Какво е новото в мониторинга на събития в Windows Server 2008

Архив/2008/Издание № 12 (73)/Нови функции за наблюдение на събития в Windows Server 2008

Андрей Бирюков

Нови възможности за наблюдение на събития
на Windows Server 2008

Анализът на различни дневници на събития е основна задача за всеки системен администратор. Нека разгледаме какви функции предлага операционната система Windows Server 2008 за решаване на този проблем.

Както беше преди

Мощните производствени сървъри изискват постоянно наблюдение на събитията, които се случват на тях. Неправилно въвеждане на парола, опити за достъп до административни ресурси, внезапни спирки на услуги, липса на свободно място на твърдите дискове - информацията за всички тези и други събития е необходима на системния администратор, за да осигури функционирането на индустриалните сървъри.

Сега е моментът да поговорим за това как инструментите за събиране на съобщения за събития са внедрени в новата операционна система Windows Server 2008.

Подобно на много други функции в Windows Server 2008, дневниците на събитията са значително преработени и подобрени с нови възможности. Но първо нещата първо. Първо, нека да разгледаме как са направени иновации в средствата за получаване и обработка на събития на Event Viewer.

Както е определено от Microsoft [1], събитие е всяко значително събитие в операционна система или приложение, което изисква информация за проследяване. Събитието не винаги е отрицателно, тъй като успешното влизане, успешните съобщения или репликацията на данни също могат да генерират събития в Windows. Всеки дневник има общи свойства, свързани с неговите събития.

Въз основа на тези свойства на събитието можете да изберете и филтрирате, да извършите търсене.

Фигура 1. Външен вид на дневника на събитията

Нека разгледаме по-отблизо тези папки.

Персонализираните изгледи са специални филтри, създадени автоматично от Windows Server 2008, когато в системата се добавят нови сървъри или роли на приложения, като Active Directory Certificate Services, DHCP сървър, или ръчно от администратори. За администраторите една от най-важните функции при работа с дневници на събития е възможността да се създават филтри, които позволяват преглед само на събитията от интерес, така че да можете бързо да диагностицирате и отстранявате проблеми в системата.

Персонализираните изгледи на модула за административни събития улавят всички критични събития, а събитията за грешки и предупреждения се улавят за всички регистрационни файлове на събитията (за разлика от предишните версии на Windows). По този начин, използвайки този филтър, администраторът може да се обърне към един източник, за да провери бързо за потенциални проблеми, налични в системата.

Сега нека се опитаме да създадем свой собствен изглед като пример. За да направите това, щракнете с десния бутон върху папката Custom View и изберете Create Custom View от контекстното меню.

Ако необходимите събития трябва да бъдат филтрирани по дата, изберете периода от списъка с регистрирани. След това трябва да посочите критериите за ниво на събитието, които да включите в персонализирания изглед. Възможни стойности:

  • Критично –Критичен;
  • Грешка - грешка;
  • Внимание - предупреждение;
  • Информация - информация;
  • Многословен - подробности.

След като посочите нивото на събитието, отидете на секциите By Log и By Source. Използвайки подходящите падащи списъци, посочете журнала на събитията и източниците на дневника на събитията, които трябва да бъдат включени в този персонализиран филтър.

Създадените персонализирани изгледи могат да бъдат експортирани в XML файл за по-късно разпространение на други машини.

Сега нека да разгледаме видовете регистрационни файлове, въведени в Windows Server 2008. И тук имаше някои промени. Папката "Регистрационни файлове на Windows" съдържа както традиционни регистрационни файлове за сигурност, приложения и система, така и два нови регистрационни файла - Настройка и Препратени събития.