Уведомления из журналов событий Windows

Кратко: Этот материал показывает, как автоматически экспортировать, фильтровать и отправлять по почте записи из журналов событий Windows с помощью MyEventViewer, простого пакетного скрипта и Планировщика задач. Две минуты настройки — и вы будете получать только те предупреждения и ошибки, которые важны для вас.

Определение: Журнал событий — это системный файл Windows, в котором фиксируются сообщения об ошибках, предупреждения и информационные события, полезные для диагностики и мониторинга.

Как это работает

Решение использует бесплатную утилиту MyEventViewer (Nirsoft) для экспорта записей журнала событий в CSV (разделённый запятой файл). Простая обёртка в виде пакетного скрипта фильтрует этот CSV по типам событий и времени, после чего результат может быть отправлен по электронной почте или сохранён в заданную папку. CSV легко открыть в Excel или любом другом редакторе таблиц для дальнейшего анализа.

Подготовка и загрузки

• Скачайте MyEventViewer от Nirsoft (сайт разработчика).
• Скачайте Blat (или любой другой консольный SMTP-клиент) для отправки почты из командной строки.
• Скачайте пакетный скрипт «Event Log Notifier» из архива инструкции.

Важно: сохраняйте исполняемые файлы в надёжной папке и проверяйте цифровые подписи при возможности.

Конфигурация

Все параметры конфигурации описаны как встроенные комментарии в скрипте. Здесь мы подробно разберём ключевые настройки.

Имя журнала событий

Когда вы указываете журналы, из которых нужно брать записи, используйте системное полное имя журнала, а не краткий отображаемый заголовок в Event Viewer. Чтобы узнать полное имя, откройте свойства нужного журнала.

В примере значение Full Name равно “OAlerts” — именно это значение необходимо вписать в параметр Logs скрипта.

Типы событий

Параметр Types должен содержать текстовые названия уровней, которые вы видите в колонке “Level” Event Viewer: обычно это Information, Warning и Error. Скрипт фильтрует вывод по этим значениям.

Настройка Планировщика задач

Обычно этот процесс запускается автоматически как задача Windows. Важно синхронизировать интервал захвата событий со временем выполнения задачи. Например:

• Если скрипт настроен на сбор за последние 24 часа, запускайте задачу раз в день.
• Если сбор настроен на последний час, запускайте задачу раз в час.

Запускать задачу нужно с правами администратора, чтобы MyEventViewer мог получить доступ ко всем системным журналам.

Важно: если задача выполняется без прав администратора, часть журналов может быть недоступна и вы получите неполный экспорт.

Примеры конфигураций

Приведённые ниже фрагменты конфигурации — реальные примеры, которые вы можете вставить в конфиг скрипта.

Пример 1 — отправка по почте ошибок и предупреждений за последние 24 часа и сохранение CSV в C:\EventNotices:

• EmailResults=1
• EmailTo=my@email.com
• SaveResults=1
• SaveTo=C:\EventNotices
• TimeInterval=3
• TimeValue=1
• Logs=System,Application
• Types=Error,Warning
• Планировщик задач: запуск каждый день

Пример 2 — отправка по почте только ошибок за последний час:

• EmailResults=1
• EmailTo=my@email.com
• SaveResults=0
• TimeInterval=2
• TimeValue=1
• Logs=System
• Types=Error
• Планировщик задач: запуск каждый час

Пример 3 — сохранение ошибок и предупреждений за последнюю неделю на рабочий стол пользователя JFaulkner (Windows 7):

• EmailResults=0
• SaveResults=1
• SaveTo=C:\Users\jfaulkner\Desktop
• TimeInterval=3
• TimeValue=7
• Logs=Application
• Types=Error,Warning
• Планировщик задач: запуск каждую неделю

Мини-методология проверочной установки

1. Разместите MyEventViewer.exe и Blat.exe в папке на сервере монитора.
2. Скопируйте скрипт и откройте конфигурацию в блокноте.
3. Установите Logs и Types по примерe.
4. Сначала включите только сохранение файла (SaveResults=1) и тестируйте локально.
5. Когда CSV корректен, включите EmailResults и настройте SMTP-клиент.
6. Создайте задачу в Планировщике задач, назначьте запуск от имени администратора и протестируйте.

Проверка и критерии приёмки

• Скрипт создал CSV за ожидаемый период (проверьте TimeInterval/TimeValue).
• CSV содержит только выбранные журналы и типы событий.
• Если EmailResults=1 — письмо доставлено получателю с вложением или ссылкой.
• Если SaveResults=1 — файл записан в указанную папку и имеет корректную кодировку.
• Повторный запуск не дублирует уже обработанные события (по времени создания или идентификатору).

Руководство по отладке

Если вы не получаете ожидаемые уведомления:

• Проверьте, что задача запускается с правами администратора.
• Убедитесь, что путь SaveTo существует и у аккаунта есть права записи.
• Откройте CSV вручную: возможно, фильтр Types не совпадает по регистру или синтаксису.
• Антивирус или политика безопасности могут блокировать MyEventViewer или Blat — проверьте логи AV и временно разрешите выполнение.
• Проверьте настройки SMTP (Blat): корректен ли сервер, порт и учётная запись.

Безопасность и приватность

• Логи событий могут содержать персональные данные и чувствительную информацию. Отправляйте отчёты по защищённым каналам и минимизируйте объём передаваемых данных.
• Используйте внутренние SMTP-серверы с TLS вместо публичных почтовых провайдеров, когда это возможно.
• Храните файлы CSV недолго. Настройте ротацию или автоматическую очистку старых файлов.
• При работе в ЕС учитывайте, что журналы могут подпадать под требования GDPR. Минимизируйте хранение персональных данных и документируйте обработку.

Роли и чек-листы

Администратор:

• Установить MyEventViewer и Blat.
• Настроить Планировщик задач с правами администратора.
• Проверить доступы к целевым папкам.

Оператор/Инженер поддержки:

• Настроить фильтры по Logs и Types.
• Проверить корректность CSV и содержимое письма.
• Наладить оповещения и эскалации при критических ошибках.

Когда этот подход не подойдёт

• Если вам нужна сложная корреляция событий между машинами в реальном времени — лучше использовать SIEM или централизованную систему логирования.
• Если требуется шифрование и долгосрочное хранение журналов с аудитом — рассмотрите специализированные решения.

Короткое руководство по тестам приёмки

• Тест 1: Создайте тестовое событие уровня Error в System. Запустите задачу вручную. Ожидаемый результат: появление строки в CSV и/или получение письма.
• Тест 2: Установите Types на Warning, сгенерируйте Warning. Убедитесь, что ошибки не попали в отчёт.
• Тест 3: Проверьте, что файл сохраняется с ожидаемым именем и кодировкой и удаляется по правилам ротации.

Заключение

Этот простой подход позволяет быстро настроить автоматические уведомления из журналов событий Windows без развёртывания тяжёлых систем. Он хорошо подходит для небольших инфраструктур и оперативного контроля. Для крупных сред рассматривайте централизованные решения и SIEM для более глубокого анализа и корреляции событий.

Короткая памятка:

• Используйте полноё имя журнала для параметра Logs.
• Проверяйте права задачи — нужна учётная запись администратора.
• Начните с сохранения файлов, затем включайте отправку по почте.

Скачать:

• Event Log Notifier Script — How-To Geek
• MyEventViewer — Nirsoft
• Blat — Sourceforge