要添加Service Monitoring
⒅Object。要添加此项目,请右键单击“服务”软件包,然后选择“服务监视”。
⒆最后,您需要将包分配给一个组。在我们的案例中,我们将通过使程序包成为全局包来将其分配给所有计算机。
⒇使用EventSentry的默认安装,已经为您创建了一个名为Service Monitoring的类似程序包。
⒈通过单击“服务监视”项,您将看到几个要配置的选项。
⒉-设置此功能时的首要任务是要监视的内容。您可以选择“监视除列出的所有服务”,这将排除不希望监视的常见服务。接下来是“仅监视列出的服务”,它将仅监视您声明的服务。最后,您可以选择不监视任何内容。
⒊-根据您是“监视服务状态更改”和/还是“监视服务添加/删除”,EventSentry会将状态更改记录到代理正在监视的计算机的事件日志中。在这里,您还可以决定是否要将更改记录为错误,警告或信息事件。在我们的示例中,我们将日志记录设置为Error。
⒋-接下来,您可以选择“记录到数据库”,该选项还将所有服务状态更改和/或服务添加/删除记录到数据库中,从而使您可以通过Web报告查看当前服务状态和历史记录。请注意,您仍然需要选择上面的适当选项,以便将信息记录到数据库中。配置数据库日志记录非常简单,只需选中复选框并选择数据库目标即可。
⒌-最后,我们可以选择使服务保持特定状态。假设您要确保DNS服务器服务始终在运行。如果状态从运行更改为停止,EventSentry将自动启动DNS服务器服务。使用服务状态控制可让您为服务设置所需的状态,EventSentry会尝试保持此状态。
⒍如前所述,由于服务监视是EventSentry中的系统运行状况对象,因此您不会直接从服务监视接收任何通知。而是,服务监视会将警报记录到事件日志中。在上一步中,我们将服务监视配置为将所有服务状态更改记录为错误记录到事件日志中。结果,您将注意到类似于以下在应用程序日志中显示的事件(带有EventSentry的事件源。
⒎为了举一个例子,我将在当前正在使用EventSentry监视的机器上停止Print
⒏Spooler服务。服务停止后,我们将查看“应用程序”日志并看到以下事件。
⒐每次任何受监视的服务更改其状态时,您都将在应用程序事件日志中看到与上面显示的事件类似的事件。如您所见,事件被记录为错误,因为我们将EventSentry设置为将服务更改记录为错误而不是信息或警告。
⒑现在,EventSentry会将服务更改记录到事件日志中,我们可以设置一个过滤器,以提醒我们这些状态更改。
⒒最简单的方法是使用EventSentry事件日志查看器中的include选项,它将根据您当前正在查看的事件自动创建过滤器。
⒓但是,出于本教程的考虑,我们将手动指导如何创建一个特定的过滤器,该过滤器仅在Print
⒔Spooler服务更改其状态而忽略其他服务的状态更改时才通知我们。
⒕为了使事情井井有条,我们将创建一个名为Service Changes的新程序包,对其进行全局分配,并添加一个名为Print
⒖Spooler的包含过滤器。
⒗现在,我们将目标声明为默认电子邮件,如果此过滤器上指定的条件与事件匹配,它将发送电子邮件。由于我们知道该事件在应用程序日志中发生,并且将作为错误记录,因此我们可以将此过滤器仅集中在共享那些属性的事件上。我们还将填写EventSentry作为源,将Service
⒘Monitoring作为类别,并将作为事件ID。
⒙看到我们配置了Service
⒚Monitoring以将更改记录到数据库中,对其进行全局分配并创建了一个include过滤器后,我们一切都准备就绪了吗?好吧,不完全是。
⒛使用当前过滤器,您将收到有关服务监视对象报告的每个服务更改的电子邮件。这意味着您每天可能会从已知会频繁更改其状态的服务(例如CD-ROM驱动程序收到数十封电子邮件。因此,我们将重点放在此筛选器上,以便仅在后台打印程序服务更改其状态时通知我们。
①请注意,必须在“常规选项”下启用通配符,此过滤器才能正常工作。
②此时,您可以将过滤器集中在仅当后台打印程序从运行更改为停止而没有其他任何更改时才向您发送电子邮件。
③然后,您可以更进一步,说仅当后台打印程序服务更改了特定计算机上的状态时,您才希望收到通知。在我们的情况下,仅当此服务更改HOST上的状态时,我们才会收到通知(注意:您可以通过仅将包分配给HOST来实现同一目的。