Embed Size (px)
DESCRIPTION
Windows Server 2008 事件管理機制. 曹祖聖 台灣微軟資深講師 [email protected] http://teacher.allok.com.tw MCP, MCP+I, MCSA, MCSE,MCDBA, MCAD, MCSD, MCT, MVP. 大綱. Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中. 大綱. Windows Server 2008 事件處理架構 - PowerPoint PPT Presentation
Citation preview
Windows Server 2008 Windows Server 2008 事件管理機制事件管理機制曹祖聖曹祖聖台灣微軟資深講師台灣微軟資深講師[email protected]@syset.comhttp://teacher.allok.com.twhttp://teacher.allok.com.twMCP, MCP+I, MCSA, MCSE,MCDBA, MCAD, MCSD, MCT, MVPMCP, MCP+I, MCSA, MCSE,MCDBA, MCAD, MCSD, MCT, MVP
大綱大綱• Windows Server 2008 Windows Server 2008 事件處理架構事件處理架構• 全新的事件檢視器工具全新的事件檢視器工具• XML XML 格式事件格式事件• 事件的類型事件的類型• 事件的過濾事件的過濾• 工作排程的整合工作排程的整合• 事件的儲存與轉送事件的儲存與轉送• 自訂事件記錄檔與事件自訂事件記錄檔與事件• 收集事件到資料庫中收集事件到資料庫中
大綱大綱• Windows Server 2008 Windows Server 2008 事件處理架構事件處理架構• 全新的事件檢視器工具全新的事件檢視器工具• XML XML 格式事件格式事件• 事件的類型事件的類型• 事件的過濾事件的過濾• 工作排程的整合工作排程的整合• 事件的儲存與轉送事件的儲存與轉送• 自訂事件記錄檔與事件自訂事件記錄檔與事件• 收集事件到資料庫中收集事件到資料庫中
Windows Server 2008 Windows Server 2008 的事件記錄的事件記錄Windows ServerWindows Server
20082008
事件記錄事件記錄
加強事件加強事件基礎架構基礎架構
更多更詳細更多更詳細的事件的事件
新的事件報表新的事件報表
事件轉送事件轉送
Windows Windows 事件處理流程事件處理流程StartStart
BuildBuildManagementManagement
ModelModel
WindowsWindowsServerServer
Longhorn?Longhorn?UseUse
Windows Windows Eventing 6.0Eventing 6.0
UseUseNT EventingNT Eventing
Create ManifestCreate ManifestFrom Health ModelFrom Health Model
WriteWriteInstallerInstaller
CreateCreateEventEvent
SourceSource
FinishFinish
LocalizeLocalizeEventsEvents
Create EventCreate EventMessageMessage
FileFile
InstallInstallManifestManifest
LocalizeLocalizeEventsEvents
YesYesNoNo
Windows Eventing 6.0 Windows Eventing 6.0 架構架構Event Event
MetadataMetadata
ChannelChannelConfigurationConfiguration
EventsEvents
ProviderProviderMetadataMetadata
事件記錄檔事件記錄檔組態組態
LOGLOG
ChannelChannel
管理工具管理工具
事件提供者事件提供者
Event Event ManifestManifest
Kernel Transaction Manager (KTM)Kernel Transaction Manager (KTM)
• 在過去,應用程式很難修復因為修改檔案或系統機碼所造在過去,應用程式很難修復因為修改檔案或系統機碼所造成的錯誤成的錯誤• Windows Server 2008 Windows Server 2008 實作了核心交易管理員 實作了核心交易管理員 (KTM)(KTM)
• 所有的變更都可以透過交易來控制所有的變更都可以透過交易來控制• 其它廠商可以進一步延伸這個功能到其它資源管理員上其它廠商可以進一步延伸這個功能到其它資源管理員上
• 核心交易管理員會負責協調應用程式與資源管理員的交易核心交易管理員會負責協調應用程式與資源管理員的交易• 系統機碼與 系統機碼與 NTFS NTFS 都支援這項功能都支援這項功能
• Windows Update 和 System Protection 都使用這項功能• 透過 透過 DTC DTC 與其它資料來源進行交易處理與其它資料來源進行交易處理• Windows Server 2003 R2 Windows Server 2003 R2 開始就支援 開始就支援 Common Log File System (Clfs.sys) Common Log File System (Clfs.sys) 提提供有效率的交易記錄供有效率的交易記錄
Transactional InfrastructureTransactional InfrastructureK
erne
lK
erne
l KTMKTM
CLFSCLFSNTFSNTFS RegistryRegistry
KtmRmKtmRm KtmW32KtmW32DTCDTC
Nat
ive
Nat
ive
Man
aged
Man
aged
System.TxSystem.Tx LTMLTM
WCFWCF
SMB2SMB2
MSMQMSMQ
SQLSQL
9 / 63
Windows Windows 事件記錄簡介事件記錄簡介
• 應用程式應用程式 Windows Windows 作業系統上應用程式的事件作業系統上應用程式的事件• 安全性安全性 系統稽核事件系統稽核事件• 系統系統 作業系統本身的事件作業系統本身的事件• 目錄服務目錄服務 網域控制站的事件網域控制站的事件• DNS DNS 伺服器伺服器 DNS DNS 伺服器事件伺服器事件• 檔案複寫服務檔案複寫服務 FRS FRS 事件事件
記錄檔錯誤錯誤
demo如何檢視事件記錄
大綱大綱• Windows Server 2008 Windows Server 2008 事件處理架構事件處理架構• 全新的事件檢視器工具全新的事件檢視器工具• XML XML 格式事件格式事件• 事件的類型事件的類型• 事件的過濾事件的過濾• 工作排程的整合工作排程的整合• 事件的儲存與轉送事件的儲存與轉送• 自訂事件記錄檔與事件自訂事件記錄檔與事件• 收集事件到資料庫中收集事件到資料庫中
全新的事件檢視器全新的事件檢視器
• 跨事件記錄檔查詢跨事件記錄檔查詢• 將查詢儲存成檢視將查詢儲存成檢視• 對事件指定排程工作對事件指定排程工作
事件檢視器事件檢視器• 新的事件檢視器摘要新的事件檢視器摘要• 所有的事件記錄檔所有的事件記錄檔• 以事件類型排序以事件類型排序• 最新的事件最新的事件
所有事件的摘要所有事件的摘要• 最近使用過的事件檢視最近使用過的事件檢視• 記錄檔摘要記錄檔摘要• Actions paneActions pane
更多的新的選項更多的新的選項
demo全新的事件檢視器
大綱大綱• Windows Server 2008 Windows Server 2008 事件處理架構事件處理架構• 全新的事件檢視器工具全新的事件檢視器工具• XML XML 格式事件格式事件• 事件的類型事件的類型• 事件的過濾事件的過濾• 工作排程的整合工作排程的整合• 事件的儲存與轉送事件的儲存與轉送• 自訂事件記錄檔與事件自訂事件記錄檔與事件• 收集事件到資料庫中收集事件到資料庫中
加強事件基礎架構加強事件基礎架構• 事件架構定義在 事件架構定義在 XML SchemaXML Schema• 事件以 事件以 XML XML 格式儲存格式儲存• 支援 支援 XML XML 查詢查詢
demoXML 格式的事件
大綱大綱• Windows Server 2008 Windows Server 2008 事件處理架構事件處理架構• 全新的事件檢視器工具全新的事件檢視器工具• XML XML 格式事件格式事件• 事件的類型事件的類型• 事件的過濾事件的過濾• 工作排程的整合工作排程的整合• 事件的儲存與轉送事件的儲存與轉送• 自訂事件記錄檔與事件自訂事件記錄檔與事件• 收集事件到資料庫中收集事件到資料庫中
事件的類型事件的類型
資訊資訊警告警告錯誤錯誤
事件類型事件類型• 管理型事件管理型事件
IT IT 人員使用人員使用• 操作型事件操作型事件
監控工具使用監控工具使用• 偵錯與追蹤事件偵錯與追蹤事件
開發人員使用開發人員使用
demo操作型事件以角色為基礎的事件分類
硬體錯誤報告硬體錯誤報告• 在過去,硬體的錯誤並沒有一個標準的管道進行回報在過去,硬體的錯誤並沒有一個標準的管道進行回報
• 沒有任何硬體錯誤回報的標準沒有任何硬體錯誤回報的標準• 核心中並沒有一套收集與回報硬體錯誤的機制核心中並沒有一套收集與回報硬體錯誤的機制
• Windows Server 2008 Windows Server 2008 內建硬體錯誤報架構 內建硬體錯誤報架構 Windows Hardware Windows Hardware
Error Architecture (WHEA)Error Architecture (WHEA)• 透過外掛支援各類型的硬體錯誤標準透過外掛支援各類型的硬體錯誤標準• 所有錯類型使用一致的錯誤格式所有錯類型使用一致的錯誤格式• 方便查詢錯誤來源方便查詢錯誤來源
demo硬體錯誤事件記錄檔
大綱大綱• Windows Server 2008 Windows Server 2008 事件處理架構事件處理架構• 全新的事件檢視器工具全新的事件檢視器工具• XML XML 格式事件格式事件• 事件的類型事件的類型• 事件的過濾事件的過濾• 工作排程的整合工作排程的整合• 事件的儲存與轉送事件的儲存與轉送• 自訂事件記錄檔與事件自訂事件記錄檔與事件• 收集事件到資料庫中收集事件到資料庫中
跨記錄檔查詢跨記錄檔查詢
跨記錄檔查詢跨記錄檔查詢
demo跨記錄檔搜尋事件
大綱大綱• Windows Server 2008 Windows Server 2008 事件處理架構事件處理架構• 全新的事件檢視器工具全新的事件檢視器工具• XML XML 格式事件格式事件• 事件的類型事件的類型• 事件的過濾事件的過濾• 工作排程的整合工作排程的整合• 事件的儲存與轉送事件的儲存與轉送• 自訂事件記錄檔與事件自訂事件記錄檔與事件• 收集事件到資料庫中收集事件到資料庫中
工作排程工作排程在指定時間執行工作在指定時間執行工作在指定事件發生時執行工作在指定事件發生時執行工作在使用者登入時執行工作在使用者登入時執行工作在電腦閒置時執行工作在電腦閒置時執行工作
工作排程工作排程General: General: 名稱、說明名稱、說明Triggers:Triggers: 什麼時候要執行 什麼時候要執行 ??
Actions:Actions: 要執行什麼 要執行什麼 ??
Conditions: Conditions: 執行條件執行條件Settings: Settings: 工作的行為設定工作的行為設定
demo附加動作
大綱大綱• Windows Server 2008 Windows Server 2008 事件處理架構事件處理架構• 全新的事件檢視器工具全新的事件檢視器工具• XML XML 格式事件格式事件• 事件的類型事件的類型• 事件的過濾事件的過濾• 工作排程的整合工作排程的整合• 事件的儲存與轉送事件的儲存與轉送• 自訂事件記錄檔與事件自訂事件記錄檔與事件• 收集事件到資料庫中收集事件到資料庫中
31 / 63
如何保留記錄檔如何保留記錄檔• 保留記錄檔的用途保留記錄檔的用途 ::
追蹤資源使用的狀況追蹤資源使用的狀況追蹤資源使用的趨勢追蹤資源使用的趨勢保留相關記錄以供未來法律用途保留相關記錄以供未來法律用途
• 保留記錄檔的格式保留記錄檔的格式 ::事件日誌格式事件日誌格式 ( *.evtx )( *.evtx )
XML XML 格式 格式 (*.xml)(*.xml)
純文字 純文字 (( 以 以 Tab Tab 分隔分隔 ) ( *.txt )) ( *.txt )
CSV (CSV ( 以逗號分隔以逗號分隔 ) ( *.csv )) ( *.csv )
demo儲存事件
事件轉送事件轉送
demo事件轉送
大綱大綱• Windows Server 2008 Windows Server 2008 事件處理架構事件處理架構• 全新的事件檢視器工具全新的事件檢視器工具• XML XML 格式事件格式事件• 事件的類型事件的類型• 事件的過濾事件的過濾• 工作排程的整合工作排程的整合• 事件的儲存與轉送事件的儲存與轉送• 自訂事件記錄檔與事件自訂事件記錄檔與事件• 收集事件到資料庫中收集事件到資料庫中
如何新增記錄檔如何新增記錄檔• 所有的事件記錄檔都註冊在系統機碼中所有的事件記錄檔都註冊在系統機碼中 ::
HKLM\System\CurrentControlSet\Services\EventLogHKLM\System\CurrentControlSet\Services\EventLog
Const NO_VALUE = EmptyConst NO_VALUE = Empty
Const regEventLog = "HKLM\System\CurrentControlSet\Services\EventLog"Const regEventLog = "HKLM\System\CurrentControlSet\Services\EventLog"
Const newLog = "Script"Const newLog = "Script"
Set WshShell = WScript.CreateObject("WScript.Shell")Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.RegWrite regEventLog + "\" + newLog, NO_VALUEWshShell.RegWrite regEventLog + "\" + newLog, NO_VALUE
如何新增事件到記錄檔 如何新增事件到記錄檔 #1#1
Const EVENT_SUCCESS = 0Const EVENT_SUCCESS = 0
Set objShell = Wscript.CreateObject("Wscript.Shell")Set objShell = Wscript.CreateObject("Wscript.Shell")
objShell.LogEvent EVENT_SUCCESS, "objShell.LogEvent EVENT_SUCCESS, " 世紀帝國啟動成功 世紀帝國啟動成功 !"!"
Type Value0 SUCCESS1 ERROR2 WARNING4 INFORMATION8 AUDIT_SUCCESS16 AUDIT_FAILURE
如何新增事件到記錄檔 如何新增事件到記錄檔 #2#2
• 使用 使用 eventcreate.exe eventcreate.exe 命令列工具命令列工具eventcreate [/S system [/U username [/P [password] ] ] ] eventcreate [/S system [/U username [/P [password] ] ] ]
/ID eventid [/L logname] [/SO srcname] /ID eventid [/L logname] [/SO srcname]
/T type /D description /T type /D description
type: type: SUCCESSSUCCESS 、、 ERRORERROR 、、 WARNINGWARNING 、、 INFORMATIONINFORMATION
id:id: 1 – 10001 – 1000
Set WshShell = WScript.CreateObject("WScript.Shell")Set WshShell = WScript.CreateObject("WScript.Shell")
strCommand = "eventcreate /T Error /ID 100 /L Scripts /D " _strCommand = "eventcreate /T Error /ID 100 /L Scripts /D " _
& Chr(34) & "Test event." & Chr(34)& Chr(34) & "Test event." & Chr(34)
WshShell.Run strcommandWshShell.Run strcommand
demo使用 WMI 新增事件記錄檔與事件
大綱大綱• Windows Server 2008 Windows Server 2008 事件處理架構事件處理架構• 全新的事件檢視器工具全新的事件檢視器工具• XML XML 格式事件格式事件• 事件的類型事件的類型• 事件的過濾事件的過濾• 工作排程的整合工作排程的整合• 事件的儲存與轉送事件的儲存與轉送• 自訂事件記錄檔與事件自訂事件記錄檔與事件• 收集事件到資料庫中收集事件到資料庫中
41 / 63
工作站工作站
伺服器伺服器 SQLSQL事件收集主機事件收集主機集中收集與管理事件集中收集與管理事件
安全性記錄安全性記錄
安全性記錄安全性記錄
即時入侵分析系統即時入侵分析系統
後續分析後續分析
即時傳訊系統即時傳訊系統
如何備份記錄檔到資料庫如何備份記錄檔到資料庫
WMI + ADOWMI + ADO
demo如何備份記錄檔到資料庫
結論結論• 全新的 全新的 XML XML 事件處理架構事件處理架構• 方便事件搜尋與跨防火牆傳送事件方便事件搜尋與跨防火牆傳送事件• 與工作排程整合與工作排程整合• 支援交易處理支援交易處理
在何處取得在何處取得 TechNet TechNet 相關資訊?相關資訊?• 訂閱 訂閱 TechNet TechNet 資訊技術人快訊資訊技術人快訊
http://www.microsoft.com/taiwan/technet/flash/http://www.microsoft.com/taiwan/technet/flash/• 訂閱 訂閱 TechNet PlusTechNet Plus http://www.microsoft.com/taiwan/technet/http://www.microsoft.com/taiwan/technet/• 參加參加 TechNet TechNet 的活的活動動
http://www.microsoft.com/taiwan/technet/http://www.microsoft.com/taiwan/technet/• 下載 下載 TechNet TechNet 研討會簡報與錄影檔研討會簡報與錄影檔
http://www.microsoft.com/taiwan/technet/webcast/http://www.microsoft.com/taiwan/technet/webcast/
