Протоколирование событий Windows

В Microsoft Windows событие (event) — это любое происшествие в операционной системе, которое требует уведомления пользователей или администраторов. События сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах; это очень важно. Администраторам следует тщательно следить за журналами событий всех бизнес-серверов и настраивать рабо­чие станции на сохранение важных системных событий. На серверах надо следить за безопасностью системы, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. На рабочих станциях следует убедиться в том, что события, необходимые для поддержки систем и устранения ошибок, прото­колируются и что соответствующие журналы вам доступны.

Windows-служба, управляющая протоколированием собы­тий, называется Event Log (Журнал событий). При ее запуске Windows записывает важные данные в журналы. Доступность журналов в системе определяется ее ролью, а также установ­ленными службами. Существует несколько журналов, в том числе следующие:

• Application (Приложение) — хранит важные события, свя­занные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почто­вых ящиков и запущенных служб. По умолчанию помеща­ется в \System32\Config\Appevent.evt.
• Directory Service (Служба каталогов) — на контроллерах домена этот журнал хранит события службы каталогов Ac­tive Directory, в том числе относящиеся к ее запуску, гло­бальным каталогам и проверкам целостности. По умолча­нию помещается в %$/srem/?oor%\System32\Config\Ntds.evt.
• DNS Server (DNS-сервер) — на DNS-серверах в этом жур­нале сохраняются DNS-запросы, ответы и прочие события DNS. По умолчанию помещается в %SystemRoot%\System32\ Config\Dnsevent.evt.
• File Replication Service (Служба репликации файлов) — наконтроллерах домена и других серверах, использующих реп­ликацию, этот журнал регистрирует действия в системе, свя­занные с репликацией файлов, в том числе события состоя­ния и управления службой, сканирования данных на систем­ных томах, а также управления наборами репликации. По умолчанию помещается в %SystemRoot%\Sysem32\Config\ Ntfrs.evt.
• Security (Безопасность) — хранит события, связанные с бе­зопасностью, такие как вход/выход из системы, использова­ние привилегий и обращение к ресурсам. По умолчанию по­мещается в %SystemRoot%\Systcm32\Config\Secevent.evt.
• System (Система) — хранит события операционной систе­мы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сооб­щения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Config\Sysevent.evt.

Категории событий Windows и их типы

Значимость событий варьируется от уведомлений до пре­дупреждений общего характера и серьезных инцидентов вро­де критических сбоев и ошибок. Категория события обознача­ется его типом. Существуют следующие типы:

• Information (Уведомление) — указывает на возникновение информационного события, обычно связанного с успешным действием;
• Warning (Предупреждение) — предупреждение общего ха­рактера. Зачастую помогает избежать последующих про­блем в системе;
• Error (Ошибка) — критическая ошибка, например неуда­ча при запуске службы;
• Success Audit (Аудит успехов) — успешное выполнение действий, которые вы отслеживаете через аудит, например использование какой-либо привилегии;
• Failure Audit (Аудит отказов) — неудачное выполнение действий, которые вы отслеживаете через аудит, например ошибка при входе в систему.