Работа с журналами

Просмотр событий

Одно из самых часто используемых и наиболее важных средств мониторинга системы — это регистрация различных событий в журналах операционной системы Windows. Регистрацию событий в системе Windows осуществляет служба " Журнал событий " (Event Log). В любой системе семейства Windows всегда присутствуют 3 журнала:

• журнал " Система " (System) — события, записанные в журнал компонентами операционной системы (например, сбой в запуске службы при перезагрузке); расположение журнала по умолчанию — в папке " %SystemRoot%\system32\config\SysEvent.Evt ";
• журнал " Безопасность " (Security) — регистрация событий, относящихся к системе безопасности (например, попытки регистрации пользователей, изменения в политиках безопасности, попытки доступа к различным ресурсам); набор событий, регистрируемых в журнале " Безопасность ", настраивается локальной или групповых политик (об управлении аудитом событий безопасности — в следующем подразделе); расположение по умолчанию — " %SystemRoot%\system 32\сопfig\SecEvent.Evt ";
• журнал " Приложение " (Application) — события, порожденные различными приложениями (например, сбой MS SQL при доступе к базе данных); набор событий, регистрируемых в журнале " Приложения ", определяется разработчиками приложений; расположение по умолчанию — " %SystemRoot%\system32\config\AppEvent.Evt ".

При установке в системе каких-либо компонент могут появиться журналы, регистрирующие события, относящиеся к работе данных компонент.

При установке службы DNS появляется журнал " DNS-сервер " (DNS Server), регистрирующий события, связанные с работой службы DNS (расположение по умолчанию — " %SystemRoot%\system32\config\DNSEvent.Evt ").

При создании контроллера домена в системе появляются журналы:

• журнал " Служба каталогов " (Directory Service) — события, порожденные службой каталогов Active Directory;. расположение по умолчанию — " %SystemRoot%\system32\config\NTDS.Evt ";
• журнал " Служба репликации файлов " (File Replication Service) — события, связанные с репликацией файлов (в первую очередь файлы в папке SYSVOL и файлы в сетевых папках, управляемых рапределенной файловой системой DFS); расположение по умолчанию — " %SystemRoot%\system32\config\NtFrs.Evt ".

Работа с журналами

Открыть системные журналы можно следующими способами:

• открыть консоль " Управление компьютером " и в разделе " Служебные программы " открыть оснастку " Просмотр событий ";
• открыть отдельную консоль " Просмотр событий " в разделе " Администрирование " Главного меню системы Windows (рис. 16.1).

Рис. 16.1.

В левой части консоли будет список имеющихся на данном компьютере журналов, в правой части — список событий для выбранного журнала.

В большинстве журналов события бывают трех видов:

• Уведомление — информация о событии, связанным с успешным действием (например, успешный запуск или останов службы, успешное завершение операции какой-либо службы);
• Предупреждение — информация о событиях, которые в будущем могут вызвать проблемы в работе системы;
• Ошибка — сообщение об ошибке (например, сбой при запуске службы).

В журнале " Безопасность " — 2 типа событий:

• Аудит успехов — событие, связанное с успешным выполнением действия, связанного с системой безопасности (например, успешный вход в систему или успешный доступ к сетевому ресурсу);
• Аудит отказов — событие, связанное со сбоем в выполнении действия, связанного с системой безопасности (например, отказ в аутентификации пользователя при входе в систему по причине ввода неверного пароля, блокировка учетной записи после нескольких неудачных попыток входа в систему, отказ в доступе к сетевому ресурсу).

В столбцах журнала, кроме типа события, содержатся следующие данные:

• Дата и время регистрации события;
• Источник — приложение, служба или системная компонента, записавшие событие в журнал;
• Категория — категория события, иногда используемая для его более подробного описания;
• Событие — код события;
• Пользователь — учетная запись пользователя, действовавшая в момент события;
• Компьютер — имя компьютера, на котором произошло событие.

Если открыть какое-либо событие, то можно получить более детальную информацию о нем (рис. 16.2):

• Описание — текстовое описание события;
• Данные — любые данные, сгенерированные событием, или связанный с ним код ошибки.

Рис. 16.2.