Устранение неполадок с записями журнала событий

Опубликовано: 8 Апреля, 2023

Введение

Мне знакомо чувство, когда просматриваешь журналы на серверах и контроллерах домена, когда даже самый впечатляющий сетевой администратор просит работу официантом в ближайшем магазине. Тем не менее, некоторые из них должны просматривать журналы, другие просматривают журналы как задание, а третьи должны просматривать журналы, чтобы определить, что происходит на их серверах. События в журналах могут немного сбивать с толку даже в Windows Server 2008/2008 R2 с обновленным интерфейсом и деталями, но важно знать, как добраться до сути проблемы, которая вызывает событие. В этой статье мы рассмотрим некоторые советы, концепции, инструменты и общие подходы к определению основной причины некоторых событий журнала.

Windows Server 2003 и Windows Server 2008/2008 R2 Средство просмотра событий и журналы

В новом Windows Server 2008 и средстве просмотра событий произошли некоторые радикальные изменения. Нет никаких сомнений в том, что у средства просмотра событий Windows 2000/2003 есть проблемы. Большинство администраторов стараются больше не полагаться на средство просмотра событий из-за этих существенных проблем.

Исторически у средства просмотра событий Windows 2000/2003 были такие ограничения, как:

  • Загадочные сообщения, которые не ведут и не указывают на основную проблему
  • Неуклюжее маневрирование событиями (например, вверх вниз)
  • Ограниченные, если не ужасные файлы справки
  • Ограниченные элементы управления для фильтрации и сортировки журналов.
  • Нет возможности централизованного ведения журнала
  • Нет запуска событий, таких как электронная почта или сообщения

Новое средство просмотра событий Windows 2008/2008 R2 устраняет многие из этих ограничений, добавляя несколько удивительных новых функций, которые помогут в устранении неполадок в журналах и событиях. Особенности версии 2008/2008 R2 включают:

  • Подробные сообщения, которые могут отображаться в стандартном, подробном и XML-представлениях.
  • Легкое маневрирование от журнала к журналу и от события к событию
  • Справочные ссылки в Интернете, которые обычно очень полезны
  • Фильтрация, настраиваемые представления и фильтрация практически любых комбинаций журналов
  • Централизованное ведение журнала (обратно совместимо с Windows XP и 2003)
  • Триггеры событий через запланированные задачи, которые позволяют отправлять электронные письма, окна сообщений или запускать приложения (см. рис. 1).

Изображение 23253
Рис. 1. События можно связать с идентификаторами событий и журналами.

Распространенные проблемы с событиями Windows

Большинство из вас отвечает за предприятие Windows Active Directory. С учетом сказанного я собираюсь сосредоточиться на проблемах, которые могут привести к возникновению событий, которые кажутся не имеющими особого смысла. Я имею в виду, что ошибка приложения может быть вызвана невозможностью аутентификации учетной записи службы. Проблема с памятью может быть вызвана сбоем процесса из-за сбоя связи с DNS. Могут возникнуть некоторые странные проблемы, и знание того, каковы обычно проблемы с ошибками, может помочь. Вот некоторые распространенные проблемы, которые могут вызывать случайные (или кажущиеся случайными) события на ваших серверах:

  • DNS недоступен, поэтому Kerberos не используется
  • DNS недоступен, поэтому групповая политика применяется неправильно
  • Кэшированные учетные данные используются
  • Безопасный сеанс к контроллеру домена потерян
  • Связь с контроллером домена была кратковременно прервана, что привело к ошибкам
  • Обновлены параметры групповой политики, что приводит к возникновению событий
  • Обновления групповой политики изменили локальные настройки, такие как членство в группе, права пользователя, настройки IE и т. д.
  • Учетная запись службы не может пройти аутентификацию (заблокирована, срок действия пароля истек, неправильный протокол аутентификации, обновление системы вызвало изменение аутентификации и т. д.)
  • DLL была обновлена путем обновления или установки другого продукта
  • Права доступа к файлам были изменены, что привело к отказу в доступе к данным

Для ваших контроллеров домена может возникнуть совершенно другой набор проблем:

  • Проблемы репликации из-за разрешений, изменений имен, проблем с IP-адресами, обновлений и т. д.
  • Неверное делегирование в Active Directory
  • Неверное делегирование в управлении групповыми политиками
  • Ошибочные настройки групповой политики для прав пользователя, членства в группе и т. д.
  • Ошибочные разрешения, вызывающие сбои записи, синхронизации и доступа к Active Directory, файлам входа и т. д.

Использование нового средства просмотра событий для устранения неполадок событий

Как вы видите и, скорее всего, уже знаете, существует множество причин, по которым может быть запущено одно или несколько событий. Знание того, как читать события, объединять разные журналы и эти события в один список, может быть очень полезным. Ключевым моментом является использование комбинации новых функций, которые позволят вам получить очень четкое представление о том, что происходит в потоке событий, а не только в системе, безопасности или приложении.

Во-первых, убедитесь, что вы настроили пересылку журнала событий и подписки. Это бесплатно и позволит вам получать события с разных компьютеров в один журнал. Чтобы получить помощь по настройке пересылки журнала событий, перейдите сюда. Убедитесь, что в ваших журналах пересылаются только те идентификаторы событий, которые вам нужны. Сбор всего журнала безопасности или системного журнала с каждого компьютера не принесет вам много пользы. Однако принимать события, которые все относятся к аутентификации, групповым изменениям и т. д., будет очень полезно.

Во-вторых, не забудьте объединить события из нескольких журналов, включая перенаправленный журнал из шага 1, в пользовательское представление. Пользовательские представления, как показано на рис. 2, позволяют вам просматривать только то, что вы хотите, из множества журналов в непрерывном потоке.

Изображение 23254
Рисунок 2. Пользовательские представления позволяют выбирать идентификаторы событий из разных журналов.

В-третьих, задайте запланированные задачи, когда идентификаторы ключевых событий регистрируются в журнале. Это даст вам непрерывный контроль над журналами и происходящими событиями. Таким образом, при неудачной аутентификации вы получите электронное письмо, позволяющее определить, связана ли ошибка с сервером, сетью или контроллером домена.

В-четвертых, ищите тренды. Большинство приложений, служб, проверки подлинности происходят на регулярной основе. Каждые 10, 12, 15, 20, 30 и т. д. минут — это обычный шаблон для проверки подлинности учетных записей служб. Обязательно проверьте, является ли событие изолированным или повторяющимся. Если это повторяется, поищите события в журнале системы и приложений, чтобы убедиться, что сбои аутентификации совпадают с другими отслеживаемыми проблемами.

Резюме

Журналы событий и идентификаторы событий трудно отслеживать и устранять неполадки. Убедитесь, что вы используете новое средство просмотра событий Windows Server 2008 и Windows Server 2008 R2. Новые функции значительно упрощают устранение неполадок серверов, поскольку вы можете просматривать несколько журналов и событий в непрерывном потоке. Это позволит вам четко видеть тренды, комбинации и другие несвязанные события вместе. Добавление переадресации журнала событий, настраиваемых представлений и запланированных задач для идентификаторов событий сделало новое средство просмотра событий мощным и недорогим способом устранения неполадок событий.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023