מרכז העזרה
התחבר
התחבר

איך נוכל לעזור?

נושאים נפוצים:

AI, Tickets, Agents
מרכז העזרה
In this Article:
    1. Atera Support
    2. Library
    3. רמ"מ
    4. התראות

    ניטור אירועים ב-Windows

    Dragos Gabriel Tulbure

    ניטור אירועים ב-Windows הוא חלק חיוני בשמירה על תקינות וביצועי מכשירי Windows ולהבטיח שהם פועלים בצורה חלקה. ניתן לנטר אירועים ב-Windows באמצעות פרופילי סף של Atera ולקבל התראות בזמן אמת כאשר מתרחשים אירועים מסוימים.

    הערה:

    • לא ניתן לדחות התראות של אירועי Windows
    • התראות שנוצרות על ידי אירועי Windows אינן נפתרות אוטומטית
    • נוצרת התראה אחת עבור כל שילוב ייחודי של מזהה אירוע (Event ID) ומקור אירוע (Event Source) בתוך פרק זמן של 60 דקות.

     

    סקירה כללית של יומן האירועים של Windows

    מהו יומן האירועים של Windows?

    יומן האירועים של Windows הוא רישום מפורט של אירועים שמתרחשים במערכות ההפעלה של Windows, כולל אירועי מערכת, יישומים ואבטחה.

    הסבר על מזהה אירוע ומקור

    לכל אירוע ב-Windows יש גם מזהה אירוע (Event ID) וגם שם מקור (Source Name).

    • מזהה אירוע (Event ID): מזהה ייחודי לכל אירוע שנרשם ביומן האירועים של Windows, ומספק מידע על סוג או פעולה של האירוע.
    • שם מקור (Source Name): מציין את רכיב התוכנה או היישום שיצר את האירוע, מה שעוזר לזהות את שורש הבעיה.

    יחד, מזהה האירוע והמקור מספקים מידע חשוב כמו סוג האירוע (מידע, אזהרה, קריטי, שגיאה), מקור האירוע ועוד. לדוגמה, מזהה אירוע 4624 נרשם כאשר משתמש נכנס בהצלחה למכשיר Windows. עם זאת, אירוע זה יכול להירשם גם כאשר משתמש נכנס למחשב Windows (מקור = Microsoft Windows security auditing) וגם כאשר הכניסה מתבצעת מרחוק דרך Remote Desktop Protocol (מקור = Microsoft Windows TerminalServices-LocalSessionManager).

    צפייה במידע על אירועים ב-Windows

    ניתן להשתמש בכלי Event Viewer כדי לצפות במידע על אירועים ב-Windows, כולל מזהה האירוע והמקור שצוינו לעיל, וכן ברמת האירוע, תיאור, זמן התרחשות האירוע ועוד. ראו הוראות אלו למציאת מזהה האירוע ו/או שם המקור עבור האירוע הרלוונטי ב-Event Viewer.

     

    ניטור אירועים ב-Windows לפי קטגוריית יומן

    Windows מארגן את יומני האירועים לפי קטגוריות כדי לעזור למשתמשים לאתר ולנהל אירועים רלוונטיים במהירות. ניתן להגדיר פריט סף ב-Atera לניטור כל האירועים ב-Windows בתוך הקטגוריות/יומנים הבאים.

    • אירועי יישומים
    • אירועי אבטחה
    • אירועי התקנה
    • אירועי מערכת

    הגדרת פריט סף לניטור אירועים לפי קטגוריית יומן ב-Windows

    1. מתוך ניהול (בסרגל הצד), לחצו על ספים.

    From_Admin_Select_Thresholds_-_MSP_-_EN.png

    תופיע עמודת פרופילי סף.

    ThresholdProfiles_Page_-_EN.png

    2. בחרו את הפרופיל שאליו תרצו להוסיף פריט לניטור אירועים ב-Windows, או הוסיפו פרופיל חדש. תופיע עמודת עריכת סף.

    Edit_Threshold_Page_Appears1_-_EN.png

    3. לחצו על פריט חדש. תיפתח חלונית פריט סף. לחצו על לשונית מותאם אישית.

    Threshold_Item_window_-_EN.png

    4. ניתן לתת לפריט הסף שם ידידותי, שיופיע בהתראות (אופציונלי).

    5. מתפריט קטגוריה, בחרו את קטגוריית יומן האירועים של Windows שברצונכם לנטר, כמו 'אירועי יישומים', 'אירועי אבטחה', 'אירועי התקנה' או 'אירועי מערכת'. בדוגמה זו נבחרה 'אירועי אבטחה'.

    6. בחרו את 'חומרת האירוע' שתואמת את רמת האירוע של Microsoft עבור הקטגוריה שברצונכם לנטר. לדוגמה, אם ברצונכם לקבל התראות על כל האירועים הקריטיים ביומן האבטחה של Windows, בחרו ברמת חומרה 'קריטי'.

    7. כדי להחריג אירועים מסוימים ב-Windows מתוך יצירת התראות ב-Atera, הוסיפו את מזהי האירועים שלהם לפריט הסף תחת 'אירועים להחרגה'. כך תוכלו לסנן אירועים לא רלוונטיים או בעלי עדיפות נמוכה.

    הערה: כאשר מגדירים פריט סף לאירועים ב-Windows לפי קטגוריית יומן, הוא יאסוף את כל יומני האירועים מהסוכן בקטגוריה זו, ולכן עשוי להפיק התראות רבות. כדי לקבל התראות רק על אירועים מסוימיםבחרו בקטגוריה 'אירועים לפי מקור' בחלונית פריט הסף. כך תוכלו לנטר אירועים לפי מקורם, ולא לפי קטגוריית יומן, ולקבל התראות ממוקדות ומדויקות יותר.

     

    ניטור אירועים מסוימים ב-Windows לפי מקור ו/או מזהה אירוע

    סינון לפי מקור/מזהה אירוע

    איך זה עובד

    ניתן להגדיר פריט סף ב-Atera שיפעיל התראה עבור אירוע ב-Windows באמצעות מזהה אירוע, מקור האירוע, או שילוב של שניהם.

    Source_Name___Event_ID_-_EN.png

    מזהה אירוע: כאשר תגדירו התראה לפי מזהה אירוע, תקבלו התראה בכל פעם שאירוע ב-Windows עם המזהה שציינתם יתרחש, ללא קשר למקור. זה שימושי כאשר רוצים לנטר אירועים מסוימים בעלי מזהה משותף, בלי קשר למקורם.

    מקור: אם תגדירו התראה לפי שם מקור, תקבלו התראה בכל פעם שאירוע ב-Windows יתרחש מהמקור שציינתם, ללא קשר למזהה האירוע. זה שימושי כאשר רוצים לנטר אירועים ממקור מסוים, כמו יישום או רכיב מסוים.

    מקור ומזהה אירוע: כאשר תגדירו התראה לפי גם שם מקור וגם מזהה אירוע, תקבלו התראה רק כאשר אירוע ב-Windows עם המזהה שציינתם יתרחש מהמקור שציינתם. זה שימושי כאשר רוצים לנטר אירועים מסוימים ממקור מסוים, ולא את כל האירועים בעלי מזהה משותף.

     

    איך למצוא את שם המקור ומזהה האירוע

    כדי למצוא את שם המקור ומזהה האירוע עבור אירוע ב-Windows:

    1. פתחו את Event Viewer של Windows > נווטו ליומן המובנה או ליומן מותאם אישית הרלוונטי.

    Event_Viewer___Select_Log_-_EN.png

    2. לחצו על האירוע ב-Windows שברצונכם לנטר מתוך הרשימה.

    מתחת לרשימת האירועים תראו פרטים נוספים על האירוע כמו מזהה אירוע, שם יומן, רמת האירוע ועוד בלשונית כללי.

    Event_Viewer___Log___Select_Event.png

    3. לחצו על לשונית פרטים ואז על תצוגת XML.

    Event_Source___Event_ID_-_EN.png

    ה-'Provider Name' בתצוגת ה-XML הוא השדה 'שם מקור' ב-Atera, ו-'EventID' בתצוגת ה-XML הוא השדה 'מזהה אירוע' ב-Atera.

    4. העתיקו את שם ה-Provider ואת ה-EventID מתצוגת ה-XML והדביקו אותם בשדות המתאימים בחלונית פריט סף ב-Atera.

     

    חומרת התראה עבור אירועים לפי מקור

    Atera מציעה אפשרויות גמישות להגדרת פריט סף להצגת התראות עבור אירועים ב-Windows.

    Alert_Severity_-_EN.png

    • חומרת אירוע ב-Windows: קובעת מתי להפעיל התראה עבור האירוע לפי רמת האירוע של Microsoft
    • חומרת התראה: רמת החומרה של ההתראה שתוצג ב-Atera

    רמות האירועים של Microsoft הבאות תואמות לרמות 'חומרת אירוע ב-Windows' ב-Atera:

    רמת אירוע ב-Microsoft 'חומרת אירוע ב-Windows' ב-Atera
    מידע מידע
    אזהרה אזהרה
    קריטי ושגיאה קריטי

     

    הערה: שדה 'חומרת התראה' לא חייב להתאים לשדה 'חומרת אירוע ב-Windows' — כך תוכלו להתאים את רמת החומרה של ההתראה לצרכים ולהעדפות שלכם.

     

    הגדרת פריט סף לניטור אירועים ב-Windows לפי מקור

    1. מתוך ניהול (בסרגל הצד), לחצו על ספים.

    From_Admin__click_Thresholds_-_EN_-_MSP.jpg

    תופיע עמודת פרופילי סף.

    ThresholdProfiles_Page_-_EN.png

    2. בחרו את הפרופיל שאליו תרצו להוסיף פריט לניטור אירוע מסוים ב-Windows, או הוסיפו פרופיל חדש. תופיע עמודת עריכת סף.

    Edit_Threshold_Page_Appears1_-_EN.png

    3. לחצו על פריט חדש. תיפתח חלונית פריט סף. לחצו על לשונית מותאם אישית.

    Threshold_Item_Events_by_Source_-_EN.png

    4. תחת קטגוריה, בחרו אירועים לפי מקור. לאחר מכן, תחת תיקיית מקור, בחרו קטגוריית יומן של Windows מתפריט הבחירה, או בחרו 'אחר' כדי להוסיף תיקיה מותאמת אישית.

    אם בחרתם 'אחר' כדי להוסיף תיקיה/יומן מותאם אישית, יש להזין את שם התיקיה/יומן. ניתן למצוא זאת כך:

    • פתחו את Event Viewer של Windows > לחצו לחיצה ימנית על יומן האירועים > לחצו על מאפיינים.

    Event_Viewer___Properties1_-_EN.png

    • תיפתח חלונית מאפייני יומן. העתיקו את 'השם המלא' של היומן.

    Copy_Full_Name_Log_Path_-_EN.png

    • הדביקו את השם בשדה תיקיה מותאמת אישית ב-Atera.

    Paste_Full_Name_Log_Path_-_EN.png

    6. בחרו את רמת 'אבטחת אירוע ב-Windows' עבור האירוע מהתפריט הנפתח.

    7. הגדירו את רמת 'חומרת התראה' עבור ההתראה שתיווצר ב-Atera. ניתן לבחור להתאים לרמת האירוע של Microsoft או להגדיר רמת חומרה מועדפת משלכם.

    8. הזינו את שם המקור ו/או מזהי האירועים של האירוע שברצונכם לנטר. כדי למצוא את שם המקור ו/או מזהה האירוע, בצעו את השלבים האלו

    Add_threshold_item___source_and_event_ID___Add_-_EN.png

    הערה: ניתן להוסיף מספר שמות מקור, מזהי אירועים, או שילוב של שניהם, על ידי הפרדה בפסיק.

    9. צרפו סקריפט ריפוי עצמי (אופציונלי). למידע נוסף

    10. לחצו על הוסף.

    זהו, סיימתם! כל התראה שתיווצר בעקבות אירועי Windows תופיע בעמוד התראות ובדשבורד שלכם.

     

     

     

    Copyright © Atera Networks Ltd.2023

    apple store app google play app

    AICPA SOC for Service Organizations and ISO 27001 certified