Системным администраторам приходится анализировать данные журналов нескольких серверов. Удобно, если эта операция будет выполняться из одной консоли.

В этих целях в системах Windows 7/Vista/2008R2 присутствует возможность настройки сбора событий с различных компьютеров. Для этого используется опция Подписка.

При создании подписки (рис. 11.3) необходимо указать, с каких систем будут собираться данные, настроить фильтры (какие события копировать), назначить журнал, в который будет осуществляться запись. Так же нужно настроить параметры учетной записи, которая будет иметь доступ к журналу на удаленном компьютере. Кроме того, надо еще выполнить некоторые настройки на удаленной системе (см. онлайновую справку). Подписку можно "оформлять" как для компьютеров домена, так и рабочей группы (особенности настройки в этом случае следует уточнить по справочной документации).

В реальных сетях еще долго будут эксплуатироваться компьютеры с Windows XP или Windows 2003 Server, режим подписки с которыми не работает. В этом случае можно использовать скрипт EVENTQUERY.vbs из состава Windows 2003 Server, который позволяет вывести события как с локального, так и с удаленных компьютеров, используя необходимые фильтры (по дате, по номеру события, типу и т. п.).

Настройка подписки в Windows 7

Рис. 11.3. Настройка подписки в Windows 7

Правда, в отличие от режима "Подписка" данный сценарий каждый раз проводит анализ событий на удаленных системах и возвращает отобранные события.

При желании использовать графический интерфейс при анализе журналов можно обратиться к специальной утилите - EventCombMT, бесплатно загружаемой с сервера Microsoft (рис. 11.4).

Утилита EventCombMT позволяет просматривать данные протоколов работы сразу нескольких систем. Администратор может задать желаемые условия поиска (номер события, имена компьютеров для анализа, диапазон дат и т. п.). Утилита содержит несколько встроенных описаний условий поиска, например, по ошибкам DNS, FRS, жестких дисков, службы каталогов. Результаты работы программа сохраняет в виде текстовых файлов.

Примечание Существует много коммерческих средств, предназначенных для централизации сбора и анализа событий журналов нескольких систем. При желании найти эти решения не составит особого труда.

События журналов важны и в случае разбора инцидентов. Поскольку злоумышленник будет пытаться очистить журналы атакуемой системы, то при предъявлении повышенных требований к хранению событий последние необходимо копировать на выделенный сервер.

Окно утилиты EventCombMT

Рис. 11.4. Окно утилиты EventCombMT

При выборе бесплатных решений можно использовать запускаемые по определенному графику специализированные утилиты для чтения журналов. Конечно, удобнее применить коммерческие программы, которые могут централизованно хранить необходимые данные.

На рис. 11.5 представлен пример такой программы - EvenTrigger от компании IS Decisions (www.eventrigger.com). Программа позволяет запускать сценарии в соответствии с возникающими событиями, отправлять сообщения на пейджер или по электронной почте, заносить данные в ODBC-базы. С программой поставляется несколько предварительно настроенных триггеров (на события остановки служб, неудачного входа в систему, события печати и т. п.).

Окно программы EvenTrigger

Рис. 11.5. Окно программы EvenTrigger

Подобные функции реализованы и во многих других программах, доступных системным администраторам (GFI LANGuard Security EventLog Monitor, Microsoft Operation Management Server и т. д.).

Изменение детализации протоколирования | Самоучитель системного администратора | Установка триггеров на события протоколов


Самоучитель системного администратора



Новости за месяц

  • Май
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс