35wininout.pdf

(213 KB) Pobierz
12263539 UNPDF
Rozdzia³ 35
Typy zdarzeñ
974
Monitorowanie
aktywnoœci
systemu
za pomoc¹
Podgl¹du zdarzeñ
Œledzenie zdarzeñ
komputerowych
975
Badanie szczegó³ów zdarzeñ
977
Praca z plikami dziennika
979
U¿ywanie narzêdzi innych
producentów do monitorowania
zdarzeñ
982
Czêœæ VIII: Administracja systemu
Rozdzia³ 35: Monitorowanie aktywnoœci systemu za pomoc¹Podgl¹du zdarzeñ
W systemie Windows XP zdarzenie jest pewnym
wydarzeniem, które potencjalnie jest godne uwagi
– twojej, innych u¿ytkowników, systemu operacyj-
nego albo aplikacji. Zdarzenia zapisywane s¹przez
us³ugê Dziennik zdarzeñ, a ich historia zachowana
jest w trzech plikach dziennika: Zabezpieczenia
(Secevent.evt), Aplikacja (Appevent.evt) oraz Sys-
tem (Sysevent.evt). Podgl¹d zdarzeñ, przystaw-
ka konsoli Microsoft Management Console do-
starczana wraz z systemem Windows XP, pozwoli
ci na przegl¹danie i archiwizowanie tych trzech
dzienników zdarzeñ.
Dlaczego mia³byœ to robiæ? Najbardziej prawdopo-
dobne powody to: w celu rozwi¹zania problemów,
które siê pojawi³y; aby mieæ kontrolê nad syste-
mem i zapobiegaæ pojawieniu siê problemów
oraz aby uwa¿aæ na naruszenia zabezpieczeñ. Je-
¿eli urz¹dzenie uleg³o uszkodzeniu, dysk twar-
dy zape³niony jest po brzegi, program wielokrot-
nie siê zawiesza³ albo pojawi³y siê inne powa¿ne
trudnoœci, informacja zapisana w dziennikach
zdarzeñ mo¿e pomóc tobie albo specjaliœcie od
wsparcia technicznego zdiagnozowaæ problem
i zdecydowaæ, jakie kroki w celu naprawienia go
nale¿y podj¹æ. Przegl¹danie dzienników zdarzeñ
mo¿e równie¿ pomóc ci zauwa¿yæ powa¿ne pro-
blemy, jeszcze zanim siê pojawi¹. Je¿eli jakiœ pro-
blem ca³y czas wrze, ale jeszcze nie wybuch³,
mo¿esz odebraæ sygna³ o tym, zanim bêdzie ju¿
za póŸno. Na przyk³ad je¿eli karta sieciowa czasa-
mi zawodzi albo kabel sieciowy jest niew³aœciwie
12263539.003.png
974
Czêœæ VIII: Administracja systemu
pod³¹czony, w dzienniku zdarzeñ znajdziesz pozycje pokazuj¹ce czêste roz³¹czenia
i ponowne pod³¹czenia do sieci. Ostatecznie mo¿esz u¿yæ jednego z dzienników zda-
rzeñ do œledzenia takich rzeczy, jak nieudane próby logowania albo próby odczytania
plików przez u¿ytkowników, którzy nie maj¹przywilejów dostêpu do nich. Wyda-
rzenia takie mog¹zwróciæ twoj¹uwagê na rzeczywiste lub potencjalne problemy
w twojej organizacji.
Typy zdarzeñ
Zdarzenia zabezpieczeñ zapisywane s¹w dzienniku Zabezpieczeñ, Secevent.evt.
Monitorowanie tych zdarzeñ nazywane jest inspekcj¹ i stanowi temat rozdzia³u 36 „In-
spekcja zabezpieczeñ”. W dalszej czêœci tego rozdzia³u skupimy siê na dwóch pozo-
sta³ych dziennikach zdarzeñ, Appevent.evt oraz Sysevent.evt. Zapisuj¹one odpo-
wiednio zdarzenia aplikacji i systemu.
Zdarzenia aplikacji generowane s¹ przez aplikacje, w³¹czaj¹c w to programy, które
sam zainstalujesz i programy dostarczone z Windows XP, oraz przez us³ugi systemu
operacyjnego. Na przyk³ad zdarzenia powi¹zane z pakietem Microsoft Office, pro-
gramem do tworzenia kopii zapasowych dostarczonym wraz z Windows XP oraz
us³ug¹Fax, s¹w ca³oœci zapisywane w Appevent.evt.
Zdarzenia systemu generowane s¹przez sam system Windows XP oraz przez zain-
stalowane sk³adniki, takie jak sterowniki urz¹dzeñ. Je¿eli sterownik nie zostanie
za³adowany podczas uruchamiania sesji systemu Windows XP, zdarzenie to zostanie
zapisane w dzienniku System.
(Je¿eli jesteœ ciekawy, które elementy twojego systemu generuj¹zdarzenia oraz gdzie
zdarzenia te s¹zapisywane, u¿yj Edytora rejestru, aby otworzyæ nastêpuj¹cy klucz re-
jestru: HKLM\System\CurrentControlSet\Services\Eventlog. Nastêpnie przejrzyj
ka¿dy z podkluczy Application, Security oraz System. Ka¿dy element zdolny do ge-
nerowania zdarzenia posiada swój podklucz w jednym z tych trzech kluczy).
Szczegó³owe informacje dotycz¹ce u¿ywania Edytora rejestru znajdziesz w rozdziale 28 „Edytowanie Rejestru”.
Dzienniki System oraz Aplikacja rozró¿niaj¹trzy typy zdarzeñ:
B³êdy. S¹to zdarzenia, które reprezentuj¹potencjaln¹utratê danych lub funkcjo-
nalnoœci. Przyk³adowe b³êdy zawieraj¹ zdarzenia powi¹zane z po³¹czeniami sie-
ciowymi albo dwoma niedopasowanymi kartami sieciowymi oraz utratê funkcjo-
nalnoœci spowodowan¹przez urz¹dzenie lub us³ugê, które nie zosta³y za³adowa-
ne podczas uruchamiania systemu.
Ostrze¿enia. Zdarzenia te reprezentuj¹nie wymagaj¹ce natychmiastowej uwagi
lub mniej znacz¹ce problemy ni¿ te, które wystêpuj¹ w przypadku b³êdów. Przy-
k³adowe ostrze¿enia to: prawie ca³kowicie zape³niony dysk, przekroczenie czasu
przez readresatora sieci oraz b³êdy w zapisie danych na taœmie kopii zapasowej.
Informacje. S¹to inne zdarzenia, które zapisuje system Windows XP. Przyk³adowe
zdarzenia informacji to: korzystanie przez kogoœ z drukarki pod³¹czonej do twojego
komputera oraz udane po³¹czenie telefoniczne z us³ugodawc¹ internetowym.
 
Rozdzia³ 35: Monitorowanie aktywnoœci systemu za pomoc¹ Podgl¹du zdarzeñ
975
Œledzenie zdarzeñ komputerowych
Aby uruchomiæ Podgl¹d zdarzeñ, wykonaj jedn¹ z nastêpuj¹cych czynnoœci:
W Panelu sterowania wybierz Wydajnoœæ i konserwacja, Narzêdzia administra-
cyjne, Podgl¹d zdarzeñ.
W wierszu polecenia wpisz eventvwr.msc .
Podgl¹d zdarzeñ mo¿esz równie¿ uruchomiæ, klikaj¹c prawym przyciskiem myszy Mój
komputer i wybieraj¹c Zarz¹dzaj. Pojawi siê konsola Zarz¹dzanie komputerem wraz
z przystawk¹Podgl¹d zdarzeñ i kilkoma innymi narzêdziami administracyjnymi.
Rysunek 35-1 pokazuje przyk³ad tego, co mo¿esz zobaczyæ, kiedy otworzysz Podgl¹d
zdarzeñ. Drzewo konsoli wyœwietla nazwy trzech dzienników zdarzeñ, co pozwala
na przechodzenie z jednego dziennika do innego. Okienko szczegó³ów prezentuje
wygl¹d bie¿¹cego dziennika w kolumnach.
Rysunek 35-1. Okienko szczegó³ów Podgl¹du zdarzeñ przedstawia w kolumnach widok dziennika zaznaczonego
w drzewie konsoli.
Rysunek 35-1 pokazuje wszystkie osiem kolumn Podgl¹du zdarzeñ. Mo¿esz u¿yæ po-
lecenia Dodaj/Usuñ kolumny z menu Widok, aby ukryæ kolumny, których nie po-
trzebujesz, albo by zmieniæ kolejnoœæ, w jakiej kolumny siê pojawiaj¹. Domyœlnie zda-
rzenia s¹sortowane chronologicznie, z najnowszymi na górze. Mo¿esz zmieniæ kieru-
nek sortowania, klikaj¹c nag³ówki kolumn.
Zwróæ uwagê, ¿e chocia¿ okienko szczegó³ów zawiera wiele u¿ytecznych informacji,
to nie dostarcza wielu szczegó³ów dotycz¹cych tego, co takie zdarzenia zwiastuj¹
oraz dlaczego siê pojawi³y. Wiêcej tego typu informacji mo¿esz uzyskaæ, sprawdzaj¹c
szczegó³y dla poszczególnych zdarzeñ. (Patrz „Badanie szczegó³ów zdarzeñ” na stro-
nie 977). Poni¿ej znajduje siê opis, kolumna po kolumnie, tego, co wyœwietla okienko
szczegó³ów:
Typ. Jak ju¿ wspomniano, zdarzenia w dziennikach aplikacji oraz systemu mog¹nale-
¿eæ do trzech typów: Informacja, Ostrze¿enie oraz B³¹d. Ikona znajduj¹ca siê z lewej
strony kolumny Typ pomo¿e ci zauwa¿yæ typy zdarzeñ, które ciê interesuj¹.
12263539.004.png
976
Czêœæ VIII: Administracja systemu
Data i Godzina. Us³uga Dziennik zdarzeñ zapisuje datê oraz godzinê dla ka¿dego
pojawiaj¹cego siê zdarzenia w formie czasu Greenwich, a Podgl¹d zdarzeñ
przek³ada te wartoœci na datê oraz godzinê odpowiedni¹dla twojej strefy czasu.
ród³o. Kolumna Ÿród³a informuje o aplikacji lub sk³adniku systemu, które wyge-
nerowa³y ka¿de ze zdarzeñ.
Kategoria. Niektóre Ÿród³a zdarzeñ u¿ywaj¹kategorii, aby rozró¿niæ ró¿ne typy
zdarzeñ, które mog¹przedstawiaæ. Wiele Ÿróde³ tego nie robi. Jak widzisz, ¿adne
z czterech Ÿróde³ pokazanych na Rysunku 35-1 (Browser, W32Time, RemoteAc-
cess oraz Service Control Manager) nie u¿ywa kategorii.
Zdarzenie. Wszystkie zdarzenia s¹identyfikowane przez wartoœæ numeryczn¹.
Numer ten powi¹zany jest z opisem tekstowym, który pojawia siê, kiedy
przegl¹dasz w³aœciwoœci zdarzenia. Nie u¿ywa siê tutaj kodu dla ca³ego systemu –
ka¿dy projektant Ÿród³a zdarzenia sam zdecydowa³, jakich numerów u¿yæ i zapi-
sa³ te numery w pliku – i nie ma wymogu, aby ka¿de Ÿród³o zdarzenia u¿ywa³o
unikalnego zestawu cyfr. Jednak kiedy spêdzisz trochê czasu, przegl¹daj¹c dzien-
niki zdarzeñ, mo¿esz rozpoznaæ poszczególne zdarzenia po ich numerach. Na
przyk³ad zdarzenia 6006 oraz 6009, generowane przez sam¹us³ugê Dziennik zda-
rzeñ (wymienion¹w kolumnie ród³o jako eventlog), pojawiaj¹siê, kiedy us³uga
Dziennik zdarzeñ jest odpowiednio zatrzymywana i uruchamiana. Poniewa¿
zwykle us³uga Dziennik zdarzeñ nie zatrzymuje siê, kiedy komputer dzia³a, zda-
rzenia te przedstawiaj¹wy³¹czenie oraz ponowne uruchomienie komputera.
U¿ytkownik. Kolumna U¿ytkownik zapisuje konto u¿ytkownika powi¹zane z ka¿-
dym zdarzeniem. Nie wszystkie zdarzenia s¹powi¹zane z okreœlonym u¿ytkow-
nikiem. Wiele zdarzeñ, szczególnie zdarzenia systemowe, nie jest generowanych
Zmiany czasu, komputery zdalne, zmiany w Zegarze systemowym
Kiedy przechodzisz z czasu zimowego na czas letni lub odwrotnie, Podgl¹d zda-
rzeñ zmienia wyœwietlan¹Godzinê (mo¿liwe, ¿e Datê równie¿) dla zdarzeñ, które
ju¿ wyst¹pi³y. Na przyk³ad je¿eli zdarzenie wyst¹pi³o o godzinie 18.00 czasu zimo-
wego, po przejœciu na czas letni zdarzenie to pojawi siê tak, jakby wyst¹pi³o o go-
dzinie 19.00. Dzieje siê tak, poniewa¿ Podgl¹d zdarzeñ stosuje jedno przesuniêcie
od czasu Greenwich do wszystkich zdarzeñ w swoich dziennikach i zmniejsza to
przesuniêcie o jedn¹godzinê, kiedy przechodzisz z czasu zimowego na czas letni.
Je¿eli monitorujesz zdarzenia na zdalnych komputerach w innych strefach czaso-
wych, miej œwiadomoœæ, ¿e Podgl¹d zdarzeñ zawsze wyœwietla daty i godziny tych
zdarzeñ w twojej (lokalnej) strefie czasowej. Zapisuje on wydarzenia w czasie Gre-
enwich, ale do celów wyœwietlania stosuje przesuniêcie czasu Greenwich dla twojej
strefy czasowej. W ten sposób na przyk³ad zdarzenie, które pojawi siê w Nowym
Jorku w po³udnie, w Los Angeles zostanie zg³oszone, jakby wydarzy³o siê o 9 rano.
Je¿eli wprowadzisz zmiany w zegarze w twoim systemie, czas podany w dzienni-
kach zdarzeñ nie ulegnie zmianie, poniewa¿ przesuniêcie od czasu Greenwich nie
uleg³o zmianie. Jednak je¿eli zmienisz strefê czasow¹, Podgl¹d zdarzeñ zastosuje
nowe przesuniêcie i zmieni czas wyœwietlany dla wszystkich zdarzeñ w dzienniku.
12263539.005.png
Rozdzia³ 35: Monitorowanie aktywnoœci systemu za pomoc¹ Podgl¹du zdarzeñ
977
przez poszczególnych u¿ytkowników. W wypadku tych zdarzeñ pojawia siê
s³owo Brak.
Komputer. Kolumna Komputer zapisuje nazwê komputera, na którym wyst¹pi³o
dane zdarzenie.
Badanie szczegó³ów zdarzeñ
Aby dowiedzieæ siê o zdarzeniu wiêcej ni¿ to, co mówi okienko szczegó³ów Podgl¹du
zdarzeñ, musisz wyœwietliæ indywidualn¹informacjê dla tego zdarzenia. Zaznacz
zdarzenie, które ciê interesuje, i wykonaj jedn¹z nastêpuj¹cych czynnoœci:
Dwukrotnie kliknij zdarzenie.
Wciœnij Enter.
Wybierz W³aœciwoœci z menu Akcja Podgl¹du zdarzeñ.
Rysunek 35-2 pokazuje okno dialogowe w³aœciwoœci dla zdarzenia z dziennika Sys-
tem.
Wyœwietla poprzednie zdarzenie
Wyœwietla nastêpne zdarzenie
Kopiuje bie¿¹ce zdarzenie do Schowka
Rysunek 35-2. Okno dialogowe w³aœciwoœci dla okreœlonego zdarzenia mo¿e dostarczyæ cennych informacji
diagnostycznych.
Sumaryczne informacje w górnej czêœci okna dialogowego w³aœciwoœci s¹identyczne
z tymi, które pojawiaj¹siê w kolumnach okienka szczegó³owego w Podgl¹dzie zda-
rzeñ. Opis w œrodkowej czêœci okna jest czysto tekstowym opisem tego, co siê wyda-
rzy³o. Dla celów lokalizacji informacja ta jest przechowywana oddzielnie, poza pli-
kiem dziennika (.evt). Ka¿dy typ zdarzenia przekszta³cony jest w opisowy tekst, któ-
ry znajduje siê w dowolnym miejscu, w dowolnym pliku, które zosta³y wybrane
przez projektanta aplikacji lub sk³adnika. (Plik komunikatu dziennika zapisany jest
w wartoœci rejestru EventMessageFile w kluczu HKLM\System\CurrentConsole-
Set\Services\Eventlog\ nazwa_dziennika \ Ÿród³o_dziennika , gdzie nazwa_dziennika jest
nazw¹dziennika – na przyk³ad System – a Ÿród³o_dziennika jest nazw¹aplikacji lub
sk³adnika, który generuje dane zdarzenie).
Niektóre zdarzenia generuj¹dane binarne, które mog¹byæ u¿yteczne dla programistów
albo specjalistów obs³ugi technicznej, obeznanych z produktem, który wygenerowa³
12263539.001.png 12263539.002.png
Zgłoś jeśli naruszono regulamin