Notificación de Eventos Remotamente

Muchas veces los administradores de una red desean ser notificados de eventos significativos que se producen en los servidores que proveen determinado servicio. Básicamente el objetivo es no tener que estar revisando el Visor de Eventos de varios servidores, sino que directamente ante algún evento que se pueda configurar, el administrador sea notificado en su estación de trabajo, e inclusive de esta forma podemos centralizar el control

Esto se puede configurar de forma sencilla, quizás el inconveniente es que no es algo instantáneo sino que pasan unos minutos entre la ocurrencia del evento y la notificación

Para esta demostración utilizaré tres de las máquinas virtuales que normalmente utilizo en estas notas:

• DC1.ad.guillermod.com.ar: Controlador de Dominio
• SRV1.ad.guillermod.com.ar: Servidor Miembro del Dominio
• CL1.ad.guillermod.com.ar: Cliente del Dominio

El ejemplo que pondré en esta nota es la configuración más sencilla, aunque también hay otras posibilidades más avanzadas, y el objetivo será ser notificado en CL1 cuando se detenga inesperadamente el servicio de impresión en SRV1

Así que lo primero que debemos hacer es en SRV1 y es la configuración del servicio “Windows Remote Management” que podemos hacer muy fácilmente con:

WINRM QUICKCONFIG

Como la idea es recibir la notificación en CL1, debemos permitir que CL1 pueda leer los eventos en SRV1, para lo cual incluimos, como se muestra, a la máquina CL1 en grupo “Event Log Readers” de SRV1

Como por omisión no permite seleccionar máquinas para pertenencia en grupos debemos marcar específicamente la opción

 

El resto de las configuraciones las haremos en CL1, para eso abrimos el Visor de Eventos, y en cuanto pulsemos sobre “Subscriptions” nos ofrecerá ejecutar el servicio “Windows Event Collector”, que por supuesto aceptaremos ya que será quien se encargue de recoger los eventos que luego configuraremos y recibiremos

Y con botón derecho creamos una nueva suscripción

Primero le asignamos un nombre descriptivo y luego seleccionaremos las máquinas de las cuales recibiremos notificaciones

Siempre es conveniente revisar si la conexión se puede hacer sin problemas

Y ahora seleccionaremos qué eventos deseamos ser notificados

En mi caso seleccionaré “Error” del log “System”

Vemos que ha quedado creada la suscripción

 

Ahora en SRV1 voy a simular la falla del servicio de impresión “Windows Spooler” ya que es una falla producida muchas veces por controladores de impresoras mal hechos o incorrectamente seleccionados

Ya sólo nos queda esperar, normalmente con la configuración que he hecho demorará hasta 15 minutos en aparecer el evento en CL1

Simplemente cada unos minutos ejecutamos un refresco hasta que aparezca

Y como podemos observar ha aprecido el correspondiente evento en CL1

 

Por supuesto que este tema da para mucho más, hay muchas opciones diferentes para seleccionar, tanto de logs, tipo de evento, número de evento, etc.

Inclusive se complica un poco si lo que deseamos son eventos correspondientes al log de Seguridad, o si deseamos que en lugar de ser recogidos por nuestro cliente sean directamente enviados por el servidor. Dejo eso para que cada uno investigue de acuerdo a su necesidad