Причины обратить внимание на средство просмотра событий в Windows 2008 и Windows 7

Опубликовано: 8 Апреля, 2023


Введение


Я работаю с решениями, связанными с Windows, уже более 15 лет. В течение этого периода средство просмотра событий всегда было сложной темой для обсуждения, поскольку большую часть этого периода оно не было даже очень функциональным. События были неописуемы, возможности управления событиями отсутствовали, а общее восприятие средства просмотра событий было менее чем удовлетворительным. Что ж, все это начало меняться в эпоху Windows Vista, за которой последовали Windows Server 2008, Windows 7 и Windows Server 2008 R2, которые превратили средство просмотра событий Windows в полезный, описательный и конкурентоспособный инструмент. Если вы являетесь сетевым администратором, специалистом по безопасности или аудитором по безопасности, вам следует взглянуть на то, что доступно с новыми функциями, которые Windows Server 2008 и R2, а также Windows 7 предлагают с помощью средства просмотра событий.



Проблемы и ограничения старого средства просмотра событий


В последние годы средство просмотра событий вызывало проблемы, головную боль и разочарование почти у каждого администратора Windows. Инструмент, хотя и важный, имеет существенные ограничения. Для тех профессионалов Windows, которые полагаются на события, сгенерированные средством просмотра событий, необходимо иметь инструмент, на который они могут положиться, но до сих пор его не было.


События, сгенерированные в старой программе просмотра событий, были не очень описательными. Для большинства событий описание было кратким, загадочным и бесполезным для определения причины события. Конечно, события, генерируемые средством просмотра событий, включают в себя общие атрибуты, такие как:



  • Тип события
  • Дата мероприятия
  • Время, когда произошло событие
  • Источник события
  • Категория, к которой относится событие
  • Идентификатор события для отслеживания деталей события
  • Пользователь, вызвавший событие
  • Компьютер, на котором вошел пользователь, вызвавший событие

Хотя эти события содержат эти общие атрибуты, практически не существовало методов фильтрации событий, чтобы найти именно то, что вы ищете. Да, был параметр фильтра, но параметр фильтра был ограничен по сравнению с тем, что у вас есть в новом средстве просмотра событий.


Не было способа получить уведомление, если произошло событие, которое вы хотите отследить. Единственный способ узнать, что событие произошло, — это вручную проверить наличие события в журнале. Когда сотни событий отслеживаются и регистрируются на сотнях серверов, это ограничивающий фактор.


Наконец, самым ограничивающим аспектом старого средства просмотра событий является то, что все события отслеживаются на том компьютере, на котором происходит действие. Таким образом, если у вас есть тысячи рабочих столов, сотни/тысячи серверов, это означает, что нужно будет просмотреть тысячи журналов. В старом средстве просмотра событий нет возможности архивировать или централизовать журналы со всех этих компьютеров.


Новые детали для событий


Для Windows Vista, 7 и Server 2008 события более наглядны и содержат больше деталей. Во-первых, кажется, что Microsoft наняла замечательных экспертов по документации, которые знают, как работать с интерфейсом, чтобы давать полезную информацию. Некоторые события содержат не только описание события, но и справочную информацию о том, почему событие могло произойти, как показано на рис. 1.


Изображение 23493
Рис. 1. Теперь события часто содержат больше информации, чем просто описание


Помимо этих деталей, все события теперь доступны в двух форматах: стандартный текстовый и XML. Оба они предоставляют одну и ту же информацию, но каждый из них может использоваться для разных целей. Стандартное текстовое представление — это подробное представление, которое дает некоторые впечатляющие подробности о событии, которые можно увидеть на рисунке 2.


Изображение 23494
Рисунок 2: Подробное представление события


Представление XML предоставляет формат, который может использоваться сценариями, программами, PowerShell и т. д. Хотя это не так уж полезно при просмотре журналов, это очень полезно, если вы хотите экспортировать данные и манипулировать ими с помощью какого-либо языка сценариев или поместить в веб-формат.


Пользовательские представления


Еще одна замечательная опция, которой мне нравится пользоваться, — это Custom Views. Хотя предыдущее средство просмотра событий имело возможность копировать представление, теперь это средство просмотра событий позволяет настраивать представления. Например, предположим, что вы хотите просмотреть 4 конкретных идентификатора события из 5 разных журналов. Вы можете легко сделать это с опцией Custom View. Вы просто создаете новое пользовательское представление, затем выбираете, какие журналы вы хотите включить в представление вместе с другими данными, такими как идентификаторы событий. На рис. 3 показаны эти параметры в диалоговом окне Custom View.


Изображение 23495
Рис. 3. Настраиваемое представление позволяет отображать несколько журналов и определенные идентификаторы событий в одном представлении.


Фильтрация


Еще одна замечательная функция нового средства просмотра событий — возможность устанавливать фильтры для журналов, даже для журналов пользовательского просмотра, которые вы создаете. Фильтрация — это еще один способ быстро и точно найти в журнале то, что вам нужно. Параметр фильтрации аналогичен параметру старого средства просмотра событий, за исключением того, что есть новый параметр для ключевых слов, который извлекает ключевые слова из событий, на которые вы можете ориентироваться. На рис. 4 показано, как выглядит диалоговое окно фильтра и параметры.


Изображение 23496
Рисунок 4. Фильтрация позволяет отображать определенные события в журнале


Задачи


Теперь в новом средстве просмотра событий вы можете настроить задачу, которая будет связана с журналом или событием. Идея состоит в том, что вам может быть отправлено электронное письмо, запуск программы или сообщение, отображаемое при соблюдении определенных критериев. Это позволяет вам немедленно получать уведомления при возникновении определенных событий, вместо того, чтобы узнавать о них, когда вы просматриваете журнал. Интерфейс очень интуитивно понятен, а параметры просты в настройке. На рис. 5 показан мастер задач для связывания задач с событиями.


Изображение 23497
Рисунок 5. Задачи можно связать с событиями или журналами


Резюме


Новое средство просмотра событий поставляется с одними из самых желанных опций, которые администраторы Windows хотели видеть в течение многих лет. Старый Event Viewer был ограниченным, неуклюжим и не очень подробным. На самом деле это не очень полезно. Новое средство просмотра событий в Windows Vista, 7 и Server 2008 предоставляет более подробную информацию о событиях, что дает представление о том, что на самом деле происходит с вашим компьютером. Возможность настройки пользовательских представлений в новом средстве просмотра событий позволяет объединить различные журналы и идентификаторы событий в единое представление. Объедините настраиваемые представления с опцией фильтрации, и теперь вы сможете быстро найти любое событие и увидеть его за более короткое время после фильтрации, чем раньше. Опция задачи может быть связана с журналом или событием, что дает вам возможность управлять событиями в режиме реального времени по мере их возникновения. С новым средством просмотра событий вы можете точнее и эффективнее контролировать свои события и освобождать себе больше времени для других задач!

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023