Журналы событий Windows являются огромным ресурсом, поскольку они могут не только помочь вам в устранении текущих системных проблем, но также могут предоставить вам предупреждающие знаки о потенциальных будущих проблемах. Таким образом, отслеживание событий в ваших системных записях может быть ключом к тому, чтобы ваша система работала должным образом. К сожалению, просмотр журналов событий или создание пользовательских представлений может быть трудоемким ручным процессом.
К счастью, у нас есть решение, которое позволит вам легко экспортировать и фильтровать записи журнала событий Windows, а затем отправлять их по электронной почте и/или сохранять в текстовом файле. Когда этот процесс настроен как часть запланированной задачи, вы можете получать, например, предупреждения и сообщения об ошибках по электронной почте.
Как это устроено
Наше решение работает с помощью бесплатной утилиты MyEventViewer от Nirsoft, которая позволяет легко экспортировать журналы событий Windows в файл, разделенный запятыми. На основе этого вывода мы разработали простой в настройке пакетный скрипт, который фильтрует эти результаты, а затем может отправить по электронной почте и/или сохранить отфильтрованный файл результатов. Поскольку результаты представляют собой файл, разделенный запятыми, его можно открыть в Excel (или в вашей любимой программе CSV), а затем отсортировать и отфильтровать.
конфигурация
Параметры конфигурации и параметры задокументированы в виде встроенных комментариев в сценарии, однако мы рассмотрим некоторые из них в некоторых деталях здесь.
Имя журнала событий
При указании журналов событий, из которых вы хотите захватить события, вы должны использовать полное системное имя журнала. Это не обязательно то, что вы видите в списке журналов Event Viewer.
Например, если вы хотите захватить события из журнала «Предупреждения Microsoft Office», перейдите в диалоговое окно «Свойства» журнала.
Запишите значение в поле «Полное имя», в данном случае «OAlerts». Это будет значение, которое вам нужно будет ввести в конфигурацию скрипта.
Типы событий
Значения для типов событий – это просто текст, который вы видите в столбце «Уровень» при просмотре журналов событий. Обычно это информация, предупреждение или ошибка, но разные журналы могут иметь разные значения.
Настройка запланированных задач
Типичное использование этого сценария, скорее всего, в автоматизированном процессе. Таким образом, чтобы убедиться, что между интервалом захвата и временем запуска процесса нет совпадений, вам нужно настроить запланированное задание Windows, чтобы дополнить время захвата.
Проще говоря, если ваша конфигурация настроена на захват событий за последний день, у вас должна быть запланированная задача, которая запускается один раз в день. Если ваша конфигурация настроена на захват за последний час, запланированное задание должно запускаться один раз в час. И т.п.
В качестве дополнительного примечания, чтобы приложение MyEventViewer могло получить необходимую информацию, необходимо выполнить соответствующую запланированную задачу с правами администратора на компьютере.
Примеры
Эта конфигурация будет отправлять сообщения об ошибках и предупреждениях из журналов событий системы и приложений, записанных в последний день (24 часа), на my@email.com, а также сохранять выходные данные в папке C: \ EventNotices:
- EmailResults = 1
- EmailTo=my@email.com
- SaveResults = 1
- SaveTo = C: \ EventNotices
- TimeInterval = 3
- TimeValue = 1
- Бревна = System, Application
- Типы = Ошибка, Предупреждение
- Запланированное задание должно выполняться каждый день.
Эта конфигурация будет отправлять сообщения об ошибках по электронной почте только из журнала системных событий, записанных за последний час, на my@email.com:
- EmailResults = 1
- EmailTo=my@email.com
- SaveResults = 0
- TimeInterval = 2
- TimeValue = 1
- Бревна = System
- Типы = Ошибка
- Запланированное задание должно запускаться каждый час.
Эта конфигурация сохранит только ошибки и предупреждения из журнала событий приложений за последнюю неделю на рабочий стол пользователя JFaulkner (Windows 7) C: \ Users \ jfaulkner \ Desktop:
- EmailResults = 0
- SaveResults = 1
- SaveTo = C: \ Users \ jfaulkner \ Desktop
- TimeInterval = 3
- TimeValue = 7
- Бревна = Применение
- Типы = Ошибка, Предупреждение
- Запланированное задание должно выполняться каждую неделю.
Скачать сценарий уведомлений журнала событий с TutoryBird
Загрузите MyEventViewer от Nirsoft
Скачать Blat от Sourceforge