- 系統(tǒng)與服務(wù)監(jiān)控技術(shù)實踐
- 王淑江主編
- 120字
- 2019-03-01 22:22:04
4.3 事件收集
Windows Server 2008支持收集其他計算機(jī)的事件日志功能,從而做到集中分析和監(jiān)控計算機(jī)的狀態(tài)。在收集的過程中,確切地指定將收集哪些事件以及將其存儲在本地的哪個日志中,激活訂閱并收集事件后,就可以像對任何存儲在本地的事件一樣查看和操作這些轉(zhuǎn)發(fā)的事件。
4.3.1 部署訂閱
使用事件收集功能需要同時配置源計算機(jī)(Windows Server 2008和Windows Vista)和收集計算機(jī)(Windows Server 2008和Windows Vista),此功能依賴于Windows遠(yuǎn)程管理(WinRM)服務(wù)和Windows事件收集器(Wecsvc)服務(wù),這兩項服務(wù)必須在參與轉(zhuǎn)發(fā)和收集過程的計算機(jī)上運(yùn)行,目前只有運(yùn)行Windows Server 2008和Windows Vista操作系統(tǒng)的計算機(jī)支持此功能。
1. 配置源計算機(jī)
源計算機(jī)為產(chǎn)生日志的計算機(jī),包括服務(wù)器、客戶端計算機(jī)。Windows Server 2008的服務(wù)器和Windows Vista客戶端計算機(jī)啟用事件收集功能方法相同,本例以Windows Vista為例,說明如何啟用遠(yuǎn)程管理以及事件收集功能。
(1)啟用遠(yuǎn)程管理功能
第1步,選擇“開始”→“運(yùn)行”命令,顯示“運(yùn)行”對話框,在文本框中,鍵入“cmd”命令,單擊“確定”按鈕,顯示如圖4-19所示的命令行窗口。
圖4-19 啟用遠(yuǎn)程管理功能之一
第2步,在命令行提示符下,鍵入如下命令:
Winrm Quickconfig
按Enter鍵,命令成功執(zhí)行,顯示如圖4-20所示的窗口,提示管理員是否要啟用遠(yuǎn)程管理工具。
圖4-20 啟用遠(yuǎn)程管理功能之二
第3步,鍵入“Y”,啟動遠(yuǎn)程管理服務(wù),如圖4-21所示。
圖4-21 啟用遠(yuǎn)程管理功能之三
(2)將Domain Admins組中的成員加入到本地管理員組
收集客戶端計算機(jī)的服務(wù)器采集客戶端計算機(jī)事件日志時,必須具備對客戶端計算機(jī)具備至少是讀取的權(quán)限,建議將Domain Admins組中的成員加入到客戶端計算機(jī)的本地管理員組中。
第1步,右擊“計算機(jī)”,在彈出的快捷菜單中選擇“管理”命令,顯示如圖4-22所示的“計算機(jī)管理”窗口。
圖4-22 添加用戶之一
第2步,選擇“計算機(jī)管理”→“系統(tǒng)工具”→“本地用戶和組”→“組”選項,顯示如圖4-23所示的“計算機(jī)管理”窗口。
圖4-23 添加用戶之二
第3步,在右側(cè)窗口中,右擊“Administrators”組,在彈出的快捷菜單中選擇“屬性”命令,顯示如圖4-24所示的“Administrators屬性”對話框。
圖4-24 添加用戶之三
① 單擊“添加”按鈕,顯示如圖4-25所示的“選擇用戶、計算機(jī)或組”對話框。
圖4-25 “選擇用戶、計算機(jī)或組”對話框
② 單擊“高級”按鈕,顯示如圖4-26所示的“選擇用戶、計算機(jī)或組”高級對話框。
圖4-26 “選擇用戶、計算機(jī)或組”高級對話框
③ 單擊“立即查找”按鈕,在“搜索結(jié)果”列表中,顯示當(dāng)前域中所有可用的用戶、計算機(jī)上或組,如圖4-27所示。
圖4-27 “選擇用戶、計算機(jī)或組”高級對話框
④ 選擇目標(biāo)用戶,單擊“確定”按鈕,關(guān)閉“選擇用戶、計算機(jī)或組”高級對話框,返回到“選擇用戶、計算機(jī)或組”對話框,如圖4-28所示。
圖4-28 “選擇用戶、計算機(jī)或組”對話框
⑤ 單擊“確定”按鈕,關(guān)閉“選擇用戶、計算機(jī)或組”對話框,返回到“Administrators屬性”對話框,將選擇的目標(biāo)用戶添加到“成員列表”中,如圖4-29所示。
圖4-29 “Administrators屬性”對話框
第4步,單擊“確定”按鈕,完成本地管理員組成員的添加。
2. 配置收集服務(wù)器
收集服務(wù)器建議使用獨(dú)立服務(wù)器,每臺需要收集事件的計算機(jī)或者服務(wù)器將產(chǎn)生大量的事件日志,如果是應(yīng)用程序服務(wù)器產(chǎn)生的事件會更多。
(1)更改服務(wù)模式
在事件收集服務(wù)器上,配置制事件訂閱服務(wù)。
第1步,選擇“開始”→“運(yùn)行”命令,顯示“運(yùn)行”對話框,在文本框中,鍵入“cmd”,單擊“確定”按鈕,顯示如圖4-30所示的命令行窗口。
圖4-30 更改服務(wù)模式之一
第2步,在命令行提示符下,鍵入如下命令:
wecutil qc
按Enter鍵,命令成功執(zhí)行,顯示如圖4-31所示的窗口,提示更改服務(wù)啟動模式。
圖4-31 更改服務(wù)模式之二
第3步,鍵入“Y”,成功配置事件收集服務(wù)器,如圖4-32所示。
圖4-32 更改服務(wù)模式之三
(2)NTLM身份驗證
第1步,在命令行窗口中,在命令行提示符下,鍵入如下命令:
winrm set winrm/config/client @{TrustedHosts="dc.book.com,vista.book.com"}
按Enter鍵,命令成功執(zhí)行,顯示如圖4-33所示的窗口,使所有源計算機(jī)在與收集服務(wù)器上的WinRM進(jìn)行通信時使用NTLM身份驗證,運(yùn)行一次命令即可。
圖4-33 啟用NTLM身份驗證
4.3.2 創(chuàng)建訂閱
客戶端計算機(jī)和數(shù)據(jù)服務(wù)器配置完成后,在收集服務(wù)器上創(chuàng)建訂閱任務(wù),任務(wù)部署完成在后臺自動運(yùn)行,監(jiān)控數(shù)據(jù)源計算機(jī)上的“一舉一動”。
第1步,選擇“開始”→“管理工具”→“服務(wù)器管理器”選項,顯示如圖4-34所示的“服務(wù)器管理”窗口。
圖4-34 創(chuàng)建訂閱之一
第2步,選擇“服務(wù)器管理器”→“診斷”→“事件查看器”→“訂閱”選項,顯示如圖4-35所示的“服務(wù)器管理器”窗口。
圖4-35 創(chuàng)建訂閱之二
第3步,右擊“訂閱”,在彈出的快捷菜單中選擇“創(chuàng)建訂閱”命令,顯示如圖4-36所示的“訂閱屬性”對話框。
圖4-36 創(chuàng)建訂閱之三
(1)在“訂閱名稱”文本框中,鍵入訂閱任務(wù)的名稱。
(2)在“目標(biāo)日志”下拉列表框中,選擇收集的日志存儲目標(biāo),例如選擇“系統(tǒng)”日志。
(3)在“訂閱類型和源計算機(jī)”分組區(qū)域中,選擇“收集器已啟動”選項。單擊“選擇計算機(jī)”按鈕,顯示如圖4-37所示的“計算機(jī)”對話框。
圖4-37 選擇目標(biāo)計算機(jī)之一
① 單擊“添加域計算機(jī)”按鈕,顯示如圖4-38所示的“選擇計算機(jī)”對話框。
圖4-38 選擇目標(biāo)計算機(jī)之二
② 單擊“高級”按鈕,顯示如圖4-39所示的“計算機(jī)”高級對話框。
圖4-39 選擇目標(biāo)計算機(jī)之三
③ 單擊“立即查找”按鈕,在“搜索結(jié)果”列表中,顯示當(dāng)前域中所有可用的計算機(jī)名稱,如圖4-40所示。
圖4-40 選擇目標(biāo)計算機(jī)之四
④ 選擇目標(biāo)計算機(jī),單擊“確定”按鈕,關(guān)閉“計算機(jī)”高級對話框,返回到“計算機(jī)”對話框,如圖4-41所示。
圖4-41 選擇目標(biāo)計算機(jī)之五
⑤ 單擊“確定”按鈕,關(guān)閉“選擇計算機(jī)”對話框,返回到“計算機(jī)”對話框,如圖4-42所示。
圖4-42 選擇目標(biāo)計算機(jī)之六
⑥ 使用同樣的方法,可以將需要收集日志的計算機(jī)添加進(jìn)來,添加完成的計算機(jī)如圖4-43所示。
圖4-43 選擇目標(biāo)計算機(jī)之七
⑦ 單擊“確定”按鈕,關(guān)閉“計算機(jī)”對話框,返回到“訂閱屬性”對話框。
(4)在“訂閱屬性”對話框中,單擊“選擇事件”按鈕,顯示如圖4-44所示的“查詢篩選器”對話框。
圖4-44 事件篩選之一
① 在“記錄事件”下拉列表框中,選擇事件的記錄時間,默認(rèn)為“任何時間”。
② 在“事件級別”區(qū)域,選擇收集的事件類型。
③ 選擇“按日志”選項,在“事件日志”下拉列表中,選擇事件日志類型,如圖4-45所示。
圖4-45 事件篩選之二
④ 其他選項,根據(jù)實際需要選擇即可。
⑤ 單擊“確定”按鈕,顯示如圖4-46所示的“事件查看器”對話框,提示管理員選擇事件的種類超過10個,將影響系統(tǒng)性能。
圖4-46 事件篩選之三
⑥ 單擊“是”按鈕,返回到“訂閱屬性”對話框。
(5)單擊“高級”按鈕,顯示如圖4-47所示的“高級訂閱設(shè)置”對話框。
圖4-47 高級訂閱設(shè)置之一
① 設(shè)置收集目標(biāo)計算機(jī)使用的賬戶,選擇的賬戶至少具備“讀取”目標(biāo)計算機(jī)日志的權(quán)限。選擇“特定用戶”選項,顯示如圖4-48所示的“高級訂閱設(shè)置”對話框。
圖4-48 高級訂閱設(shè)置之二
② 單擊“用戶和密碼”按鈕,顯示如圖4-49所示的“訂閱源的憑據(jù)”對話框,鍵入用戶名和密碼。
圖4-49 高級訂閱設(shè)置之三
③ 單擊“確定”按鈕,關(guān)閉“訂閱源的憑據(jù)”對話框,返回到“高級訂閱設(shè)置”對話框。
④ 在“事件傳遞優(yōu)化”分組區(qū)域中,選擇事件傳遞方式。
● 正常:此選項確保可靠地傳遞事件,但不嘗試保留帶寬。除非需要嚴(yán)格控制帶寬使用或需要盡可能快地傳遞所轉(zhuǎn)發(fā)的事件,否則適于選擇此選項。此選項使用拉傳遞模式,每次批量處理5個項目并將批次超時設(shè)置為15分鐘。
● 最小化帶寬:此選項確保嚴(yán)格控制事件傳遞對網(wǎng)絡(luò)帶寬的使用。如果要限制為傳遞事件而進(jìn)行網(wǎng)絡(luò)連接的頻率,則適于選擇此選項。此選項使用推傳遞模式,并將批次超時設(shè)置為6小時。此外,還使用6小時的檢測信號間隔。
● 最小化滯后時間:此選項確保以最小的延遲傳遞事件。如果正在收集警報或關(guān)鍵事件,則適于選擇此選項。此選項使用推傳遞模式,并將批次超時設(shè)置為30 s。
⑤ “協(xié)議”和“端口”使用默認(rèn)值即可
⑥ 單擊“確定”按鈕,關(guān)閉“高級訂閱設(shè)置”對話框,返回到“訂閱屬性”對話框,如圖4-50所示。
圖4-50 高級訂閱設(shè)置之四
第4步,單擊“確定”按鈕,完成訂閱的設(shè)置,如圖4-51所示。
圖4-51 創(chuàng)建訂閱之四
4.3.3 閱覽事件
事件完成后,查看其他計算機(jī)的事件和查看本地計算機(jī)的事件方法相同,如果事件過多,管理員可以使用“篩選”功能,查找需要的日志。
第1步,登錄事件收集服務(wù)器,打開“服務(wù)器管理器”窗口,選擇“服務(wù)器管理器”→“診斷”→“事件查看器”→“Windows日志”選項,顯示如圖4-52所示的“服務(wù)器管理器”窗口。
圖4-52 閱覽事件之一
第2步,選擇“系統(tǒng)”選項,顯示事件收集服務(wù)器已經(jīng)收集的所有事件,如圖4-53所示。
圖4-53 閱覽事件之二
第3步,右擊“系統(tǒng)”,在彈出的快捷菜單中選擇“篩選當(dāng)前日志”命令,顯示如圖4-54所示的“篩選當(dāng)前日志”對話框。
圖4-54 閱覽事件之三
第4步,在“計算機(jī)”文本框中,鍵入要篩選的目標(biāo)計算機(jī)名稱,例如Vista.book.com,如圖4-55所示。
圖4-55 閱覽事件之四
第5步,單擊“確定”按鈕,從事件收集服務(wù)器中篩選出目標(biāo)計算機(jī)的所有日志,如圖4-56所示。
圖4-56 閱覽事件之五
- 基于C語言的程序設(shè)計
- 樂高機(jī)器人:WeDo編程與搭建指南
- 電力自動化實用技術(shù)問答
- 輕松學(xué)Java Web開發(fā)
- 樂高機(jī)器人EV3設(shè)計指南:創(chuàng)造者的搭建邏輯
- 西門子PLC與InTouch綜合應(yīng)用
- 數(shù)據(jù)庫原理與應(yīng)用技術(shù)學(xué)習(xí)指導(dǎo)
- Visual C# 2008開發(fā)技術(shù)詳解
- PyTorch深度學(xué)習(xí)實戰(zhàn)
- 西門子S7-200 SMART PLC實例指導(dǎo)學(xué)與用
- 計算機(jī)組網(wǎng)技術(shù)
- 啊哈C!思考快你一步
- 嵌入式Linux系統(tǒng)實用開發(fā)
- 網(wǎng)絡(luò)服務(wù)器搭建與管理
- MPC5554/5553微處理器揭秘