Протоколирование событий Windows
В Microsoft Windows событие (event) — это любое происшествие в операционной системе, которое требует уведомления пользователей или администраторов. События сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах; это очень важно. Администраторам следует тщательно следить за журналами событий всех бизнес-серверов и настраивать рабочие станции на сохранение важных системных событий. На серверах надо следить за безопасностью системы, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. На рабочих станциях следует убедиться в том, что события, необходимые для поддержки систем и устранения ошибок, протоколируются и что соответствующие журналы вам доступны.
Windows-служба, управляющая протоколированием событий, называется Event Log (Журнал событий). При ее запуске Windows записывает важные данные в журналы. Доступность журналов в системе определяется ее ролью, а также установленными службами. Существует несколько журналов, в том числе следующие:
- Application (Приложение) — хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в \System32\Config\Appevent.evt.
- Directory Service (Служба каталогов) — на контроллерах домена этот журнал хранит события службы каталогов Active Directory, в том числе относящиеся к ее запуску, глобальным каталогам и проверкам целостности. По умолчанию помещается в %$/srem/?oor%\System32\Config\Ntds.evt.
- DNS Server (DNS-сервер) — на DNS-серверах в этом журнале сохраняются DNS-запросы, ответы и прочие события DNS. По умолчанию помещается в %SystemRoot%\System32\ Config\Dnsevent.evt.
- File Replication Service (Служба репликации файлов) — наконтроллерах домена и других серверах, использующих репликацию, этот журнал регистрирует действия в системе, связанные с репликацией файлов, в том числе события состояния и управления службой, сканирования данных на системных томах, а также управления наборами репликации. По умолчанию помещается в %SystemRoot%\Sysem32\Config\ Ntfrs.evt.
- Security (Безопасность) — хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\Systcm32\Config\Secevent.evt.
- System (Система) — хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Config\Sysevent.evt.
Категории событий Windows и их типы
Значимость событий варьируется от уведомлений до предупреждений общего характера и серьезных инцидентов вроде критических сбоев и ошибок. Категория события обозначается его типом. Существуют следующие типы:
- Information (Уведомление) — указывает на возникновение информационного события, обычно связанного с успешным действием;
- Warning (Предупреждение) — предупреждение общего характера. Зачастую помогает избежать последующих проблем в системе;
- Error (Ошибка) — критическая ошибка, например неудача при запуске службы;
- Success Audit (Аудит успехов) — успешное выполнение действий, которые вы отслеживаете через аудит, например использование какой-либо привилегии;
- Failure Audit (Аудит отказов) — неудачное выполнение действий, которые вы отслеживаете через аудит, например ошибка при входе в систему.