0514 Windows Server 2008 事件管理機制

Slide 1: Windows Server 2008 事件管理機制曹祖聖台灣微軟資深講師 jimycao@syset.com http://teacher.allok.com.tw MCP, MCP+I, MCSA, MCSE,MCDBA, MCAD, MCSD, MCT, MVP

Slide 2: 大綱 • Windows Server 2008 事件處理架構 • 全新的事件檢視器工具 • XML 格式事件 • 事件的類型 • 事件的過濾 • 工作排程的整合 • 事件的儲存與轉送 • 錄檔自訂事件記與事件 • 收集事件到資料庫中

Slide 4: Windows Server 2008 的事件記錄加強事件 Windows Server 新的事件報表基礎架構 2008 更多更詳細事件記錄事件轉送的事件

Slide 5: Windows 事件處理流程 Start Build Management Model No Windows Yes Server Longhorn? Use Use Windows NT Eventing Eventing 6.0 Create Create Event Localize Create Manifest Install Localize Event Message File Events From Health Model Manifest Events Source Write Installer Finish

Slide 6: Windows Eventing 6.0 架構 Event 事件提供者 Channel Metadata Events Event Channel Manifest Configuration LOG Provider Metadata 錄檔事件記組態管理工具

Slide 7: Kernel Transaction Manager (KTM) • 在過去，應用程式很難修復因為修改檔案或系統機碼所造成的錯誤 • Windows Server 2008 實作了核心交易管理員 (KTM) • 所有的變更都可以透過交易來控制 • 其它廠商可以進一步延伸這個功能到其它資源管理員上 • 核心交易管理員會負責協調應用程式與資源管理員的交易 • 系統機碼與 NTFS 都支援這項功能 • Windows Update 和 System Protection 都使用這項功能 • 透過 DTC 與其它資料來源進行交易處理 • Windows Server 2003 R2 開始就支援 Common Log File System (Clfs.sys) 提供有效率的交易記錄

Slide 8: Managed Transactional Infrastructure System.Tx LTM SQL DTC MSMQ Native KtmRm KtmW32 SMB2 KTM WCF Kernel NTFS Registry CLFS

Slide 9: 錄 Windows 事件記簡介事件記記錄檔錯誤 • 應用程式 Windows 作業系統上應用程式的事件 • 安全性系統稽核事件 • 系統作業系統本身的事件 • 錄目服務網域控制站的事件 • DNS 伺服器 DNS 伺服器事件 • 檔案複寫服務 FRS 事件 9 / 63

Slide 10: demo 如何檢視事件記錄

Slide 12: 全新的事件檢視器事件檢視器更多的新的選項所有事件的摘要跨事件記錄檔查詢最近使用過的事件檢視 • 新的事件檢視器摘要將查詢儲存成檢視記錄檔摘要 • 所有的事件記錄檔對事件指定排程工作 • Actions pane 以事件類型排序 • 最新的事件

Slide 13: demo 全新的事件檢視器

Slide 15: 加強事件基礎架構 • 事件架構定義在 XML Schema • 事件以 XML 格式儲存 • 支援 XML 查詢

Slide 16: demo XML 格式的事件

Slide 18: 事件的類型資訊警告錯誤

Slide 19: 事件類型 • 管理型事件 IT 人員使用 • 操作型事件監控工具使用 • 偵錯與追蹤事件開發人員使用

Slide 20: demo 操作型事件以角色為基礎的事件分類

Slide 21: 硬體錯誤報告 • 在過去，硬體的錯誤並沒有一個標準的管道進行回報 • 沒有任何硬體錯誤回報的標準 • 核心中並沒有一套收集與回報硬體錯誤的機制 • Windows Server 2008 內建硬體錯誤報架構 Windows Hardware Error Architecture (WHEA) • 透過外掛支援各類型的硬體錯誤標準 • 所有錯類型使用一致的錯誤格式 • 方便查詢錯誤來源

Slide 22: demo 硬體錯誤事件記錄檔

Slide 24: 跨記錄檔查詢跨記錄檔查詢

Slide 25: demo 跨記錄檔搜尋事件

Slide 27: 工作排程在指定時間執行工作在指定事件發生時執行工作在使用者登入時執行工作在電腦閒置時執行工作

Slide 28: 工作排程 General: 名稱、說明 Triggers: 什麼時候要執行 ? Actions: 要執行什麼 ? Conditions: 執行條件 Settings: 工作的行為設定

Slide 29: demo 附加動作

Slide 31: 錄檔如何保留記錄檔 • 保留記的用途 : 狀追蹤資源使用的況追蹤資源使用的追蹤資源使用的趨勢錄保留相關記以供未來法律用途保留相關記錄檔 • 保留記的格式 : 事件日誌格式 ( *.evtx ) XML 格式 (*.xml) 純文字 ( 以 Tab 分隔 ) ( *.txt ) CSV ( 以逗號分隔 ) ( *.csv ) 31 / 63

Slide 32: demo 儲存事件

Slide 33: 事件轉送

Slide 34: demo 事件轉送

Slide 36: 錄檔如何新增記 • 錄檔所有的事件記都註冊在系統機碼中 : HKLMSystemCurrentControlSetServicesEventLog Const NO_VALUE = Empty Const regEventLog = "HKLMSystemCurrentControlSetServicesEventLog" Const newLog = "Script" Set WshShell = WScript.CreateObject("WScript.Shell") WshShell.RegWrite regEventLog + "" + newLog, NO_VALUE

Slide 37: 錄檔如何新增事件到記 #1 Const EVENT_SUCCESS = 0 Set objShell = Wscript.CreateObject("Wscript.Shell") 啟 objShell.LogEvent EVENT_SUCCESS, " 世紀帝國動成功 !" Type Value 0 SUCCESS 1 ERROR 2 WARNING 4 INFORMATION 8 AUDIT_SUCCESS 16 AUDIT_FAILURE

Slide 38: 錄檔如何新增事件到記 #2 • 使用 eventcreate.exe 命令列工具 eventcreate [/S system [/U username [/P [password] ] ] ] /ID eventid [/L logname] [/SO srcname] /T type /D description type: SUCCESS 、 ERROR 、 WARNING 、 INFORMATION id: 1 – 1000 Set WshShell = WScript.CreateObject("WScript.Shell") strCommand = "eventcreate /T Error /ID 100 /L Scripts /D " _ & Chr(34) & "Test event." & Chr(34) WshShell.Run strcommand

Slide 39: demo 使用 WMI 新增事件記錄檔與事件

Slide 41: 如何備份記錄檔到資料庫即時傳訊系統工作站安安全全性性記記錄錄即時入侵分析系統錄安全性記伺服器 WMI + ADO 事件收集主機 SQL 後續分析集中收集與管理事件 41 / 63

Slide 42: demo 如何備份記錄檔到資料庫

Slide 43: 結論 • 全新的 XML 事件處理架構 • 方便事件搜尋與跨防火牆傳送事件 • 與工作排程整合 • 支援交易處理

Slide 44: 在何處取得 TechNet 相關資訊？ • 訂閱 TechNet 資訊技術人快訊 http://www.microsoft.com/taiwan/technet/flash/ • 訂閱 TechNet Plus http://www.microsoft.com/taiwan/technet/ • 參加 TechNet 的活動 http://www.microsoft.com/taiwan/technet/ • 下載 TechNet 研討會簡報與錄影檔 http://www.microsoft.com/taiwan/technet/webcast/

Slideshare.net (beta)