Добавление задач в журнал программы просмотра событий и в события


Введение

Будучи сетевым администратором Windows время у вас ограничено. Если
вы можете автоматизировать задачу, это означает, что вы сэкономили себе
немного денег! Программа просмотра событий и связанные с ней журналы на
протяжении долгих лет были головной болью для администраторов Windows.
Программа просмотра событий не предоставляла способа создания
автоматизации определенных событий при их генерировании. Вы знаете, что я
имею в виду' 'Когда регистрируется событие ID 4022, отправить мне
сообщение электронной почты немедленно!' Наконец, пришло это время.
Программы просмотра событий в Windows Vista, 7 и Server 2008 имеют
возможность связывать запланированные задания с целым журналом или с
определенным событием.

Подсказка:
Вам нужен хотя бы один из компьютеров с такой ОС, чтобы воспользоваться
данной возможностью, и даже если в вашей среде используются другие ОС
(Windows Server 2003 или XP), эта функция все равно работает!
Продолжайте читать.

Обзор событий и журналов

В каждой программе просмотра событий на ваших ПК и серверах у вас
есть предопределенные журналы. Эти журналы предназначены для
отслеживания типичных действий, о выполнении которых на ваших машинах
вам нужно знать, чтобы отслеживать эти действий во время диагностики.
Журналами по умолчанию в Windows 2000/XP и Windows Server 2000/2003
являются следующие журналы:

  • Журнал приложений (Application Log)
  • Журнал безопасности (Security Log)
  • Системный журнал (System Log)

В Windows Vista/7 и Server 2008 добавлен дополнительный журнал, который называется журналом установки (Setup Log).

Ваши контроллеры домена несколько отличаются, поскольку они имеют следующие журналы:

  • Журнал приложений
  • Репликация DFS (DFS Replication (2008))
  • Служба каталогов (Directory Service)
  • Служба DNS (DNS Service)
  • Служба репликации файлов (File Replication Service)
  • Журнал безопасности (Security Log)
  • Системный журнал (System Log)

Как вы видите, каждый тип компьютера имеет различную конфигурацию
журналов. Эти журналы могут становиться очень большими и трудно
управляемыми, особенно, когда вы удаленно пытаетесь проанализировать
события на сервере по медленному сетевому каналу.

Не только журналы отличаются в разных ОС, но и события. Структура
событий в Windows 2000/2003/XP по сравнению с Windows Vista/7/2008
отличается коренным образом. Хорошая новость заключается в том, что
события читать проще, они имеют более удобные описания, и между ними
проще осуществлять навигацию в интерфейсе. Типичная запись события будет
содержать следующие подробности:

  • Тип
  • Дата
  • Время
  • Источник
  • Категория
  • Событие
  • Пользователь
  • Компьютер

Эти записи слегка отличаются в Windows Server 2008/7, но не сильно.
На рисунке 1 изображено, как выглядит типичное событие в Windows 2008/7.

Рисунок 1: Стандартный формат события в Windows Server 2008/7
Рисунок 1: Стандартный формат события в Windows Server 2008/7

Если у вас есть 10 000 настольных ПК и 1000 серверов в вашей
организации, сегодня вам не придется использовать решение для легкого
отсеивания журналов на каждом компьютере для эффективного поиска
необходимых событий. Сегодня единственным эффективным способом является
просмотр каждого журнала вручную, создание командного сценария для
выполнения этого анализа вместо вас, или покупка продуктов сторонних
производителей, которые могут анализировать и создавать отчеты при
обнаружении определенных событий.

Запланированные задачи и программа просмотра событий

В Windows Vista/7/2008 компания Microsoft добавила некоторые отличные
новые функции в программу просмотра событий. Одной из таких опций
является возможность связывать задачу с журналом или событием. Вы можете
настроить два уровня задач на связь с событиями в программе просмотра
событий. Здесь есть стандартная опция создания задачи ('Create Task') и
дополнительная опция создания простой задачи ('Create a Basic Task').

Из программы просмотра событий вы имеете доступ только к опции Create a Basic Task. Для этого нужно выполнить следующие шаги:

  1. Открываем программу просмотра событий
  2. Разворачиваем список журналов с левой стороны окна
  3. Нажимаем на нужном журнале с левой стороны окна
  4. Нажимаем 'Добавить задачу к этому событию (Attach Task To This Event)'' с правой стороны окна
  5. Это запускает мастер 'Create Basic Task Wizard', как показано на рисунке 2.
Рисунок 2: Мастер создания простой задачи связывает задачу с событием в программе просмотра событий
Рисунок 2: Мастер создания простой задачи связывает задачу с событием в программе просмотра событий

Если вы используете Windows Server 2008, вы также сможете связать
задачу с журналом. Шаги для этого варианта такие же, только вам нужно
будет выбрать опцию 'Добавить задачу к этому журналу (Attach a Task To
this Log)'' с правой стороны в 4 шаге.

Для настройки этих задач в планировщике задач действия будут
значительно проще. Вы просто нажимаете правой клавишей на разделе задач
программы просмотра событий (Event Viewer Tasks), а затем выбираете
опцию 'Create Basic Task' или 'Create Task'. Обе опции свяжут задачи с
программой просмотра событий. Вполне очевидно, что Basic Task
значительно проще, однако стандартная задача обеспечивает полный
контроль над тем, с чем ее нужно связать.

Создание простой задачи

Простая задача говорит сама за себя, она простая. Она обеспечивает
легкий и простой способ связывания задачи с событием или планом задач с
некоторыми дефинициями. Для простой задачи можно определить следующее:

  • Имя задачи (Task Name)
  • Описание задачи (Task Description)
  • Частота выполнения задачи (Task frequency)
  • Триггер событий (Event trigger) (если не используется частота)
  • Действие задачи (Task action) (email, программа, сообщение)

Эта настройка очень проста и выполняется с помощью мастера. Мастер
создания простой задачи показан на рисунке 3, где он просит определить
ID события.

Рисунок 3: Мастер создания простой задачи позволяет вам инициировать задачу на основе ID события
Рисунок 3: Мастер создания простой задачи позволяет вам инициировать задачу на основе ID события

Создание задачи (стандартная, более подробная!)

Шаги создания стандартной задачи такие же, как и для простой задачи,
однако опции здесь значительно отличаются. Когда вы запускаете диалог
создания задачи, вам нужно настроить много опций.

Сначала вам нужно заполнить закладку Общие (General), рисунок 4.

Рисунок 4: Закладка Общие в диалоге создания задачи
Рисунок 4: Закладка Общие в диалоге создания задачи

Затем вам нужно принять решение на счет триггеров путем заполнения
закладки Триггеры (Triggers). Для этого вам нужно добавить новые
триггеры путем нажатия кнопки Новый (New). После этого у вас появится
диалог мастера создания нового триггера, как показано на рисунке 5.

Рисунок 5: Диалог создания нового триггера, открытый из закладки триггеров
Рисунок 5: Диалог создания нового триггера, открытый из закладки триггеров

Далее нужно указать действия вашей задачи. В закладке действий
(Actions) вы выбираете кнопку создания нового действия, в результате
чего открывается диалог создания нового действия, как показано на
рисунке 6.

Рисунок 6: Диалог добавления нового действия для задачи
Рисунок 6: Диалог добавления нового действия для задачи

Практически готово, нужно заполнить закладку Условия (Conditions).
Здесь вы указываете, будет ли ваше задание запускаться на основе других
указанных вами критериев. Закладка условий показана на рисунке 7.

Рисунок 7: Закладка условий задачи
Рисунок 7: Закладка условий задачи

Наконец, здесь есть закладка Параметры (Settings). Эта закладка
позволяет вам настраивать дополнительные параметры поведения вашей
задачи и действий ваших событий программы просмотра событий. Эти опции
показаны на рисунке 8.

Рисунок 8: Закладка параметров вашей задачи
Рисунок 8: Закладка параметров вашей задачи

Заключение

Как вы видите, у вас есть масса возможностей для настройки задач на
связь с программой просмотра событий. Вы можете выбрать простую задачу,
которая довольно проста в настройке, или стандартную задачу, которая
немного сложнее, но дает вам возможность настраивать более подробные и
многогранные задачи на связь с практически каждым действием в программе
просмотра событий. Не забудьте, если вы используете Windows Server 2003 и
XP в своей сети, вы можете использовать пересылки и подписки для
пересылки событий на компьютер Windows Server 2008/7 и также
пользоваться этими задачами! Для дополнительной информации перейдите по
этой ссылке.

Автор: Дерек Мелбер (Derek Melber)

Дерек Мелбер (Derek Melber)Дерек Мелбер, MCSE, MVP, CISM.

Дерек является Директором по Согласованию Решений в DesktopStandard. Он
написал несколько книг по аудиту безопасности Windows, а также Group
Policy Guide (Руководство по Политике Групп) для MSPress, которая
является единственной книгой Microsoft, посвященной Политике Групп.

Источник: http://www.Redline-Software.com

Возникли вопросы?

Обращайтесь на форум!

Comments (0)

Skip to main content