狠狠撸

狠狠撸Share a Scribd company logo

0514 Windows Server 2008 事件管理機制

?Download as PPT, PDF?
?
T
Timothy Chen
1 of 45
Downloaded 14 times
Windows Server 2008 事件管理機制 曹祖聖 台灣微軟資深講師 [email_address] http://teacher.allok.com.tw MCP, MCP+I, MCSA, MCSE,MCDBA, MCAD, MCSD, MCT, MVP
大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
Windows Server 2008 的事件記錄 Windows Server 2008 事件記錄 加強事件 基礎架構 更多更詳細 的事件 新的事件報表 事件转送
Windows 事件處理流程 Start Build Management Model Windows Server Longhorn? Use Windows Eventing 6.0 Use NT Eventing Create Manifest From Health Model Write Installer Create Event Source Finish Localize Events Create Event Message File Install Manifest Localize Events Yes No
Windows Eventing 6.0 架構 Event Metadata Channel Configuration Events Provider Metadata 事件記錄檔 組態 LOG Channel 管理工具 事件提供者 Event Manifest
Kernel Transaction Manager (KTM) 在過去,應用程式很難修復因為修改檔案或系統機碼所造成的错误 Windows Server 2008 實作了核心交易管理員 (KTM) 所有的變更都可以透過交易來控制 其它廠商可以進一步延伸這個功能到其它資源管理員上 核心交易管理員會負責協調應用程式與資源管理員的交易 系統機碼與 NTFS 都支援這項功能 Windows Update 和 System Protection 都使用這項功能 透過 DTC 與其它資料來源進行交易處理 Windows Server 2003 R2 開始就支援 Common Log File System (Clfs.sys) 提供有效率的交易記錄
Transactional Infrastructure Kernel KTM CLFS NTFS Registry KtmRm KtmW32 DTC Native Managed System.Tx LTM WCF SMB2 MSMQ SQL
Windows 事件記錄簡介 應用程式 Windows 作業系統上應用程式的事件 安全性 系統稽核事件 系統 作業系統本身的事件 目錄服務 網域控制站的事件 DNS 伺服器 DNS 伺服器事件 檔案複寫服務 FRS 事件 / 63 記錄檔 错误
demo 如何檢視事件記錄
大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
全新的事件檢視器 跨事件記錄檔查詢 將查詢儲存成檢視 對事件指定排程工作 事件檢視器 新的事件檢視器摘要 所有的事件記錄檔 以事件類型排序 最新的事件 所有事件的摘要 最近使用過的事件檢視 記錄檔摘要 Actions pane 更多的新的選項
demo 全新的事件檢視器
大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
加強事件基礎架構 事件架構定義在 XML Schema 事件以 XML 格式儲存 支援 XML 查詢
demo XML 格式的事件
大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
事件的類型 資訊 警告 错误
事件類型 管理型事件 IT 人員使用 操作型事件 監控工具使用 偵錯與追蹤事件 開發人員使用
demo 操作型事件 以角色為基礎的事件分類
硬體错误報告 在過去,硬體的错误並沒有一個標準的管道進行回報 沒有任何硬體错误回報的標準 核心中並沒有一套收集與回報硬體错误的機制 Windows Server 2008 內建硬體错误報架構 Windows Hardware Error Architecture (WHEA) 透過外掛支援各類型的硬體错误標準 所有錯類型使用一致的错误格式 方便查詢错误來源
demo 硬體错误事件記錄檔
大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
跨記錄檔查詢 跨記錄檔查詢
demo 跨記錄檔搜尋事件
大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
工作排程 在指定時間執行工作 在指定事件發生時執行工作 在使用者登入時執行工作 在電腦閒置時執行工作
工作排程 General: 名稱、說明 Triggers: 什麼時候要執行 ? Actions: 要執行什麼 ? Conditions: 執行條件 Settings: 工作的行為設定
demo 附加動作
大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
如何保留記錄檔 保留記錄檔的用途 : 追蹤資源使用的狀況 追蹤資源使用的趨勢 保留相關記錄以供未來法律用途 保留記錄檔的格式 : 事件日誌格式 ( *.evtx ) XML 格式 (*.xml) 純文字 ( 以 Tab 分隔 ) ( *.txt ) CSV ( 以逗號分隔 ) ( *.csv ) / 63
demo 儲存事件
事件转送
demo 事件转送
大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
如何新增記錄檔 所有的事件記錄檔都註冊在系統機碼中 : HKLMystemurrentControlSetervicesventLog Const NO_VALUE = Empty Const regEventLog = "HKLMystemurrentControlSetervicesventLog" Const newLog = "Script" Set WshShell = WScript.CreateObject("WScript.Shell") WshShell.RegWrite regEventLog + "amp;quot; + newLog, NO_VALUE
如何新增事件到記錄檔 #1 Const EVENT_SUCCESS = 0 Set objShell = Wscript.CreateObject("Wscript.Shell") objShell.LogEvent EVENT_SUCCESS, " 世紀帝國啟動成功 !" Type Value 0 SUCCESS 1 ERROR 2 WARNING 4 INFORMATION 8 AUDIT_SUCCESS 16 AUDIT_FAILURE
如何新增事件到記錄檔 #2 使用 eventcreate.exe 命令列工具 eventcreate [/S system [/U username [/P [password] ] ] ] /ID eventid [/L logname] [/SO srcname] /T type /D description type: SUCCESS 、 ERROR 、 WARNING 、 INFORMATION id: 1 – 1000 Set WshShell = WScript.CreateObject("WScript.Shell") strCommand = "eventcreate /T Error /ID 100 /L Scripts /D " _ & Chr(34) & "Test event." & Chr(34) WshShell.Run strcommand
demo 使用 WMI 新增事件記錄檔與事件
大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
/ 63 工作站 伺服器 SQL 事件收集主機 集中收集與管理事件 安全性記錄 安全性記錄 即時入侵分析系統 後續分析 即時傳訊系統 如何備份記錄檔到資料庫 WMI + ADO
demo 如何備份記錄檔到資料庫
結論 全新的 XML 事件處理架構 方便事件搜尋與跨防火牆傳送事件 與工作排程整合 支援交易處理
在何处取得 TechNet 相關資訊? 訂閱 TechNet 資訊技術人快訊 http://www.microsoft.com/taiwan/technet/flash/ 訂閱 TechNet Plus http://www.microsoft.com/taiwan/technet/ 參加 TechNet 的活 動 http://www.microsoft.com/taiwan/technet/ 下載 TechNet 研討會簡報與錄影檔 http://www.microsoft.com/taiwan/technet/webcast/
?

More Related Content

0514 Windows Server 2008 事件管理機制

  • 1. Windows Server 2008 事件管理機制 曹祖聖 台灣微軟資深講師 [email_address] http://teacher.allok.com.tw MCP, MCP+I, MCSA, MCSE,MCDBA, MCAD, MCSD, MCT, MVP
  • 2. 大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
  • 3. 大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
  • 4. Windows Server 2008 的事件記錄 Windows Server 2008 事件記錄 加強事件 基礎架構 更多更詳細 的事件 新的事件報表 事件转送
  • 5. Windows 事件處理流程 Start Build Management Model Windows Server Longhorn? Use Windows Eventing 6.0 Use NT Eventing Create Manifest From Health Model Write Installer Create Event Source Finish Localize Events Create Event Message File Install Manifest Localize Events Yes No
  • 6. Windows Eventing 6.0 架構 Event Metadata Channel Configuration Events Provider Metadata 事件記錄檔 組態 LOG Channel 管理工具 事件提供者 Event Manifest
  • 7. Kernel Transaction Manager (KTM) 在過去,應用程式很難修復因為修改檔案或系統機碼所造成的错误 Windows Server 2008 實作了核心交易管理員 (KTM) 所有的變更都可以透過交易來控制 其它廠商可以進一步延伸這個功能到其它資源管理員上 核心交易管理員會負責協調應用程式與資源管理員的交易 系統機碼與 NTFS 都支援這項功能 Windows Update 和 System Protection 都使用這項功能 透過 DTC 與其它資料來源進行交易處理 Windows Server 2003 R2 開始就支援 Common Log File System (Clfs.sys) 提供有效率的交易記錄
  • 8. Transactional Infrastructure Kernel KTM CLFS NTFS Registry KtmRm KtmW32 DTC Native Managed System.Tx LTM WCF SMB2 MSMQ SQL
  • 9. Windows 事件記錄簡介 應用程式 Windows 作業系統上應用程式的事件 安全性 系統稽核事件 系統 作業系統本身的事件 目錄服務 網域控制站的事件 DNS 伺服器 DNS 伺服器事件 檔案複寫服務 FRS 事件 / 63 記錄檔 错误
  • 11. 大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
  • 12. 全新的事件檢視器 跨事件記錄檔查詢 將查詢儲存成檢視 對事件指定排程工作 事件檢視器 新的事件檢視器摘要 所有的事件記錄檔 以事件類型排序 最新的事件 所有事件的摘要 最近使用過的事件檢視 記錄檔摘要 Actions pane 更多的新的選項
  • 14. 大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
  • 15. 加強事件基礎架構 事件架構定義在 XML Schema 事件以 XML 格式儲存 支援 XML 查詢
  • 16. demo XML 格式的事件
  • 17. 大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
  • 19. 事件類型 管理型事件 IT 人員使用 操作型事件 監控工具使用 偵錯與追蹤事件 開發人員使用
  • 21. 硬體错误報告 在過去,硬體的错误並沒有一個標準的管道進行回報 沒有任何硬體错误回報的標準 核心中並沒有一套收集與回報硬體错误的機制 Windows Server 2008 內建硬體错误報架構 Windows Hardware Error Architecture (WHEA) 透過外掛支援各類型的硬體错误標準 所有錯類型使用一致的错误格式 方便查詢错误來源
  • 23. 大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
  • 26. 大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
  • 27. 工作排程 在指定時間執行工作 在指定事件發生時執行工作 在使用者登入時執行工作 在電腦閒置時執行工作
  • 28. 工作排程 General: 名稱、說明 Triggers: 什麼時候要執行 ? Actions: 要執行什麼 ? Conditions: 執行條件 Settings: 工作的行為設定
  • 30. 大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
  • 31. 如何保留記錄檔 保留記錄檔的用途 : 追蹤資源使用的狀況 追蹤資源使用的趨勢 保留相關記錄以供未來法律用途 保留記錄檔的格式 : 事件日誌格式 ( *.evtx ) XML 格式 (*.xml) 純文字 ( 以 Tab 分隔 ) ( *.txt ) CSV ( 以逗號分隔 ) ( *.csv ) / 63
  • 35. 大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
  • 36. 如何新增記錄檔 所有的事件記錄檔都註冊在系統機碼中 : HKLMystemurrentControlSetervicesventLog Const NO_VALUE = Empty Const regEventLog = "HKLMystemurrentControlSetervicesventLog" Const newLog = "Script" Set WshShell = WScript.CreateObject("WScript.Shell") WshShell.RegWrite regEventLog + "amp;quot; + newLog, NO_VALUE
  • 37. 如何新增事件到記錄檔 #1 Const EVENT_SUCCESS = 0 Set objShell = Wscript.CreateObject("Wscript.Shell") objShell.LogEvent EVENT_SUCCESS, " 世紀帝國啟動成功 !" Type Value 0 SUCCESS 1 ERROR 2 WARNING 4 INFORMATION 8 AUDIT_SUCCESS 16 AUDIT_FAILURE
  • 38. 如何新增事件到記錄檔 #2 使用 eventcreate.exe 命令列工具 eventcreate [/S system [/U username [/P [password] ] ] ] /ID eventid [/L logname] [/SO srcname] /T type /D description type: SUCCESS 、 ERROR 、 WARNING 、 INFORMATION id: 1 – 1000 Set WshShell = WScript.CreateObject("WScript.Shell") strCommand = "eventcreate /T Error /ID 100 /L Scripts /D " _ & Chr(34) & "Test event." & Chr(34) WshShell.Run strcommand
  • 39. demo 使用 WMI 新增事件記錄檔與事件
  • 40. 大綱 Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中
  • 41. / 63 工作站 伺服器 SQL 事件收集主機 集中收集與管理事件 安全性記錄 安全性記錄 即時入侵分析系統 後續分析 即時傳訊系統 如何備份記錄檔到資料庫 WMI + ADO
  • 43. 結論 全新的 XML 事件處理架構 方便事件搜尋與跨防火牆傳送事件 與工作排程整合 支援交易處理
  • 44. 在何处取得 TechNet 相關資訊? 訂閱 TechNet 資訊技術人快訊 http://www.microsoft.com/taiwan/technet/flash/ 訂閱 TechNet Plus http://www.microsoft.com/taiwan/technet/ 參加 TechNet 的活 動 http://www.microsoft.com/taiwan/technet/ 下載 TechNet 研討會簡報與錄影檔 http://www.microsoft.com/taiwan/technet/webcast/
  • 45. ?

Editor's Notes

  • #2: <SLIDETITLE INCLUDE=7>Windows Server 2008 應用程式相容性 </SLIDETITLE> <KEYWORDS></KEYWORDS> <KEYMESSAGE></KEYMESSAGE> <SLIDEBUILDS>0</SLIDEBUILDS> <SLIDESCRIPT> Hello and Welcome to this Microsoft TechNet session on {insert session title}. My name is {insert name} </SLIDESCRIPT> <SLIDETRANSITION> <TRANSITION LENGTH=7>Let us start this session by going into more detail on exactly what we will be covering.</TRANSITION> </SLIDETRANSITION> <COMMENT></COMMENT> <ADDITIONALINFORMATION> <ITEM></ITEM> </ADDITIONALINFORMATION>