Il monitoraggio degli eventi di Windows è un aspetto essenziale per mantenere la salute e le prestazioni dei dispositivi Windows e farli funzionare senza problemi. È possibile monitorare gli eventi di Windows utilizzando i profili di soglia di Atera per ricevere avvisi in tempo reale quando si verificano eventi specifici.
Nota:
- Gli avvisi di eventi di Windows non possono essere snooppati
- Gli avvisi generati da eventi Windows non si risolvono automaticamente.
- Viene generato un avviso per ogni combinazione unica di ID evento e origine evento in un periodo di tempo di 60 minuti.
Riassunto del registro eventi Windows
Che cos'è il Registro eventi di Windows?
Il Registro eventi di Windows è un registro dettagliato degli eventi che si verificano all'interno dei sistemi operativi Windows, compresi gli eventi di sistema, di applicazione e di sicurezza.
ID evento e fonte spiegata
Ogni evento di Windows ha un ID evento e un nome sorgente.
- ID evento: Un identificatore unico per ogni evento registrato nel registro eventi di Windows, che fornisce informazioni sul tipo o sull'azione dell'evento.
- Nome della fonte: Indica il componente software o l'applicazione che ha generato l'evento, aiutando a determinarne la causa principale.
L'ID evento e l'origine forniscono insieme importanti informazioni contestuali, come il tipo di evento (informazione, avviso, critico, errore), l'origine e altro ancora. Ad esempio, l'ID evento 4624 viene registrato quando un utente accede con successo a un dispositivo Windows. Tuttavia, questo evento può essere registrato sia quando un utente accede a un computer Windows (origine = auditing della sicurezza di Microsoft Windows), sia quando l'accesso viene eseguito in remoto tramite Remote Desktop Protocol (origine = Microsoft Windows TerminalServices-LocalSessionManager).
Visualizzazione delle informazioni sugli eventi di Windows
Lo strumento Visualizzatore eventi può essere utilizzato per visualizzare le informazioni sugli eventi di Windows, compresi l'ID evento e la fonte di cui sopra, nonché il livello dell'evento, la descrizione, l'ora in cui si è verificato l'evento e altro ancora. Per trovare l'ID evento e/o il nome della sorgente dell'evento in questione nel Visualizzatore eventi, consultare le seguenti istruzioni.
Monitorare gli eventi di Windows per categoria di registro
Windows organizza i registri eventi per categoria per aiutare gli utenti a individuare e gestire rapidamente gli eventi rilevanti. È possibile configurare una voce di soglia di Windows in Atera per monitorare tutti gli eventi di Windows all'interno delle seguenti categorie/registri.
- Applicazioni per gli eventi
- Sicurezza degli eventi
- Configurazione degli eventi
- Sistemi per eventi
Configurare una voce di soglia per monitorare gli eventi per categoria di log di Windows
1. Da Admin (nella barra laterale), fare clic su Soglie.
Viene visualizzata la pagina Profili di soglia.
2. Selezionare il profilo a cui si desidera aggiungere un elemento per il monitoraggio degli eventi di Windows, oppure aggiungere un nuovo profilo. Viene visualizzata la pagina Modifica soglia.
3. Fare clic su Nuovo elemento. Viene visualizzata la finestra dell'elemento Soglia. Fare clic sulla scheda Personalizzato.
4. È possibile assegnare all'elemento di soglia un "nome amichevole", che apparirà sugli avvisi (opzionale).
5. Dal menu a tendina Categoria, scegliete la categoria di registro eventi di Windows che desiderate monitorare, ad esempio 'Applicazioni eventi', 'Sicurezza eventi', 'Impostazione eventi' o 'Sistema eventi'. In questo esempio abbiamo selezionato "Eventi sicurezza".
6. Scegliere la 'Gravità evento' che corrisponde al livello di evento Microsoft per la categoria che si desidera monitorare. Ad esempio, se si desidera ricevere avvisi per tutti gli eventi 'Critici' nel registro Sicurezza di Windows, selezionare il livello di gravità 'Critico'.
7. Per escludere specifici eventi Windows di questa categoria dalla generazione di avvisi in Atera, aggiungere gli ID evento corrispondenti alla voce di soglia "Eventi da escludere". Questo vi aiuterà a filtrare gli eventi irrilevanti o a bassa priorità.
Nota: Quando si configura un elemento di soglia per gli eventi di Windows per categoria di registro, verranno raccolti tutti i registri di eventi dall'agente all'interno di quella categoria di registro e, di conseguenza, potrebbero essere generati numerosi avvisi. Per ricevere avvisi solo per eventi specifici, selezionare la categoria "Eventi per origine" nella finestra dell'elemento di soglia. In questo modo è possibile monitorare gli eventi in base alla loro origine, piuttosto che in base alla categoria di registro, e attivare avvisi più granulari e mirati.
Monitoraggio di eventi Windows specifici per fonte e/o ID evento
Filtraggio per fonte/ID evento
Come funziona
È possibile configurare un elemento di soglia in Atera per attivare un avviso per un evento Windows utilizzando l'ID evento Windows, l'origine evento o una combinazione di entrambi.
ID evento: Quando si imposta un avviso basato sull'ID evento, si viene avvisati ogni volta che si verifica un evento Windows con l'ID specificato, indipendentemente dalla fonte. Ciò è utile quando si desidera monitorare eventi specifici che condividono un ID evento comune, indipendentemente dalla loro origine.
Fonte: Se si imposta un avviso basato sul nome della fonte, si verrà avvisati ogni volta che si verifica un evento Windows dalla fonte o dalle fonti specificate, indipendentemente dall'ID evento. Ciò è utile quando si desidera monitorare gli eventi provenienti da una fonte specifica, ad esempio un'applicazione o un componente specifico.
Fonte e ID evento: Quando si imposta un avviso basato sia sul nome della fonte che sull'ID evento, si riceve un avviso solo quando si verifica un evento Windows con l'ID specificato dalla fonte specificata. Ciò è utile quando si desidera monitorare eventi specifici provenienti da una particolare fonte, piuttosto che tutti gli eventi che condividono un ID evento comune.
Come trovare il nome della sorgente e l'ID evento
Per trovare il nome della fonte e l'ID evento per l'evento Windows:
1. Aprire il Visualizzatore eventi di Windows > Navigare fino al log integrato o al log personalizzato pertinente.
.
2. Fare clic sull'evento Windows che si desidera monitorare dall'elenco.
Sotto l'elenco degli eventi di Windows vengono visualizzati ulteriori dettagli sull'evento, come l'ID evento, il nome del registro, il livello dell'evento e così via nella scheda Generale.
3. Fare clic sulla scheda Dettagli e poi su Vista XML.
.
Il "Provider Name" nella vista XML corrisponde al campo "Source Name" di Atera, mentre l'"EventID" nella vista XML corrisponde al campo "Event ID" di Atera.
4. Copiare il Provider Name e l'EventID dalla vista XML e incollarli nei campi corrispondenti della finestra Threshold Item di Atera.
Severità dell'avviso per gli eventi in base alla fonte
Atera offre opzioni flessibili per la configurazione di un elemento di soglia per la visualizzazione di avvisi per eventi Windows.
- Severità evento Windows: Determina quando attivare un avviso per l'evento in base al livello dell'evento Microsoft.
- Severità dell'avviso: La gravità dell'avviso che verrà presentata in Atera.
I seguenti livelli di eventi Microsoft corrispondono ai livelli di "Windows Event Severity" di Atera:
Livello evento Microsoft | 'Severità evento Windows' in Atera |
Informazioni | Informazioni |
Avviso | Attenzione |
Critico e errore | Critico |
Nota: il campo "Gravità dell'avviso" non deve necessariamente corrispondere al campo "Gravità dell'evento di Windows".
Configurazione di un elemento di soglia per monitorare gli eventi di Windows in base all'origine
1. Da Admin (nella barra laterale), fare clic su Soglie.
.
Viene visualizzata la pagina Profili di soglia.
2. Selezionare il profilo a cui si desidera aggiungere un elemento per il monitoraggio di un evento specifico di Windows, oppure aggiungere un nuovo profilo. Viene visualizzata la pagina Modifica soglia.
3. Fare clic su Nuovo elemento. Viene visualizzata la finestra dell'elemento Soglia. Fare clic sulla scheda Personalizzato.
4. In Categoria, selezionare Eventi per origine. Quindi, in Cartella sorgente, selezionare una categoria di log di Windows dal menu a discesa o selezionare 'Altro' per aggiungere una cartella personalizzata.
Se si seleziona 'Altro' per aggiungere una cartella/registro personalizzato, è necessario inserire il nome della cartella/registro personalizzato. Per trovarlo, procedere come segue:
- Aprire il Visualizzatore eventi di Windows > fare clic con il pulsante destro del mouse sul registro eventi > fare clic su Proprietà.
- Si apre la finestra Proprietà registro. Copiare il "Nome completo" del registro.
- Incollare il nome nel campo Cartella personalizzata di Atera.
6. Selezionare il livello "Sicurezza eventi Windows" per l'evento Windows dal menu a discesa.
7. Definire il livello di "gravità dell'avviso" per l'avviso corrispondente da generare in Atera. È possibile scegliere di corrispondere al livello dell'evento Microsoft o di sovrascriverlo con il livello di gravità dell'avviso preferito.
8. Immettere il nome della fonte e/o gli ID evento per l'evento Windows che si desidera monitorare. Per trovare il Nome sorgente e/o l'ID evento, seguire questi passaggi.
Nota: è possibile aggiungere più nomi di sorgenti, ID evento o una combinazione di entrambi separandoli con una virgola.
9. Allegare uno script di auto-healing (opzionale). Per saperne di più
10. Fare clic su Aggiungi.
È tutto pronto! Tutti gli avvisi generati, relativi agli eventi di Windows, appariranno nella pagina Avvisi e nella dashboard.