Surveiller le journal des événements
L’activité Surveiller le journal des événements appelle des runbooks lorsque de nouveaux événements qui correspondent à un filtre que vous spécifiez s’affichent dans le journal des événements Windows. Vous pouvez utiliser l’activité Surveiller le journal des événements pour exécuter des runbooks qui escaladent, examinent ou corrigent les problèmes en réponse aux événements générés dans le journal des événements Windows. Par exemple, un échec d’audit de sécurité apparaît dans le journal de sécurité qui envoie un e-mail à un administrateur pour les informer du problème. Le deuxième mode appelle votre runbook lorsque la taille du journal des événements Windows atteint la taille maximale autorisée.
Configurer l’activité de journalisation des événements de surveillance
Avant de configurer l’activité Surveiller le journal des événements, vous devez déterminer les éléments suivants :
Nom du journal des événements que vous surveillez
Détails sur les événements qui déclenchent le runbook
Pour configurer l’activité Surveiller le journal des événements, procédez comme suit :
Dans le volet Activité, faites glisser une activité Moniteur du journal des événements vers le runbook.
Double-cliquez sur l’icône d’activité Surveiller le journal des événements pour ouvrir la boîte de dialogue Propriétés.
Configurez les paramètres sous l’onglet Détails et sous l’onglet Avancé . Les instructions de configuration sont répertoriées dans les tableaux suivants.
Onglet Détails
| Paramètres | Instructions relatives à la configuration |
|---|---|
| Ordinateur | Tapez le nom de l’ordinateur qui stocke le journal des événements Windows que vous souhaitez surveiller. Vous pouvez également rechercher l’ordinateur à l’aide du bouton d'ellipse (...) . Le serveur runbook qui exécute cette activité doit disposer des droits appropriés pour surveiller le journal des événements Windows sur cet ordinateur. |
| Journal des événements | Tapez le nom du journal des événements Windows que vous surveillez. Vous pouvez également parcourir le journal des événements Windows à l’aide du bouton d'ellipse (...) . Windows inclut trois journaux d’événements par défaut : application, sécurité et système. L’ordinateur auquel vous vous connectez peut contenir d’autres journaux d’événements. |
| Filtres de messages | La liste affiche tous les filtres qui ont été configurés pour filtrer les événements générés dans le journal que vous avez spécifiés. Pour modifier ou supprimer un élément dans la liste, sélectionnez-le, puis cliquez sur Modifier ou Supprimer le cas échéant. Pour ajouter un filtre d’événements 1. Cliquez sur Ajouter pour ouvrir la boîte de dialogue Propriétés du filtre. 2. Sélectionnez la propriété de l’entrée du journal des événements sur laquelle vous filtrez. Vous pouvez filtrer par rapport à la catégorie, à la description, à l’ID d’événement, à la source et au type qui est attribué à l’événement. 3. Spécifiez la relation que vous utilisez pour comparer la valeur de la propriété d’événement à la valeur de filtre. Si vous sélectionnez Catégorie, Description, Type et Source , vous pouvez spécifier Contains ou Ne contient pas. Pour l'ID d’événement, vous pouvez spécifier est différent de, est égal à, est inférieur à, est inférieur ou égal à, est supérieur à, et est supérieur ou égal à. 4. Spécifiez la valeur de filtre par rapport à laquelle vous comparez la propriété d’événement. Pour Category, Description et Source, entrez la chaîne contenue dans la propriété. Pour l’ID d’événement, entrez la valeur numérique qui sera comparée à l’ID de l’événement. Pour la condition Type, sélectionnez le type d’événement spécifique que vous souhaitez filtrer, par exemple erreur, avertissement, informations, audit de réussite ou audit d’échec. |
Données publiées
Le tableau suivant répertorie les éléments de données publiés.
| Élément | Description |
|---|---|
| Nom du journal des événements | Nom du journal des événements de Windows qui est surveillé. |
| Ordinateur | Nom de l’ordinateur sur lequel le journal des événements Windows est stocké. |
| Description de l’entrée du journal | Texte contenu dans la description de l’entrée du journal des événements. |
| ID d'entrée de journal | L'ID de l’entrée du journal des événements. |
| Source d’entrée de journal | Source de l'événement. |
| Ordinateur d’entrée de journal | Ordinateur sur lequel l’événement s’est produit. |
| Type d’entrée de journal | le type d’événement ; |
| Date de l'entrée de journal | Date de journalisation de l’événement. |
| Heure de journalisation | Heure de journalisation de l’événement. |