第4章 系统事件日志管理
事件,记录何时何地某个应用程序或者系统服务做了什么,以及操作的结果,可以详细地反映出在某一时刻,Windows Server 2008在做什么,而且做的结果如何。管理员利用事件日志,可以分析当前系统存在哪些问题,以及哪些可能发生的问题,因此事件是管理员管理系统的利器。Windows Server 2008的事件查看器比以前的版本功能提高很多,例如支持事件订阅以及时间任务相关联等。
4.1 事件日志概述
事件可以反映出当前操作系统的工作状态,以及即将或者可能发生的错误,管理员应该养成良好的习惯,经常查看日志,可以有效的避免突如其来的灾难。
4.1.1 默认日志类型
默认情况下,Windows Server 2008存储的日志类型包括Windows系统日志、服务器角色日志、应用程序和服务日志。其中,Windows系统日志是系统默认日志,包括应用程序、安全、安装程序、系统和转发的事件等5部分,服务器角色日志和应用程序日志则取决于当前服务器运行服务和应用程序。
1. 应用程序日志
应用程序日志包含由应用程序或系统程序记录的事件。例如,数据库程序可在应用程序日志中记录文件错误。应用程序开发人员决定记录哪些事件。
2. 安全日志
安全日志记录诸如有效和无效的登录尝试等事件,以及记录与资源使用相关的事件,如创建、打开或删除文件或其他对象。例如,如果已启用登录审核,登录系统的尝试将记录在安全日志中。
3. 系统日志
系统日志包含Windows系统组件记录的事件。例如,在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。服务器预先确定由系统组件记录的事件类型。
4. 安装程序日志
安装程序日志,记录在系统安装或者安装微软公司的产品时,产生的系列事件,如果安装出现错误,可以使用此日志分析出现的问题。
5. 转发的事件
转发的事件,是当前计算机事件收集服务器,存储其他计算机的事件。
6. 服务器角色日志和应用程序日志
(1)事件性质
应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或组件的事件,而非可能影响整个系统的事件。此类别的日志包括四个子类型:管理日志、操作日志、分析日志和调试日志。管理日志中的事件尤其受使用事件查看器解决问题的专业人士的关注。管理日志中的事件提供如何解决事件方案。
● 管理事件
这些事件主要以最终用户、管理员和技术支持人员为目标。管理通道中的事件指示问题以及管理员可以操作的良好定义的解决方案。管理事件的示例之一是应用程序无法连接到打印机时所发生的事件。这些事件或者有详细文档记录,或者有与其关联的消息直接指导读者纠正问题所必须做的事情。
● 操作事件
操作事件用于分析和诊断问题或发生的事件。这些事件可以用于基于问题或发生的事件触发工具或任务。操作事件的示例之一是在从系统中添加或删除打印机时所发生的事件。
● 分析事件
分析事件是大量发布的事件。这些事件描述程序操作并指示用户干预所无法处理的问题。
● 调试事件
调试事件由开发人员用于解决其程序中的问题。
(2)日志类型
服务器角色日志和应用程序日志,取决于当前服务器运行服务和应用程序。例如运行Windows Server 2008操作系统且配置为域控制器的计算机,将增加其他日志以记录发生的事件。
● 目录服务日志
目录服务日志包含Active Directory服务记录的事件。例如,在目录服务日志中记录服务器和全局编录间的连接问题。
● 文件复制服务日志
“文件复制”服务日志包含Windows文件复制服务记录的事件。例如,在文件复制日志中,记录着文件复制失败和域控制器(利用关于系统卷更改的信息)更新时发生的事件。运行Windows并配置为域名系统(DNS)服务器的计算机在其他日志中记录事件。
● DNS服务器日志
DNS服务器日志包含DNS服务记录的日志。
4.1.2 事件信息
事件日志类似于日记,主要用于记录某一系统事件发生的日期、时间等基本信息,事件是操作系统在某一时刻对某一系统资源或者网路资源发生的访问操作,而记录的一系列行为,该行为包含当前的日期、时间、用户、计算机、来源、事件、类型、分类等信息。表4-1中显示了事件的基本要素及描述。
表4-1 事件基本信息
4.1.3 事件类型
Windows操作系统中定义了6种事件类型,管理员可以根据关注的事件的性质筛选希望查看的事件。表4-2显示了Windows系统定义的事件类型,及每个事件类型的具体含义。
表4-2 事件类型及描述
提·示
“Success Audit”和“审核失败”类型事件属于严重安全级别,可能出现在安全日志中。
4.1.4 启动事件查看器
Windows Server 2008操作系统支持命令行模式和图形模式启动事件查看器。
1. 命令行模式启动
事件查看器是MMC的一个管理单元,可用于浏览和管理事件日志。
第1步,选择“开始”→“运行”命令,显示“运行”对话框,在“打开”文本框中键入“eventvwr.msc”,如图4-1所示。
图4-1 命令行模式启动事件查看器之一
第2步,单击“确定”按钮,显示如图4-2所示的“事件查看器”窗口。
图4-2 命令行模式启动事件查看器之二
2. 图形模式启动
选择“开始”→“管理工具”→“事件查看器”选项,即可启动事件查看器。
4.1.5 查看事件
启动事件查看器后,即可浏览计算机产生的所有事件。
第1步,选择“开始”→“管理工具”→“事件查看器”选项,打开“事件查看器”窗口,如图4-3所示。
图4-3 查看事件之一
第2步,选择“事件查看器”→“Windows日志”选项,即可查看日志汇总信息,如图4-4所示。
图4-4 查看事件之二
第3步,选择“事件查看器”→“Windows日志”→“应用程序”选项,即可查看应用程序日志,如图4-5所示。在事件列表中选择任何一个事件,在窗口下方显示事件的详细信息。
图4-5 查看事件之三
第4步,选择“事件查看器”→“Windows日志”→“安全”选项,即可查看安全相关日志,如图4-6所示。在事件列表中选择任何一个事件,在窗口下方显示事件的详细信息。
图4-6 查看事件之四
第5步,选择“事件查看器”→“Windows日志”→“应用程序”选项,即可查看应用程序相关日志,如图4-7所示。在事件列表中选择任何一个事件,在窗口下方显示事件的详细信息。
图4-7 查看事件之五