Windows server 2008 журнал событий

Содержание

Просмотр системного журнала

Если в работе Windows 2008 появляется какая-то нестабильность, или появляются ошибки запуска\установки приложений, то это может быть связано с появлениями ошибок  в самой операционной системе. Все системные ошибки и предупреждения можно найти в «Журнале системы«. В нем сохраняется информация о событиях, записываемых системными компонентами Windows.

Для просмотра и сохранения системного журнала нужно выполнить шаги:

Открыть «Диспетчер сервера«. Этот пункт меню можно найти нажав на кнопку «Пуск«, затем нажав правой кнопкой мыши на «Компьютер«:

В диспетчере сервера выбрать «Диспетчер сервера» -> «Диагностика» -> «Журналы Windows» -> «Система«

Экспорт журнала

Системный журнал в полном объеме можно экспортировать для последующего изучения путем нажатия на ссылку «Сохранить события как…«

После нажатия ссылки  «Сохранить события как…» нужно выбрать путь и имя файла для сохраняемого журнала.

Готово

Журналы событий, в Windows Server 2008
В журналы событий записывается хронологическая информация, которая поможет вам выявить проблемы в системе и безопасности. Отслеживанием событий на системах Windows Server 2008 управляет служба Журнал событий Windows (Windows Event Log). Журналы бывают двух основных типов:

• Журналы Windows (Windows logs) Используются операционной системой для записи основных системных событий, связанных с приложениями, безопасностью, настройкой и системными компонентами.

• Журналы приложений и служб (Applications and Services logs) Используются отдельными приложениями и службами для записи событий, специфических для приложения или службы.

К журналам Windows относятся следующие журналы:

• Безопасность (Security Log) В него записываются события, для которых в локальных или глобальных групповых политиках безопасности задан аудит. По умолчанию располагается в файле %System Root%\ System32\Winevt\Logs\Security.evtx.

• Настройка (Setup Log) Сюда записываются события, зарегистрированные ОС и ее компонентами в процессе установки. По умолчанию располагается в файле %SystemRoot%\System32\Winevt\Logs\Setiip.evtx.

• Пересланные события (Forwarded Events) Если настроена пересылка событий, в этот’ журнал записываются события, пересланные с других серверов. По умолчанию располагается в файле %SystemRoot%\Systein32\ Config\EordwardedEvents.evtx.

• Приложение (Application) В него записываются события, зарегистрированные приложениями, например, ошибка при осуществлении доступа к базе данных Microsoft SQL Server. По умолчанию он располагается в файле %System Root%\System32\Winevt\Logs\Application.cvtx.

• Система (System Log) Сюда записываются события, зарегистрированные ОС и ее компонентами, например, неудачный запуск службы при загрузке. По умолчанию располагается в файле %SystemRoot%\System32\ Winevt\Logs\Systcm.cvtx.

К журналам приложений и служб относятся следующие журналы:

• Репликация DFS (DFS Replication) В этом журнале протоколируется активность служб репликации DFS. По умолчанию располагается в файле %SystemRoot%\System32\Winevt\Logs\Dfs Replication, cvtx.

• Служба каталогов (Directory Service) Сюда записываются события, зарегистрированные доменными службами Active Directory. По умолчанию располагается в файле %SystemRoot%\System32\Winevt\Logs\ Directory Service.evtx.

• Служба репликации файлов (File Replication Service) Здесь протоколируется активность службы репликации файлов. По умолчанию располагается в файле %SystemRoot%\Systcm32\Winevt\Logs\File Replication Service.evtx.

• События оборудования (Hardware Events) Если настроена регистрация событий аппаратной подсистемы, в этот журнал Записываются аппаратные события, зарегистрированные ОС. По умолчанию располагается в файле %SystemRoot%\System32\Config\Hardware.evtx.

• DNS-сервер (DNS Server) Сюда записываются DNS-запросы, ответы и прочая активность DNS. По умолчанию располагается в файле %SystemRoot%\System32\Winevt\Logs\DNSServer.evtx.

• Microsoft\Windows Журналы событий, относящихся к определенным службам и компонентам Windows. Журналы организуются по типу компоиентов и категории событий. В операционных журналах регистрируются события, вызванные текущими операциями соответствующего компонента. В некоторых случаях вы увидите также дополнительные журналы для анализа, отладки и регистрации административных задач.

• Windows PowerShell В этом журнале записываются события, относящиеся к использованию Windows PowerShell. По умолчанию располагается в файле %SystemRoot%\System32\Winevt\Logs\ Windows PowerShell.evtx.

В этой статье автор осуществил описание централизованной системы мониторинга событий безопасности для Windows Server 2008.

Андрей А. Бирюков

Чтение журналов событий является неотъемлемой частью работы любого администратора безопасности. Сетевое оборудование, операционные системы и практически все бизнес приложения осуществляют журналирование событий безопасности, таких как, удачный/неудачный вход в систему, запуск/остановка системы, обращение к закрытому порту для межсетевых экранов и другие события. Однако при наличии в сети даже десяти серверов, чтение журналов событий на каждом из них становится довольно трудоемкой задачей, требующей затраты большой части рабочего времени. Для того, чтобы автоматизировать процесс обработки журналов событий, например в части поиска попыток неудачного входа в систему, существует множество различных решений. Для Unix систем существует множество бесплатных сценариев на Перл, позволяющих осуществлять автоматический поиск заданного события в журнале и реакцию на данное событие, например отправку почтового сообщения администратору. Для Windows есть множество коммерческих продуктов, таких как ArcSight, Symantec Information Manager или Tivoli Security Operations Manager, которые умеют не только собирать события от различных источников, но и проверять данные события на соответствие различным моделям угроз (например подбор пароля или DDoS атака), реагировать на события, строить отчеты и многое другое. Но эти мощные средства мониторинга стоят очень недешево и в нынешних непростых экономических условиях многим организациям просто не по карману.

Однако, если в вашей сети на серверах используется операционная система Windows Server 2008, то вы можете самостоятельно организовать централизованный мониторинг событий безопасности. Для начала поговорим о том, какие нововведения появились в системе журналирования в Windows Server 2008.

Как и многие другие функции Windows 2008 журналы событий были существенно переделаны и дополнены новыми возможностями. По определению Майкрософт [1] событие это любое значительное проявление в операционной системе или приложении, требующее отслеживания информации. Событие не всегда негативно, поскольку успешный вход в сеть, успешная передача сообщений, или репликация данных также могут генерировать события в Windows. В каждом журнале с его событиями связаны общие свойства.

Level (уровень) – Это свойство определяет важность события.

Date and Time (дата и время) – Это свойство содержит информацию о дате и времени возникновения события.

Source (источник) – Это свойство указывает источник события: приложение, удаленный доступ, служба и так далее.

Event ID (Код события) – Каждому событию назначен идентификатор события ID, число, сгенерированное источником и уникальное для всех типов событий.

Task Category (Категория задачи) – Это свойство определяет категорию события. Например Security или System.   .
Итак, мы разобрались с тем, что представляет из себя событие в журнале Windows Event Log. Теперь нам необходимо сначала настроить аудит событий информационной безопасности. Далее будем предполагать, что у нас используется домен Active Directory и все сервера входят в этот домен.

Для настройки аудита необходимо зайти на контроллер домена и открыть редактор групповых политик Start->Administrative Tools->Group Policy Management. Далее выбираем домен и нажав правую кнопку мыши указываем Create a GPO in this domain… Вообще, для включения аудита можно воспользоваться политиками домена по умолчанию, но лучше создать отдельную политику с соответствующим названием, так как это упрощает администрирование. Далее в новой политике идем в Computer Configuration-> Windows Settings -> Security Settings -> Local Policies -> Audit Policy. Откроется список возможных параметров настройки аудита. Включать все подряд параметры нет особого смысла, так как в таком случае журнал событий наполнится огромным количеством малоинформативных сообщений. Рекомендую следующий набор параметров:

Категория аудита

Тип аудита

Примечание

Audit account logon events

No auditing

Audit account management

success/failure

Audit directory service access

No auditing

Audit logon events

success/failure

Audit object access

No auditing

включить, только если необходимо отслеживать доступ к определенным объектам (например, каталогам на диске).

Audit policy change

success/failure

Audit privilege use

success/failure

Audit process tracking

No auditing

Audit system events

success/failure

Теперь мы настроили аудит в нашем домене. Открыв журнал событий Security можно убедиться в том, какое количество событий сыпется в него ежесекундно. Для того, чтобы не нагружать контроллеры домена и другие сервера задачами по обработке событий мы должны сначала переслать события безопасности на выделенный сервер, на котором и будет осуществляться автоматическая обработка всех полученных событий. Данный выделенный сервер также должен работать под управлением операционной системы Windows Server 2008 и входить в домен Active Directory. Для пересылки событий нам необходимо воспользоваться Subscriptions, подписками на события.

Подписки на события

Эта функция аналогична службе Syslog в Unix. Данная функциональная возможность позволяет удаленным компьютерам пересылать сообщения о событиях, в результате чего их можно просматривать локально из центральной системы.
Настроим пересылку событий с нескольких серверов на выделенный сервер сбора событий. Для этого на каждый из серверов источников событий необходимо зайти под учетной записью, обладающей административными правами. В окне командной строки ввести:

winrm quickconfig

Сервер, собирающий сообщения о событиях необходимо добавить в группу локальных администраторов на каждом из серверов источников событий. Затем войдите на сервер, собирающий сообщения, и также выполните:

winrm quickconfig 

После этого, выполните на нем же следующую команду:

wecutil qc         

При необходимости, вы можете изменять параметры оптимизации доставки событий. Например, вы можете изменить параметр Minimize Bandwidth (минимизация пропускной способности) для удаленных серверов, с ненадежным каналом связи.

Теперь необходимо собственно создать подписку, указав события, которые должны извлекаться из логов серверов источников. Для этого на собирающем сервере запустите утилиту просмотра событий с учетной записью, обладающей административными привилегиями. Затем щелкните на папке Subscriptions в дереве консоли и выберите команду Create Subscription (Создать подписку). В поле Subscription Name нужно указать имя подписки. При необходимости в поле Description можно привести описание. Затем, в поле Destination Log (журнал назначения) выберите файл журнала, в котором будут храниться собранные события. По умолчанию эти события будут храниться в журнале перенаправленных событий в папке Windows Logs дерева консоли. После этого, щелкните на кнопке Select Computers, чтобы выбрать исходные сервера, которые будут перенаправлять события. Как уже упоминалось ранее, данные сервера должны находиться в домене. Затем выберите события, нажав на кнопке Select Events. Сконфигурируйте журналы и типы событий, предназначенные для сбора. Щелкните ОК чтобы сохранить подписку.   

Журналы

Теперь зайдем на выделенный сервер сбора событий и рассмотрим типы журналов, появившиеся в Windows Server 2008. В папке журналов Windows Logs находятся как традиционные журналы безопасности, приложений и системы, так и два новых журнала – Setup (настройка) и Forwarded Events (Пересланные события). Первые три типа событий уже присутствовали в предыдущих версиях системы, поэтому о них рассказывать нет смысла. А о последних двух следует рассказать подробнее. Журнал Setup фиксирует информацию, связанную с установкой приложений, ролями сервера и их характеристиками. Так, например, сообщения о добавлении на сервере роли DHCP будет отражены в этом журнале. В журнале Forwarded Events собираются сообщения, присланные с других машин в сети.

Папка Applications and Services Logs (журналы приложений и служб) представляют собой новый способ логической организации, представления и сохранения событий, связанных с конкретным приложением, компонентом или службой Windows вместо использовавшейся ранее, регистрации событий, которые оказывают влияние на всю систему. Эти журналы включают четыре подтипа: Admin  (события, предназначенные для конечных пользователей и администраторов), Operational (Рабочий журнал событий, также предназначенный для администраторов), Analytic (журнал позволяет отслеживать цепочку возникновения проблемы и часто содержит большое количество записанных событий), Debug (используется для отладки приложений). По умолчанию журналы Analytic и Debug скрыты и отключены. Для того, чтобы их просмотреть, щелкните правой кнопкой мыши на папке Applications and Services Logs, а затем в контекстном меню выберите пункт View, Show Analytic and Debug Logs.    

Рисунок 1.
Настройка Debug

Фильтры

Настраиваемые представления – это специальные фильтры, созданные либо автоматически системой Windows 2008, во время добавления в систему новых ролей сервера или приложений, таких как Directory Certificate Services (Службы сертификатов каталогов), сервер DHCP, либо администраторами вручную. Для администраторов одной из важнейших функций при работе с журналами событий является возможность создавать фильтры, позволяющие просматривать только интересующие события, чтобы можно было быстро диагностировать и устранять проблемы в системе. В качестве примера, рассмотрим папку Custom Views в навигационной панели утилиты просмотра событий. Если в этой папке щелкнуть правой кнопкой мыши по Administrative Events и затем выбрать Properties, то после нажатия Edit Filter, можно увидеть как информация из журнала событий преобразуется в набор отфильтрованных событий. Настраиваемые представления оснастки Administrative Events фиксируют все критические события, а события ошибок и предупреждений фиксируются для всех журналов событий (в отличие от предыдущих версий Windows). Таким образом, с помощью данного фильтра администратор может обращаться к единственному источнику для быстрой проверки потенциальных проблем, присутствующих в системе. Это средство может пригодиться при обработке событий, приходящих с серверов источников событий.

Созданные настраиваемые представления можно экпортировать в XML-файл для последующего распространения на другие машины.

Реагируем на события

Еще одной интересной функцией, о которой хотелось бы упомянуть, является возможность ответной реакции на события. Например, если у вас пользователь указал неверные учетные данные для аккаунта, имеющего административные привилегии, то на появление данного события в журнале необходимо отреагировать, послав уведомление администратору безопасности. Данная функция является долгожданным решением проблем с автоматизацией работы серверов, так как раньше требовалось устанавливать дополнительное программное обеспечение или писать сценарии для того чтобы заставить сервер автоматически реагировать на определенные события.

В качестве примера настроим отправку сообщения администратору в случае неудачного входа пользователя в систему (Обратите внимание на то, что теперь это событие имеет другой ID 4625, отличный от использовавшегося в Windows 2003 ID 529).

Для этого необходимо зайти в журнал событий Event Viewer, открыть раздел Windows Logs, затем Security, выбрать нужное событие, нажать правую кнопку мыши, и указать Attach Task To This Event… (прикрепить задачу к этому событию).

Рисунок 2.
Настройка ответной реакции на событие

В открывшемся окне необходимо выбрать название события и его описание. На следующем шаге указывается используемый журнал, источник  и номер события. Содержимое этого журнала нельзя изменить. Потом выбирается тип ответного действия. Это может быть выполнение какого-либо приложения, отправка электронного письма или вывод сообщения на экран. Выберем отправку письма. На следующем шаге нужно указать, от кого и на чей адрес отправлять письмо, тему письма, его текст. Можно также прикрепить какой-либо файл к данному сообщению. Не забудьте указать IP-адрес SMTP сервера. На следующем шаге поставьте галочку в соответствующем поле, для того, чтобы после создания задачи, открылось окно с ее свойствами.

Рисунок 3.
Свойства задач

Окно свойств задачи аналогично интерфейсу Scheduled Tasks, для заданий, выполняющихся по расписанию. Здесь можно указать учетную запись, под которой выполняется задача, при необходимости ее можно выполнять только когда пользователь работает на машине.

В закладке Triggers, вы можете добавлять или изменять условия выполнения задачи. В Actions вы можете добавлять различные действия. В закладке Conditions прописаны условия, при которых выполняется задача. В Settings можно прописать, какие действия должны быть выполнены при различных условиях. Например, что нужно делать в случае, если такая задача уже выполняется. Наконец, в закладке History вы можете наблюдать все события, которые вызвали выполнение задачи.

Немного о построении отчетов

Иногда возникает необходимость в построении отчетов о событиях информационной безопасности. Например, руководители различного уровня очень любят, когда им предоставляют распечатки отчетов, в которых представлена информация, о том сколько попыток несанкционированного проникновения было осуществлено, к примеру за месяц. Благодаря отчетам многие руководители ИТ-отделов выбивают бюджеты на развитие, так что не стоит пренебрегать отчетами.

Итак, нам нужно осуществить выборку событий из журнала. Делать мы это будем с помощью средств PowerShell.

Для начала построим отчет о неудачных входах в систему. Для этого нам необходимо выбрать все события с кодом 4625.  

get-eventLog -LogName Security -Newest 100 | Where-Object { $_.EventID —
eq 4625 }

Еще один пример. Узнаем, сколько пользователей осуществляло вход в систему в нерабочее время. Код события Success Logon – 4624.

get-eventlog security | where
 {$_.EventId —eq 4624 -and
 ($_.TimeGenerated.TimeOfDay
 -gt ’20:00:00′ -or
 $_.TimeGenerated.TimeOfDay
 -lt ’08:00:00′ )}

В завершении, узнаем, сколько удачных входов систему было осуществлено пользователем administrator.

get-eventLog -LogName Security | Where-Object { $_.message -match ‘administrator’ -AND $_.EventID -eq 4624 }

Здесь приведены только простейшие сценарии работы с журналом событий в Windows Server 2008. При необходимости на их основе можно построить более сложные запросы для релшения соответствующих задач информационной безопасности.

Заключение

В этой статье мы рассмотрели построение системы мониторинга событий информационной безопасности с помощью штатных средств Windoiws Server 2008. С помощью описанных инструментов можно существенно автоматизировать процесс мониторинга событий безопасности.

Использованная литература

1. Р. Моримото, М. Ноэл, О. Драуби Microsoft Windows Server 2008. Полное руководство.

Журнал событий — это важная функциональность операционной системы Windows Server 2008, которая позволяет пользователям отслеживать и контролировать все происходящие события и ошибки в системе. Просмотр журнала событий необходим для обнаружения и устранения проблем, в том числе и связанных с безопасностью. В данной статье мы расскажем, как просмотреть журнал событий в Windows Server 2008 и использовать эту информацию для обслуживания и оптимизации системы.

Для того чтобы просмотреть журнал событий в Windows Server 2008, откройте «Панель управления» и выберите раздел «Администрирование». В открывшемся окне выберите пункт «Журналы событий». В обозревателе журналов событий вы увидите список доступных журналов, таких как Система, Приложение, Безопасность и другие.

Чтобы просмотреть содержимое журнала, выберите нужный журнал из списка. Затем вы можете пролистывать записи событий с помощью вертикальной полосы прокрутки или использовать поиск, чтобы найти конкретное событие или ошибку. Каждая запись события содержит информацию о дате и времени, уровне важности, источнике события и подробное описание.

Важно отметить, что просмотр журнала событий может быть полезен не только для администраторов, но и для обычных пользователей. Например, если ваш компьютер работает медленно или неожиданно перезагружается, просмотр журнала событий может помочь вам выявить причину проблемы и предпринять необходимые меры.

В заключение, просмотр журнала событий в Windows Server 2008 — это неотъемлемая часть поддержки и обслуживания операционной системы. Он позволяет отслеживать ошибки, предупреждения и другие события, которые могут повлиять на производительность и стабильность системы. Регулярный просмотр журнала событий позволяет быстро реагировать на проблемы и предотвращать серьезные сбои в работе системы.

Содержание

  1. Открытие журнала событий
  2. Фильтрация событий в журнале
  3. Просмотр подробной информации о событии
  4. Экспорт журнала событий в файл

Открытие журнала событий

Для просмотра журнала событий в Windows Server 2008 выполните следующие шаги:

  1. Откройте «Панель управления» в меню «Пуск».
  2. Выберите «Администрирование» и перейдите в раздел «Журнал событий».
  3. В открывшемся окне выберите нужный вам журнал событий.
  4. Щелкните правой кнопкой мыши на выбранном журнале и выберите «Открыть».

После выполнения этих действий откроется окно с журналом событий, в котором можно просматривать информацию о различных событиях, произошедших на сервере. Вы можете использовать различные фильтры и сортировки для удобства работы с журналом событий.

Столбец Описание
Date and Time Дата и время, когда произошло событие.
Source Источник события.
Event ID Уникальный идентификатор события.
Level Уровень важности события.
Description Описание события.

Просмотр журнала событий позволяет вам отслеживать и анализировать различные проблемы, возникающие на сервере, и принимать необходимые меры для их устранения.

Фильтрация событий в журнале

Журнал событий Windows Server 2008 содержит огромное количество записей, и чтобы найти конкретное событие, может потребоваться фильтрация. В Windows Server 2008 доступны несколько способов фильтрации событий в журнале.

1. Чтобы отфильтровать события по конкретному источнику, выполните следующие действия:

  1. Откройте журнал событий, щелкнув правой кнопкой мыши на «Пуск» и выбрав пункт «Журнал событий».
  2. В левой панели выберите нужный журнал событий, например, «Система».
  3. В верхней панели щелкните на «Фильтр текущего журнала» или воспользуйтесь горячей клавишей «Ctrl+L».
  4. В окне фильтрации выберите вкладку «Идентификатор события» и введите идентификатор источника событий.
  5. Щелкните на кнопке «OK», чтобы применить фильтр.

2. Чтобы отфильтровать события по уровню важности, следуйте этим инструкциям:

  1. Откройте журнал событий, как описано выше.
  2. В левой панели выберите нужный журнал, например, «Система».
  3. В верхней панели щелкните на «Фильтр текущего журнала» или используйте сочетание клавиш «Ctrl+L».
  4. В окне фильтрации выберите вкладку «Уровень важности» и отметьте нужные уровни важности событий.
  5. Нажмите кнопку «OK», чтобы применить фильтр.

3. Для фильтрации по ключевым словам выполните следующие действия:

  1. Откройте журнал событий и выберите нужный журнал в левой панели.
  2. В верхней панели щелкните на «Фильтр текущего журнала» или нажмите «Ctrl+L».
  3. В окне фильтрации перейдите на вкладку «Общие» и введите ключевые слова, по которым необходимо выполнить фильтрацию.
  4. Нажмите на кнопку «ОК», чтобы применить фильтр.

После применения фильтра будут отображены только события, соответствующие вашим критериям фильтрации. Это значительно облегчит поиск нужной информации в огромном журнале событий Windows Server 2008.

Просмотр подробной информации о событии

Для просмотра подробной информации о событии в журнале событий Windows Server 2008 необходимо выполнить следующие шаги:

  1. Откройте «Панель управления» и выберите категорию «Система и безопасность».
  2. Нажмите на ссылку «Администрирование» в разделе «Администрирование системы».
  3. В открывшемся окне «Администрирование» найдите и дважды щелкните на пункте «Журнал событий».
  4. В левой панели «Журнал событий» выберите необходимый журнал событий, например, «Приложение».
  5. В правой панели появятся записи событий выбранного журнала. Дважды щелкните на нужном событии для открытия его подробной информации.
  6. В открывшемся окне «Свойства события» будет отображена подробная информация о событии, включая дату и время, источник события, уровень критичности и описание.

В окне «Свойства события» можно также просмотреть дополнительные сведения о событии, такие как идентификатор задачи, категория, ключевые слова и данные, связанные с событием.

Просмотр подробной информации о событии может помочь в выявлении и исправлении проблем на Windows Server 2008, а также в анализе их причин и последствий.

Экспорт журнала событий в файл

Чтобы экспортировать журнал событий в файл, выполните следующие шаги:

1. Откройте консоль управления журналом событий, щелкнув правой кнопкой мыши на пункте «Журналы Windows» в дереве консоли сертификационных служб и выберите «Снимок событий».
2. Выберите желаемый журнал событий из списка, который появится.
3. Укажите имя и расположение файла, в который будет экспортирован журнал событий. Нажмите кнопку «Снимок».
4. Подождите, пока процесс экспорта завершится.

После завершения экспорта вы сможете открыть сохраненный файл с журналом событий в любом текстовом редакторе или специализированной программе для анализа журналов событий, чтобы изучить содержащуюся в нем информацию.

The ability to look at the events occurring on your
server has always provided useful information to help you find the
source and resolution for any issues your server may encounter. The
Event Viewer is one of the more powerful troubleshooting utilities you
can use on your server. More important, this tool has been built in to
Windows-based operating systems for years and years. This tool keeps
getting more robust and easier to use with each new version of Windows.
In the following sections, you will take a brief look at the Event
Viewer and how this tool can help manage your environment.

Work with the Event Viewer

The Event Viewer provides
you with a wonderful utility to be able to view and track your
system-wide events on your server. You can view events from all aspects
of your server. You can view the traditional Windows logs (such as
Application, Security, Setup, and System). Also, since Windows Server
2008, the Event Viewer provides a method to view events for individual
applications and services.

Before you start working
with log files in the Event Viewer, you need to know a couple of things.
Every log entry and file is stored in an XML format, which will help
get the log files small and streamlined. However, log files can take up
space on your server, and you need to know how to control how big the
log files can become. By default, each log file will take up to 20MB in
space. You can also control what happens when the log file reaches the
space limit; you have three choices:

Overwrite Events As Needed This means the oldest events will be overwritten first.

Archive The Log When Full, Do Not Overwrite Events This will take your full log, save it to disk, and clear the log.

Do Not Overwrite Events Clear The Log Manually This will force you to clear the log when it becomes full. Before you can see any more events, you will need to clear the log.

You can change the log
retention policy by going into the properties of the log file (by
right-clicking the log file and selecting Properties) and setting the
option for retention. Figure 1 shows a picture of the log properties.

Figure 1. Log properties



If you choose to clear the log
manually, you will want to save the log file. Additionally, saving a
log file will also provide you with a way to share data with another
administrator or support professional who may be assisting you with your
problem. To save the events to a log file, simply right-click the log
file and select Save All Events As. This will allow you to save your
event log to a file and archive it to a file share or other archival
method.

Also, when you look at the many different events located in the log file, they will have one of the following four levels:

Critical Critical events represent a failure of a service and normally result in the service being shut down or crashing.

Error Events result from some application error or other fatal software issue on your server.

Warning This will indicate potential events that can occur on your server.

Information This includes general events about tasks, normally along the lines of a service turning on successfully or a process starting.

In addition to the four
levels, in your Security log, you have two additional event types
specific to the security log file: audit success and audit failure.
These allow you to see what tasks were audited on your server. For
example, the Security log could show you when a person is successful in
logging on to your server or accessing an audited file.

To work with the Event Viewer, you need to load the tool and go to the log to review the events for a particular log:

  1. Open the Event Viewer by selecting Start => Administrative Tools and clicking Event Viewer.

  2. Click the log you want to view, and you will see events in the pane to the right of the tree; your screen will look similar to Figure 2.

    Figure 2. Event Viewer

  3. To view an event, double-click the event, or right-click and select Properties; you will see a screen similar to Figure 3.

Figure 3. Event properties



When you view the
properties of the event, you can view all the details of the event, the
source of the event, the event ID, the classification, and a variety of
other information. Looking at the event properties arms you with the
information needed to troubleshoot the problem, either by researching
help or by performing a search on the Internet.

1. Filter Events and Creating Custom Views

One of the aspects of the Event
Viewer you may have noticed is that there is a lot of server noise. In
other words, there are thousands of events, so how do you find the one
event or group of events that will be of the most use to you when you
are trying to solve a problem? In the Event Viewer there are two ways to
do this. You can either filter an existing log or create a custom view
for the events.

You can filter on a variety
of criteria, date, level, event ID, source, computer, user, keywords,
and tasks. This will allow you to reduce the amount of event noise and
quickly get to the events you are interested in.

Both of these filter
mechanisms utilize very similar steps and procedures. The difference is
when you filter a log, you are filtering a specific log. With custom
views, you can create a custom filter that will span multiple log files
on your server. To filter an event log on your server, perform the
following:

  1. In the Event Viewer, select the log you want to filter.

  2. Click
    Filter Current Log either in the action pane on the right side of the
    console or from the menu if you right-click the log. You will see a
    screen similar to Figure 4.

    Figure 4. Filtering an event log

  3. Select the criteria you want to filter, and when you are finished, click OK.

Once you create a filter for a
log file, the filter will stay on until you turn it off. To turn off
the filter on a log file, click Clear Filter in the right Actions pane
of the console, or right-click the log you want to clear the filter.

Creating a custom view follows a similar process to filtering a file:

  1. In
    the Event Viewer, click Create Custom View, and you will see a screen
    similar to when you filtered a log file. The only difference is that a
    custom view provides you with the capability to span multiple logs. If
    you select all the log files, you may see an error message informing you
    that the view could take some time, memory, and processor time to
    create, as shown in Figure 5.

    Figure 5. Custom view of all logs: error

  2. After you select your options, click OK.

  3. Name your view, choose a location to store the view in your management tree, and click OK.

  4. If
    you want to use your view, click the view in your management tree. By
    default, the views are stored under the management tree in Custom Views.

2. Save Event Logs

One other aspect of working
with logs is saving them for future performance, analysis, and archival.
You can save individual logs or even custom views you have created to
files. This allows you to open logs from your own server as well as have
another administrator send logs from another server for you to review.
To save a log file or a custom view, you just need to right-click the
log or the view.

  1. In the Event Viewer, right-click your custom view or the log you want to save.

  2. Select
    Save All Events As … when you select a Windows log to save or select
    Save All Events in Custom View As … when you select one of your custom
    views.

  3. Type in a name, and select a location for the file. After you have named the file and selected a location, click Save.

  4. You
    will see a dialog box asking you to save display information for proper
    viewing. This is important if you need log files to be viewed in
    alternate languages from your own. After you have made your selection,
    click OK.

You can also open saved log
files or custom views by right-clicking the custom view or log files in
the tree and selecting Open Saved Log.

3. Subscribe to Events

The Event Viewer also
provides you with the ability to subscribe to events on your server or
other servers. Subscribing to events allows you to see particular events
as they occur. By subscribing to events, you can also view events from
multiple servers in one view, since you can have events sent to one
central location. Subscribing to events provides you with a similar
filter mechanism as you used to create custom views.

To create a subscription on
your server, you need to have the Windows Event Collector Service
running on your server. The Event Viewer will help turn on this service
for you. The first time you click Subscriptions in the Event Viewer
management tree, you may see a screen similar to Figure 6. You will need to click Yes to take advantage of Event Viewer subscriptions.

Figure 6. Event collector server



  1. In the Event Viewer, click Subscriptions.

  2. If prompted to turn on the Windows Event Collector Service, click Yes.

  3. Click Create Subscription in the right Actions pane; you can also right-click Subscriptions. You will see a screen similar to Figure 7.

  4. After you set the computers and filter criteria, click OK; your subscription will be complete.

Figure 7. Creating a subscription



4. Attach a Task to an Event

One of the more
proactive capabilities you can do in the Event Viewer is to attach a
task to a particular log or event. Normally you attach tasks to specific
events. When you attach a task to an event, you can perform one of the
three following actions: start a program, send an email, or display a
message. This allows you to be notified if a certain event occurs or run
a program that will fix the issue. You can also assign a task to a
custom view you may have created.

  1. In the Event Viewer, click the event or log you want to create a task for.

  2. Give your task a name and description, and when you are done, click Next.

  3. Review the event you have selected, and click Next.

  4. Select your option; the default is to run a program. Then click Next.

  5. Depending on your action you have chosen, you may need to find the program or set up the email or message.

  6. When you are done, click Next.

  7. Review
    the summary, and click Finish. You will see a screen informing you that
    the task was created in Task Scheduler, as shown in Figure 8. Click OK to clear the message.

Figure 8. Task Scheduler


  • Windows server 2008 добавление пользователя
  • Windows server 2008 настройка доступа
  • Windows server 2008 для чего
  • Windows server 2008 настройка квот
  • Windows server 2008 x86 iso