Здрасте.
У меня следующий вопрос: есть ли какие-нить виндовые средства или программы, которые позволили бы автоматизировать анализ журнала событий в Windows 2003. Т.е. я хочу, чтобы при возникновении какоq-нибудь ошибки или предупреждения приходило сообщение на мыло/аську. А то ежедневно просматривать события очень долго
Буду благодарен любым предложениям :)

В стандартных средствах есть несколько команд для работы с журналами. Можете попробавать создать сценарии, которые будут их использовать (см встроенную справку):

Eventtriggers.exe
Eventquery
Eventcreate
Evntcmd

А вообще есть такое ПО Microsoft MOM (Operational Manager) - как раз для подобного управления.

Это все конечно хорошо, но есть одна проблема - не могу найти в Инете и все. Только за деньги. А мне бы хотя бы триальную версию, чтобы знать что это за зверь. Есть ссылка???

Pavlov10
на M$ искали?
MOM 2005 (http://www.microsoft.com/mom/default.mspx?gssnb=1)

МОМ не смотрел, наверное серьезный продукт. Есть еще крошечный psloglist от sysinternals. Удобно по маске выводить события в файл. На аську она сама отправлять не будет, но по почте можно организовать пакетными файлами :)

Я обычно ее использую для просмотра журналов событий совсем удаленных машин, когда юзеру остается текстовый файл только прикрепить к письму.

Удобно по маске выводить события в файл.
есть еще Майкрософтовская утилита (из набора Account Lockout and Management Tools - ALTOOLS), которая тоже может создавать текстовые отчеты - через графический режим (фильтр машин, фильтр журналов, номеров и источников событий).

How to Use the EventcombMT Utility to Search Event Logs for Account Lockouts (http://support.microsoft.com/default.aspx?scid=kb;en-us;824209)

а также есть утилиты 3х фирм:
Event Log Monitoring - www.windowsecurity.com (http://www.windowsecurity.com/software/Event-Log-Monitoring/name)

и кое-какая статья с вариациями на тему:
Monitoring Windows NT/2000/XP/2003 - www.windows-expert.net (http://www.windows-expert.net/Common/en/Articles/monitor-windows-nt-2000-xp.php)

ну и так далее через поисковые машины..

Спасибо за советы. Опробовал многие варианты, но остановился на EventTrigger. Очень удобня утилита. MOM штука хорошая, но уж больно громоздкая, а нужно было решение быстрое, не потребляющее много ресурсов. :)


И еще вопрос по всякого рода событиям: Инет шлюзом служит Windows 2003, в последнее время из-за нашего прова стала отваливаться сеть во внешний мир. Хочу замутить, чтобы по внутрисетевой Mirande нам на отдел сыпались мессаджи с сообщением об отвалившемся Internet. Посоветуйте кто что знает. Вариант с посылкой писем на почту отпадает.
замечание! создайте отдельный топик в разделе. Кажется это даже к сетевым технологиям ближе, чем к нашему.

сейчас пользуюсь ALTools. она может выводить результаты в ексель, в базы данных MS Access.
Но вот какая трабла:
528,| AUDIT SUCCESS, | Security, | Mon May 19 17:05:54 2008,DOMAIN\хххххх, | Успешный вход в систему: Пользователь: ххххххх Домен: DOMAIN Код входа: (0x0,0x6467CCEF) Тип входа: 10 Процесс входа: User32 Пакет проверки: Negotiate Рабочая станция: CPU Код GUID: {c8ba0cb9-a168-a7ba-e542-d37e97edece2} Имя вызывающего пользователя: CPU$ Домен вызывающего: DOMAIN Код входа вызывающего: (0x0,0x3E7) Код процесса вызывающего: 75112 Промежуточные службы:- Адрес сети источника: ххх.ххх.ххх.ххх Порт источника: 1636
т.е. получается Успешный вход в систему: Пользователь: ххххххх Домен: DOMAIN Код входа: (0x0,0x6467CCEF) Тип входа: 10 Процесс входа: User32 Пакет проверки: Negotiate Рабочая станция: CPU Код GUID: {c8ba0cb9-a168-a7ba-e542-d37e97edece2} Имя вызывающего пользователя: CPU$ Домен вызывающего: DOMAIN Код входа вызывающего: (0x0,0x3E7) Код процесса вызывающего: 75112 Промежуточные службы:- Адрес сети источника: ххх.ххх.ххх.ххх Порт источника: 1636 вместе, не по колонкам... Есть инструменты, позволяющие выделить из лога только Логин + Адрес сети источника ?

Могу порекомендовать ПО от GFI Event Monitor. Он скидывает логи в SQL сервак, остается только написать приложение или простую веб страничку для отображения + есть постоянный контроль в трее по нужным событиям.

чтобы при возникновении какоq-нибудь ошибки или предупреждения приходило сообщение на мыло/аську »
можно посмотреть в сторону xStarter. Там можно запускать задачи по заданному событию из журнала.

GFI Event Monitor »
надо глянуть...