官术网_书友最值得收藏!

<menuitem id="nfbzm"></menuitem>

<object id="nfbzm"></object>

<small id="nfbzm"></small>

<pre id="nfbzm"></pre><del id="nfbzm"></del>

書名：系統與服務監控技術實踐
作者名：王淑江主編
本章字數： 378字
更新時間： 2019-03-01 22:22:14

4.4 事件管理任務

事件是標志計算機系統是否正常運行的重要標志，管理好計算機系統中的日志，是管理員的必修課。本節以Windows Server 2008為例說明常見的事件日志管理任務。

4.4.1 清除事件日志

事件日志過多或者監控新的管理任務前，管理員可以清除已經存在的日志。以清除應用程序日志為例說明。

第1步，打開事件查看器，選擇“事件查看器”→“Windows日志”→“應用程序”選項，如圖4-57所示。

圖4-57 清除事件日志之一

第2步，右擊“應用程序”，在彈出的快捷菜單中選擇“清除日志”命令，如圖4-58所示。

圖4-58 清除事件日志之二

第3步，命令執行后，顯示如圖4-59所示的“事件查看器”對話框。提示管理員要進行的操作，清除日志前是否需要保存日志。

圖4-59 清除事件日志之三

第4步，如果需要保存，選擇“保存并清除”按鈕，否則選擇“清除”按鈕。日志清除后，在右側的事件列表中，顯示的事件個數為0，如圖4-60所示。

圖4-60 清除事件日志之四

4.4.2 設置日志大小以及保留策略

事件日志存儲在文件中，管理員可以更改日志默認值。以設置安全日志為例說明。

第1步，打開事件查看器，選擇“事件查看器”→“Windows日志”→“安全”選項，如圖4-61所示。

圖4-61 設置日志大小以及保留策略之一

第2步，右擊“安全”，在彈出的快捷菜單中選擇“屬性”命令，如圖4-62所示。

圖4-62 設置日志大小以及保留策略之二

第3步，命令執行后，顯示如圖4-63所示的“常規”對話框。在“日志最大大小”文本框中，設置日志的最大值。注意，日志大小必須是64 KB的倍數，且不能小于1024 KB，如果隨意鍵入日志的最大值，將自動取整為最接近64 KB的倍數。

圖4-63 設置日志大小以及保留策略之三

第4步，在“達到事件日志最大大小”區域，設置日志的處理方式。事件存儲在只能增長到可配置的最大值的日志文件中。文件大小達到其最大值后，傳入事件所發生的情況由日志保留策略決定。保留策略如表4-3所示。

表4-3 日志保留策略

4.4.3 事件轉儲

Windows Server 2008操作系統支持事件日志的導入和導出，在事件查看器的多個模塊中，都支持此功能。

1. 導出日志

導出日志，將本機中日志存成文件，可以備份或者在其他的計算機上查看，可以作為計算機是否健康的“證據”。

第1步，登錄目標服務器，打開“服務器管理器”窗口，選擇“服務器管理器”→“診斷”→“事件查看器”→“Windows日志”選項，顯示如圖4-64所示的“服務器管理器”窗口。

圖4-64 導出日志之一

第2步，以“系統”日志為例說明。右擊“系統”，在彈出的快捷菜單中選擇“將日志文件另存為”命令，顯示如圖4-65所示的“另存為”對話框。

圖4-65 導出日志之二

第3步，選擇目標文件夾，鍵入日志文件的名稱，單擊“保存”按鈕，顯示如圖4-66所示的“顯示信息”對話框。日志文件的默認保存格式為“evtx”。

圖4-66 導出日志之三

第4步，單擊“確定”按鈕，成功保存日志，如圖4-67所示。

圖4-67 導出日志之四

2. 查看保存的日志

日志轉儲后，可以在Windows Server 2008或者Windows Vista操作系統中，查看保存的日志。以Windows Vista操作系統為例說明如何查看保存的日志。

第1步，將日志文件復制到運行Windows Vista操作系統的客戶端計算機。

第2步，右擊“計算機”，在彈出的快捷菜單中選擇“管理”命令，打開“計算機管理”窗口。選擇“計算機管理”→“系統工具”→“事件查看器”選項，顯示如圖4-68所示的“計算機管理”窗口。

圖4-68 查看保存的日志之一

第3步，右擊“事件查看器”，在彈出的快捷菜單中選擇“打開保存的日志”命令，顯示如圖4-69所示的“打開保存的文件”對話框。

圖4-69 查看保存的日志之二

第4步，選擇日志文件，單擊“打開”按鈕，顯示如圖4-70所示的“打開保存的文件”對話框。

圖4-70 查看保存的日志之三

第5步，單擊“確定”按鈕，打開日志文件，即可查看導入的日志，如圖4-71所示。

圖4-71 查看保存的日志之四

4.4.4 自定義事件視圖

在系統運行過程中，將產生大量事件，尤其是在多服務器的Active Directory環境中，查看事件是一項枯燥而且乏味的工作。管理員可以根據需要定制需要引起注意的事件，例如錯誤事件和警告事件，正常的事件將不需要顯示。下面介紹自定義事件的創建方法。

第1步，登錄事件收集服務器或者Active Directory服務器，打開“服務器管理器”窗口，選擇“服務器管理器”→“診斷”→“事件查看器”選項，顯示如圖4-72所示的“服務器管理器”窗口。

圖4-72 自定義事件視圖之一

第2步，右擊“自定義視圖”，在彈出的快捷菜單中選擇“創建自定義視圖”命令，顯示如圖4-73所示的“創建自定義視圖”對話框。

圖4-73 自定義事件視圖之二

① 管理員如果要僅查看出現“錯誤”事件日志，在“事件級別”區域中，選擇“錯誤”選項。

② 選擇“按日志”單選按鈕，在“事件日志”下拉列表框中，選擇日志來源，如圖4-74所示。

圖4-74 “創建自定義視圖”對話框

③ 單擊“確定”按鈕，顯示如圖4-75所示的“事件查看器”對話框。提示管理員選擇的事件類別多余10個，將引起性能問題。

圖4-75 “事件查看器”對話框

④ 單擊“是”按鈕，顯示如圖4-76所示的“將篩選器保存到自定義視圖”對話框，鍵入自定義視圖的名稱，以及自定義視圖在事件查看器中的位置。

圖4-76 “將篩選器保存到自定義視圖”對話框

第3步，單擊“確定”按鈕，完成自定義視圖的創建，如圖4-77所示。在事件列表中，顯示的所有事件級別全部是“錯誤”。

圖4-77 自定義事件視圖之三

主站蜘蛛池模板：靖西县| 平和县| 蓝田县| 治多县| 开平市| 河北省| 金乡县| 樟树市| 禄丰县| 娱乐| 镇江市| 昌宁县| 深水埗区| 山阴县| 修水县| 临沧市| 和硕县| 永年县| 大连市| 双鸭山市| 东源县| 贺州市| 故城县| 太仆寺旗| 行唐县| 同德县| 乌什县| 寻甸| 仁布县| 湖口县| 合水县| 宁国市| 平乡县| 石柱| 金塔县| 古丈县| 潞城市| 延寿县| 和田市| 井冈山市| 宁武县|