> Tech > Superviser les autres journaux

Superviser les autres journaux

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Superviser les autres journaux Pour les autres journaux d’événements (Application, System, par exemple), je conseille de démarrer votre rapport en recherchant les avertissements et les événements d’erreur et en ignorant les messages informatifs. Même après ce tri, il subsistera certains messages d’avertissement ou d’erreur, fréquents mais sans intérêt. Ainsi, j’obtiens

Superviser les autres journaux

beaucoup d’erreurs à partir de MRxSmb que je préfère ignorer. Donc, l’opération suivante consiste à repérer ces événements « parasites » et à utiliser une clause Where dans votre requête Log Parser pour les exclure. Dans la commande suivante, j’ai ajouté une expression qui exclut l’event ID 3019 pour la source MRxSmb et les événements informatifs provenant de tout source (EventType < 4) :

Logparser "select TimeGenerated,EventID,Message from system where EventID<>3019 and SourceName <>’MRxSmb’ and EventType < 4"

Rappelons que les journaux d’événements ont une fâcheuse tendance à grossir démesurément. De plus, les fichiers EVT n’ont pas d’index et cela donne un moyen rapide de trouver une information sans explorer tout un journal. Log Parser peut mettre un certain temps pour exécuter les rapports, parce qu’il doit, à chaque fois, scruter tout le journal d’événements. Heureusement, Log Parser possède une fonction point de contrôle qui lui permet de savoir où il a interrompu le scanning la dernière fois qu’il a traité un journal d’événements. (Pour en savoir plus sur les points de contrôle, consultez l’aide de Log Parser 2.2 sous Incremental Parsing and Aggregated Data.)

La supervision des journaux d’événements Windows est compliquée par un autre fait : chaque ordinateur a son propre ensemble de journaux et il n’existe pas un corrolaire natif à Syslog for Windows qui vous permettrait de collecter ces événements dans un seul et même endroit. Si vous ne possédez pas d’outil pour fusionner vos journaux dans une base de données centrale à des fins d’alerte et de supervision, vous pouvez aborder ce problème de deux manières. Si vous ne gérez qu’une poignée de serveurs et d’unités, vous pourriez vous contenter d’installer des alertes et des rapports pour chaque système. Mais, pour une méthode plus centralisée, vous pouvez utiliser Log Parser pour interroger plusieurs ordinateurs. Il suffit de lister le journal d’événements de chaque ordinateur dans les clauses From. Par exemple, la commande suivante interroge le journal System sur server1, server2 et server3.

Logparser "select TimeGenerated,EventID,Message from \\server1\system \\server2\system, \\server3,system"

Après avoir construit un ou plusieurs rapports pour chaque type de journal, vous pouvez les faire exécuter comme une tâche programmée, à un rythme quotidien ou hebdomadaire. Redirigez simplement la sortie de Log Parser vers un fichier texte en ajoutant

"> C:\path\file.txt"

à la commande, puis consultez ce fichier régulièrement. Mieux encore, ordonnez à la tâche programmée de vous envoyer le fichier par courrier électronique. Pour cela, ajoutez une ligne au fichier qui appelle Blat. (Blat est un utilitaire du domaine public qui permet d’utiliser SMP pour envoyer facilement des fichiers par courriel.)

Téléchargez cette ressource

Guide de Sécurité IA et IoT

Guide de Sécurité IA et IoT

Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.

Tech - Par Renaud ROSSET - Publié le 24 juin 2010