Новые возможности мониторинга событий в Windows Server 2008::Журнал СА 12.2008

Андрей Бирюков

Новые возможности мониторинга событий
в Windows Server 2008

Анализ различных журналов событий является неотъемлемой задачей для любого системного администратора. Рассмотрим, какие функции для решения этой задачи предлагает операционная система Windows Server 2008.

Как было раньше

Мощные производственные серверы требуют постоянного контроля за тем, какие события на них происходят. Неверный ввод паролей, попытки доступа к административным ресурсам, внезапные остановки служб, отсутствие свободного места на жестких дисках – информация обо всех этих и других событиях необходима системному администратору для обеспечения рабочего функционирования промышленных серверов.

Теперь настало время поговорить о том, как реализованы средства сбора сообщений о событиях в новой операционной системе Windows Server 2008.

Нововведения

Как и многие другие функции Windows Server 2008, журналы событий были существенно переделаны и дополнены новыми возможностями. Но обо всем по порядку. Для начала рассмотрим, как новшества были внесены в средства получения и обработки событий Event Viewer.

По определению Microsoft [1], событие – это любое значительное проявление в операционной системе или приложении, требующее отслеживания информации. Событие не всегда негативно, поскольку успешный вход в сеть, успешная передача сообщений или репликация данных также могут генерировать события в Windows. В каждом журнале с его событиями связаны общие свойства.

Level (уровень) – это свойство определяет важность события;
Date and Time (дата и время) – это свойство содержит информацию о дате и времени возникновения события;
Source (источник) – это свойство указывает источник события: приложение, удаленный доступ, служба и т. д.;
Event ID (код события) – каждому событию назначен идентификатор события ID, число, сгенерированное источником и уникальное для всех типов событий;
Task Category (категория задачи) – это свойство определяет категорию события, например Security или System.

На основе данных свойств событий можно осуществлять выборку и фильтрацию, выполнять поиск.

Внешний вид

Интерфейс утилиты Event Viewer также существенно изменился. Информация, содержащаяся в системных собщениях, во многом осталась прежней, переработанный интерфейс теперь позволяет более эффективно работать с событиями, осуществлять их поиск, фильтрацию и другие функциональные возможности. Внешний вид утилиты аналогичен реализации MMC 3.0. Навигационное дерево на левой панели окна утилиты просмотра событий отображает список системных собщений и журналов, доступных для просмотра, а также содержит новые папки, предназначенные для создания настраиваемых представлений событий и подписок с удаленных систем. Подробнее об этих и других новых функциях мы поговорим чуть позже (см. рис. 1).

Рисунок 1. Внешний вид журнала событий

Рассмотрим более подробно эти папки.

Фильтры

Настраиваемые представления – это специальные фильтры, созданные либо автоматически системой Windows Server 2008 во время добавления в систему новых ролей сервера или приложений, таких как Active Directory Certificate Services (cлужбы сертификатов каталогов), сервер DHCP, либо администраторами вручную. Для администраторов одной из важнейших функций при работе с журналами событий является возможность создавать фильтры, позволяющие просматривать только интересующие события, чтобы можно было быстро диагностировать и устранять проблемы в системе.

В качестве примера рассмотрим папку Custom Views в навигационной панели утилиты просмотра событий. Если в этой папке щелкнуть правой кнопкой мыши по Administrative Events и затем указать Properties, то после нажатия Edit Filter получаем набор отфильтрованных по критерию сообщений.

Настраиваемые представления оснастки Administrative Events фиксируют все критические события, а события ошибок и предупреждений фиксируются для всех журналов событий (в отличие от предыдущих версий Windows). Таким образом, с помощью данного фильтра администратор может обращаться к единственному источнику для быстрой проверки потенциальных проблем, присутствующих в системе.

Теперь в качестве примера попробуем создать собственное представление. Для этого щелкнем правой кнопкой мыши на папке Custom View и в контекстном меню выберем пункт Create Custom View (создать настраиваемое представление).

Если требуемые события необходимо фильтровать по дате, то в списке Logged выберите диапазон дат. Затем необходимо указать критерий Event Level (уровень событий) для включения в настраиваемое представление. Возможные значения:

Critical –критическое;
Error – ошибка;
Warning – предупреждение;
Information – информация;
Verbose – подробности.

После указания уровня событий необходимо перейти к разделам By Log и By Source. Используя соответствующие раскрывающиеся списки, укажите журнал события и источники журнала событий, которые должны быть включены в данный настраиваемый фильтр.

При необходимости вы также можете указать конкретные коды событий, категории задач и другие параметры. Но помните, что включение слишком большого числа событий в настраиваемое представление может отрицательно сказаться на производительности и использовании ресурсов системы.

Созданные настраиваемые представления можно экспортировать в XML-файл для последующего распространения на другие машины.

Журналы

Теперь рассмотрим типы журналов, появившиеся в Windows Server 2008. Здесь тоже произошли некоторые изменения. В папке журналов Windows Logs находятся как традиционные журналы безопасности, приложений и системы, так и два новых журнала – Setup (настройка) и Forwarded Events (пересланные события).

Первые три типа событий уже присутствовали в предыдущих версиях системы, поэтому рассказывать о них нет смысла. А о последних двух следует рассказать подробнее.

Журнал Setup фиксирует информацию, связанную с установкой приложений, ролями сервера и их характеристиками. Так, например, сообщения о добавлении на сервере роли DHCP будет отражены в этом журнале.

В журнале Forwarded Events собираются сообщения, присланные с других машин в сети. Наличие такой функции позволяет облегчить решение проблем, возникших сразу на нескольких машинах в сети.

Папка Applications and Services Logs (журналы приложений и служб) представляют собой новый способ логической организации, представления и сохранения событий, связанных с конкретным приложением, компонентом или службой Windows, вместо использовавшейся ранее регистрации событий, которые оказывают влияние на всю систему. Эти журналы включают четыре подтипа:

Admin – события, предназначенные для конечных пользователей и администраторов;
Operational – рабочий журнал событий, также предназначенный для администраторов;
Analytic – журнал позволяет отслеживать цепочку возникновения проблемы и часто содержит большое количество записанных событий;
Debug – используется для отладки приложений.

По умолчанию журналы Analytic и Debug скрыты и отключены. Для того чтобы их просмотреть, щелкните правой кнопкой мыши на папке Applications and Services Logs, а затем в контекстном меню выберите пункт View, Show Analytic and Debug Logs (см. рис. 2).

Рисунок 2. Настройка Debug

Подписки на события

Рассмотрим еще одно нововведение в Windows Server 2008. Это Subscriptions (подписки). Эта долгожданная функция аналогична службе Syslog в UNIX. Данная функциональная возможность позволяет удаленным компьютерам пересылать сообщения о событиях, в результате чего их можно просматривать централизованно. Например, если у вас имеется несколько серверов и вам необходимо следить за состоянием каждого из них. Теперь вместо того чтобы переключаться из одной консоли Event Viewer в другую, вы можете наблюдать все события в одной консоли. Это позволит сэкономить время и облегчить процесс решения проблем.

В качестве примера настроим подписку событий. Для этого нам потребуются два компьютера: один будет выступать в качестве источника событий, второй будет получать события от первого. Зайдите на сервер-источник под учетной записью, обладающей административными правами. Введите в окне командной строки:

winrm quickconfig

Добавьте компьютер, собирающий сообщения о событиях, в группу локальных администраторов на источнике. Затем войдите на компьютер, собирающий сообщения, и также выполните:

winrm quickconfig

После этого выполните на нем же следующую команду:

wecutil qc

При необходимости вы можете изменять параметры оптимизации доставки событий. Например, вы можете изменить параметр Minimize Bandwidth (минимизация пропускной способности) для удаленных серверов с ненадежным каналом связи.

Реагируем на события

Еще одной интересной функцией, о которой хотелось бы упомянуть, является возможность ответной реакции на события. Другими словами, если в журнал событий поступило сообщение о том, что на жестком диске осталось слишком мало свободного места, вы можете автоматически запустить сценарий, выполняющий архивацию данных. Аналогично в случае получения сообщения об ошибке какого-либо критически важного приложения, вы можете отправить уведомление администратору по электронной почте или смс. Данная функция является долгожданным решением проблем с автоматизацией работы серверов, так как раньше требовалось устанавливать дополнительное программное обеспечение или писать сценарии, для того чтобы заставить сервер автоматически реагировать на определенные события.

В качестве примера настроим отправку сообщения администратору в случае неудачного входа пользователя в систему. Обратите внимание на то, что теперь это событие имеет другой ID, отличный от использовавшегося в Windows 2003 ID 528.

Для этого необходимо зайти в журнал событий Event Viewer, открыть раздел Windows Logs, затем Security, выбрать нужное событие, нажать правую кнопку мыши и указать Attach Task To This Event… (прикрепить задачу к этому событию) (см. рис. 3).

Рисунок 3. Настройка ответной реакции на событие

В открывшемся окне необходимо выбрать название события и его описание. На следующем шаге указываются используемый журнал, источник и номер события. Содержимое этого журнала нельзя изменить. Потом выбирается тип ответного действия. Это может быть выполнение какого-либо приложения, отправка электронного письма или вывод сообщения на экран. Выберем отправку письма. На следующем шаге нужно указать, от кого и на чей адрес отправлять письмо, тему письма, его текст. Можно также прикрепить какой-либо файл к данному сообщению. Не забудьте указать IP-адрес SMTP-сервера. На следующем шаге поставьте галочку в соответствующем поле, для того чтобы после создания задачи открылось окно с ее свойствами (см. рис. 4).

Рисунок 4. Свойства задач

Свойства задач

Окно свойств задачи аналогично интерфейсу Scheduled Tasks для заданий, выполняющихся по расписанию. Здесь можно указать учетную запись, под которой выполняется задача, при необходимости ее можно выполнять только когда пользователь работает на машине.

В закладке Triggers вы можете добавлять или изменять условия выполнения задачи. В Actions вы можете добавлять различные действия. В закладке Conditions прописаны условия, при которых выполняется задача. В Settings можно прописать, какие действия должны быть выполнены при различных условиях. Например, что нужно делать в случае, если такая задача уже выполняется. Наконец, в закладке History вы можете наблюдать все события, которые вызвали выполнение задачи.

Заключение

Вот мы и рассмотрели новый функционал Windows Server 2008, связанный с мониторингом событий. Новые функции позволят вам автоматизировать процесс управления сбором событий и более эффективно управлять корпоративной сетью.

Р. Моримото, М. Ноэл, О. Драуби. Microsoft Windows Server 2008. Полное руководство.