Просмотр журнала событий windows server 2003

Администраторы Windows Server 2003 смогут существенно улучшить процесс управления сервером при помощи различных системных приложений консоли управления Computer Management Console. В этой статье будет подробно рассмотрено одно из них: Event Viewer (Просмотр событий). Для доступа к Computer Management Console в системе Windows Server 2003, нажмите правой кнопкой мыши на значок My Computer (Мой компьютер) в меню Start (Пуск) и выберите пункт Manage (Управление).

Оснастка Event Viewer отображает события, регистрируемые системой при выполнении различных операций. Ее можно запустить путем ввода команды eventvwr в строку Run и нажав OK.

По умолчанию события записываются в одном из трех журналов:

System (Система): отображает системные события Windows.
Application (Приложения): отображает события, записанные установленными приложениями.
Security (Безопасность): отображает записи регистрации входа и выхода в систему, а также действия, связанные с доступом к файлам и папкам.

(Прочие программы, в том числе последние версии Microsoft Office и Internet Explorer, Microsoft Active Directory и File Replication Services, создают собственные журналы событий)

В каждом из них при помощи Event Viewer можно просмотреть, какие действия выполнялись в системе. Например, в журнале System записывается информация о запуске и остановке системных служб.

Журналы System и Application регистрируют предупреждения и критические события. Предупреждения (Warning events) — тип событий, которые не сигнализируют о неотложной проблеме, но могут вызвать более серьезные неприятности, если их не решить вовремя. Критические события (Critical events) записываются, когда в работе компонентов системы или приложений возникают ошибки при выполнении заданий. Примером критического события в журнале служб каталогов (Directory Services) может служить ошибка, которая случается, когда контроллеры домена (Domain Controllers) в среде активной директории (Active Directory) не могут копировать друг другу информацию о службе каталогов. Несмотря на то, что вызвавшие ее причины могут быть самыми разными, включая перебои в сети и проблемы с DNS, она классифицируется как критическая, так служит предвестником возможных нарушений в системной среде.

Резервное копирование, очистка и изменение размеров журналов событий

Оснастку Event Viewer можно применять для резервного копирования и очистки журналов событий, например в тех случаях, когда они достигают максимального размера.

Для удаления из журнала всех записей:

1…В левой части окна консоли управления Computer Management Console нажмите правой кнопкой на журнал, который требуется очистить, и выберите пункт меню Clear Log (Очистка журнала).
2…Windows Server 2003 спросит, не желаете ли вы сохранить содержимое файла перед его удалением. Нажмите Yes (Да) и укажите путь к папке для сохранения записей из журнала.
3…Нажмите Save (Сохранить). Таким образом, все записи из журнала удалятся, но будут сохранены в виде архивной копии на жестком диске.

Для изменения предельно допустимого размера журнала:

1…Нажмите правой кнопкой на нужный журнал и выберите пункт Properties (Свойства).
2…В поле Maximum Size (Максимальный размер) введите новое значение (по умолчанию 512 Кб) и нажмите OK.

Автоматическое управление журналами событий

По умолчанию максимально допустимая величина создаваемых журналов составляет 512 Кб. Этого вполне достаточно для удобного управления ими; однако система довольно часто регистрирует в них различные процессы. Журнал Security, например, может пополняться гораздо быстрее, чем хотелось бы, и в результате система со временем станет запрещать вход всем пользователям, не имеющим полномочий администратора. Это не столько типичная проблема серверных систем, сколько пример того, что может случиться при переполненном объеме журнала событий.

Для решения такой проблемы предусмотрены три опции:

• Overwrite events as needed — Перезаписывать события (перезапись начинается с самых старых записей).
• Archive log when full — Архивировать журнал при достижении предельного объема (перезапись событий не происходит).
• Do not overwrite events — Не перезаписывать события (очистка журнала производится в ручную).

При выборе одной из первых двух опций, управление журналов будет осуществляться автоматически в соответствии с разерами свободного пространства жесткого диска.

Примечание: Для проверки функционирования Windows Server 2003 необходимо регулярно просматривать журналы событий. Возможность создания архивных копий записей позволит администратору анализировать содержимое старых событий, не вмешиваясь в работу текущих журналов.

Автор: Derek Schauland
Версия на английском:

techrepublic.com.com
Копирование статьи разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник русскоязычной версии.

Оцените статью: Голосов

Windows Server 2003 includes a set of log files that
are configured and presented within the Event Viewer. By configuring the
options on each of the logs to meet the requirements of your
environment, you can collect data appropriate for troubleshooting
hardware, application, system, and resource access.

Logs Available in Event Viewer

The Windows
Server 2003 Event Log service, present and started automatically on all
Windows Server 2003 computers, records events in one of three log files:

• Application Developers of an application can program their software to report configuration changes, errors, or other events to this log.

• System
  The Windows Server 2003 operating system will report events (service
  start or abnormal shutdown, device failures, and so on) to this log. The
  events reported to this log are preconfigured.

• Security
  Logon and resource access events (audits) are reported to this log.
  Configuration for most of these events is at the discrimination of the
  system administrator.

Note

Although
the Application and System log events are determined by the application
developer and operating system, respectively, the Security log must
first be configured for the type of events to record (Success or Failure
for each). If File and Object Access events are selected, the security
properties of each object must be configured to record auditing events
to the Security log.

Windows Server 2003 computers filling the role of a Domain Controller contain two additional logs:

• Directory Service
  This log contains events related to the Microsoft Active Directory
  directory service, such as irreconcilable object replication or
  significant events within the directory.

• File Replication Service This
  log contains errors or significant events reported by the File
  Replication Service related to the copying of information between Domain
  Controllers during a replication cycle.

Lastly, a Windows Server 2003 computer filling the role of a Domain Name System (DNS) server will contain one additional log:

• DNS Server This log contains errors or significant events reported by the DNS server.

Configuring Event Viewer Logs

When you first start
Event Viewer, all events that are recorded in the selected log are
displayed. Such a list may be lengthy, containing many entries of both
informational and warning types. You can locate events by type using the
Filter command on the shortcut menu’s View menu for the log you want to
view. The Filter properties page for the Security log is shown in Figure 1.

Figure 1. Filter settings for the Security log

Картинка с сайта: programming.wmlcloud.com

Adjacent to the
Filter tab in the properties of a log is the General tab, which provides
access to the behaviors of the log, including

• The display name for the view of the log.

• The maximum size of the log.

• Whether
  the oldest events in the log should be overwritten when the maximum log
  size is reached. There are three overwrite options:.

  • Overwrite Events As Needed (default) This behavior will overwrite the oldest entries in the log with newer ones when the log reaches the maximum size.

  • Overwrite Events Older Than n Days This configuration will overwrite events that exceed the age setting when the log reaches the maximum size.

  • Do Not Overwrite Events (Clear Log Manually) This configuration will halt event logging when the log reaches the maximum size.

Security Alert

Leaving
the default setting of Overwrite Events As Needed on the Security log
could overwrite important resource access or other security-related data
if the log is not checked often. A regular schedule of analysis is
recommended. Log files can be archived (that is, saved to disk) if
needed for record-keeping or other administrative purposes.

For
better assurance that no Security log entries have been lost, Windows
Server 2003 Group Policy provides a setting in the Computer
Configuration Policy: Security Settings that will force a computer to
shutdown if it is unable to write to the Security log with audit
information. This setting forces disciplined administrative practice if
the Security log is set to be cleared manually.

The General tab for the Security log is shown in Figure 2.

Figure 2. The General settings for the Security log

Картинка с сайта: programming.wmlcloud.com

Practice: Event Monitor

In
this practice, you will configure the Security log for File and Object
Access, and filter the data displayed in the Security log.

Exercise 1: Configuring the Security Log

In this exercise, you will configure the auditing of File and Object Access.

1.	Logged on to Server01 as an administrator, open Active Directory Users And Computers.
2.	Right-click the Domain Controllers Organizational Unit (OU), and then choose Properties from the shortcut menu.
3.	On the Group Policy tab, select the Default Domain Controllers Policy, and then click Edit.
4.	Under the Computer Configuration node, expand Windows Settings, Security Settings, Local Policies, and then click Audit Policy.
5.	In the details pane, right-click Audit Object Access, and then select Properties from the shortcut menu.
6.	In the Audit Object Access Properties dialog box, select Audit These Attempts: Failure, and then click OK.
7.	Close the Group Policy Object Editor, click OK to close the Domain Controllers Properties dialog box, and then close Active Directory Users And Computers.
8.	Open a command window, type gpupdate, and then press Enter.
9.	When the Computer Policy reports as refreshed, close the command window.

You have now enabled
the auditing of failed Object Access attempts on Server01 (as part of
the Domain Controllers OU), and refreshed Group Policy so that the
settings take effect immediately.

Exercise 2: Setting File and Object Auditing

In this exercise,
you will configure auditing on a folder that you will create.
Permissions will be set so as to simulate a user attempting to gain
unauthorized access to the resource.

1.	On your desktop, create a folder called Data.
2.	Right-click the folder and select Properties from the shortcut menu.
3.	Select the Security tab, and then select your user account.
4.	Select the check box indicating Deny:Full Control permissions for your user account, click Yes in the warning dialog box.
5.	Click Advanced, and then select the Auditing tab. Add your user account to audit List Folder / Read Data: Failed, and then click OK to close all Property dialog boxes.
6.	Double-click the Data folder to open it. You should receive an Access Denied warning message.

Exercise 3: Reading the Security Log

In this exercise, you will confirm the auditing of your failed access to the Data folder.

1.	From Administratives Tools, open the Computer Management console.
2.	Expand the Event Viewer node, and then click the Security log in the folder pane. Near the top of the list of events, you should see several Failure Audit events (with ID 560) indicating your failed attempt to access the Data folder.
3.	Right-click the Security log in the folder pane, select View from the shortcut menu, and then choose Filter.
4.	In the Filter dialog box, select each of the following: Event Source: Security Category: Object Access Event Types: Failure selected, all others cleared
5.	Click OK to apply the filter to the Security log.

You have now filtered the Security log data to display only the events that apply to failed object access.

Дерево System Tools

Если раскрыть все объекты под System Tools, то вы увидите большое число оснасток,
служебных средств и элементов конфигурации (
рис.
8.8).

Оснастка Event Viewer (Просмотр событий). Используйте Event Viewer для сбора информации
о событиях, которые возникли в вашей системе. Вы можете вызвать Event
Viewer из оснастки Computer Management или из папки Administrative Tools, находящейся
в панели управления. (Если вы переходите к Windows Server 2003 из Windows
NT, это важно знать, чтобы вы не запутались.)

• Журналы Event Viewer. Информация о действиях, поведении и проблемах в вашей системе записывается в журналы. По умолчанию Windows Server 2003 Event Viewer содержит три журнала.
• Журнал Application (Журнал приложений). Содержит события, регистрируемые приложениями. Какие события отслеживать, решают разработчики приложений.
• Журнал Security (Журнал безопасности). В этот журнал записываются события, выбранные для аудита, например, попытки входа в систему, а также события, связанные с доступом пользователей к ресурсам. Как администратор вы можете решить, какие события нужно записывать в журнал безопасности.
• Журнал System. Содержит события, регистрируемые системными компонентами Windows Server 2003. Это обычно сообщения об сбоях драйверов или системных служб. Типы записываемых событий встроены в Windows Server 2003.

  Примечание. Если Windows Server 2003 действует как контроллер домена или сервер
  DNS, то для отслеживания этих служб в Event Viewer включаются дополнительные
  журналы.

• События. В Event Viewer выводятся разнообразные типы событий, каждый из которых имеет свой уровень значимости и свой тип значка в журналах событий. Чтобы увидеть детали события, нужно дважды щелкнуть на записи этого события в Event Viewer.
• Error (Ошибка). Указывает на существенную проблему, которая может говорить о потере функционирования, например, для драйверов или служб, которые не удалось запустить.
• Warning (Предупреждение). Указывает на некоторую проблему, которая может стать серьезной, если вы не займетесь этой проблемой.
• Information (Информация). Чисто информационная запись, но не признак будущей или существующей проблемы.
• Success Audit (Аудит успеха). Успешное событие системы безопасности, которое включается в журнал, поскольку система или администратор выбрали аудит этого события.
• Failure Audit (Аудит отказов). Событие системы безопасности для неудачной попытки выполнения, которое включается в журнал, поскольку система или администратор выбрали аудит этого события.

Конфигурирование Event Viewer. Журналы событий, которые вы используете, запускаются
автоматически во время загрузки операционной системы. Файлы журналов
имеют конечные размеры, и перезаписываются в соответствии с тем, как это определено
в опциях конфигурирования журнала. Чтобы увидеть или изменить опции
конфигурирования журнала, щелкните правой кнопкой на этом журнале в Event
Viewer и выберите в контекстном меню пункт Properties.

Изменения, которые вы вносите в настройки конфигурации, зависят от вашей
ситуации. Например, вы можете задать, чтобы журнал автоматически перезаписывался
после заданного количества дней (по умолчанию 7 дней), что будет препятствовать
излишнему увеличению файла журнала. Тем самым каждые семь дней вы
можете архивировать свой журнал и стирать текущие записи. Но если вы вносите
большие изменения в систему или задаете план активного аудита, то в журнал может
записываться много событий. Если журнал заполнен до конца и нет событий
старше семи дней, то Event Viewer не сможет ничего удалить, чтобы найти место для
новых событий.

Фильтрация типов событий. Диалоговое окно Properties каждого журнала имеет
вкладку Filter (Фильтр), которую вы можете использовать, чтобы задавать типы событий,
которые хотите видеть. Вы можете использовать опции этого диалогового окна, чтобы
сузить ваш выбор до необходимого вам уровня (см. рис. вверху следующей страницы).

Например, вас не интересуют события типа Information на определенных компьютерах
или вы хотите видеть эти события за неделю либо после важных изменений
в конфигурации системы. Просто выберите или отключите соответствующие
фильтры.

Оснастка Shared Folders (Разделяемые папки)

Оснастка Shared Folders позволяет вам следить за использованием соединений и
ресурсов, используя информацию трех подпапок дерева консоли.

Shares (Разделяемые ресурсы). Откройте объект Shares, чтобы увидеть разделяемые
ресурсы на данном компьютере. В колонках правой панели содержится информация о каждом разделяемом ресурсе.

Совет. Нажмите F5, чтобы обновить информацию на экране; это позволит вам
увидеть точное количество текущих пользователей.

Чтобы создать новый ресурс, щелкните правой кнопкой на объекте Share в дереве
консоли и выберите в контекстном меню пункт New File Share (Создать файловый
ресурс). Чтобы сконфигурировать существующий ресурс, щелкните правой
кнопкой на соответствующем ресурсе в правой панели и выберите в контекстном
меню пункт Properties.

Чтобы отправить сообщение какому-либо компьютеру или всем компьютерам,
которые используются подсоединенными пользователями, щелкните правой кнопкой
на объекте Share в дереве консоли и выберите All Tasks\Send Console Message
(Все задачи\Отправить консольное сообщение). Введите текст сообщения и выберите
или исключите компьютеры, которым может быть отправлено сообщение.

Щелкните на кнопке Add, чтобы выбрать и другие компьютеры в сети (не
подсоединенные в данный момент к этому компьютеру) для отправки сообщения.

Если кто-либо из подсоединенных пользователей работает на компьютере под
управлением Windows 9x, то он не сможет получить сообщение, если на его компьютере
не установлен компонент WinPopup. В операционные системы Windows NT/2000/XP/2003
встроены возможности Messenger Service, поэтому их пользователи
получат ваше сообщение в окне Messenger Service.

Примечание. На момент написания этого курса консольные сообщения, отправляемые
на подсоединенные контроллеры домена, не удается доставить. Я пытаюсь разрешить
эту проблему с Microsoft. Информация, появляющаяся по этой теме, будет
доступна по адресу www.admin911.com.

Sessions (Сеансы). Сеанс начинается в тот момент, когда удаленный пользователь
выполняет доступ к разделяемому ресурсу. Для объекта Sessions выводится следующая
информация:

Вы можете отсоединить всех пользователей, подсоединенных к этому компьютеру,
щелкнув правой кнопкой на объекте Sessions в дереве консоли и выбрав в контекстном
меню Disconnect All Sessions (Отсоединить все сеансы). Чтобы отсоединить
отдельного пользователя, щелкните правой кнопкой на сеансе этого
пользователя в правой панели и выберите в контекстном меню пункт Close Session
(Закрыть сеанс).

Совет. Перед внезапным отключением сеанса пользователя стоит отправить ему
соответствующее сообщение.

Open Files (Открытые файлы). Объект Open Files содержит информацию, указывающую,
какие файлы были открыты, кем открыты и что делают эти пользователи.

Вы можете закрыть все открытые файлы, щелкнув правой кнопкой на объекте
Open Files и выбрав в контекстном меню Disconnect All Open Files (Отсоединить все
открытые файлы). Вы можете закрыть конкретный открытый файл, щелкнув на нем
правой кнопкой в правой панели и выбрав в контекстном меню Close Open File (Закрыть
открытый файл).

Local Users and Groups (Локальные пользователи и группы)

Оснастка Local Users and Groups используется для управления пользователями и
группами, которые выполнили вход на этот компьютер (но не вход в домен). Если
компьютер Windows Server 2003 является контроллером домена, то эта оснастка недоступна.
Контроллеры домена управляют только доменными пользователями и
группами.

Управление локальными пользователями. Чтобы увидеть список пользователей, выберите
объект User в дереве консоли. По умолчанию Windows Server 2003 создает
учетную запись Administrator и учетную запись Guest (другие учетные записи могут
появиться в зависимости от установленных компонентов).

Примечание. Если компьютер является членом домена, то вполне возможно, что
несколько пользователей, которых нет в локальном списке User, выполнили вход в
домен, используя этот компьютер. Локальные компьютеры только аутентифицируют
пользователей, которые выбрали вход на локальный компьютер вместо входа в
домен в диалоговом окне входа Windows Logon.

Учетная запись Administrator – это локальная учетная запись, которую создает
Windows Server 2003 для установки операционной системы. Вы используете эту учетную
запись во время установки и конфигурирования ОС, и последним применением
этой учетной записи должно быть создание вашей собственной учетной записи
(сделайте себя членом группы Administrators).

Учетную запись Administrator нельзя удалить, отключить или вывести из локальной
группы Administrators, чтобы вы не изолировали самого себя от компьютера
(правда, вы должны еще помнить свой пароль).

Учетная запись Administrator имеет свой собственный набор подпапок в %SystemDrive%\Documents and Settings. Если вы входите в домен с этой учетной
записью (что можете делать, если знаете пароль для учетной записи Administrator на
контроллере домена), то Windows Server 2003 создает локально вторую учетную запись
Administrator с именем Administrator. ИМЯ_ДОМЕНА. Эта учетная запись тоже
содержит набор подпапок в %SystemDrive%\Documents and Settings.

По умолчанию Windows Server 2003 отключает учетную запись Guest, что является
разумным подходом и обычно не требует изменений. Если учетная запись Guest
включена, то пользователи могут выполнять вход как «гость», то есть без пароля.
Однако учетная запись Guest является членом группы Guest, полномочия и права
которой сильно ограничены.

Добавление локальных пользователей. Чтобы добавить пользователей на локальном
компьютере, щелкните правой кнопкой на объекте Users в дереве консоли и выберите
в контекстном меню пункт New User (Создать пользователя). Появится диалоговое
окно New User (
рис.
8.9), где нужно ввести базовую информацию об этом
пользователе.

Ниже приводятся некоторые рекомендации по вводу данных в этом диалоговом
окне.

• В поле User Name вводится пользовательское имя входа, например, kathyi, kathy, kivens и т.д.
• Это должно быть уникальное на данном компьютере имя, и оно может содержать до 20 символов в верхнем и нижнем регистре, за исключением следующих символов: » / \ [ ] : ;|= , + * ? < >
• Поля Full Name и Description не являются обязательными, но полезны для поиска, если вы создаете много локальных пользователей.
• Вы можете ввести пароль (не забудьте сообщить его новому пользователю) или не вводить его, если знаете, что данный пользователь собирается сразу выполнить вход, чтобы создать новый личный пароль.
• Если вы создаете реальный постоянный пароль, сбросьте флажок User must change password at next logon (Пользователь должен изменить пароль при следующем входе). Вы можете также выбрать одну из других опций для пароля.

Конфигурирование локальных пользователей. После создания нового пользователя
дважды щелкните на имени этого пользователя в правой панели консоли, чтобы
открыть диалоговое окно Properties этого пользователя. Здесь вы можете управлять
правами и полномочиями этого пользователя.

Во вкладке Member of (Член групп) задайте членство в группах. Пользователь
автоматически является членом группы Users, имеющей ограниченные права и полномочия
(такие же, как для группы Guest). Щелкните на кнопке Add, чтобы добавить
пользователя в другие необходимые группы.

Примечание. Диалоговое окно Add, используемое для добавления групп, изменилось
по сравнению с Windows 2000. Не появляется список существующих групп, и
вы должны щелкнуть на кнопке Advanced, чтобы инициировать поиск.

• Вкладка Profile (Профиль) используется для конфигурирования перемещаемых и обязательных профилей, а также настройки домашней папки (обычно в сети). Поскольку это локальный пользователь, который, возможно, выполняет также вход в домен с доменным пользовательским именем (которое может совпадать с локальным пользовательским именем), поэтому обычно не принято изменять эти настройки на локальном компьютере. Используйте средства на контроллере домена, чтобы задавать опции доменной конфигурации для пользователя.
• Все другие вкладки используются для конфигурирования Terminal Server и свойств коммутируемого доступа (Dial-in) пользователя; они рассматриваются в соответствующих лекциях этого курса.

Управление локальными группами. Windows Server 2003 создает ряд встроенных групп
во время установки операционной системы. За исключением группы Replicator (которая
имеет особую роль, и не должна содержать обычных пользователей) вы можете
включать локальных пользователей в группы, если хотите повысить их полномочия
на данном компьютере. Включение пользователя в группу – это эффективный
способ управления полномочиями и правами (иначе приходится присваивать права
и полномочия каждому пользователю по отдельности).

Создание локальных групп. Вы можете создавать локальные группы с конкретными
группами полномочий, которые могут требоваться для локального компьютера.
Обычно в сетевой среде компьютер редко работает в автономном режиме, то есть в
основном его работа происходит на уровне домена.

Но если вы все же хотите добавить локальную группу, щелкните правой кнопкой
на объекте Groups в дереве консоли и выберите в контекстном меню пункт New
Group (Создать группу). В диалоговом окне New Group (
рис.
8.10) задайте имя этой
группы и (при необходимости) описание.

Добавление членов в локальные группы. Вы можете щелкнуть на кнопке Add, чтобы
начать добавление членов в локальную группу, или закрыть это диалоговое окно и
начать добавление позже, дважды щелкнув на имени этой группы в правой панели.
Если данный компьютер включен в состав домена, то членами такой группы могут
быть локальные пользователи, доменные пользователи или глобальные группы домена.

В диалоговом окне Select Users or Groups (Выбор пользователей или групп) выберите
объект, который хотите добавить в группу, используя следующие рекомендации.

• Щелкните на Object Types (Типы объектов), чтобы выбрать пользователя и/или группу.
• Щелкните на Locations (Местоположение), чтобы выбрать локальный компьютер, домен или одну из глобальных групп домена.
• Щелкните на кнопке Advanced, чтобы открыть диалоговое окно Search (Поиск), где можете дополнительно уточнить свои критерии.
• Выбрав свои критерии, щелкните на кнопке Find Now, чтобы получить список доступных вам объектов, после чего вы можете начать добавление членов в свою группу.

Performance Logs and Alerts (Журналы производительности и оповещения)

Вы можете следить за состоянием компьютера и устранять потенциальные или реальные
проблемы, используя мониторы производительности, встроенные в операционную
систему. Информацию по этим темам см. в лекции 17 курса «Внедрение, управление и поддержка сетевой инфраструктуры MS Windows Server 2003″.

Device Manager (Диспетчер устройств)

Device Manager – это неоценимое средство поиска и устранения проблем оборудования,
обновления драйверов и изменения конфигурации установленных устройств.
Вот некоторые необходимые сведения по использованию Device Manager.

• Вы должны иметь административные привилегии на данном компьютере.
• Вы можете управлять только локальными устройствами.
• Сетевые настройки политик, возможно, не позволят вам вносить изменения по устройствам.

Примечание. Device Manager можно использовать не только как часть оснастки
Computer Management, но и как отдельную оснастку. Чтобы открыть эту отдельную
оснастку, щелкните правой кнопкой на My Computer и выберите в контекстном
меню пункт Properties. Выберите вкладку Hardware и щелкните на Device Manager.

Просмотр устройств компьютера. Первой и наиболее очевидной функцией Device
Manager является быстрый просмотр вашего компьютера и всех установленных устройств.
Это позволяет вам сразу увидеть, имеются ли проблемы или конфликты
оборудования, за счет отметки устройств, не работающих должным образом (они
помечены желтым восклицательным знаком), а также нераспознанных устройств
(они помечены желтым вопросительным знаком). Device Manager не только представляет
обзор оборудования вашего компьютера, но также позволяет выбирать различные
способы просмотра этой информации. В меню View предлагаются следующие
виды отображений.

• Devices by type (Устройства по типам). Отображение по умолчанию, в котором выводится список установленных устройств, сгруппированные по типам в алфавитном порядке.
• Devices by connection (Устройства по подключению). Список всех устройств, упорядоченный по типам их подсоединения.
• Resources by type (Ресурсы по типам). Отображение устройств, упорядоченных по ресурсам, которые они используют. К ресурсам относятся DMA, I/O, IRQ и адреса памяти.
• Resources by connection (Ресурсы по подключению). Аналогично Resources by type. В этом отображении выводится список ресурсов с типами подсоединений в виде их подмножества.
• Show hidden devices (Отображать скрытые устройства). Удобное средство для поиска устройств, которые были физически отсоединены, но не были деинсталлированы с компьютера. Отображаются также установленные устройства, не поддерживающие Plug and Play.

Печать отчетов по устройствам компьютера. Кроме просмотра информации об устройствах
вы можете также печатать отчеты, выбрав пункт Print в меню Action. Можно
выводить следующие три типа отчетов.

• System summary (Сведения о системе). Содержит базовую информацию о системе, такую как операционная система, процессор и установленная память. Кроме того, этот отчет содержит сводку информации по дисковым устройствам, использованию прерываний (IRQ), прямого доступа к памяти (DMA), использованию памяти и портов ввода-вывода (I/O).
• Selected class or device (Выбранный класс или устройство). Содержит подробную информацию по устройству, которое выбирается вами перед вызовом команды Print. В этом отчете указывается класс данного устройства, его описание или имя, ресурсы, которые оно использует, а также информация о драйверах устройства.
• All devices and system summary (Сведения о системе и всех устройствах). Печать той же информации, что и в отчете System summary, и затем вывод информации отчета Selected class or device по каждому установленному устройству.

Имеет смысл печатать отчет All devices and system summary для каждого компьютера
и держать эту распечатку в столе, на котором стоит компьютер, или в находящейся
под рукой папке. Вы можете также выводить отчет в файл и накапливать эту
информацию в большом документе с отчетами по всем сетевым компьютерам.

Управление устройствами. Вы можете также управлять устройствами в Device Manager.
Вы можете модифицировать настройки, заменять драйверы, активизировать и отключать
устройства, а также удалять (деинсталлировать) устройства. Для доступа к
свойствам устройства дважды щелкните на строке этого устройства или щелкните
правой кнопкой на этой строке и выберите в контекстном меню пункт Properties.
Поскольку каждому устройству требуется драйвер, в каждом диалоговом окне
Properties обязательно содержатся следующие две вкладки.

• General (Общие). Содержит базовую информацию, такую как имя, тип и изготовитель устройства, его текущее состояние (работает или не работает), средство устранения проблемы, если устройство не работает, а также опцию Device Usage (Использование устройства), чтобы активизировать или отключать устройство.
• Driver (Драйвер). Содержит информацию о текущем установленном драйвере для данного устройства. Указывается имя драйвера, поставщик, дата, версия и цифровая подпись (если она имеется).

Щелкните на кнопке Driver Details, чтобы открыть диалоговое окно Driver File
Details (Сведения о файле драйвера), где указывается путь и имя (имена) установленного
драйвера (драйверов). Вы можете использовать кнопки этого диалогового
окна, чтобы удалить текущий драйвер или обновить его.

Если устройство использует системные ресурсы, то имеется вкладка Resources
(Ресурсы), содержащая список используемых ресурсов, а также опцию для их ручного
изменения. Не используйте эту возможность, если недостаточно ориентируетесь
в вопросах работы с устройствами. Во вкладке Resources содержится также список
конфликтующих устройств, который предупреждает вас о любых конфликтах
ресурсов между выбранным устройством и всеми остальными установленными устройствами.

Вкладка Advanced включается для устройств, имеющих дополнительные возможности,
которые могут быть заданы пользователем. У вас могут быть также устройства
со своими собственными специальными вкладками. Например, для установленных
портов включается вкладка Port Settings (Настройка порта), для модемов –
вкладки Modem (Модем) и Diagnostics (Диагностика), и US- Root Hub содержит
вкладку Power.

Удаление устройств. Кроме просмотра установленных устройств и изменения их
свойств вы можете также использовать Device Manager для удаления устройств. Чтобы
удалить устройство, щелкните правой кнопкой на его строке и выберите в контекстном
меню пункт Uninstall. Вы можете также удалить устройство, открыв диалоговое
окно Properties, выбрав вкладку Driver и щелкнув на кнопке Uninstall.

Storage

Storage – это вторая категория средств в дереве консоли Computer Management. Ее
подкатегории содержат средства для управления съемными ЗУ, дефрагментации
дисков и управления дисками. Дефрагментация дисков описывается в начале этой
лекции, и в этом разделе дается описание остальных двух средств.

На каждом компьютере Windows Server 2003, Windows XP, Windows 2000 и Windows NT есть по меньшей мере три журнала. Эти журналы — бесценный источник информации; однако получить к ним доступ очень трудно. Если на предприятии имеется 1000 рабочих станций и серверов, то администратору предстоит регулярно исследовать не менее 3000 журналов. Но с помощью инструмента командной строки операционных систем Windows 2003 и XP можно собирать и фильтровать информацию из журналов событий с локальных и удаленных машин, даже с компьютеров, на которых установлены старые версии операционных систем, предшествующие XP.

Eventquery — программа на VBScript, поэтому вызывать ее, как правило, приходится с помощью cscript.exe. Но если нужно, чтобы Eventquery вела себя как любая другая программа .exe, достаточно просто настроить систему на запуск cscript.exe каждый раз, когда в командной строке вводится eventquery (или название другой программы VBScript). Для этого следует ввести в командной строке

cscript //h:cscript //s

и нажать Enter.

После этого вместо cscript C:windowssystem32eventquery.vbs можно просто ввести команду eventquery.

В ответ на ввод команды eventquery система выдаст записи всех журналов событий на данном компьютере. Чтобы ограничить круг действия команды одним журналом, следует указать параметр /l (команда Eventquery нечувствительна к регистру символов, поэтому можно указать и параметр /L), за которым следует имя журнала. Например, команда

eventquery /l «dns server»

выведет только записи служебного журнала сервера DNS. Если в имени журнала есть пробелы, то его следует заключить в кавычки.

Чтобы извлечь информацию из журнала на удаленной системе, можно задействовать параметры /s systemname, /u username и /p password. Например, чтобы получить данные из журнала Security на удаленной машине с именем MYPC, используя учетную запись Jane с паролем HeLL0, нужно ввести команду

eventquery /l security /s
 mypc /u jane /p HeLL0

Даже запрос, направленный к одной машине и одному журналу, может принести слишком много информации. К счастью, с помощью параметров /r (range) и /fi (filter) объем данных можно уменьшить. Параметру /r присваивается число или диапазон чисел в одном из трех форматов. Например, параметр /r 10 запрашивает десять последних событий, параметр /r -10 запрашивает десять самых старых событий, а /r 10-20 — недавние события с номерами с 10 по 20.

Однако самый необычный компонент Eventquery — параметр /fi. В частности, чтобы увидеть только события журнала Security с ID 528 (успех аудита), следует ввести команду

eventquery /l security /fi «id eq 528»

Значение «id eq 528» заключено в кавычки, так как содержит пробелы. В команде Eventquery нельзя использовать знак равенства (=), поэтому eq означает «равняется». Другие распознаваемые операторы: ne (not equal — не равно), ge (greater than or equal to — больше или равно), le (less than or equal to — меньше или равно), gt (greater than — больше чем) и lt (less than — меньше чем). Помимо фильтрации записей журнала по ID «события», Eventquery позволяет фильтровать записи по времени возникновения события, типу события, имени пользователя, имени компьютера и источнику или категории элемента журнала событий.

Если требуется построить запрос с логическим оператором OR, это делается просто — Eventquery распознает данный оператор. Например, предположим, что активизирован режим аудита неудачных попыток регистрации и администратор хочет выяснить, какие пользователи потерпели неудачу при попытке соединиться с компьютером. Нужно извлечь данные только о событиях с ID 529 и 680, поэтому следует ввести команду:

eventquery /l security /fi
 «id eq 529 or id eq 680»

Можно использовать комбинацию фильтров. Например, можно просмотреть только последние 20 событий:

eventquery /l security /fi
 «id eq 529 or id eq 680» /r 20

Как запросить информацию обо всех событиях с ID от 528 до 540? К сожалению, Eventquery не распознает логический оператор AND, но тот же результат можно получить с помощью нескольких фильтров. Например, можно запросить все записи, ID которых больше или равны 528, и все записи с номерами, меньшими или равными 540:

eventquery /l security /fi
 «id ge 528» /fi «id le 540»

Eventquery нельзя сравнить с Microsoft Operations Manager (MOM), но с помощью утилиты можно составить командные файлы, чтобы получить информацию из журнала событий конкретного сервера. Используя параметр /fo (format), можно даже вывести данные в формате с разделителями в виде запятых (/fo csv). Таким образом, не составит труда направить выходные данные Eventquery в таблицу Microsoft Excel или в базу данных.

Марк Минаси — редактоp Windows NT Magazine MCSE и автор книги «Mastering Windows NT Server 4.0» (издательство Sybex). С ним можно связаться по адресу: mark@minasi.com.

Event logs provide historical information that can help you track down system and security problems. The Event Log service controls whether events are tracked on Windows Server 2003 systems. When this service is started, you can track user actions and system resource usage events with the following event logs:

• Application Log

  Records events logged by applications, such as the failure of Microsoft SQL Server to access a database. Default location is: %SystemRoot%\system32\config\AppEvent.Evt.

• Directory Service

  Records events logged by Active Directory directory service and its related services. Default location is: %SystemRoot%\system32\config\NTDS.Evt.

• DNS Server

  Records DNS queries, responses, and other DNS activities. Default location is: %SystemRoot%\system32\config\DNSEvent.Evt.

• File Replication Service

  Records file replication activities on the system. Default location is: %SystemRoot%\system32\config\NtFrs.Evt.

• Security Log

  Records events you’ve set for auditing with local or global group policies. Default location is: %SystemRoot%\system32\config\SecEvent.Evt.

  Note

  Any user who needs access to the security log must be granted the user right to Manage Auditing and the Security Log. By default, members of the administrators group have this user right. To learn how to assign user rights, see «Configuring User Rights Policies» in Chapter 9 , «Creating User and Group Accounts.»

• System Log

  Records events logged by the operating system or its components , such as the failure of a service to start at bootup . Default location is: %SystemRoot%\system32\config\SysEvent.Evt.

  Security Alert

  As administrators, we tend to monitor the application and system logs the most ”but don’t forget about the security log. The security log is one of the most important logs, and you should monitor it closely. If the security log on a server doesn’t contain events, the likeliest reason is that local auditing hasn’t been configured or that domain-wide auditing is configured, in which case you should monitor the security logs on domain controllers rather than member servers. Note also that any user who needs access to the security log must be granted the user right to Manage Auditing and the Security Log. By default, members of the Administrators group have this user right. To learn how to assign user rights, see the section entitled «Configuring User Rights Policies» in Chapter 9 , «Creating User and Group Accounts.»

Accessing and Using the Event Logs

You access the event logs by completing the following steps:

1. In the Computer Management console, connect to the computer whose event logs you want to view or manage.

2. Expand the System Tools node by clicking the plus sign (+) next to it, and then double-click Event Viewer. You should now see a list of logs, as shown in Figure 3-9.

3. Select the log you want to view.

Entries in the main panel of Event Viewer provide a quick overview of when, where, and how an event occurred. To obtain detailed information on an event, double-click its entry. The event type precedes the date and time of the event. Event types include

• Information

  An informational event, which is generally related to a successful action.

• Success Audit

  An event related to the successful execution of an action.

• Failure Audit

  An event related to the failed execution of an action.

• Warning

  A warning. Details for warnings are often useful in preventing future system problems.

• Error

  An error, such as the failure of a service to start.

Figure 3-9. Event Viewer displays events for the selected log.

In addition to type, date, and time, the summary and detailed event entries provide the following information:

• Source

  The application, service, or component that logged the event

• Category

  The category of the event, which is sometimes used to further describe the related action

• Event

  An identifier for the specific event

• User

  The user account that was logged on when the event occurred

• Computer

  The name of the computer where the event occurred

• Description

  In the detailed entries, a text description of the event

• Data

  In the detailed entries, any data or error code output by the event

Setting Event Log Options

Log options allow you to control the size of the event logs as well as how logging is handled. By default, event logs are set with a maximum file size of 512 KB. Then, when a log reaches this limit, events are overwritten to prevent the log from exceeding the maximum file size.

To set the log options, complete the following steps:

1. In the Computer Management console, double-click the Event Viewer entry. You should now see a list of event logs.

2. Right-click the event log whose properties you want to set and select Properties from the shortcut menu. This opens the dialog box shown in Figure 3-10.

   Figure 3-10. You should configure log settings according to the level of auditing on the system.

   

   Картинка с сайта: flylib.com

3. Type a maximum size in the Maximum Log Size field. Make sure that the drive containing the operating system has enough free space for the maximum log size you select. Log files are stored in the %SystemRoot%\system32\config directory by default.

   Note

   Throughout this book you’ll see references to %SystemRoot%. This is an environment variable that Windows Server 2003 uses to designate the base directory for the Windows Server 2003 operating system, such as C:\WINDOWS. For more information on environment variables , see the section entitled «Configuring the User’s Environment Settings» in Chapter 10 , «Managing Existing User and Group Accounts.»

4. Select an event log-wrapping mode. The options available are

   • Overwrite Events As Needed Events in the log are overwritten when the maximum file size is reached. Generally, this is the best option on a low priority system.

   • Overwrite Events Older Than . . . Days When the maximum file size is reached, events in the log are overwritten only if they are older than the setting you select. If the maximum size is reached and the events can’t be overwritten, the system generates error messages telling you the event log is full.

   • Do Not Overwrite Events (Clear Log Manually) When the maximum file size is reached, the system generates error messages telling you the event log is full.

5. Click OK when you’re finished.

Clearing Event Logs

When an event log is full, you need to clear it. To do that, complete the following steps:

1. In the Computer Management console, double-click the Event Viewer entry. You should now see a list of event logs.

2. Right-click the event log whose properties you want to set and select Clear All Events from the shortcut menu.

3. Choose Yes to save the log before clearing it. Choose No to continue without saving the log file.

4. When prompted to confirm that you want to clear the log, click Yes.

Archiving Event Logs

On key systems such as domain controllers and application servers, you’ll want to keep several months’ worth of logs. However, it usually isn’t practical to set the maximum log size to accommodate this. Instead, you should periodically archive the event logs.

Archive Log Formats

Logs can be archived in three formats:

• Event log format for access in Event Viewer

• Tab-delimited text format, for access in text editors or word processors or import into spreadsheets and databases

• Comma-delimited text format, for import into spreadsheets or databases

When you export log files to a comma-delimited file, a comma separates each field in the event entry. The event entries look like this:

 12/11/02,9:43:24 PM,DNS,Information,None,2,N/A,ZETA,The DNS server has started. 

[View full width]

 
 [View full width] 
 12/11/02,9:40:04 PM,DNS,Error,None,4015,N/A,ZETA,The DNS server has encountered a  critical error from the Directory Service (DS). The data is the error code. 

The format for the entries is as follows :

 Date,Time,Source,Type,Category,Event,User,Computer,Description 

Creating Log Archives

To create a log archive, complete the following steps:

1. In the Computer Management console, double-click the Event Viewer entry. You should now see a list of event logs.

2. Right-click the event log you want to archive and select Save Log File As from the shortcut menu.

3. In the Save As dialog box, select a directory and a log file name.

4. In the Save As Type dialog box, Event Log (*.evt) will be the default file type. Select a log format as appropriate and then choose Save.

Viewing Log Archives

You can view log archives in text format in any text editor or word processor. You should view log archives in the event log format in Event Viewer. You can view log archives in Event Viewer by completing the following steps:

1. In the Computer Management console, right-click the Event Viewer entry. On the shortcut menu, select Open Log File. You should now see the Open dialog box shown in Figure 3-11.

2. Use the Open dialog box to select a directory and a log file name. If the log isn’t saved in Event Viewer format, select All Files under the Files Of Type selection menu.

3. Use Log Type to specify the type of log as Application, Directory Service, and so on.

4. Click Open. The archived log is displayed as a separate view in Event Viewer. Select this view to display the saved events in the log.

   Figure 3-11. Use the Open dialog box to open the saved event log in a new view.

   

   Картинка с сайта: flylib.com