Windows logboek meldingen instellen
Tijdens een doorsnee Windows-sessie vinden er duizenden gebeurtenissen plaats op je systeem. Veruit de meeste zijn niet zo relevant, maar sommige kun je toch beter in het oog houden. Liever dan die gebeurtenissen telkens zelf te controleren, kun je Windows logboek meldingen instellen.
In dit artikel bekijken we de Windows-tool die bij uitstek geschikt is om uiteenlopende systeemgebeurtenissen op een gestructureerde manier bij te houden: de event viewer oftewel de module Logboeken.
Je kunt deze opstarten door Windows-toets+R in te drukken en eventvwr.msc uit te voeren. We gaan ervan uit dat je al enigszins vertrouwd ben met deze tool en dat je bijvoorbeeld weet hoe je filters toepast (Huidig logboek filteren) of hoe je eigen logboekweergaven maakt (Aangepaste weergave maken).
Logboeknotificaties
Windows houdt nauwgezet alle systeemgebeurtenissen bij, maar het is niet handig als je die telkens zelf moet raadplegen. Een mogelijke oplossing is om in Logboeken met rechts te klikken op de te monitoren gebeurtenis en de optie Taak aan deze gebeurtenis koppelen te kiezen, zodat de wizard Basistaken maken van de Taakplanner verschijnt. Benoem de taak en druk op Volgende (2x).
Helaas kun je als actie alleen de optie Een programma starten selecteren, aangezien twee eerdere notificatie-opties (via een e-mail- of pop-upbericht) door Microsoft zijn afgeschaft. Met een omweg via PowerShell lukt het alsnog om een pop-upnotificatie te tonen zodra zo’n gebeurtenis wordt geregistreerd.
Kies hiervoor de optie Een programma starten en vul powershell.exe in bij Programma/script. Bij Parameters toevoegen tik je het volgende script in:
-WindowStyle hidden -Command "& {[System.Reflection.Assembly]::LoadWithPartialName('System.Windows.Forms'); [System.Windows.Forms.MessageBox]::Show(notificatie,'titel')}"
Uiteraard vervang je notificatie en titel door de werkelijke tekst. Druk op Volgende en zet een vinkje bij Eigenschappenvenster van deze taak openen […] om eventueel extra opties in te instellen.
Je kunt ook zelf andere PowerShell-scripts aan een taak koppelen. Klik in de module Taakplanner (die vind je in het startmenu) op de optie Taak maken en klik op het tabblad Trigger op de knop Nieuw. Kies uit het keuzemenu Start deze taak de optie Bij een gebeurtenis en vul de velden Logboek, Bron en Gebeurtenis-id in, of selecteer Aangepast en klik op Nieuw gebeurtenisfilter. Op het tabblad Acties druk je nogmaals op Nieuw waar je powershell.exe invult bij Programma/script. Bij Parameters toevoegen vul je het pad naar je PowerShell-script in (een bestand met de extensie .ps1), voorafgegaan door -ExecutionPolicy Bypass om blokkering van uitvoering tegen te gaan.
Logs op afstand
Om de logboeken van andere Windows-computers te bekijken, hoef je in principe maar in de module Logboeken met rechts op Logboeken (lokaal) te klikken, Verbinding met andere computer maken te kiezen en eventueel Verbinding als andere gebruiker maken te selecteren. In de praktijk lukt zo’n connectie echter zelden, aangezien Windows zulke afstandsverzoeken niet zomaar accepteert.
Afhankelijk van de Windows-configuratie op de clients zijn hier meerdere ingrepen voor nodig op het niveau van het register, firewall en/of de services. Er is gelukkig een tool die alles in één keer regelt. Je moet er wel het gratis programma Axence netTools voor downloaden en die op een willekeurige pc installeren. In de submap \netTools\5 van de installatiemap vind je het bestand wmienable.exe. Kopieer dit bestand naar een usb-stick en voer het als administrator uit op de beoogde pc. Voortaan moet de verbinding wel lukken.
Via http://kwikr.nl/axwmi lees je wat deze tool precies uitvoert en wat je te doen staat mocht de verbinding onverhoopt mislukken. Deze tool maakt tevens externe koppelingen mogelijk via de in de volgende paragrafen vermelde applicaties.
Alternatieve applicaties
De toepassing Logboeken is niet de enige tool om de systeemgebeurtenissen van Windows te raadplegen. Zo is er NirSoft FullEventLogView, dat in één venster zowat alle informatie verenigt, waaronder de gebeurtenisbeschrijvingen. Je kunt bovendien specifieke gebeurtenissen selecteren en die in diverse formaten bewaren. De tool laat zich ook vanaf de Opdrachtprompt aansturen. Je geeft hier zelf parameters mee of je haalt die uit een geschikt configuratiebestand (standaard meegeleverd) met:
FullEventLogView.exe /cfg "<pad_naar_.cfg-bestand>"
Nog veel krachtiger zijn Eventlog Explorer en EventSentry Light, die beide ook in een afgeslankte of beperkte versie gratis beschikbaar zijn.
EventSentry
We tonen kort hoe je met EventSentry Light aan de slag kunt om je bij bepaalde gebeurtenissen een e-mailnotificatie te laten versturen. Tijdens de installatie geef je aan dat je e-mailnotificaties wilt inschakelen en vul je de gevraagde gegevens in, waaronder de SMTP-server en -poort, mailadressen en een eventueel authenticatie-ID. Controleer de verbinding met de Test-knop. Je krijgt tevens de gelegenheid extra services van EventSentry in te schakelen.
Even later verschijnt de beheerconsole met informatie over de lokale pc, waaronder de Event logs. Open het menu Tools en kies Add hosts to EventSentry / Network Scan om naar pc’s te scannen (bijvoorbeeld met het CIDR-subnet 192.168.1.0/24). Voeg de gewenste pc’s toe. Via Deploy agent to remote hosts kun je nu ook de EventSentry-agent op die pc’s installeren.
Stel, je wilt een e-mailnotificatie ontvangen bij een specifieke gebeurtenis. Open dan het menu Packages in de beheerconsole en klik met rechts op Event Logs. Kies Add Package en benoem dit. Klik hier met rechts op, kies Add filter using wizard en geef in enkele stappen aan welke gebeurtenissen je wilt filteren. Je kunt bovendien een tijdsframe instellen waarbinnen de software op deze gebeurtenis moet checken. Bij Action Selection selecteer je Default Email. Vul een filternaam in en rond af met Voltooien.
Tot slot klik je met rechts op je package en kies je Assign, waarna je aangeeft welke computers je wilt controleren.
