监测服务器性能方法-事件日志
事件日志是维护系统安全的一个很重要的组成部分,通过它可以查到系统安全、错误等问题及原因。一个有经验的网络管理员能够通过系统日志了解到系统的安全性能,恶意用户在入侵系统后所做第一件事情就是抹掉记录自己入侵的日志。本节将介绍事件日志的查看与管理。
1、事件日志介绍
所谓事件是指对用户操作的审核记录。通过事件查看器和事件日志,用户可以收集有关硬件、软件、系统问题的信息并监视系统安全事件。换句话说,一些与系统运行过程相关信息被记录下来,供管理员和用户查看,从而找出一些问题的原因所在。Windows Server 2003系统默认存在如下日志:应用程序日志、安全日志、系统日志和DNS服务器日志等。根据服务器角色和所安装的服务不同,Windows Server 2003系统上所拥有的事件日志可能有所不同,但是不管作为域控制器还是作为一般服务器,都有以下3种最基本的日志:系统日志、安全日志和应用程序日志。
这些日志默认位置在%systemroot%system32config目录下。
系统日志:记录由系统组件所产生的事件,例如,服务不能正常启动、启动期间要加载的驱动程序或其他系统组件的故障等。
安全日志:记录有关安全性的事件信息。例如有效和无效的登录尝试等安全事件,以及与资源使用有关的事件。在默认情况下,Windows Server 2003不会记录各项安全性事件,必须由用户手动启用审核功能后,才会记录被审核项的安全性事件。例如创建、打开或删除文件以及有关设置的修改。
应用程序日志:记录由应用程序或一般程序产生的事件。只有该应用程序被开发人员加入了产生事件的功能,才会产生事件。
2、系统和应用程序事件的类型
系统事件和应用程序事件有三种类型:信息、警告和错误。
◆ 信息:服务、应用程序或驱动程序成功启动的事件都属于信息这一类。
◆ 警告:表示可能会引起问题的事件。
◆ 错误:造成服务、应用程序或驱动程序不能顺利执行其功能的严重事件。
每个事件都包含了详细信息,例如事件类型和有关事件的服务。使用事件信息可以正确标识事件,并执行适当的操作。系统事件由Windows Server 2003生成,被记录在系统日志中。应用程序事件由应用程序生成,被记录在应用程序日志中。例如,“审核成功”事件的属性对话框如图所示。
其中包含:
日期:事件发生的日期。
时间:事件发生的当地时间。
用户:事件发生所代表的用户名称。
计算机:产生事件的计算机的名称。
事件ID:识别特殊事件类型的编号。
来源:产生事件的服务、应用程序或驱动程序的名字。
类别:按事件来源分类事件。该信息主要用于安全日志。
描述:指明发生的事件或事件的重要性。
类型:根据具体情况不同,主要有以下几种类型:
◆ 成功审核:此事件只出现在安全日志中,凡是所审核的操作执行成功就属于此类事件。
◆ 失败审核:此事件和成功审核一样,也只出现在安全日志中,凡是所审核的操作执行失败就属于此类事件。
3、查看事件日志
在Windows Server 2003系统启动、运行过程中,很有可能会有一些错误消息警告,这些系统事件和应用程序事件都被有序地记录在相关的日志文件中,按时间顺序从新到旧排列。日志文件详细记录了每个发生事件的信息。例如,某些服务或某些程序不能启动,那么就可以通过“事件查看器”查看事件日志,了解究竟是什么问题引起的。
用户可以通过“开始”—“管理工具”—“事件查看器”菜单,启动事件查看器。在窗口的左侧双击要查看的事件日志名称,在窗口的右侧就可以显示此类事件日志的详细信息,如图所示。
在“事件查看器”窗口,用户可以查看详细的事件内容,以及对事件进行分类过滤。如果通过网络,用户还可以查看网络计算机的事件日志。
想要查看某个事件的详细信息,在“事件查看器”左边的窗口选择要查看的日志,然后在右边的窗口中右键单击想要查看的具体事件,在弹出的快捷菜单中选择“属性”,或者通过“事件查看器”的“操作”菜单中的“属性”也可以打开该事件的属性对话框。
如果需要对查看的事件进行过滤,以搜索特定类型的事件,可以先选择要搜索的日志,再选择“查看”菜单中的“查找”项,在弹出的对话窗中设置查找事件类型,从而完成特定事件的搜索,如图所示。
4、管理事件日志
Windows Server 2003的事件日志是预先建立好的,从图15.1右边的窗口中用户可以看到,每个日志都有默认容量,随着系统的运行,这些容量会有耗尽的一天,那就必须手动清除或者增大日志的容量。
手动清除事件很简单,右键点击事件查看器左边窗口中要清理的日志,在快捷菜单中选择“清除所有事件”选项,如图所示。
除了定期手动清理事件日志,还可以使用MMC来管理事件日志。在事件查看器左边窗口中选择要设置的日志,单击鼠标右键,在弹出的快捷菜单中选择“属性”选项,出现如图所示的对话框。
其中主要的设置就是日志的大小和达到事件日志大小上限时的处理方式。其中:
(1)按需要覆盖事件:在事件日志已满,而又有新的事件产生时,事件记录服务就会用新的事件记录覆盖最旧的记录。
(2)覆盖时间超过……天的事件:指定可改写几天前的记录,默认是7天。这项是指新的事件会覆盖旧的记录,但最多只改写7天前的记录。若当前事件日志已满,且都是7天内的记录,那么,即使再有新的事件产生,也不会被写到事件日志中去。
(3)不覆盖事件(手动清除日志):只要事件日志已满,或新的事件信息不能被记录,用户可以按需要将事件日志的容量设大一些。
如果日志没有足够的容量,又不允许改写旧记录的话,将会导致新的事件不能被记录。如果这种情况发生在安全日志中,会有不同的处理方式。