Мониторинг и устранение неполадок с помощью журналов событий
Журналы событий в системах Windows полезны как для устранения неполадок, когда что-то идет не так, так и для мониторинга производительности и поведения. Журнал событий — это файл, содержащий события, которые представляют собой записи в журнале, уведомляющие пользователя о каком-либо событии, связанном с операционной системой или приложениями, работающими в системе. Событие включает информацию о типе события, дате и времени, когда оно произошло, компьютере, на котором оно произошло, и пользователе, вошедшем в систему в это время, а также другую информацию, такую как идентификатор события, категорию события и источник события. событие. События могут также включать дополнительную подробную информацию о событии и, возможно, ссылку на источник дополнительной информации. На рисунке 1 ниже показан пример события из журнала событий DNS-сервера на контроллере домена Windows Server 2003:
Рисунок 1: Пример события.
Поиск дополнительной информации о событии
Если событие содержит ссылку, и вы нажмете на нее, откроется диалоговое окно с предупреждением о том, что информация о событии будет отправлена в Microsoft, чтобы узнать, есть ли у них дополнительная информация о событии:
Рисунок 2: Отправка информации о событии в Microsoft.
При нажатии кнопки «Да» открывается Центр справки и поддержки и проверяется наличие дополнительной информации о событии, которая может оказаться полезной. На рис. 3 показан типичный ответ:
Рисунок 3: Дополнительная справка по событию.
Сколько раз вы были разочарованы отсутствием полезной информации, доступной таким образом, о каком-то малоизвестном событии? В приведенном выше примере дополнительная помощь заключается в том, что «эта ошибка может быть вызвана либо высокой нагрузкой на контроллер домена, либо сбоем других служб контроллера домена», и предлагаемое средство — «перезапустить службу DNS-сервера» и проверить журнал событий для всего, что произошло в то же время и может быть подсказкой. Другими словами, это похоже на старую мантру «когда ничего не помогает, попробуйте перезагрузиться». Где еще можно найти помощь?
Altair Technologies поддерживает полезный сайт EventID.net, на котором пользователи могут искать дополнительную информацию о малоизвестных событиях Windows, чтобы помочь вам их интерпретировать. Этот сайт основан на сообществе, что означает, что пользователи размещают свои комментарии о событиях для создания базы данных сообщества, которую затем могут искать другие. Если вы ищете EventID.net для получения информации об указанном выше событии (источник = DNS, идентификатор события = 4004), отображается следующее:
Рисунок 4: Поиск EventID.net для получения дополнительной информации о событии с идентификатором 4004 для DNS.
Действительно полезная функция находится в разделе «Подробности», где вы можете щелкнуть ссылку «Комментарии и ссылки для события с идентификатором 4004 из исходного DNS», чтобы увидеть комментарии, опубликованные другими пользователями:
Рисунок 5: Комментарии к событию с идентификатором 4004 для DNS, опубликованные пользователями EventID.net
Последний комментарий особенно полезен, поскольку он указывает, что MS знает, почему это событие происходит, и предполагает, что обычно его можно безопасно игнорировать. Помощь и поддержка никогда не говорили нам об этом!
Настройка журналов событий
Одна из первых вещей, которую вы должны сделать после установки новой системы Windows, — это настроить журналы событий в этой системе. Это особенно важно для серверов, где журналы событий могут предоставить важную информацию, которая поможет вам устранить неполадки, если что-то пойдет не так. Прежде чем мы рассмотрим, как настраивать журналы событий, нам потребуется некоторая справочная информация о различных доступных журналах, и в Таблице 1 она представлена ниже:
|
Журнал событий |
Журнальный файл |
Функция |
Доступность |
|
Журнал приложений |
AppEvent.evt |
Записывает события в соответствии с определением каждого поставщика программного обеспечения. |
Все системы Windows |
|
Журнал безопасности |
SecEvent.evt |
Записывает события в зависимости от того, как настроена политика аудита. |
Все системы Windows |
|
Системный журнал |
SysEvent.evt |
Записывает события для компонентов операционной системы Windows |
Все системы Windows |
|
Журнал службы каталогов |
NTDS.evt |
Записывает события для Active Directory |
Только контроллеры домена |
|
Журнал DNS-сервера |
DnsEvent.evt |
Записывает события для DNS-серверов и разрешения имен |
Только DNS-серверы |
|
Журнал службы репликации файлов |
NtFrs.evt |
Записывает события для репликации контроллера домена |
Только контроллеры домена |
Таблица 1: Сводка журналов событий Windows
По умолчанию все журналы событий:
- Хранится в папке %Windir%system32config
- Иметь максимальный размер 16 МБ (Windows Server 2003) или 512 КБ (Windows 2000/XP).
- Перезаписывать события старше 7 дней
Рисунок 6: Конфигурация журнала событий DNS-сервера по умолчанию на DNS-сервере Windows Server 2003.
Прежде чем запускать новый сервер Windows в производство, следует решить, подходят ли эти настройки по умолчанию. Предлагаемые передовые методы настройки журналов событий на серверах включают следующее:
- Увеличьте размер каждого журнала событий как минимум до 50 МБ. Поскольку размер типичного события составляет около половины килобайта, это означает, что вы сможете хранить 100 000 событий в каждом журнале. Обратите внимание, что максимальный поддерживаемый размер каждого журнала событий составляет около 300 МБ. Если на системном диске недостаточно места для журналов событий, вы можете переместить их в отдельный том, отредактировав подраздел для каждого журнала в разделе HKLMSYSTEMCurrentControlSetServicesEventlog с помощью редактора реестра. Дополнительные сведения см. в статье 315417 базы знаний Майкрософт. Информация.
- Измените режим перезаписи для журнала безопасности на «Не перезаписывать события», если ваше предприятие является средой с высоким уровнем безопасности. Таким образом, если журнал безопасности заполнится, система выключится, чтобы гарантировать, что никакие события в журнале безопасности не будут потеряны. Если вы это сделаете, убедитесь, что вы также архивируете, а затем регулярно очищаете журнал безопасности, чтобы предотвратить неожиданное завершение работы.
- Измените режим перезаписи для других журналов событий на Перезаписывать события по мере необходимости, чтобы перезапись не происходила до тех пор, пока весь журнал не будет заполнен. Опять же, обязательно регулярно архивируйте и очищайте журналы событий, чтобы журнал не заполнялся и не терял события из-за перезаписи.
Если у вас есть несколько компьютеров и в вашей сети работает Active Directory, вы также можете использовать групповую политику для настройки параметров журнала событий. Эти параметры находятся в разделе «Конфигурация компьютера/Параметры Windows/Параметры безопасности/Журнал событий» в редакторе объектов групповой политики:
Рисунок 7: Параметры групповой политики для настройки журналов событий.
Поиск и фильтрация событий
Хотя прокрутка консоли событий позволяет легко просматривать самые последние события, которые были зарегистрированы в вашей системе, это быстро становится непрактичным в загруженных системах, где журналы событий имеют размер в десятки мегабайт. Однако, если вы ищете экземпляры определенного типа события, вы можете использовать параметры поиска и фильтрации, чтобы ускорить процесс.
Допустим, вы хотите найти все экземпляры события с идентификатором 4004 в журнале DNS-сервера, как показано ранее на рис. 1 выше. Чтобы использовать функцию «Найти», щелкните правой кнопкой мыши журнал DNS-сервера и выберите «Просмотр» -> «Найти», затем введите идентификатор события и имя журнала в поле «Найти»:
Рисунок 8: Поиск экземпляров события с идентификатором 4004 в журнале DNS-сервера.
Нажмите кнопку «Найти далее», и первые экземпляры этого события отобразятся в средстве просмотра событий:
Рисунок 9: Экземпляр события с идентификатором 4004, отображаемый в средстве просмотра событий.
Затем нажмите «Найти далее», чтобы отобразить следующий экземпляр этого события, и так далее.
Разочаровывающим в этом подходе является то, что интерфейс поиска не встроен непосредственно в окно просмотра событий. Поэтому давайте попробуем другой подход и вместо этого воспользуемся фильтром. Снова щелкните правой кнопкой мыши журнал DNS-сервера и выберите «Просмотр» -> «Фильтр», затем введите идентификатор события на вкладке «Фильтр» листа «Свойства DNS-сервера»:
Рисунок 10: Фильтрация журнала DNS-сервера для события с идентификатором 4004.
Нажмите «ОК» и «Просмотр событий», и в журнале DNS-сервера отображаются только те события, которые имеют идентификатор события 4004:
Рис. 11. Отображаются все экземпляры события с идентификатором 4004.
Из этой информации мы могли сделать вывод, что это была лишь временная проблема, которая произошла пару недель назад, когда мы перезагрузили DNS-сервер.
Просмотр событий в удаленных системах
Средство просмотра событий также позволяет подключаться к удаленным системам для просмотра их журналов событий. Процедура проста: щелкните правой кнопкой мыши корневой (верхний) узел в дереве консоли средства просмотра событий и выберите «Подключиться к другому компьютеру»:
Рисунок 12: Подключение к удаленному компьютеру для просмотра его журналов событий.
Затем либо введите имя (NetBIOS или FQDN) удаленного компьютера, либо нажмите кнопку «Обзор», чтобы найти его в Active Directory. Нажмите OK, чтобы подключиться:
Рисунок 13: Не удается подключиться к удаленному компьютеру для просмотра журналов событий.
Ой, не могу подключиться! И сообщение об ошибке загадочно. Что пошло не так? Обычно это сообщение об ошибке указывает на одно из следующего:
- Вы не вошли в систему с учетной записью, имеющей локальный доступ администратора к удаленному компьютеру (должна работать учетная запись администратора домена).
- Служба удаленного реестра не запущена или отключена на удаленном компьютере.
Исправьте ситуацию, и вы сможете подключиться к удаленному компьютеру и просмотреть его журналы событий.
Использование EventCombMT.exe
В предыдущей статье на WindowsSecurity.com мы рассмотрели загрузку инструментов блокировки и управления учетными записями (ALTools.exe) от Microsoft. Одним из таких инструментов является EventCombMT.exe, который можно использовать для объединения журналов событий с нескольких компьютеров в одном месте для анализа. Чтобы использовать этот инструмент, дважды щелкните файл EventCombMT.exe в папке, в которой вы его установили, затем укажите домен, серверы и типы событий, которые вы хотите найти. Например, вы хотите найти все события W32Time на двух серверах (TEST230 и TEST235) в домене testtwo.local:
Рис. 14. Использование EventCombMT для поиска событий W32Time на двух серверах.
Нажмите «Поиск», и когда операция будет завершена, откроется папка с созданными файлами результатов:
Рисунок 15: Файлы результатов, сгенерированные нашим поиском EventCombMT.
Двойной щелчок на одном из двух серверных файлов отображает разделенный запятыми список событий W32Time для этого сервера:
Рисунок 16: Разделенный запятыми список событий W32Time на сервере TEST230.
Затем вы можете импортировать эти файлы в Excel, чтобы объединить их для дальнейшего анализа. EventCombMT также имеет ряд встроенных запросов, которые вы можете использовать для общих задач, таких как поиск заблокированных учетных записей:
Рисунок 17: Поиск заблокированных учетных записей с помощью EventCombMT.
Другие инструменты мониторинга событий
EventCombMT.exe полезен, но не очень удобен в использовании. Если у вас много компьютеров, журналы событий которых вы хотите отслеживать, вам лучше приобрести инструмент коммерческого качества для этой цели. Мы закончим эту статью упоминанием двух таких инструментов:
Диспетчер операций Майкрософт (МОМ)
MOM — это продукт Windows Server System от Microsoft, который позволяет отслеживать события, работоспособность и производительность компьютеров в вашей сети в режиме реального времени, консолидировать такую информацию в центральном репозитории и создавать графические веб-отчеты. Однако MOM 2000 стареет, и вскоре его заменит MOM 2005 с новой консолью оператора, повышенной безопасностью, расширенными правилами и улучшенными отчетами. MOM 2005 также поддерживает безагентный мониторинг, интернационализацию и поддержку 64-разрядных агентов. Для получения дополнительной информации см. эту ссылку на веб-сайте Microsoft.
GFI LANguard SELM
GFI LANguard Security Event Log Monitor (SELM) — это инструмент от GFI, который позволяет вам управлять журналами событий на удаленных компьютерах, объединять журналы событий с нескольких компьютеров в единый репозиторий, а также легко и просто просматривать, создавать отчеты и фильтровать события по всей сети. Вы также можете создавать собственные настраиваемые оповещения на основе идентификатора события, содержимого и состояния события, чтобы отслеживать определенные проблемы в сети. SELM даже позволяет вам анализировать детали событий, чего MOM не позволяет вам делать. Продукты GFI превосходны — я говорю здесь из личного опыта — так что это одно из решений, которое вы должны рассмотреть при поиске инструментов для мониторинга и устранения неполадок журналов событий в вашей сети.