Monitorowanie aktywnoœci systemu za pomoc¹ Podgl¹du zdarzeñ

Transkrypt

1 Rozdzia³ 35 Typy zdarzeñ 974 Œledzenie zdarzeñ komputerowych 975 Badanie szczegó³ów zdarzeñ 977 Praca z plikami dziennika 979 U ywanie narzêdzi innych producentów do monitorowania zdarzeñ 982 Monitorowanie aktywnoœci systemu za pomoc¹ Podgl¹du zdarzeñ Czêœæ VIII: Administracja systemu Rozdzia³ 35: Monitorowanie aktywnoœci systemu za pomoc¹podgl¹du zdarzeñ W systemie Windows XP zdarzenie jest pewnym wydarzeniem, które potencjalnie jest godne uwagi twojej, innych u ytkowników, systemu operacyjnego albo aplikacji. Zdarzenia zapisywane s¹przez us³ugê Dziennik zdarzeñ, a ich historia zachowana jest w trzech plikach dziennika: Zabezpieczenia (Secevent.evt), Aplikacja (Appevent.evt) oraz System (Sysevent.evt). Podgl¹d zdarzeñ, przystawka konsoli Microsoft Management Console dostarczana wraz z systemem Windows XP, pozwoli ci na przegl¹danie i archiwizowanie tych trzech dzienników zdarzeñ. Dlaczego mia³byœ to robiæ? Najbardziej prawdopodobne powody to: w celu rozwi¹zania problemów, które siê pojawi³y; aby mieæ kontrolê nad systemem i zapobiegaæ pojawieniu siê problemów oraz aby uwa aæ na naruszenia zabezpieczeñ. Je- eli urz¹dzenie uleg³o uszkodzeniu, dysk twardy zape³niony jest po brzegi, program wielokrotnie siê zawiesza³ albo pojawi³y siê inne powa ne trudnoœci, informacja zapisana w dziennikach zdarzeñ mo e pomóc tobie albo specjaliœcie od wsparcia technicznego zdiagnozowaæ problem i zdecydowaæ, jakie kroki w celu naprawienia go nale y podj¹æ. Przegl¹danie dzienników zdarzeñ mo e równie pomóc ci zauwa yæ powa ne problemy, jeszcze zanim siê pojawi¹. Je eli jakiœ problem ca³y czas wrze, ale jeszcze nie wybuch³, mo esz odebraæ sygna³ o tym, zanim bêdzie ju za póÿno. Na przyk³ad je eli karta sieciowa czasami zawodzi albo kabel sieciowy jest niew³aœciwie

2 974 Czêœæ VIII: Administracja systemu pod³¹czony, w dzienniku zdarzeñ znajdziesz pozycje pokazuj¹ce czêste roz³¹czenia i ponowne pod³¹czenia do sieci. Ostatecznie mo esz u yæ jednego z dzienników zdarzeñ do œledzenia takich rzeczy, jak nieudane próby logowania albo próby odczytania plików przez u ytkowników, którzy nie maj¹przywilejów dostêpu do nich. Wydarzenia takie mog¹zwróciæ twoj¹uwagê na rzeczywiste lub potencjalne problemy w twojej organizacji. Typy zdarzeñ Zdarzenia zabezpieczeñ zapisywane s¹w dzienniku Zabezpieczeñ, Secevent.evt. Monitorowanie tych zdarzeñ nazywane jest inspekcj¹ i stanowi temat rozdzia³u 36 Inspekcja zabezpieczeñ. W dalszej czêœci tego rozdzia³u skupimy siê na dwóch pozosta³ych dziennikach zdarzeñ, Appevent.evt oraz Sysevent.evt. Zapisuj¹one odpowiednio zdarzenia aplikacji i systemu. Zdarzenia aplikacji generowane s¹ przez aplikacje, w³¹czaj¹c w to programy, które sam zainstalujesz i programy dostarczone z Windows XP, oraz przez us³ugi systemu operacyjnego. Na przyk³ad zdarzenia powi¹zane z pakietem Microsoft Office, programem do tworzenia kopii zapasowych dostarczonym wraz z Windows XP oraz us³ug¹fax, s¹w ca³oœci zapisywane w Appevent.evt. Zdarzenia systemu generowane s¹przez sam system Windows XP oraz przez zainstalowane sk³adniki, takie jak sterowniki urz¹dzeñ. Je eli sterownik nie zostanie za³adowany podczas uruchamiania sesji systemu Windows XP, zdarzenie to zostanie zapisane w dzienniku System. (Je eli jesteœ ciekawy, które elementy twojego systemu generuj¹zdarzenia oraz gdzie zdarzenia te s¹zapisywane, u yj Edytora rejestru, aby otworzyæ nastêpuj¹cy klucz rejestru: HKLM\System\CurrentControlSet\Services\Eventlog. Nastêpnie przejrzyj ka dy z podkluczy Application, Security oraz System. Ka dy element zdolny do generowania zdarzenia posiada swój podklucz w jednym z tych trzech kluczy). Szczegó³owe informacje dotycz¹ce u ywania Edytora rejestru znajdziesz w rozdziale 28 Edytowanie Rejestru. Dzienniki System oraz Aplikacja rozró niaj¹trzy typy zdarzeñ: B³êdy. S¹to zdarzenia, które reprezentuj¹potencjaln¹utratê danych lub funkcjonalnoœci. Przyk³adowe b³êdy zawieraj¹ zdarzenia powi¹zane z po³¹czeniami sieciowymi albo dwoma niedopasowanymi kartami sieciowymi oraz utratê funkcjonalnoœci spowodowan¹przez urz¹dzenie lub us³ugê, które nie zosta³y za³adowane podczas uruchamiania systemu. Ostrze enia. Zdarzenia te reprezentuj¹nie wymagaj¹ce natychmiastowej uwagi lub mniej znacz¹ce problemy ni te, które wystêpuj¹ w przypadku b³êdów. Przyk³adowe ostrze enia to: prawie ca³kowicie zape³niony dysk, przekroczenie czasu przez readresatora sieci oraz b³êdy w zapisie danych na taœmie kopii zapasowej. Informacje. S¹to inne zdarzenia, które zapisuje system Windows XP. Przyk³adowe zdarzenia informacji to: korzystanie przez kogoœ z drukarki pod³¹czonej do twojego komputera oraz udane po³¹czenie telefoniczne z us³ugodawc¹ internetowym.

3 Rozdzia³ 35: Monitorowanie aktywnoœci systemu za pomoc¹ Podgl¹du zdarzeñ 975 Œledzenie zdarzeñ komputerowych Aby uruchomiæ Podgl¹d zdarzeñ, wykonaj jedn¹ z nastêpuj¹cych czynnoœci: W Panelu sterowania wybierz Wydajnoœæ i konserwacja, Narzêdzia administracyjne, Podgl¹d zdarzeñ. W wierszu polecenia wpisz eventvwr.msc. Podgl¹d zdarzeñ mo esz równie uruchomiæ, klikaj¹c prawym przyciskiem myszy Mój komputer i wybieraj¹c Zarz¹dzaj. Pojawi siê konsola Zarz¹dzanie komputerem wraz z przystawk¹podgl¹d zdarzeñ i kilkoma innymi narzêdziami administracyjnymi. Rysunek 35-1 pokazuje przyk³ad tego, co mo esz zobaczyæ, kiedy otworzysz Podgl¹d zdarzeñ. Drzewo konsoli wyœwietla nazwy trzech dzienników zdarzeñ, co pozwala na przechodzenie z jednego dziennika do innego. Okienko szczegó³ów prezentuje wygl¹d bie ¹cego dziennika w kolumnach. Rysunek Okienko szczegó³ów Podgl¹du zdarzeñ przedstawia w kolumnach widok dziennika zaznaczonego w drzewie konsoli. Rysunek 35-1 pokazuje wszystkie osiem kolumn Podgl¹du zdarzeñ. Mo esz u yæ polecenia Dodaj/Usuñ kolumny z menu Widok, aby ukryæ kolumny, których nie potrzebujesz, albo by zmieniæ kolejnoœæ, w jakiej kolumny siê pojawiaj¹. Domyœlnie zdarzenia s¹sortowane chronologicznie, z najnowszymi na górze. Mo esz zmieniæ kierunek sortowania, klikaj¹c nag³ówki kolumn. Zwróæ uwagê, e chocia okienko szczegó³ów zawiera wiele u ytecznych informacji, to nie dostarcza wielu szczegó³ów dotycz¹cych tego, co takie zdarzenia zwiastuj¹ oraz dlaczego siê pojawi³y. Wiêcej tego typu informacji mo esz uzyskaæ, sprawdzaj¹c szczegó³y dla poszczególnych zdarzeñ. (Patrz Badanie szczegó³ów zdarzeñ na stronie 977). Poni ej znajduje siê opis, kolumna po kolumnie, tego, co wyœwietla okienko szczegó³ów: Typ. Jak ju wspomniano, zdarzenia w dziennikach aplikacji oraz systemu mog¹nale- eæ do trzech typów: Informacja, Ostrze enie oraz B³¹d. Ikona znajduj¹ca siê z lewej strony kolumny Typ pomo e ci zauwa yæ typy zdarzeñ, które ciê interesuj¹.

4 976 Czêœæ VIII: Administracja systemu Data i Godzina. Us³uga Dziennik zdarzeñ zapisuje datê oraz godzinê dla ka dego pojawiaj¹cego siê zdarzenia w formie czasu Greenwich, a Podgl¹d zdarzeñ przek³ada te wartoœci na datê oraz godzinê odpowiedni¹dla twojej strefy czasu. ród³o. Kolumna Ÿród³a informuje o aplikacji lub sk³adniku systemu, które wygenerowa³y ka de ze zdarzeñ. Kategoria. Niektóre Ÿród³a zdarzeñ u ywaj¹kategorii, aby rozró niæ ró ne typy zdarzeñ, które mog¹przedstawiaæ. Wiele Ÿróde³ tego nie robi. Jak widzisz, adne z czterech Ÿróde³ pokazanych na Rysunku 35-1 (Browser, W32Time, RemoteAccess oraz Service Control Manager) nie u ywa kategorii. Zdarzenie. Wszystkie zdarzenia s¹identyfikowane przez wartoœæ numeryczn¹. Numer ten powi¹zany jest z opisem tekstowym, który pojawia siê, kiedy przegl¹dasz w³aœciwoœci zdarzenia. Nie u ywa siê tutaj kodu dla ca³ego systemu ka dy projektant Ÿród³a zdarzenia sam zdecydowa³, jakich numerów u yæ i zapisa³ te numery w pliku i nie ma wymogu, aby ka de Ÿród³o zdarzenia u ywa³o unikalnego zestawu cyfr. Jednak kiedy spêdzisz trochê czasu, przegl¹daj¹c dzienniki zdarzeñ, mo esz rozpoznaæ poszczególne zdarzenia po ich numerach. Na przyk³ad zdarzenia 6006 oraz 6009, generowane przez sam¹us³ugê Dziennik zdarzeñ (wymienion¹w kolumnie ród³o jako eventlog), pojawiaj¹siê, kiedy us³uga Dziennik zdarzeñ jest odpowiednio zatrzymywana i uruchamiana. Poniewa zwykle us³uga Dziennik zdarzeñ nie zatrzymuje siê, kiedy komputer dzia³a, zdarzenia te przedstawiaj¹wy³¹czenie oraz ponowne uruchomienie komputera. U ytkownik. Kolumna U ytkownik zapisuje konto u ytkownika powi¹zane z ka - dym zdarzeniem. Nie wszystkie zdarzenia s¹powi¹zane z okreœlonym u ytkownikiem. Wiele zdarzeñ, szczególnie zdarzenia systemowe, nie jest generowanych Zmiany czasu, komputery zdalne, zmiany w Zegarze systemowym Kiedy przechodzisz z czasu zimowego na czas letni lub odwrotnie, Podgl¹d zdarzeñ zmienia wyœwietlan¹godzinê (mo liwe, e Datê równie ) dla zdarzeñ, które ju wyst¹pi³y. Na przyk³ad je eli zdarzenie wyst¹pi³o o godzinie czasu zimowego, po przejœciu na czas letni zdarzenie to pojawi siê tak, jakby wyst¹pi³o o godzinie Dzieje siê tak, poniewa Podgl¹d zdarzeñ stosuje jedno przesuniêcie od czasu Greenwich do wszystkich zdarzeñ w swoich dziennikach i zmniejsza to przesuniêcie o jedn¹godzinê, kiedy przechodzisz z czasu zimowego na czas letni. Je eli monitorujesz zdarzenia na zdalnych komputerach w innych strefach czasowych, miej œwiadomoœæ, e Podgl¹d zdarzeñ zawsze wyœwietla daty i godziny tych zdarzeñ w twojej (lokalnej) strefie czasowej. Zapisuje on wydarzenia w czasie Greenwich, ale do celów wyœwietlania stosuje przesuniêcie czasu Greenwich dla twojej strefy czasowej. W ten sposób na przyk³ad zdarzenie, które pojawi siê w Nowym Jorku w po³udnie, w Los Angeles zostanie zg³oszone, jakby wydarzy³o siê o 9 rano. Je eli wprowadzisz zmiany w zegarze w twoim systemie, czas podany w dziennikach zdarzeñ nie ulegnie zmianie, poniewa przesuniêcie od czasu Greenwich nie uleg³o zmianie. Jednak je eli zmienisz strefê czasow¹, Podgl¹d zdarzeñ zastosuje nowe przesuniêcie i zmieni czas wyœwietlany dla wszystkich zdarzeñ w dzienniku.

5 Rozdzia³ 35: Monitorowanie aktywnoœci systemu za pomoc¹ Podgl¹du zdarzeñ 977 przez poszczególnych u ytkowników. W wypadku tych zdarzeñ pojawia siê s³owo Brak. Komputer. Kolumna Komputer zapisuje nazwê komputera, na którym wyst¹pi³o dane zdarzenie. Badanie szczegó³ów zdarzeñ Aby dowiedzieæ siê o zdarzeniu wiêcej ni to, co mówi okienko szczegó³ów Podgl¹du zdarzeñ, musisz wyœwietliæ indywidualn¹informacjê dla tego zdarzenia. Zaznacz zdarzenie, które ciê interesuje, i wykonaj jedn¹z nastêpuj¹cych czynnoœci: Dwukrotnie kliknij zdarzenie. Wciœnij Enter. Wybierz W³aœciwoœci z menu Akcja Podgl¹du zdarzeñ. Rysunek 35-2 pokazuje okno dialogowe w³aœciwoœci dla zdarzenia z dziennika System. Wyœwietla poprzednie zdarzenie Wyœwietla nastêpne zdarzenie Kopiuje bie ¹ce zdarzenie do Schowka Rysunek Okno dialogowe w³aœciwoœci dla okreœlonego zdarzenia mo e dostarczyæ cennych informacji diagnostycznych. Sumaryczne informacje w górnej czêœci okna dialogowego w³aœciwoœci s¹identyczne z tymi, które pojawiaj¹siê w kolumnach okienka szczegó³owego w Podgl¹dzie zdarzeñ. Opis w œrodkowej czêœci okna jest czysto tekstowym opisem tego, co siê wydarzy³o. Dla celów lokalizacji informacja ta jest przechowywana oddzielnie, poza plikiem dziennika (.evt). Ka dy typ zdarzenia przekszta³cony jest w opisowy tekst, który znajduje siê w dowolnym miejscu, w dowolnym pliku, które zosta³y wybrane przez projektanta aplikacji lub sk³adnika. (Plik komunikatu dziennika zapisany jest w wartoœci rejestru EventMessageFile w kluczu HKLM\System\CurrentConsole- Set\Services\Eventlog\nazwa_dziennika\Ÿród³o_dziennika, gdzie nazwa_dziennika jest nazw¹dziennika na przyk³ad System a Ÿród³o_dziennika jest nazw¹aplikacji lub sk³adnika, który generuje dane zdarzenie). Niektóre zdarzenia generuj¹dane binarne, które mog¹byæ u yteczne dla programistów albo specjalistów obs³ugi technicznej, obeznanych z produktem, który wygenerowa³

6 978 Czêœæ VIII: Administracja systemu dane zdarzenie. Je eli dane binarne s¹dostêpne, to ukazuj¹siê w dolnej czêœci okna dialogowego w³aœciwoœci. Je eli chcesz obejrzeæ szczegó³y dla innych zdarzeñ, mo esz to zrobiæ bez koniecznoœci uprzedniego powracania do okienka szczegó³ów. Kliknij przyciski strza³ek w prawym górnym rogu okna dialogowego w³aœciwoœci, aby przejœæ do poprzedniego albo nastêpnego zdarzenia na tej liœcie. Bezpoœrednio pod przyciskiem Nastêpne zdarzenie, blisko prawego górnego rogu okna, znajduje siê podrêczny przycisk Kopiuj, jak pokazano na rysunku Klikniêcie go spowoduje wys³anie ca³ej zawartoœci okna dialogowego w³aœciwoœci do Schowka, co pozwoli ci na przyk³ad na wstawienie informacji do wiadomoœci poczty elektronicznej i wys³anie jej do dzia³u obs³ugi technicznej. (Mo esz równie skopiowaæ fragment albo ca³y tekst opisu, zaznaczaj¹c go w œrodkowej czêœci okna i wciskaj¹c klawisze [Ctrl+C]). Wyszukiwanie zdarzenia Polecenie ZnajdŸ w menu Widok Podgl¹du zdarzeñ pozwoli ci zlokalizowaæ poszczególne elementy w bie ¹cym dzienniku. Okno dialogowe ZnajdŸ w lokalnym System, pokazane na rysunku 35-3, zawiera pole Opis, w którym mo esz okreœliæ ca³oœæ albo fragment opisowego tekstu zdarzenia. Na przyk³ad aby zlokalizowaæ najnowsze zdarzenie, w którym wyst¹pi³o zawieszenie siê, powinieneœ zaznaczyæ pierwsze zdarzenie w dzienniku (zak³adaj¹c, e pozostawi³eœ domyœlny kierunek sortowania chronologicznego), wybraæ polecenie ZnajdŸ, w polu Opis wpisaæ zawie i klikn¹æ przycisk ZnajdŸ nastêpne. Rysunek Mo esz u yæ tego okna dialogowego, aby odnaleÿæ okreœlone zdarzenie. Filtrowanie wyœwietlanej zawartoœci dziennika Jak mo esz zobaczyæ, pobie nie zerkaj¹c na swój dziennik System, zdarzenia mog¹ siê bardzo szybko nagromadziæ, przys³aniaj¹c zdarzenia okreœlonego typu (takie jak zadania wydruku) albo te, które pojawiaj¹siê w okreœlonym czasie. Aby przefiltrowaæ dziennik, tak aby Podgl¹d zdarzeñ wyœwietla³ tylko te elementy, które w danym

7 Rozdzia³ 35: Monitorowanie aktywnoœci systemu za pomoc¹ Podgl¹du zdarzeñ 979 momencie ciê interesuj¹, kliknij prawym przyciskiem myszy nazwê dziennika w drzewie konsoli, a nastêpnie wybierz W³aœciwoœci. Nastêpnie wype³nij kartê Filtr okna dialogowego w³aœciwoœci dziennika (w du ej mierze przypomina ona okno dialogowe ZnajdŸ pokazane na rysunku 35-3) i kliknij OK. Aby przywróciæ listê nie filtrowan¹, wróæ do tego okna dialogowego i kliknij przycisk Przywróæ domyœlne. Za pomoc¹polecenia Nowy widok dziennika z menu Akcja mo esz szybko prze³¹czyæ siê pomiêdzy filtrowanym oraz nie filtrowanym widokiem dziennika albo miêdzy widokiem filtrowanym i innym filtrowanym widokiem. Po prostu zaznacz dziennik, który ciê interesuje, kliknij prawym przyciskiem myszy, a nastêpnie wybierz Nowy widok dziennika. Podgl¹d zdarzeñ doda nowy widok do drzewa konsoli. Zaznacz nowy widok i filtr, aby spróbowaæ. Teraz mo esz przemieszczaæ siê miêdzy widokami, u ywaj¹c drzewa konsoli. Praca z plikami dziennika Zasadniczo nie potrzebujesz nic robiæ z plikami dziennika (.evt). Ale mo esz chcieæ ograniczyæ ich rozmiar, zarchiwizowaæ ich zawartoœæ albo wyczyœciæ je zadania te, zosta³y omówione w kolejnych podrozdzia³ach. Ustawianie rozmiaru i okresu przechowywania danych pliku dziennika Pliki dzienników nie kontynuuj¹w nieskoñczonoœæ gromadzenia nowych zdarzeñ. Gdyby tak robi³y, w koñcu zajê³yby trudn¹do ogarniêcia przestrzeñ dyskow¹. Domyœlnie ka dy plik dziennika posiada maksymalny rozmiar wynosz¹cy 512 KB. Mo esz go dostosowaæ, zwiêkszaj¹c lub zmniejszaj¹c rozmiar o jednostki wielkoœci 64 KB. Równie domyœlnie, zdarzenia w ka dym pliku dziennika posiadaj¹minimalny okres przechowywania wynosz¹cy 7 dni. Oznacza to, e je eli plik osi¹gnie swój maksymalny rozmiar, nowe zdarzenia zastêpuj¹te starsze ale tylko wtedy, gdy starsze zdarzenia maj¹co najmniej siedem dni. Jest to parametr, który równie mo na dostosowaæ. Aby zmieniæ maksymalny rozmiar pliku dziennika lub te minimalny okres przechowywania zdarzeñ, zaznacz dany dziennik w drzewie konsoli. Nastêpnie wybierz W³aœciwoœci z menu Akcja. Rysunek 35-4 pokazuje okno dialogowe pliku dziennika. (Musisz posiadaæ uprawnienia administracyjne, aby u ywaæ tego okna dialogowego; w przeciwnym wypadku wszystkie kontrolki pojawi¹siê wyszarzone). Je eli us³uga Dziennik zdarzeñ nie jest w stanie dodaæ nowych zdarzeñ do dziennika, albo dlatego, e nie pozwoli³eœ na zastêpowanie, albo poniewa plik osi¹gn¹³ swój maksymalny rozmiar, zanim najstarsze zdarzenia osi¹gnê³y swój minimalny wymagany wiek, zobaczysz komunikat ostrzegawczy. Mo esz wtedy zaradziæ tej sytuacji, zarówno poprzez proste wyczyszczenie dziennika, jak i archiwizuj¹c go, a nastêpnie czyszcz¹c.

8 980 Czêœæ VIII: Administracja systemu Rysunek Okno dialogowe w³aœciwoœci pozwala ci kontrolowaæ rozmiar oraz czas trwania dzienników zdarzeñ. Archiwizowanie i czyszczenie plików dziennika Aby zarchiwizowaæ dziennik, zaznacz go w drzewie konsoli i wybierz w menu Akcja polecenie Zapisz plik dziennika jako. W oknie dialogowym, które siê pojawi, upewnij siê, e wybrany jest domyœlny typ pliku, Dziennik zdarzeñ (*.evt). W rezultacie otrzymasz plik zawieraj¹cy wszystkie zdarzenia (ignoruj¹cy bie ¹cy filtr, jeœli jakiœ istnieje) oraz wszystkie zapisane informacje (³¹cznie z danymi binarnymi). Aby wyczyœciæ dziennik, kliknij przycisk Wyczyœæ dziennik w oknie dialogowym w³aœciwoœci dziennika (patrz rysunek 35-4) albo zaznacz dziennik w drzewie konsoli i wybierz polecenie Wyczyœæ wszystkie zdarzenia w menu Akcja. Musisz posiadaæ uprawnienia administracyjne, aby wyczyœciæ dziennik. Wyœwietlanie zarchiwizowanego pliku dziennika Po zapisaniu pliku dziennika w formacie.evt mo esz ponownie wyœwietliæ jego zawartoœæ w dowolnym czasie, u ywaj¹c polecenia Otwórz plik dziennika z menu Akcja. Musisz powiedzieæ systemowi, jakiego typu plik dziennika Aplikacja, Zabezpieczenia lub System ponownie otwierasz, po tym jak podasz nazwê pliku. Otwarte archiwum pojawia siê jako nowa pozycja w drzewie konsoli. Mo esz je przegl¹daæ, filtrowaæ oraz przeszukiwaæ, tak samo jak w przypadku ka dego innego pliku dziennika. Mo esz je równie skasowaæ czego nie mo esz zrobiæ z domyœlnymi dziennikami: Aplikacja, Zabezpieczenia i System.

9 Rozdzia³ 35: Monitorowanie aktywnoœci systemu za pomoc¹ Podgl¹du zdarzeñ 981 ROZWI¹ZYWANIE PROBLEMÓW Komunikat o b³êdzie mówi, e nie masz wystarczaj¹co du o przestrzeni dyskowej na zapisywanie zdarzeñ Kiedy zape³nisz ca³kiem dysk, na którym przechowywane s¹ pliki dziennika, us³uga Dziennik zdarzeñ nie bêdzie w stanie zapisaæ nowych zdarzeñ, a ty zobaczysz zwi¹zany z tym komunikat o b³êdzie. Je eli nie mo esz wygospodarowaæ na zape³nionym dysku wolnego miejsca, mo esz obejœæ ten problem, zmieniaj¹c po³o enie plików dziennika. Zrobienie tego wymaga dokonania trzech modyfikacji w rejestrze. Wykonaj nastêpuj¹ce czynnoœci: 1. Uruchom Edytor rejestru. 2. PrzejdŸ do klucza HKLM\System\CurrentControlSet\Services\Eventlog\Application. 3. Dwukrotnie kliknij wartoœæ File. 4. Zmieñ dane wartoœci File, aby okreœliæ œcie kê do dysku, który nie jest zape³niony. Na przyk³ad je eli bie ¹ce dane s¹ przechowywane w folderze %SystemRoot%\System32\Config\Appevent.evt, a masz miejsce, aby umieœciæ plik Appevent.evt w folderze E:\DowolnyFolder, zmieñ dane wartoœci File na E:\DowolnyFolder\AppEvent.evt. Folder, który wska esz, musi istnieæ, inaczej zmiany nie odnios¹ skutku. 5. Powtórz te kroki, aby zmieniæ po³o enie okreœlone przez wartoœci File w kluczach: HKLM\System\CurrentControlSet\Services\Eventlog\Security oraz HKLM\System\CurrentControlSet\Services\Eventlog\System. 6. Zamknij Edytor rejestru. 7. Uruchom ponownie komputer. Dodatkowe informacje dotycz¹ce modyfikowania rejestru znajdziesz w rozdziale 28 Edytowanie Rejestru. Zag³êbianie siê w informacje pliku dziennika Zapisywanie dziennika w jego oryginalnym formacie (.evt) tworzy replikê dziennika, ale mo esz przegl¹daæ tê replikê jedynie przy u yciu Podgl¹du zdarzeñ (albo aplikacji innego producenta, zdolnej do odczytywania oryginalnych plików dziennika). Jednak Podgl¹d zdarzeñ mo e równie eksportowaæ dane dziennika do plików tekstowych rozdzielanych tabulacjami albo przecinkami, tak e mo esz ³atwo importowaæ je do bazy danych, arkusza kalkulacyjnego, a nawet edytora tekstu. Kiedy zapiszesz dziennik w jednym z tych formatów, otrzymujesz wszystkie dane z dziennika, z wyj¹tkiem danych binarnych powi¹zanych z okreœlonymi zdarzeniami. Aby zapisaæ ca³y plik dziennika w formacie tekstowym, zaznacz dziennik w drzewie konsoli, wybierz Zapisz plik dziennika jako w menu Akcja, a nastêpnie na liœcie Zapisz jako typ zaznacz albo Tekst (rozdzielany znakami tabulacji), albo CVS (rozdzielany przecinkami). Polecenie Zapisz jako typ zawsze eksportuje wszystkie bie ¹ce dzienniki, niezale nie od tego, w jaki sposób dziennik jest filtrowany dla celów wyœwietlania. Je eli chcesz wygenerowaæ raport tekstowy pokazuj¹cy jedynie okreœlone rodzaje zdarzeñ, najpierw przefiltruj dziennik, tak aby wyœwietla³ te zdarzenia, a nastêpnie u yj polecenia z menu Akcja Eksportuj listê. Tak jak Zapisz jako typ, polecenie Eksportuj listê dostarcza opcje rozdzielenia tabulacjami albo przecinkami. Oferuje równie opcjê zapisania tekstu Unicode coœ co jest przydatne, je eli lokalny jêzyk zawiera znaki inne ni ³aciñskie. Jednak nie zaznaczaj pola Zapisz tylko wybrane wiersze w oknie dialogowym Eksportuj listê, jeœli nie chcesz uzyskaæ raportu zawieraj¹cego jedynie nag³ówki kolumn i pojedyncze zdarzenie.

10 982 Czêœæ VIII: Administracja systemu Tworzenie kopii zapasowych plików dziennika Poniewa us³uga Dziennik zdarzeñ jest zwykle ca³y czas uruchomiona, trzy pliki dziennika Appevent.evt, Secevent.evt oraz Sysevent.evt s¹generalnie otwarte ca³y czas. Nie próbuj utworzyæ kopii zapasowej tych plików dziennika za pomoc¹ Eksploratora Windows albo wiersza polecenia! Eksplorator Windows oraz polecenie Copy skopiuj¹ twoje otwarte pliki dziennika bez narzekania, ale je eli skopiujesz je z powrotem do folderu %SystemRoot%\System32\Config (domyœlne po³o enie plików dziennika), Podgl¹d zdarzeñ potraktuje je jako uszkodzone i nie bêdzie w stanie wyœwietliæ ich zawartoœci. Na szczêœcie narzêdzie Kopia zapasowa systemu Windows XP (Ntbackup.exe) mo e utworzyæ kopiê zapasow¹i przywróciæ plik dziennika bez uszkadzania ich w tym procesie. Mo esz u yæ narzêdzia Kopia zapasowa do zaplanowania regularnego tworzenia kopii zapasowych twoich plików dziennika. ROZWI¹ZYWANIE PROBLEMÓW Pliki dziennika s¹ uszkodzone Je eli podczas uruchamiania Podgl¹d zdarzeñ zg³asza, e jeden lub wiêcej plików dziennika jest uszkodzonych, mo esz w nastêpuj¹cy sposób zaradziæ tej sytuacji: 1. Wy³¹cz us³ugê Dziennik zdarzeñ. (Szczegó³owe informacje o wy³¹czaniu us³ugi znajdziesz w podrozdziale Uruchamianie i zatrzymywanie us³ug na stronie 1032). 2. Uruchom ponownie system Windows XP. 3. Skasuj uszkodzony dziennik (dzienniki) Appevent.evt, Secevent.evt, i/lub Sysevent.evt z folderu %SystemRoot%\System32\Config (lub gdziekolwiek indziej s¹). Twoje dane zdarzeñ zostan¹ utracone, ale kiedy us³uga zostanie ponownie uruchomiona, zostanie utworzony nowy plik dziennika, który zacznie gromadziæ nowe zdarzenia. 4. W³¹cz ponownie us³ugê Dziennik zdarzeñ i uruchom us³ugê. Folder, który wska esz, musi istnieæ, inaczej zmiany nie odnios¹ skutku. 5. Je eli us³uga Dziennik zdarzeñ nie uruchomi siê ponownie, uruchom ponownie system Windows XP. Zwróæ uwagê, e nie mo esz usun¹æ lub zmieniæ nazwy plików dziennika, kiedy us³uga Dziennik zdarzeñ jest uruchomiona. U ywanie narzêdzi innych producentów do monitorowania zdarzeñ Dostêpnych jest kilka narzêdzi innych producentów, mog¹cych udzieliæ ci pomocy w przegl¹daniu zdarzeñ. Podczas gdy niektóre z tych narzêdzi nastawione s¹ na u³atwienie monitorowania zdarzeñ w du ych przedsiêbiorstwach, inne dostarczaj¹ funkcji przydatnych w ma³ych sieciach oraz indywidualnych komputerach. Produkty te umo liwiaj¹przeprowadzenie jednego lub wiêcej z nastêpuj¹cych dzia³añ: Monitorowanie kilku komputerów z jednej stacji roboczej Przechowywanie i wykorzystywanie informacji oraz drukowanie raportów Planowanie dzia³añ monitorowania

11 Rozdzia³ 35: Monitorowanie aktywnoœci systemu za pomoc¹ Podgl¹du zdarzeñ 983 Monitorowanie innych typów dzienników oprócz dzienników zdarzeñ, takich jak dzienniki serwera sieci Web Wysy³anie raportów lub powiadomieñ poprzez wiadomoœci Zapewnienie monitorowania i powiadamiania w czasie rzeczywistym Bazuj¹ce na sieci Web zdalne przegl¹danie zdarzeñ Przyk³adowe programy, które dostarczaj¹niektórych lub wszystkich wymienionych mo liwoœci, to: WdumpEvt ( EventAdmin ( EventReporter ( Event Log Monitor (( WSKAZÓWKA Centrum pomocy i obs³ugi technicznej oferuje alternatywny podgl¹d dzienników systemowych. Widok ten ³¹czy zawartoœæ trzech dzienników, ale pokazuje tylko b³êdy (bez zdarzeñ typu ostrze enia i informacje) które zazwyczaj s¹ najistotniejszymi zdarzeniami. Aby przejrzeæ ten widok zdarzeñ, kliknij Start, Pomoc i obs³uga techniczna. Na pierwszej stronie Centrum pomocy i obs³ugi technicznej kliknij U yj Narzêdzi, aby wyœwietliæ informacje o komputerze i przeanalizowaæ problemy, Zaawansowane informacje o systemie, a nastêpnie Wyœwietl dziennik b³êdów.