Шрифт:
Интервал:
Закладка:
Примечание
В каталоге %userprofile%AppDataLocalMicrosoftEvent Viewer находится файл Settings.xml. Он содержит настройки оснастки Просмотр событий, описанные в XML-формате. Одной из таких настроек является тег <DirectChannelsVisible>. Если между скобками установить значение 1, то в разделе Журналы приложений и служб оснастки также будут отображаться журналы, содержащие сведения об отладке и трассировке компонентов операционной системы (напротив этих журналов отображаются значки зеленого и синего цвета). По умолчанию данные журналы не отображаются.
Работа со всеми этими журналами аналогична работе со стандартными журналами операционной системы.
Раздел Подписки
С помощью данного раздела можно подписаться на события (под событием понимается создание записи от определенной службы или компонента операционной системы в системном журнале удаленного компьютера), возникающие на удаленных компьютерах. Когда событие, на которое вы подписались, произойдет, будет создана соответствующая запись в журнале Пересланные события (по умолчанию, но его можно изменить).
Чтобы подписаться на событие, нужно в контекстном меню раздела Подписки выбрать команду Создать подписку. После этого отобразится окно, представленное на рис. 5.14.
Рис. 5.14. Окно создания подписки на событияВ окне расположены следующие элементы. • Название подписки – определяет название подписки. Можете указать любое.
• Описание – указывает описание подписки.
• Журнал на конечном компьютере – этот раскрывающийся список позволяет указать журнал, в который будут помещаться записи о возникающих событиях, указанных в данной подписке. По умолчанию используется стандартный журнал Пересланные события. Однако вы можете выбрать любой другой несистемный журнал.
• Исходные компьютеры – поле содержит список компьютеров, на которых будет отслеживаться возникновение определенных событий. С помощью кнопки Добавить можно добавить в список новый компьютер. С помощью кнопки Удалить можно удалить определенный компьютер из списка. С помощью кнопки Проверить можно послать запрос WinRM, чтобы проверить корректность работы необходимых служб.
• Выбрать события – этот раскрывающийся список позволяет создать новый фильтр либо воспользоваться уже существующим. Если вы выберете элемент Изменить данного списка, то откроется уже знакомое вам окно создания фильтра. Именно на основе данного фильтра будут определяться записи журналов удаленного компьютера, которые будут отображаться в журнале Пересланные события локального компьютера.
• Дополнительно – после нажатия данной кнопки перед вами отобразится окно Дополнительные параметры подписки. С его помощью можно изменить учетную запись, от имени которой будет выполняться подписка на события, а также порт, по которому будет установлено соединение с удаленным компьютером, и один из режимов оптимизации использования пропускной способности сети.
Существует несколько режимов оптимизации: Настраиваемая, Уменьшенная пропускная способность, Уменьшенная задержка и Обычная. Друг от друга они отличаются значениями четырех параметров реестра , которые расположены соответственно в подразделах Custom, MinBandwidth, MinLatency и Normal ветви HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionEventCollector Conf igurationModes. Вот эти параметры реестра.
• DeliveryMode – имеет строковый тип и может принимать значения push (используется режимами оптимизации Уменьшенная пропускная способность и Уменьшенная задержка) или pull (используется режимами оптимизации Настраиваемая и Обычная). Он определяет способ доставки событий (кто именно инициирует процесс доставки сведений о событии).
• HeartBeatlnterval – параметр имеет тип REG_DWORD и определяет интервал проверки возникновения событий. Значение данного параметра равно 3600000, 21600000, 3600000 и 900000, соответственно, для режимов оптимизации Настраиваемая, Уменьшенная пропускная способность, Уменьшенная задержка и Обычная.
• MaxI terns – параметр REG_DWORD-типа. Он определяет максимальное количество событий в коллекции. Для режима оптимизации Обычная значение данного параметра равно 5, а для остальных режимов – 2 0.
• MaxLatencyTime – имеет тип REG_DWORD и определяет максимальное время ожидания возникновения событий. Значение данного параметра равно 900000, 21600000, 30000 и 900000, соответственно, для режимов оптимизации Настраиваемая, Уменьшенная пропускная способность, Уменьшенная задержка и Обычная.
Сведения о созданных подписках хранятся в ветви реестра НКЕ Y_LOC AL_MACH INE SOFTWAREMicrosoftWindowsCurrentVersionEventCollector Subscriptions. Каждая созданная подписка имеет в этой ветви свой собственный подраздел, название которого соответствует названию подписки. Каждый из этих подразделов хранит одни и те же параметры, большинство из которых изменяются с помощью окна Свойства подписки. Знание этих параметров может пригодиться при автоматическом создании подписок. Кроме того, чтобы создать подписку с помощью окна Свойства подписки, необходимо получить доступ к компьютеру-назначению по сети (если доступ к нему в данный момент отсутствует, то вы не сможете создать подписку). А при создании подписки с помощью реестра не имеет значения, доступен ли удаленный компьютер в данный момент.
• Enabled – этот параметр REG_DWORD-типа определяет, выполняется ли сбор событий на основе подписки в данный момент.
• Conf igurationMode – имеет строковый тип и определяет используемый подпиской режим оптимизации. Он может принимать следующие значения: Normal, Custom, MinBandwidth, MinLatency.
• Query – этот параметр строкового типа указывает запрос. На основе этого запроса определяются события, на которые выполнена данная подписка.
• TransportName – имеет строковый тип и определяет протокол, используемый для транспортировки событий. По умолчанию используется протокол HTTP, однако можно присвоить данному параметру значение HTTPS, чтобы использовался защищенный протокол.
• TransportPort – этот параметр строкового типа определяет порт, используемый для транспортировки событий.
• DeliveryMode, Maxltems, MaxLatencyTime, HeartBeatlnterval – смотрите одноименные параметры подразделов ветви HKEY_LOCAL_MACHINE SOFTWAREMicrosoftWindowsCurrentVersionEventCollector Conf igurationModes, описанные выше.
• CommonUserName – этот параметр строкового типа определяет имя пользователя, от имени которого выполняется подключение к удаленному компьютеру.
• CredentialType – имеет строковый тип и определяет тип аутентификации пользователя на удаленном компьютере. По умолчанию используется значение Default.
Кроме того, существует несколько параметров реестра , влияющих на работу всех подписок. Они содержатся в ветви реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionEventCollectorGlobals и имеют ТИП REG_DWORD:
• Retrylnterval – определяет интервал, с которым операционная система будет пытаться получить сведения о возникшем событии, на которое есть подписка;
• RetryCount – указывает максимальное количество повторов на получение сведений о событии.
Работа со стандартными журналами Windows с помощью команды wevtutil.exe
Работать со стандартными журналами Windows можно и с помощью новой программы командой строки операционной системы Windows Vista. Чтобы просмотреть полный перечень возможностей данной команды и их описание, нужно воспользоваться командой wevtutil /?. Мы же на страницах данной книги рассмотрим только основные команды данной программы.
• Wevtutil el – отображает список стандартных журналов операционной системы локального компьютера.
• Wevtutil el /г:<компьютер> /и:<пользователь> /р:<пароль>– выводит список стандартных журналов операционной системы удаленного компьютера, используя для подключения к нему указанное имя пользователя и пароль. Можно также использовать параметр /а: для определения способа аутентификации пользователя на удаленном компьютере. Можно указать следующие значения данного параметра: Default, Negotiate, Kerberos или NTLM.
• Wevtutil gl <имя стандартного журнала> – отображает настройки стандартного журнала локального или удаленного компьютера. Эта команда выводит следующие настройки журналов: имя, включен или отключен в данный момент, тип, имя создателя, права доступа, путь к файлу, максимальный размер файла, выполняется ли его автоматическая архивация и т. д.
• Wevtutil si <имя стандартного журнала> <изменяемый параметр журнала> – позволяет изменить параметры работы определенного журнала. Они изменяются с помощью следующих установок.
– /e:<true или false> – позволяет включить или отключить запись в данный журнал.
– /i:<определяет способ изоляции> – позволяет изменить способ изоляции, определяющий сессию, с которой данный журнал разделяет работу. Например, значение данного параметра может быть равно system или application.
– /lfn:<новое имя журнала> – изменяет имя выбранного журнала.
– /rt:<true или false> —если значение данного параметра равно false, то новые события будут переписывать собой старые события журнала. В противном случае старый файл журнала будет сохраняться.
- Серверные технологии хранения данных в среде Windows® 2000 Windows® Server 2003 - Наик Дайлип - Программное обеспечение
- Знакомьтесь: Windows 7 - Владимир Пташинский - Программное обеспечение
- Windows Vista. Мультимедийный курс - Олег Мединов - Программное обеспечение