2012年8月15日 星期三

Windows 系統維護利器--事件檢視器 (Windows system maintenance tool–Event Viewer)

一般伺服系統的運作過程複雜多變, 管理員必需能夠即時掌控系統上所發生的各種狀況,以便即早發現或診斷任何系統的異常現象來確保系統正常、穩定而安全運作,而系統運作過程中所留下的各種事件日誌和記錄無疑是管理員藉以掌控及診斷各種系統問題的主要來源與依據。

『事件檢視器』是微軟的 Microsoft Management Console (MMC) 嵌入式管理單元架構的管理工具,可讓您瀏覽和管理多種事件日誌,並針對特定事件觸發通知或執行程式,所以它可說是偵測、監控系統健康狀態以及異常問題診斷與疑難排解所不可或缺的工具。 例如當您發現系統上的某個應用程式或系統服務於啟動或執行時發生了非預期的異常狀況,這時候透過事件檢視器工具來檢查記錄檔就成為找出此問題原因並加以解決的主要依據。所以對系統管理員而言,如何善用事件檢視器以協助平日維護時所遭遇的各種的疑難問題之診斷與排除,就成為管理人員重要的學習課題,本文將說明與認識事件檢視器並學習如何使用事件檢視器以管理各項記錄檔。

Windows Vista/2008新增與加強的功能

從Windows Server 2008/Vista作業系統後,微軟對於的事件檢視器與記錄檔功能做了較大幅度的功能加強與擴充,而幾項特別值得留意的擴充功能為:

  1. 可將多部遠端電腦的事件收集至一部電腦來集中檢視管理,這提供了Windows系統具有類似遠端記錄的能力。
  2. 整合工作排程,可針對特定事件設定觸發特定的管理動作。
  3. 提供自訂檢視功能,只顯示使用者關切的事件,並可匯出為xml檔。
  4. 新增記錄檔類型:安裝記錄檔、轉送的事件 (ForwardedEvents) 記錄檔和應用程式及服務記錄檔。

啟用事件檢視器

管理人員只需經由『系統管理工具』功能表中,選取『事件檢視器』選項或直接執行eventvwr指令即可啟動事件檢視器,此外,也可以直接在『伺服器管理員』內的『診斷』樹狀目錄結構下找到並開啟使用它。

eventviewer

Windows 記錄檔類型

欲使用事件檢視器來協助管理人員進行各種監控與診斷作業之前,您需要先了解事件檢視器所收集的記錄類型。

預設上,Windows Server 2008/Windows 7包括了二大類型的記錄檔:「Windows記錄」與「應用程式及服務記錄檔」。

Windows記錄類別包含了三個傳統的 Windows 系統可用的記錄檔:應用程式、安全性及系統記錄檔以及兩個全新的記錄檔:安裝記錄檔與轉送的事件 (ForwardedEvents) 記錄檔

系統記錄檔

系統記錄乃是由系統元件所記錄的事件, 包括了Windows Server 2008載入和執行各種網路服務、驅動程式等系統元件過程中所記錄的事件。例如,啟動驅動程式或其他系統元件載入失敗,網路服務的執行運作結果均會被記錄在系統記錄內。Windows Server 2008預先定義並決定系統元件所記錄的事件類型。

※ 應用程式記錄檔

應用程式記錄檔包含由特定應用程式、軟體元件所記錄的事件。例如,資料庫程式會將檔案錯誤記錄在應用程式日誌中,致於要記錄哪些事件是則由程式開發者所決定。

※ 安全記錄檔

安全日誌可以記錄安全性變更及稽核原則所定義的事件,讓管理員了解什麼人在什麼時間於系統上做過那些事 (例如成功或失敗的登入嘗試、是否建立、開啟或刪除檔案)。使用安全日誌時系統管理員需要先透過『本機安全性原則』或『群組原則』(Active Directory目錄服務環境)來定義稽核原則(Define Audit Policy),用以指定安全日誌內所要記錄的事件項目。例如:如果您啟用了登入稽核原則,則安全日誌中將會記錄登入系統的嘗試,所以安全日誌可以用來幫助管理人員進行系統安全性的查核工作。此外,由於稽核所產生的安全性記錄內容,裡面可能涵蓋了一些機密性資料,所以本記錄檔另一個與系統和應用程式記錄不同之處在於其檢視權限,因為並不像系統或應用程式記錄檔一樣,任何人均可觀看,只有administratyors群組成員可以檢視安全性記錄檔的內容。 

auditpolicy

※ 安裝記錄檔

安裝記錄檔包含了應用程式安裝的相關事件。

※ 轉送的事件記錄檔

轉送的事件記錄檔是用來儲存從遠端電腦所收集的事件,不過若需要從遠端電腦收集事件,您必須先建立事件訂閱。

應用程式及服務記錄檔

至於另一種『應用程式及服務』記錄檔則是Windows Server 2008?Vista之後所新增的記錄類型。『應用程式及服務』記錄檔通常是來自單一應用程式或單一元件的事件記錄,而非有整體系統衝擊影響的記錄檔。

應用程式及服務記錄檔類別包含四個子類型:『系統管理(Admin)』、『作業(Operational)』、『分析(Analytic)』及『偵錯(Debug)』記錄檔,使用事件檢視器進行問題疑難排解的 IT 專業人員,會對系統管理記錄檔中的事件特別感興趣,因為系統管理記錄檔中的事件應可提供您如何回應這些事件的相關指引,而作業記錄檔中的事件對 IT 專業人員來說也很有用,不過這些事件可能需要更多解譯。分析記錄檔會儲存與追蹤問題的事件,因此通常會記錄大量事件,至於偵錯記錄檔則是開發人員偵錯應用程式時所使用的記錄檔,分析與偵錯記錄檔都預設為隱藏並停用。這些記錄檔大多不是一般使用者易懂的記錄檔,而是需更進一步追蹤與解釋某特定問題根源時才會用到。

您可以在事件檢視器工具內的【Windows記錄】樹狀目錄下看到這一堆記錄檔。預設上,這些記錄檔分別儲存在%systemroot%\system32\winevt\logs目錄下的.EVTX檔案

evtx 

Windows 記錄檔基本維護與管理

為了讓這些記錄檔符合每個管理員不同的環境或偏好使用需求,您可能需要執行一些記錄檔的基本維護或變更設定工作:

  • 變更記錄檔路徑
  • 變更記錄檔大小
  • 清除記錄檔
  • 篩選記錄檔
  • 另存記錄檔
  • 建立自訂檢視

變更記錄檔路徑與變更記錄檔大小

預設的Windows 記錄檔大小為20MB,一旦記錄檔滿了之後,就會覆蓋最舊的記錄,另一方面,記錄檔的位置為%systemroot\system32\winevt,所以管理員若基於空間上的考量或希望能夠儲存較長或較短的記錄歷程,則可以變更其大小’存放位置以及變更記錄檔達到上限後的處理方式,您只要啟動記錄檔的內容對話方塊,即可變更這些項目,下圖顯示了記錄檔的內容設定,

log_property

清除記錄檔

若目前記錄檔內容已有封存或不再需要,您可以將其清除,只要在記錄檔上的右鍵功能表選取『清除記錄檔』並在提示對話盒上選取『儲存並清除』或『清除』即可。

clearlog2

篩選記錄檔

由於預設的Windows記錄檔有20MB大小,所以記錄檔案經常會存放數萬筆記錄之多,若您希望能夠從數量眾多的記錄中快速的找出感興趣的記錄就得透過事件檢視器的尋找或篩選功能,篩選記錄的功能能夠讓您同時以多種不同記錄欄位為依據進行篩選,然後只會顯示那些符合所選篩選規則的記錄,管理員只需針對某特定記錄的右鍵功能表選取『篩選目前的記錄』,並在出現的『篩選目前的記錄』對話方塊上依據需求選擇適當的篩選方法,最後將只會顯示出所篩選的結果於畫面上,您可以在檢視視窗最上頭看到目前記錄檔的篩選方法,如果不再需要篩選顯示時,可按對話方塊上的『清除』按鈕,即可再度顯示所有的記錄內容。

filterevent3

filterevent4

另存記錄檔

預設的Windows記錄檔存放在二進位XML格式的evtx檔,通常只能利用事件檢視器工具來開啟後觀看,但事件檢視器本身並沒有分析或報表產生能力,若您需要利用外部的工具或程式來對Windows記錄檔進行更進一步的分析工作,則需要將他另外儲存成其它格式的檔案後才可以被匯入至其它程式(例如Excel),目前可支援的儲存格式包括了事件檔 (.evtx)、xml檔、以Tab分隔的文字檔(.TXT)和以逗號分隔的文字檔(.csv)四種。

另存記錄檔只需由記錄的右鍵功能表,選取『將所有事件另存為』選項,然後再選擇適當的檔案類型即可。

eventsave

建立自訂檢視

對許多管理員而言,事件檢視器內的Windows 記錄檔內容太過煩雜,裡面經常存放過多訊息而容易干擾分析,所以管理員可以依據自己的經驗以及檢視的習慣來建立一個較簡化且易於觀察的自訂檢視內容以方便平日的查看,而不需每次均要觀看整個龐雜的記錄內容,或是整合不同的記錄檔特定內容於一個檢視畫面下來進行觀察與分析。

建立自訂式的檢視記錄內容需要由『自訂檢視』目錄右鍵功能表選取『建立自訂檢視』選項,待出現與上面篩選記錄檔時極相似的『建立自訂檢視』對話方塊後,再利用和篩選記錄檔一樣的篩選項目選擇適當的項目即可輕易建立自己平日觀看的檢視記錄。

customview

如下圖例所示,作者建立了一個只會顯示最近七日內有關於系統和應用程式記錄內錯誤與警告事件。

customview4

後記

本文簡介了Windows 的記錄檔和事件檢視器工具的特性和基本功能的使用,對於大部份系統管理員而言,在遭遇系統發生任何異常、錯誤等疑難問題時,如何能夠快速的找出問題原因並加以解決是相當重要的,而善用微軟的事件檢視器無疑是解決異常與錯誤問題最主要的利器。

 

【相關文章】