Pour finir, je décris le nouveau snap-in Microsoft Management Console (MMC) Event Viewer. Certes, Event Viewer n’est pas encore une solution complète de gestion de journaux d’événements, mais c’est un outil bien amélioré pour l’analyse ponctuelle et à la demande d’événements de sécurité.
La première originalité d’Event Viewer est le nouveau panneau de tâches.
Il diminue beaucoup le nombre de clics nécessaires pour effectuer des tâches courantes comme créer et supprimer plus tard un filtre. A propos du filtrage de votre vue du Security log, Event Viewer offre les mêmes fonctions de filtrage basiques qu’à l’accoutumée, mais avec un certain nombre d’améliorations.
Quand vous cliquez sur Filter Current Log dans le panneau de tâches, vous voyez la boîte de dialogue Filter Current Log de la figure 5. La boîte déroulante Logged facilite l’opération de limitation de la plage de temps que vous voulez analyser en fournissant des options Last hour, Last 12 hours, Last 24 hours, Last 7 days, Last 30 jours, et bien entendu Custom Range. Ces options sont en nette amélioration par rapport à Windows 2003 et versions antérieures, où il fallait spécifier les intervalles de dates et d’heures exacts. Vous pouvez limiter la vue des événements en échec ou réussite en utilisant la boîte déroulante Keywords et filtrer par sous-catégories avec la boîte déroulante Task category. A noter que Task category n’est peuplée avec les 52 sous-catégories d’audit que quand vous sélectionnez Microsoft Windows security auditing dans la boîte Event sources. Pour visualiser le résultat de votre filtre, cliquez simplement sur OK. Et voici une intéressante nouveauté: une fois le filtre réglé à votre guise, vous pouvez le conserver pour plus tard, avec l’option Save Filter to Custom View, dans le panneau de tâches. Quand la boîte de dialogue Save Filter to Custom View apparaît, il vous suffit de donner un nom, une description et un emplacement sous le dossier Custom Views.
Pour la première fois, Event Viewer vous permet d’attacher facilement aux événements des tâches qui s’exécuteront chaque fois que ceux-ci se produiront. Soit un serveur Microsoft SharePoint spécial dédié aux cadres supérieurs de votre société ; vous voulez savoir quand un compte est bloqué afin de pouvoir appeler le cadre en question et l’aider à le réintégrer au serveur le plus facilement possible (pour la cadre, en tout cas !). Vous pouvez déclencher un message qui sera envoyé par courriel ou affiché sur la console, ou une commande ou un script à exécuter chaque fois qu’un événement de blocage (lockout) de compte sera journalisé.
Le moyen le plus simple d’attacher une tâche à un événement consiste à sélectionner l’événement en question dans Event Viewer puis à cliquer sur l’option Attach Task To This Event dans le panneau de tâches, ce qui démarre le wizard Create Basic Task. Lequel vous demande de nommer la tâche et de définir le programme, le message électronique ou le message sur écran que vous désirez quand cet event ID est journalisé. Au terme du wizard, vous pouvez visualiser l’événement, ses propriétés et son historique en ouvrant le snap-in MMC Task Scheduler qui se trouve sur le menu Start, sous All Programs\Accessories\System Tools.
Souvent, la simple spécification d’un event ID ne suffira pas et vous devrez préciser davantage vos critères de déclenchement. Rassurez-vous, tout critère spécifiable dans un filtre de vue personnalisé peut aussi l’être dans un déclencheur d’événement, y compris les filtres avancés écrits en XML. Revers de la médaille, vous ne pouvez pas utiliser Event Viewer pour créer le déclencheur : à sa place, vous devez utiliser Task Scheduler. Ouvrez Task Scheduler et cliquez sur Create Task. Indiquez le nom et la description de l’événement ainsi que le compte sous lequel la tâche doit s’exécuter, sur l’onglet General.
Puis sélectionnez l’onglet Trigger et cliquez sur New. Dans la boîte de dialogue New Trigger, sélectionnez On an event dans la liste déroulante Begin the task. Sélectionnez Custom dans la boîte Settings et cliquez sur New Event Filter. Vous obtenez la même boîte de dialogue qu’en créant une vue personnalisée dans Event Viewer. Vous pouvez soit utiliser l’onglet Filter pour spécifier les critères de filtrage, soit utiliser l’onglet XML pour spécifier un filtre avancé en syntaxe XML. Une fois les critères de déclenchement définis, vous pouvez aller à l’onglet Actions pour indiquer la ou les actions que Task Scheduler exécutera.
Une dernière chose intéressante dans Event Viewer : les options de stratégie de rétention de journal revues et corrigées que vous voyez lorsque vous ouvrez les propriétés du Security log. L’ancien Overwrite events older than _days a été remplacé par Archive the log when full, do not overwrite events qui, pour la première fois, expose une fonction qui existe depuis longtemps mais n’était configurable que via le registre en utilisant le réglage HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\EventLog\Service\AutoBac kupLogFiles. Si vous sélectionnez l’option Archive the log when full, Windows archivera le Security log dans C:\Windows\System 32\winevt\Logs.
Une petite mise en garde tout de même : Windows continuera à journaliser et à archiver des événements jusqu’au remplissage du lecteur et donc il faut prévoir un processus automatisé pour déplacer les journaux. En fin de compte, rien ne vaut une vraie solution de gestion des journaux fournis par un FAI.
