Причины использовать программу просмотра событий в Windows 2008 и Windows 7
Я работаю с решениями на базе Windows уже более 15 лет. За этот период программа просмотра событий (Event Viewer) всегда представляла собой тему жарких дискуссий, поскольку ей недоставало функциональности в большей части времени ее существования. События были несодержательны, возможности контроля событий вообще не существовали, и общие ощущения от работы с программой просмотра событий были далеко неудовлетворительными. Все стало меняться с выходом нового поколения ОС Windows Vista, вслед за которой были выпущены Windows Server 2008, Windows 7 и Windows Server 2008 R2, которые сделали программу просмотра событий Windows Event Viewer полезным, содержательным и жизнеспособным инструментом. Если вы работаете в качестве сетевого администратора, специалиста безопасности или аудитора безопасности, вы, возможно, захотите присмотреться к тому, какие новые возможности дает программа просмотра событий в Windows Server 2008 и R2, а также в Windows 7.
Проблемы и ограничения предыдущей версии программы просмотра событий
За последние несколько лет программа просмотра событий вызывала проблемы, головные боли и фрустрацию практически у каждого админа Windows. Этот инструмент, несмотря на его важность, имел значительные ограничения. Для тех специалистов Windows, которые полагаются на события, сгенерированные программой просмотра событий, необходим инструмент, на который можно положиться, но у них не было такого инструмента до настоящего времени.
События, генерировавшиеся в старой версии Event Viewer, не были достаточно информативными. Для большинства событий описания были короткими, непонятными и бесполезными при отслеживании причин их возникновения. Конечно, события, генерируемые Event Viewer, включают общие атрибуты, такие как:
Тип событияДата событияВремя событияИсточник событияКатегория, под которую событие подпадаетID события для отслеживания его подробностейПользователь, вызвавший событиеКомпьютер, на котором произошло событие
Хотя события и содержали все эти атрибуты, практически не существовало способов фильтрации событий для поиска необходимой информации. Да, была опция фильтрации, но эта опция была ограничена по сравнению с тем, что имеется в новой программе просмотра событий.
Не было способа уведомлений, если возникало событие, которое вы хотели отследить. Единственным способом узнать о том, что какое-то событие имело место, была проверка журнала регистрации событий вручную. А когда на сотнях серверов отслеживаются и регистрируются сотни событий, это ограничивающий фактор.
Наконец, самым ограниченным аспектом старой версии программы просмотра событий было то, что все события отслеживаются только на том компьютере, где произошло то или иное событие. Поэтому, если у вас есть тысячи рабочих станций, сотни/тысячи серверов, это означает, что нужно будет просматривать тысячи журналов регистрации событий. Старая версия Event Viewer не имела возможности архивации централизованных логов со всех компьютеров.
Новые подробности для событий
Для Windows Vista, 7 и Server 2008, события стали более информативными и дают больше подробностей. Прежде всего, кажется, что компания Microsoft наняла отличных экспертов по документации, которые знают, как работать с интерфейсом для предоставления хорошей информации. Некоторые события предоставляют не только описание, но и дают общую информацию по поводу того, что могло послужить причиной возникновения таких событий, как показано на рисунке 1.
Рисунок 1: События теперь часто предоставляют не только описание, но и дополнительную информацию
Помимо этих подробностей, все события теперь идут в двух форматах: стандартный текстовый формат и формат XML. Оба формата предоставляют одну и ту же информацию, но каждый может использоваться в разных целях. Стандартный текстовый вид предоставляет подробный вид, дающий некоторые поразительные подробности о событии, как показано на рисунке 2.
Рисунок 2: Подробное описание события
Вид XML предоставляет формат, который можно использовать в командных сценариях, программах, PowerShell и т.д. Хотя не все это полезно при просмотре журналов, это очень полезно, если необходимо экспортировать данные и работать с ними с помощью определенного языка командных сценариев или преобразовать их в Web формат.
Пользовательские виды
Еще одной поразительной опцией, которой я люблю пользоваться, является функция настраиваемых видов (Custom Views). Хотя в предыдущей версии Event Viewer можно было копировать вид, новая версия Event Viewer позволяет настраивать виды. К примеру, вам нужно просмотреть четыре определенных ID событий из 5 различных журналов. Вы можете с легкостью сделать это благодаря новой опции Custom View. Вы просто создаете новый настраиваемый вид, указываете, какие журналы вы хотите включить в него, а также прочие подробности, такие как Event IDs. На рисунке 3 показаны эти опции в диалоге Custom View.
Рисунок 3: Настраиваемый вид позволяет манипулировать журналами и определенными Event IDs в одном виде
Фильтрация
Еще одной отличной функцией в новой программе Event Viewer является возможность устанавливать фильтры журналов, даже для журналов Custom View, которые вы создаете. Фильтрация является еще одним способом, позволяющим вам быстро и просто искать именно те журналы, которые вас интересуют. Опция фильтрации схожа с подобной опцией в предыдущей версии Event Viewer, за исключением того, что теперь есть новая опция для ключевых слов (Keywords), которая собирает ключевые слова из событий, для которых установлен фильтр. На рисунке 4 показано, как выглядит диалог и опции фильтрации.
Рисунок 4: Фильтрация позволяет вам отображать определенные события в журнале
Задачи
Теперь в Event Viewer можно связывать задачи с журналом или событием. Суть в том, что вы теперь можете получать сообщения электронной почты, запускать программы или отображать сообщения, когда имеется соответствие определенным критериям. Это позволяет вам получать немедленные уведомления при возникновении определенного события, вместо того, чтобы искать эту информацию при просмотре журналов. Интерфейс интуитивно понятный, а опции просты в настройке. На рисунке 5 показан мастер настройки задач (Task Wizard) для ассоциации задач с событиями.
Рисунок 5: Задачи можно связывать с событиями или журналами
Заключение
Новая версия программы просмотра событий идет с самыми долгожданными для администраторов Windows опциями. Старая версия Event Viewer была ограничена, неуклюжа и не очень информативна. В реальности это не очень полезно. Новая версия Event Viewer в Windows Vista, 7 и Server 2008 предоставляет более детальные события, которые дают подробную информацию о том, что действительно происходит в компьютере. Возможность настройки Custom Views видов в новой версии Event Viewer дает вам возможность охватить различные журналы и Event IDs в одном виде. Сочетание Custom Views с опцией фильтрации дает возможность быстро и просто найти любое событие. Опция задач может быть связана с журналом или событием, что дает вам возможности управления в режиме реального времени при возникновении определенного события. С помощью новой версии Event Viewer вы можете более точно контролировать свои события с большей эффективностью, и иметь больше времени на выполнение других задач!
Автор: Дерек Мелбер • Иcточник: www.winsecurity.ru •
Мой блог находят по следующим фразам