Мониторинг журнала событий Monitor Event Log

Эта версия Orchestrator достигла конца поддержки, мы рекомендуем выполнить обновление до Orchestrator 2019. This version of Orchestrator has reached the end of support, we recommend you to upgrade to Orchestrator 2019.

Действие Мониторинг журнала событий вызывает модули Runbook, когда новые события, соответствующие заданному фильтру, отображаются в журнале событий Windows. The Monitor Event Log activity invokes runbooks when new events that match a filter that you specify appear in the Windows Event Log. Вы можете использовать действие Мониторинг журнала событий для запуска модулей Runbook, которые будут повышать, исследовать или исправлять любые проблемы в ответ на события, создаваемые в журнале событий Windows. You can use the Monitor Event Log activity to run runbooks that will escalate, investigate, or correct any issues in response to events being generated to the Windows Event Log. Например, в журнале безопасности появляется ошибка аудита безопасности, которая отправляет администратору сообщение электронной почты для уведомления о проблеме. For example, a security audit failure appears in the security log which will send an email to an administrator to notify them of the problem. Второй режим вызывает модуль Runbook, когда размер журнала событий Windows достигает максимально допустимого размера. The second mode invokes your runbook when the size of the Windows Event Log reaches the maximum size allowed.

Настройка действия «Мониторинг журнала событий» Configuring the Monitor Event Log Activity

Перед настройкой действия «Мониторинг журнала событий» необходимо определить следующее: Before you configure the Monitor Event Log activity, you need to determine the following:

Имя отслеживаемого журнала событий Name of the event log you are monitoring

Сведения о событиях, которые будут вызывать Runbook Details about the events that will invoke the runbook

Чтобы настроить действие Мониторинг журнала событий, выполните следующие действия. Use the following steps to configure the Monitor Event Log activity.

Настройка действия «Мониторинг журнала событий» To configure the Monitor Event Log activity

В области действие перетащите действие мониторинг журнала событий в модуль Runbook. From the Activity pane, drag a Monitor Event Log activity to the runbook.

Дважды щелкните значок действия » мониторинг журнала событий «, чтобы открыть диалоговое окно » свойства «. Double-click the Monitor Event Log activity icon to open the Properties dialog box.

Настройте параметры на вкладке » сведения » и на вкладке » Дополнительно «. Инструкции по настройке приведены в следующих таблицах. Configure the settings on the Details tab and on the Advanced tab. Configuration instructions are listed in the following tables.

Вкладка «Подробные сведения» Details Tab

Параметры Settings	Инструкции по настройке Configuration Instructions
Компьютер Computer	Введите имя компьютера, на котором хранится журнал событий Windows, который требуется отслеживать. Type the name of the computer that stores the Windows Event Log that you want to monitor. Можно также просмотреть компьютер с помощью кнопки с многоточием (. ) . You can also browse for the computer using the ellipsis (. ) button. Сервер Runbook, выполняющий это действие, должен иметь соответствующие права для отслеживания журнала событий Windows на этом компьютере. The runbook server that runs this activity must have the appropriate rights to monitor the Windows Event Log on that computer.
Журнал событий Event log	Введите имя отслеживаемого журнала событий Windows. Type the name of the Windows Event Log that you are monitoring. Можно также просмотреть журнал событий Windows с помощью кнопки с многоточием (. ) . You can also browse for the Windows Event Log using the ellipsis (. ) button. По умолчанию Windows включает три журнала событий: Application, Security и System. Windows includes three Event Logs by default: Application, Security, and System. Компьютер, к которому вы подключаетесь, может содержать другие журналы событий. The computer that you are connecting to may contain other Event Logs.
Фильтры сообщений Message filters	Список содержит все фильтры, настроенные для фильтрации событий, созданных в указанном журнале. The list shows all the filters that have been configured to filter the events that are generated in the log that you have specified. Чтобы изменить или удалить элемент в списке, выберите его и нажмите кнопку изменить или Удалить , если это применимо. To edit or remove an item in the list, select it and click Edit or Remove as applicable.

Добавление фильтра событий To add an event filter
1. Нажмите кнопку » Добавить «, чтобы открыть диалоговое окно » Свойства фильтра «. 1. Click Add to open the Filter Properties dialog box.
2. Выберите свойство записи журнала событий, для которой выполняется фильтрация. 2. Select the property of the event log entry that you are filtering against. Можно выполнить фильтрацию по категории, описанию, идентификатору события, источнику и типу , который является атрибутом события. You can filter against the Category, Description, Event ID, Source, and Type that is attributed to the event.
3. Укажите отношение, используемое для сравнения значения свойства события со значением фильтра. 3. Specify the relation you are using to compare the value of the event property to the filter value. При выборе категории, описания, типа и источника можно указать, содержит или не содержит. If you select Category, Description, Type, and Source you can specify Contains or Does not contain. Для идентификатора события можно указать значение, отличное от, равно, меньше, меньше или равно, больше или равно. For Event ID you can specify is different than, is equal to , is lower than, is lower than or equals, is more than, and is more than or equals.
4. Укажите значение фильтра, по которому сравнивается свойство события. 4. Specify the filter value that you are comparing the event property against. В поле Категория, Описание и источник введите строку, содержащуюся в свойстве. For Category, Description, and Source, enter the string that is contained within the property. В поле идентификатор события введите числовое значение, которое будет сравниваться с идентификатором события. For Event ID, enter the numeric value that will be compared against the ID of the event. В поле Условие типа выберите тип события, которое требуется отфильтровать, например Ошибка, предупреждение, информация, Аудит успехов или Аудит отказов. For the Type condition, select the specific type of event that you want to filter for such as Error, Warning, Information, Success Audit, or Failure Audit.

Опубликованные данные Published Data

В следующей таблице перечислены опубликованные элементы данных. The following table lists the published data items.

Средства протоколирования событий Windows

В этой статье рассматриваются средства протоколирования событий, доступные в Windows-системах. Они помогают обнаруживать проблемы в системе и определять их причины, следить за приложениями и сервисами, а также поддерживать безопасность операционной системы. Когда система замедляется, ведет себя непредсказуемо или демонстрирует другое ошибочное поведение, нелишне заглянуть в журналы событий и попытаться определить потенциальный источник проблем. После того как причина ошибок обнаружена, можно провести плановое или внеочередное обслуживание для их устранения. С помощью триггеров событий, следящих за событиями и выполняющих требуемые действия при их возникновении, можно даже автоматизировать процесс мониторинга и обслуживания.

Протоколирование событий Windows

В Microsoft Windows событие (event) — это любое значительное происшествие в операционной системе, которое требует уведомления пользователей или администраторов. События сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику.

Администраторам следует тщательно следить за журналами событий всех бизнес-серверов и настраивать рабочие станции на сохранение важных системных событий. На серверах надо следить за безопасностью системы, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность.

На рабочих станциях следует убедиться в том, что события, необходимые для поддержки систем и устранения ошибок, протоколируются и что соответствующие журналы вам доступны. Windows-служба, управляющая протоколированием событий, называется Event Log (Журнал событий).

При ее запуске Windows записывает важные данные в журналы. Доступность журналов в системе определяется ее ролью, а также установленными службами. Существует несколько журналов, в том числе следующие.

• Application (Приложение) — хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб.
• Directory Service (Служба каталогов) — на контроллерах домена этот журнал хранит события службы каталогов Active Directory, в том числе относящиеся к ее запуску, глобальным каталогам и проверкам целостности.
• DNS Server (DNS-сервер) — на DNS-серверах в этом журнале сохраняются DNS-запросы, ответы и прочие события DNS. По умолчанию помещается в %SystemRoot%\System32\ Config\Dnsevent.evt.
• File Replication Service (Служба репликации файлов) — на контроллерах домена и других серверах, использующих репликацию, этот журнал регистрирует действия в системе, связанные с репликацией файлов, в том числе события состояния и управления службой, сканирования данных на систем¬ных томах, а также управления наборами репликации.
• Security (Безопасность) — хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам.

Категории событий в журнале

Значимость событий варьируется от уведомлений до предупреждений общего характера и серьезных инцидентов вроде критических сбоев и ошибок. Категория события обозначается его типом. Существуют следующие типы:

• Information (Уведомление) — указывает на возникновение информационного события, обычно связанного с успешным действием;
• Warning (Предупреждение) — предупреждение общего характера. Зачастую помогает избежать последующих проблем в системе;
• Error (Ошибка) — критическая ошибка, например неудача при запуске службы;
• Success Audit (Аудит успехов) — успешное выполнение действий, которые вы отслеживаете через аудит, например использование какой-либо привилегии;
• Failure Audit (Аудит отказов) — неудачное выполнение действий, которые вы отслеживаете через аудит, например ошибка при входе в систему. Примечание Из множества типов событий внимательнее всего следует наблюдать за ошибками и предупреждениями. Если возникает событие этих типов и его причина не¬известна, нужно детально проанализировать его и определиться с дальнейшими действиями.

Кроме типа, у каждого события есть следующие связанные с ним свойства.

• Date/Time (Дата/Время) — определяет дату/время возникновения события.
• Event (Событие) — детализирует конкретное событие с числовым идентификатором, который называется кодом события (event ID).
• Source (Источник) — определяет источник события, на¬пример приложение, службу или компонент системы. Помогает выяснить причину события.
• Computer (Компьютер) — идентифицирует компьютер, ставший причиной события.
• Category (Категория) — определяет категорию события, иногда используемую для последующего описания допустимого действия. У каждого источника событий свои категории. Так, источник безопасности имеет следующие категории: вход/выход, использование привилегий, изменение политики и управление учетной записью.
• User (Пользователь) — определяет учетную запись пользователя, вызвавшую событие. К пользователям относятся особые сущности, например Local Service, Network Service и Anonymous Logon, а также учетные записи реальных пользователей.
• Description (Описание) — содержит подробное описание события, возможно, со сведениями о местонахождении дополнительной информации, которая поможет устранить проблему.

Просмотр событий Event Viewer

GUI-средство управления событиями называется Event Viewer (Просмотр событий). Для его запуска наберите в командной строке eventvwr для просмотра событий на локальном компьютере или eventvwr /computer-ИмяКомпьютера, где Имя Компьютера — имя удаленного компьютера, чьи события вы хотите проанализировать. Как и большинство GUI-средств, Event Viewer прост в обращении и полезен для определенных задач управления. Например, он используется для управления размером журналов событий, способами обработки протоколирования, а также архивированием журналов событий. Эти действия нельзя выполнить из командной строки. Однако Event Viewer плохо умеет фильтровать события и работать с журналами на удаленных компьютерах. Конечно, для этих задач можно применять и Event Viewer, но существуют другие, более подходящие для этих задач утилиты, в том числе следующие.

• Eventquery — просматривает журналы событий и отбирает записи, удовлетворяющие определенным требованиям. В сценарии Eventquery позволяет анализировать события на множестве систем и сохранять результаты в файле, облегчая поиск информации
• Eventcreate — создает пользовательские события в журналах. При запуске собственных сценариев по расписанию или при плановом обслуживании вам может потребоваться регистрация какого-либо действия в журналах, и в этом поможет Eventcreate.
• Eventtriggers — следит за определенными событиями в журналах и при их возникновении реагирует запуском заданий или команд. Используя триггеры событий, можно на¬строить систему на самонаблюдение. Триггеры событий похожи на задания, запускаемые по расписанию, с тем исключением, что они выполняются при возникновении событий, а не периодически или однократно.