Hendelsesregistrene på Windows-systemer er nyttig for både feilsøking når ting går galt og overvåke ytelse og atferd. En hendelseslogg er en fil som inneholder hendelser som er oppføringer i loggen som varsler brukeren om noen forekomst knyttet til operativsystemet eller programmer som kjører på systemet. En hendelse inneholder informasjon om hvilken type hendelse, dato og tid da det skjedde, datamaskinen der det skjedde, og brukeren som var logget på samtidig, og annen informasjon som hendelses-ID, hendelsen kategori, og kilden til hendelsen. Hendelser kan også omfatte ytterligere detaljert informasjon om arrangementet og muligens en link til hvor mer informasjon kan bli funnet. Figur 1 nedenfor viser et eksempel på en hendelse fra DNS Server hendelsesloggen på en Windows Server 2003-domenekontroller:
Figur 1:. Eksempel på en hendelse
Finne mer informasjon om en hendelse
Hvis en hendelse inneholder en link og du klikker på den, åpnes en dialogboks advarer deg om at informasjon om arrangementet vil bli sendt til Microsoft for å se om de har mer informasjon tilgjengelig om hendelsen:
Figur 2:. Sende hendelse informasjon til Microsoft
Hvis du klikker Ja åpner Hjelp og støtte, og sjekker for å se om det er noe mer informasjon om hendelsen som kan være nyttig. Figur 3 viser en typisk reaksjon:
Figur 3: Ekstra hjelp om hendelsen
Hvor mange ganger har du vært frustrert over mangelen på nyttig informasjon tilgjengelig på denne måten om noen obskure. hendelse? I eksempelet ovenfor, er det mer hjelp, forutsatt at "denne feilen kan være forårsaket av enten en høy belastning på domenekontrolleren eller svikt i andre domenekontrollere tjenester", og foreslo rette er å "starte DNS-servertjenesten" og sjekk hendelsesloggen for noe annet som skjedde på samme tid, og kan være en ledetråd. Med andre ord, det som den gamle mantra "når alt annet svikter, kan du prøve å restarte." Hvor kan du finne mer hjelp?
Altair Technologies opprettholder et nyttig nettsted som heter EventID.net der brukerne kan søke etter mer informasjon om obskure Windows hendelser for å hjelpe deg med å tolke dem. Dette nettstedet er community-basert, noe som betyr at brukere legge inn sine kommentarer angående hendelser for å skape et fellesskap database som deretter kan søkes av andre. Hvis du søker EventID.net for informasjon om ovenstående hendelse (kilde = DNS, event ID = 4004) følgende vises:
Figur 4: Søke EventID.net for mer informasjon om hendelsen ID 4004 for DNS.
Den virkelig nyttig funksjon er under Detaljer, hvor du kan klikke på lenken "Kommentarer og linker for event id 4004 fra kilde DNS" for å se kommentarer postet av andre brukere:
Figur 5: Kommentarer til hendelsen ID 4004 for DNS postet av brukere av EventID.net
Den siste kommentaren er spesielt nyttig som det indikerer MS er klar over hvorfor dette skjer, og antyder den vanligvis kan ignoreres. Hjelp og støtte aldri fortalt oss det!
Konfigurering av hendelseslogger
En av de første tingene du bør gjøre når du har installert en ny Windows-systemet er konfigurere hendelsesloggene på dette systemet. Dette er spesielt viktig for servere der hendelseslogger kan gi viktig informasjon for å hjelpe deg å feilsøke når ting går galt. Før vi ser på hvordan du konfigurerer hendelseslogger, trenger vi litt bakgrunnsinformasjon om de ulike logger tilgjengelig, og tabell 1 gir dette nedenfor:
Hendelseslogg
Loggfil
Funksjon
Tilgjengelighet
programloggen
AppEvent.evt
Registrerer hendelser som bestemmes av hver programvareleverandør
Alle Windows-systemer
Sikkerhet log
SecEvent.evt
Records hendelser basert på hvordan Tilsynet policy er konfigurert
Alle Windows-systemer
System log
SysEvent.evt
Records arrangementer for Windows-operativsystemet komponenter
All Windows-systemer
Directory Service log
NTDS.evt
Records arrangementer for Active Directory
Domenekontrollere bare
DNS-server log
DnsEvent.evt
Records arrangementer for DNS-servere og navneløsing
DNS-servere bare
File Replication Service logg
NtFrs.evt
Records arrangementer for domenekontroller replikering
Domenekontrollere bare
Tabell 1: Oppsummering av Windows hendelseslogger
Som standard alle hendelseslogger er:
- Lagret i% Windir% \\ system32 \\ config mappen
- Har en maksimal størrelse på 16 MB (Windows Server 2003) eller 512 KB (Windows 2000 /XP)
Skriv over hendelser mer enn 7 dager gammel < .no>
Figur 6: Standard konfigurasjon av DNS-server hendelsesloggen på en Windows Server 2003 DNS server.
Før du setter din nye Windows server i produksjon, bør du bestemme om disse standardinnstillingene er riktige. Forslag til beste praksis for konfigurering av hendelseslogger på servere inkluderer følgende:
- Endre skrivings oppførsel for sikkerhetsloggen til Ikke skriv over hendelser hvis bedriften er en høy sikkerhetsmiljø. På den måten hvis sikkerhetsloggen fylles opp systemet vil stenge ned for å sikre at ingen hendelser i sikkerhetsloggen går tapt. Hvis du gjør dette, må du også arkivere og deretter tømme Security loggen regelmessig for å hindre en slik nedleggelse oppstår uventet.
- Endre skrivings atferd for de andre hendelsesloggene til Overskriv Hendelser etter behov, slik at ingen overskriving skjer inntil hele loggen blir full. Igjen, sørg for å regelmessig arkiv og tømme hendelseslogger for å hindre loggen fra å fylle opp og mister arrangementer på grunn av overskriving.
Hvis du har et antall datamaskiner og kjører Active Directory i nettverket, kan du også bruke Group Policy til å konfigurere hendelsesloggen innstillinger. Disse innstillingene finner du under Computer Configuration /Windows-innstillinger /Sikkerhetsinnstillinger /hendelsesloggen i Group Policy Object Editor:
Figur 7: gruppepolicyinnstillinger for konfigurering hendelseslogger.
Søke og Filtrering Arrangementer
Mens du blar gjennom hendelses konsollen kan du enkelt undersøke de siste hendelsene som har vært logget på systemet ditt, blir dette fort upraktisk på travle systemer der hendelseslogger er titus megabyte i størrelse. Hvis du leter etter forekomster av en bestemt type hendelse men du kan bruke Finn og Filter alternativer for å få fart på sakene.
Si at du ønsker å finne alle forekomster av hendelses-ID 4004 i DNS Server loggen som tidligere vist i figur 1 over. For å bruke søkefunksjonen for å oppnå dette ved å høyreklikke på DNS Server loggen og velg Vis - & gt; Finn, deretter fylle i hendelses-ID og logge navn i søkeboksen:
Figur 8:. Finne tilfeller av hendelses-ID 4004 i DNS Server log
Klikk på Finn neste knappen og de første tilfeller av denne hendelsen vises i Event Viewer:
Figur 9:. En forekomst av hendelses-ID 4004 vises i hendelseslisten
Klikk deretter Søk etter neste for å vise neste forekomst av denne hendelsen, og så videre.
Det frustrerende ting om denne tilnærmingen er at Finn-grensesnittet ikke er bygd direkte inn i vinduet Hendelsesliste. Så la oss prøve en annen tilnærming og bruke Filter i stedet. Høyreklikk på DNS Server loggen igjen og velg Vis - & gt; Filter, deretter fylle i hendelses-ID i kategorien Filter til DNS Server Properties sheet:
Figur 10: Filtrere DNS Server loggen for hendelses-ID 4004.
Klikk OK og Event Viewer og de eneste hendelsene som vises i DNS Server loggen er de som har hendelsen ID 4004:
Figur 11: Alle forekomster av hendelsen ID 4004 vises.
Fra denne informasjonen kunne vi konkludere med at dette var bare et forbigående problem som skjedde for et par uker siden da vi startet på nytt DNS-serveren.
Vise Arrangementer på Remote Systems
Event Viewer lar deg også koble til eksterne systemer for å vise sine hendelseslogger. Fremgangsmåten er enkel: høyreklikk på roten (øverst) node i konsolltreet i Event Viewer og velg Koble til en annen datamaskin:
Figur 12: Koble til en ekstern datamaskin for å vise sin event logger.
Så enten skrive inn navnet (NetBIOS eller FQDN) til den eksterne datamaskinen, eller klikk Bla gjennom for å finne det i Active Directory. Klikk OK for å koble til:
Figur 13: Kan ikke koble til en ekstern datamaskin til å vise hendelseslogger
Oops, kan ikke koble til.! Og feilmeldingen er kryptisk. Hva gikk galt? Vanligvis denne feilmeldingen enten indikerer ett av følgende:
- Du er ikke logget på med en konto som har lokal administratortilgang til den eksterne maskinen (a Domain Admins konto skal fungere).
- The Remote Registry tjenesten ikke kjører eller har blitt deaktivert på den eksterne maskinen.
Korriger situasjonen, og du bør være i stand til å koble til den eksterne maskinen, og se på hendelseslogger.
Bruke EventCombMT.exe
I en tidligere artikkel på WindowsSecurity.com vi så på konto Lockout og Management Tools (ALTools.exe) nedlasting fra Microsoft. En av disse verktøyene er EventCombMT.exe, som kan brukes for å konsolidere hendelsesloggene fra flere datamaskiner i en enkelt sted for analyse. For å bruke dette verktøyet dobbeltklikker på EventCombMT.exe i mappen der du installerte det, og angi domenet, servere og typer arrangementer du ønsker å finne. For eksempel si at du ønsker å finne alle w32time arrangementer på to servere (TEST230 og TEST235) i testtwo.local domene:
Figur 14:. Bruke EventCombMT å søke etter w32time hendelser på to servere
Klikk Søk og når operasjonen er ferdig med en mappe vil åpne opp viser resultatet filer generert:
Figur 15:. Resultater filer generert av vår EventCombMT søk
dobbeltklikke på en av de to server filene viser en kommaseparert liste over w32time hendelser for denne serveren:
Figur 16:. kommaseparert liste over w32time hendelser på serveren TEST230
< P> Du kan deretter importere disse filene inn i Excel for å konsolidere dem for videre analyse. EventCombMT har også en rekke innebygde spørsmål du kan bruke for vanlige oppgaver som å lete etter låste-out regnskapet:
Figur 17:. Searching for låste-out regnskapet EventCombMT
Andre begivenheter overvåkingsverktøy
EventCombMT.exe er nyttig, men det er ikke veldig vennlig å bruke. Hvis du har mange datamaskiner som event logger du vil overvåke, er du bedre å kjøpe en kommersiell kvalitet verktøy for dette formålet. Vi vil avslutte denne artikkelen ved å nevne to slike verktøy:
Microsoft Operations Manager (MOM)
MOM er et Windows Server System produkt fra Microsoft som lar deg overvåke hendelser, helse og ytelse datamaskiner på nettverket i sanntid, konsolidere slik informasjon i et sentralt register, og generere grafiske web-baserte rapporter. MOM 2000 viser sin alder, men og vil snart bli erstattet av MOM 2005, som har en ny Operator Console, større sikkerhet, forbedrede regler, og bedre rapporter. MOM 2005 støtter også agentløs overvåking, internasjonalisering, og 64-bit agenten støtte. For mer informasjon, se denne linken på Microsofts nettsted.
GFI LANguard Selm
GFI LANguard Security Event Log Monitor (Selm) er et verktøy fra GFI som lar deg administrere hendelseslogger på eksterne maskiner, konsolidere hendelseslogger fra flere maskiner til en enkelt depot, og utsikt, rapport og filter hendelser nettverk-vide med enkel og enkelhet. Du kan også lage dine egne varsler basert på hendelses ID, innholdet, og event tilstand slik at du kan overvåke spesifisere problemstillinger på tvers av nettverket. Selm lar deg også analysere hendelsesdetaljer, vil noe MOM ikke la deg gjøre. GFI produktene er utmerket - jeg snakker av personlig erfaring her - så dette er en løsning du bør vurdere når vi leter etter verktøy for å overvåke og feilsøke hendelseslogger over nettverket.
Next Page:No
Øke størrelsen på hver hendelsesloggen til minst 50 MB. Siden en typisk hendelse er omtrent en halv kilobyte i størrelse, betyr det at du vil kunne lagre 100.000 hendelser i hver stokk. Maksimal støttet størrelsen på hver hendelsesloggen er ca 300 MB. Hvis systemdisken ikke har tilstrekkelig plass for hendelseslogger, kan du flytte dem til et eget volum ved å redigere undernøkkelen for hver stokk under HKLM \\ SYSTEM \\ CurrentControlSet \\ Services \\ Eventlog hjelp av Registerredigering, kan du se Microsoft Knowledge Base-artikkel 315417 for mer informasjon.