Я управляю машинами Windows Server 2003 на работе, но я разработчик программного обеспечения. (Пожалуйста, не говорите «наймите системного администратора», суть этого вопроса - мое собственное обучение).
Как администраторы серверов узнают, что искать в средстве просмотра событий? Иногда будут странные вещи, которых я не понимаю, много раз будут вещи, которые всегда есть, которые я просто игнорирую, потому что они всегда там.
Есть ли где-нибудь ресурс, который может научить меня тому, что является нормальным поведением журнала средства просмотра событий Windows Server и что может означать катастрофу?
Или, может быть, есть какой-то сторонний инструмент, который расшифрует их и даст рекомендации? Однако я бы предпочел обучающий маршрут.
Журналы событий служат центром информации о любых сообщениях или ошибках, вызванных ОС, ее компонентами и любым программным обеспечением, установленным в системе. Таким образом, мы не можем полностью охватить все это потенциальное содержимое, потому что оно может содержать неограниченное количество потенциальных вещей, и все они требуют индивидуальной обработки.
Один из способов анализа журналов событий:
Вот и все, что нужно сделать. Аудит журнала событий безопасности немного отличается, но приложение и система обычно могут быть хорошо покрыты с помощью подхода, описанного выше.
Вы можете настроить пакеты мониторинга / предупреждений, чтобы просматривать журналы событий и предупреждать вас. Есть 2 типичных подхода к этому:
У каждого подхода есть свои сильные стороны. Однако следует помнить одну ключевую вещь: инструмент мониторинга настолько полезен, насколько он настроен, и для этого не существует «волшебной пули», которая дала бы вам хорошее сочетание «достаточно тихо» и «гарантированно предупредит вас о каждом раз есть настоящая проблема ». К сожалению, это требует постоянной балансировки.
Дополнительный совет, если у вас хорошее оборудование серверного качества, - запустить бесплатное программное обеспечение для мониторинга от поставщика. У IBM есть директор, у HP есть SIM-карта, у Dell есть OpenManage. Каждый из них, при правильной настройке, будет предупреждать вас о плохих вещах - в частности, о неисправных вентиляторах, сильном нагреве, приближающемся отказе диска из-за предупреждений SMART или фактическом отказе диска, о котором вы можете не знать (в томе RAID).
Помимо предупреждений об оборудовании, нет особого смысла в упреждающем просмотре журналов событий (очень часто). Чаще всего вы будете использовать их, чтобы найти причину проблем после того, как о них было сообщено. Конечно, каждая среда отличается, и, как отмечалось выше, журнал безопасности может быть другой историей, если у вас есть аудит или другие требования безопасности (HIPAA, PCI и т. Д.)