Назад | Перейти на главную страницу

Как можно научиться читать программу просмотра событий Windows Server и знать, какие события являются нормальными, а какие - признаками потенциальных проблем?

Я управляю машинами Windows Server 2003 на работе, но я разработчик программного обеспечения. (Пожалуйста, не говорите «наймите системного администратора», суть этого вопроса - мое собственное обучение).

Как администраторы серверов узнают, что искать в средстве просмотра событий? Иногда будут странные вещи, которых я не понимаю, много раз будут вещи, которые всегда есть, которые я просто игнорирую, потому что они всегда там.

Есть ли где-нибудь ресурс, который может научить меня тому, что является нормальным поведением журнала средства просмотра событий Windows Server и что может означать катастрофу?

Или, может быть, есть какой-то сторонний инструмент, который расшифрует их и даст рекомендации? Однако я бы предпочел обучающий маршрут.

Журналы событий служат центром информации о любых сообщениях или ошибках, вызванных ОС, ее компонентами и любым программным обеспечением, установленным в системе. Таким образом, мы не можем полностью охватить все это потенциальное содержимое, потому что оно может содержать неограниченное количество потенциальных вещей, и все они требуют индивидуальной обработки.

Один из способов анализа журналов событий:

  1. Отфильтруйте информационные предупреждения, чтобы видеть только предупреждения и ошибки.
  2. Исследуйте каждую по очереди и пытайтесь решить каждую по ходу. Google - совершенно законный способ добиться этого. Если вы можете устранить ошибку, чтобы она не повторялась, замечательно, дело закрыто. К следующему.
  3. Если вы не можете устранить ошибку, попробуйте определить, серьезная это проблема или нет. Если это серьезная проблема, обострите ее. Если это не так, добавьте его в свои записи «известных ошибок» (или мысленно «игнорируйте этот» пул) и переходите к следующей ошибке.

Вот и все, что нужно сделать. Аудит журнала событий безопасности немного отличается, но приложение и система обычно могут быть хорошо покрыты с помощью подхода, описанного выше.

Вы можете настроить пакеты мониторинга / предупреждений, чтобы просматривать журналы событий и предупреждать вас. Есть 2 типичных подхода к этому:

  1. Настройте инструмент, чтобы отслеживать определенные записи и предупреждать о них
  2. Настройте инструмент, чтобы игнорировать известные неопасные записи и предупреждать обо всем остальном

У каждого подхода есть свои сильные стороны. Однако следует помнить одну ключевую вещь: инструмент мониторинга настолько полезен, насколько он настроен, и для этого не существует «волшебной пули», которая дала бы вам хорошее сочетание «достаточно тихо» и «гарантированно предупредит вас о каждом раз есть настоящая проблема ». К сожалению, это требует постоянной балансировки.

Дополнительный совет, если у вас хорошее оборудование серверного качества, - запустить бесплатное программное обеспечение для мониторинга от поставщика. У IBM есть директор, у HP есть SIM-карта, у Dell есть OpenManage. Каждый из них, при правильной настройке, будет предупреждать вас о плохих вещах - в частности, о неисправных вентиляторах, сильном нагреве, приближающемся отказе диска из-за предупреждений SMART или фактическом отказе диска, о котором вы можете не знать (в томе RAID).

Помимо предупреждений об оборудовании, нет особого смысла в упреждающем просмотре журналов событий (очень часто). Чаще всего вы будете использовать их, чтобы найти причину проблем после того, как о них было сообщено. Конечно, каждая среда отличается, и, как отмечалось выше, журнал безопасности может быть другой историей, если у вас есть аудит или другие требования безопасности (HIPAA, PCI и т. Д.)