Причины использовать программу просмотра событий в Windows 2008 и Windows 7


Введение

Я работаю с решениями на базе Windows уже более 15 лет. За этот
период программа просмотра событий (Event Viewer) всегда представляла
собой тему жарких дискуссий, поскольку ей недоставало функциональности в
большей части времени ее существования. События были несодержательны,
возможности контроля событий вообще не существовали, и общие ощущения от
работы с программой просмотра событий были далеко
неудовлетворительными. Все стало меняться с выходом нового поколения ОС
Windows Vista, вслед за которой были выпущены Windows Server 2008,
Windows 7 и Windows Server 2008 R2, которые сделали программу просмотра
событий Windows Event Viewer полезным, содержательным и жизнеспособным
инструментом. Если вы работаете в качестве сетевого администратора,
специалиста безопасности или аудитора безопасности, вы, возможно,
захотите присмотреться к тому, какие новые возможности дает программа
просмотра событий в Windows Server 2008 и R2, а также в Windows 7.

Проблемы и ограничения предыдущей версии программы просмотра событий

За последние несколько лет программа просмотра событий вызывала
проблемы, головные боли и фрустрацию практически у каждого админа
Windows. Этот инструмент, несмотря на его важность, имел значительные
ограничения. Для тех специалистов Windows, которые полагаются на
события, сгенерированные программой просмотра событий, необходим
инструмент, на который можно положиться, но у них не было такого
инструмента до настоящего времени.

События, генерировавшиеся в старой версии Event Viewer, не были
достаточно информативными. Для большинства событий описания были
короткими, непонятными и бесполезными при отслеживании причин их
возникновения. Конечно, события, генерируемые Event Viewer, включают
общие атрибуты, такие как:

  • Тип события
  • Дата события
  • Время события
  • Источник события
  • Категория, под которую событие подпадает
  • ID события для отслеживания его подробностей
  • Пользователь, вызвавший событие
  • Компьютер, на котором произошло событие

Хотя события и содержали все эти атрибуты, практически не
существовало способов фильтрации событий для поиска необходимой
информации. Да, была опция фильтрации, но эта опция была ограничена по
сравнению с тем, что имеется в новой программе просмотра событий.

Не было способа уведомлений, если возникало событие, которое вы
хотели отследить. Единственным способом узнать о том, что какое-то
событие имело место, была проверка журнала регистрации событий вручную. А
когда на сотнях серверов отслеживаются и регистрируются сотни событий,
это ограничивающий фактор.

Наконец, самым ограниченным аспектом старой версии программы
просмотра событий было то, что все события отслеживаются только на том
компьютере, где произошло то или иное событие. Поэтому, если у вас есть
тысячи рабочих станций, сотни/тысячи серверов, это означает, что нужно
будет просматривать тысячи журналов регистрации событий. Старая версия
Event Viewer не имела возможности архивации централизованных логов со
всех компьютеров.

Новые подробности для событий

Для Windows Vista, 7 и Server 2008, события стали более
информативными и дают больше подробностей. Прежде всего, кажется, что
компания Microsoft наняла отличных экспертов по документации, которые
знают, как работать с интерфейсом для предоставления хорошей информации.
Некоторые события предоставляют не только описание, но и дают общую
информацию по поводу того, что могло послужить причиной возникновения
таких событий, как показано на рисунке 1.

Рисунок 1: События теперь часто предоставляют не только описание, но и дополнительную информацию
Рисунок 1: События теперь часто предоставляют не только описание, но и дополнительную информацию

Помимо этих подробностей, все события теперь идут в двух форматах:
стандартный текстовый формат и формат XML. Оба формата предоставляют
одну и ту же информацию, но каждый может использоваться в разных целях.
Стандартный текстовый вид предоставляет подробный вид, дающий некоторые
поразительные подробности о событии, как показано на рисунке 2.

Рисунок 2: Подробное описание события
Рисунок 2: Подробное описание события

Вид XML предоставляет формат, который можно использовать в командных
сценариях, программах, PowerShell и т.д. Хотя не все это полезно при
просмотре журналов, это очень полезно, если необходимо экспортировать
данные и работать с ними с помощью определенного языка командных
сценариев или преобразовать их в Web формат.

Пользовательские виды

Еще одной поразительной опцией, которой я люблю пользоваться,
является функция настраиваемых видов (Custom Views). Хотя в предыдущей
версии Event Viewer можно было копировать вид, новая версия Event Viewer
позволяет настраивать виды. К примеру, вам нужно просмотреть четыре
определенных ID событий из 5 различных журналов. Вы можете с легкостью
сделать это благодаря новой опции Custom View. Вы просто создаете новый
настраиваемый вид, указываете, какие журналы вы хотите включить в него, а
также прочие подробности, такие как Event IDs. На рисунке 3 показаны
эти опции в диалоге Custom View.

Рисунок 3: Настраиваемый вид позволяет манипулировать журналами и определенными Event IDs в одном виде
Рисунок 3: Настраиваемый вид позволяет манипулировать журналами и определенными Event IDs в одном виде

Фильтрация

Еще одной отличной функцией в новой программе Event Viewer является
возможность устанавливать фильтры журналов, даже для журналов Custom
View, которые вы создаете. Фильтрация является еще одним способом,
позволяющим вам быстро и просто искать именно те журналы, которые вас
интересуют. Опция фильтрации схожа с подобной опцией в предыдущей версии
Event Viewer, за исключением того, что теперь есть новая опция для
ключевых слов (Keywords), которая собирает ключевые слова из событий,
для которых установлен фильтр. На рисунке 4 показано, как выглядит
диалог и опции фильтрации.

Рисунок 4: Фильтрация позволяет вам отображать определенные события в журнале
Рисунок 4: Фильтрация позволяет вам отображать определенные события в журнале

Задачи

Теперь в Event Viewer можно связывать задачи с журналом или событием.
Суть в том, что вы теперь можете получать сообщения электронной почты,
запускать программы или отображать сообщения, когда имеется соответствие
определенным критериям. Это позволяет вам получать немедленные
уведомления при возникновении определенного события, вместо того, чтобы
искать эту информацию при просмотре журналов. Интерфейс интуитивно
понятный, а опции просты в настройке. На рисунке 5 показан мастер
настройки задач (Task Wizard) для ассоциации задач с событиями.

Рисунок 5: Задачи можно связывать с событиями или журналами
Рисунок 5: Задачи можно связывать с событиями или журналами

Заключение

Новая версия программы просмотра событий идет с самыми долгожданными
для администраторов Windows опциями. Старая версия Event Viewer была
ограничена, неуклюжа и не очень информативна. В реальности это не очень
полезно. Новая версия Event Viewer в Windows Vista, 7 и Server 2008
предоставляет более детальные события, которые дают подробную информацию
о том, что действительно происходит в компьютере. Возможность настройки
Custom Views видов в новой версии Event Viewer дает вам возможность
охватить различные журналы и Event IDs в одном виде. Сочетание Custom
Views с опцией фильтрации дает возможность быстро и просто найти любое
событие. Опция задач может быть связана с журналом или событием, что
дает вам возможности управления в режиме реального времени при
возникновении определенного события. С помощью новой версии Event Viewer
вы можете более точно контролировать свои события с большей
эффективностью, и иметь больше времени на выполнение других задач!

Автор: Дерек Мелбер (Derek Melber)

Дерек Мелбер (Derek Melber)Дерек Мелбер, MCSE, MVP, CISM.

Дерек является Директором по Согласованию Решений в DesktopStandard. Он
написал несколько книг по аудиту безопасности Windows, а также Group
Policy Guide (Руководство по Политике Групп) для MSPress, которая
является единственной книгой Microsoft, посвященной Политике Групп.

 

Источник: http://www.Redline-Software.com

Возникли вопросы?

Обращайтесь на форум!

Comments (0)

Skip to main content