KNOW INTUIT, Лекция, Мониторинг

Преглед на събития

Един от най-често използваните и най-важни инструменти за наблюдение на системата е записването на различни събития в регистрационните файлове на операционната система Windows. Регистрирането на събития в Windows се управлява от услугата „Регистър на събития“ (Регистър на събития). Във всяка система от семейството на Windows винаги има 3 журнала:

  • log "System" (System) - събития, регистрирани от компонентите на операционната система (например неуспешно стартиране на услуга при рестартиране); Местоположението на регистрационния файл по подразбиране е в папката %SystemRoot%\system32\config\SysEvent.Evt;
  • лог "Сигурност" (Сигурност) - регистрация на събития, свързани със системата за сигурност (например опити за регистриране на потребители, промени в политиките за сигурност, опити за достъп до различни ресурси); наборът от събития, записани в регистрационния файл "Сигурност", може да се конфигурира от локални или групови правила (повече за това как да управлявате одита на събития за сигурност в следващия подраздел); местоположението по подразбиране е "%SystemRoot%\system 32\config\SecEvent.Evt";
  • лог "Приложение" (Приложение) - събития, генерирани от различни приложения (например срив на MS SQL при достъп до базата данни); наборът от събития, регистрирани в регистрационния файл на "Приложение" се определя от разработчиците на приложението; местоположението по подразбиране е " %SystemRoot%\system32\config\AppEvent.Evt ".

При инсталиране на компоненти в системата може да се появят регистрационни файлове, които регистрират събития, свързани с работата на тези компоненти.

При инсталиране на DNS услугата се появява регистрационният файл "DNS сървър" (DNS сървър), записващ събития, свързани с работата на DNS услугата (намиращ се отпо подразбиране е " %SystemRoot%\system32\config\DNSEvent.Evt").

При създаване на домейн контролер в системата се появяват регистрационни файлове:

  • log "Услуга за справочници" (Услуга за справочници) - събития, генерирани от услугата за справочници на Active Directory;. Местоположението по подразбиране е "%SystemRoot%\system32\config\NTDS.Evt";
  • лог "Услуга за репликация на файлове" (Услуга за репликация на файлове) - събития, свързани с репликация на файлове (основно файлове в папката SYSVOL и файлове в мрежови папки, управлявани от разпределената файлова система DFS); Местоположението по подразбиране е " %SystemRoot%\system32\config\NtFrs.Evt ".
Работа със списания

Можете да отваряте системни регистрационни файлове по следните начини:

  • отворете конзолата "Управление на компютъра" и в секцията "Помощни програми" отворете модула "Преглед на събития";
  • отворете отделна конзола "Програма за преглед на събития" в секцията "Администрация" на главното меню на системата Windows (фиг. 16.1).

know

От лявата страна на конзолата ще има списък с дневници, налични на този компютър, от дясната страна - списък със събития за избрания дневник.

В повечето регистрационни файлове за събития има три типа събития:

  • Уведомление- информация за събитие, свързано с успешно действие (например успешно стартиране или спиране на услуга, успешно завършване на услуга);
  • Предупреждение— информация за събития, които могат да причинят проблеми в системата в бъдеще;
  • Грешкае съобщението за грешка (например услугата не успя да стартира).

В регистрационния файл "Сигурност" има 2 типа събития:

  • Одитът на успехае събитие, свързано с успешното завършване на действие,свързани със системата за сигурност (например успешно влизане или успешен достъп до мрежов ресурс);
  • Неуспешен одит- събитие, свързано с невъзможност за извършване на действие, свързано със сигурността (например на потребител е отказано удостоверяване при влизане поради въвеждане на неправилна парола, акаунт е заключен след няколко неуспешни опита за влизане, достъпът до мрежов ресурс е отказан).

Колоните на дневника, в допълнение към вида на събитието, съдържат следните данни:

Ако отворите някое събитие, можете да получите по-подробна информация за него (фиг. 16.2):

  • Описание— текстово описание на събитието;
  • Данниса всички данни, генерирани от събитието или свързан код на грешка.

мониторинг

Конфигуриране на настройките за регистър на събития

Размерът и начинът на регистрационните файлове на събитията могат да се конфигурират. За да конфигурирате параметрите, щракнете с десния бутон върху необходимия регистър на събитията и изберете командатаСвойстваот контекстното меню. Диалоговият прозорец, показан на фиг. 16.3.

know

По подразбиране размерът на повечето системни регистрационни файлове на Windows 2003 е 16 MB (128 MB за регистъра на сигурността, 512 KB в предишните версии на системата). Когато дневникът е пълен, старите събития ще бъдат изтрити. Администраторът може да промени както размера на дневника, така и начина на управление на записите, когато се достигне максималният размер на дневника (например автоматично да презаписва събития, по-стари от определен брой дни, или изобщо да не презаписва стари събития, в който случай нови събития няма да бъдат записани в дневника).

Съдържанието на дневниците може да се изчисти ръчно - щракнете с десния бутон върху дневника, изберете командата от менюто "Изтриване на всички събития". Системата ще ви подкани да запишете събитията за изтриване в отделен файл, трябва да изберете необходимата опция и дневникът ще бъде изчистен. В същото време можете да запазвате изтриваеми записи в три различни опции: двоичен (с файлово разширение ".evt", такъв файл може да бъде прегледан само от програмата"Event Viewer") или текст (с файлово разширение ".txt " - с табулатор като разделител на колони, а също и с файлово разширение ".c sv " - със запетая като разделител). Можете да запазите съдържанието на регистрационните файлове, без да изтривате стари записи. Можете да отворите запазените записи през менюто "Действие" на конзолата "Преглед на събития", като изберете елемента "Отваряне на лог файл".