0514 windows server 2008 事件管理機制
TRANSCRIPT
![Page 1: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/1.jpg)
Windows Server 2008
事件管理機制
曹祖聖台灣微軟資深講師[email protected]
http://teacher.allok.com.tw
MCP, MCP+I, MCSA, MCSE,MCDBA, MCAD, MCSD, MCT, MVP
![Page 2: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/2.jpg)
大綱
• Windows Server 2008 事件處理架構
• 全新的事件檢視器工具
• XML 格式事件
• 事件的類型
• 事件的過濾
• 工作排程的整合
• 事件的儲存與轉送
• 自訂事件記錄檔與事件
• 收集事件到資料庫中
![Page 3: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/3.jpg)
大綱
• Windows Server 2008 事件處理架構
• 全新的事件檢視器工具
• XML 格式事件
• 事件的類型
• 事件的過濾
• 工作排程的整合
• 事件的儲存與轉送
• 自訂事件記錄檔與事件
• 收集事件到資料庫中
![Page 4: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/4.jpg)
Windows Server 2008 的事件記錄
Windows Server
2008
事件記錄
加強事件
基礎架構
更多更詳細
的事件
新的事件報表
事件轉送
![Page 5: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/5.jpg)
Windows 事件處理流程Start
Build
Management
Model
Windows
Server
Longhorn?Use
Windows
Eventing 6.0
Use
NT Eventing
Create ManifestFrom Health Model
Write
Installer
Create
Event
Source
Finish
Localize
Events
Create Event
Message
File
Install
Manifest
Localize
Events
YesNo
![Page 6: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/6.jpg)
Windows Eventing 6.0 架構
Event
Metadata
Channel
Configuration
Events
Provider
Metadata
事件記錄檔組態
LOG
Channel
管理工具
事件提供者
Event
Manifest
![Page 7: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/7.jpg)
Kernel Transaction Manager (KTM)
• 在過去,應用程式很難修復因為修改檔案或系統機碼所造成的錯誤
• Windows Server 2008 實作了核心交易管理員 (KTM)•所有的變更都可以透過交易來控制
•其它廠商可以進一步延伸這個功能到其它資源管理員上
• 核心交易管理員會負責協調應用程式與資源管理員的交易•系統機碼與 NTFS 都支援這項功能
• Windows Update 和 System Protection 都使用這項功能
•透過 DTC 與其它資料來源進行交易處理
• Windows Server 2003 R2 開始就支援 Common Log File System (Clfs.sys) 提供有效率的交易記錄
![Page 8: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/8.jpg)
Transactional InfrastructureK
ern
el KTM
CLFS
NTFS Registry
KtmRm KtmW32
DTC
Nati
ve
Ma
na
ge
d
System.Tx LTM
WCF
SMB2
MSMQ
SQL
![Page 9: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/9.jpg)
9 / 63
Windows 事件記錄簡介
• 應用程式 Windows 作業系統上應用程式的事件• 安全性 系統稽核事件• 系統 作業系統本身的事件• 目錄服務 網域控制站的事件• DNS 伺服器 DNS 伺服器事件• 檔案複寫服務 FRS 事件
記錄檔
錯誤
![Page 10: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/10.jpg)
demo如何檢視事件記錄
![Page 11: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/11.jpg)
大綱
• Windows Server 2008 事件處理架構
• 全新的事件檢視器工具
• XML 格式事件
• 事件的類型
• 事件的過濾
• 工作排程的整合
• 事件的儲存與轉送
• 自訂事件記錄檔與事件
• 收集事件到資料庫中
![Page 12: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/12.jpg)
全新的事件檢視器
• 跨事件記錄檔查詢
• 將查詢儲存成檢視
• 對事件指定排程工作
事件檢視器
• 新的事件檢視器摘要
• 所有的事件記錄檔
• 以事件類型排序
• 最新的事件
所有事件的摘要
• 最近使用過的事件檢視
• 記錄檔摘要
• Actions pane
更多的新的選項
![Page 13: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/13.jpg)
demo全新的事件檢視器
![Page 14: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/14.jpg)
大綱
• Windows Server 2008 事件處理架構
• 全新的事件檢視器工具
• XML 格式事件
• 事件的類型
• 事件的過濾
• 工作排程的整合
• 事件的儲存與轉送
• 自訂事件記錄檔與事件
• 收集事件到資料庫中
![Page 15: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/15.jpg)
加強事件基礎架構
• 事件架構定義在 XML Schema
• 事件以 XML 格式儲存• 支援 XML 查詢
![Page 16: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/16.jpg)
demoXML 格式的事件
![Page 17: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/17.jpg)
大綱
• Windows Server 2008 事件處理架構
• 全新的事件檢視器工具
• XML 格式事件
• 事件的類型
• 事件的過濾
• 工作排程的整合
• 事件的儲存與轉送
• 自訂事件記錄檔與事件
• 收集事件到資料庫中
![Page 18: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/18.jpg)
事件的類型
資訊
警告
錯誤
![Page 19: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/19.jpg)
事件類型
• 管理型事件
IT 人員使用
• 操作型事件
監控工具使用
• 偵錯與追蹤事件
開發人員使用
![Page 20: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/20.jpg)
demo操作型事件以角色為基礎的事件分類
![Page 21: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/21.jpg)
硬體錯誤報告
• 在過去,硬體的錯誤並沒有一個標準的管道進行回報
•沒有任何硬體錯誤回報的標準
•核心中並沒有一套收集與回報硬體錯誤的機制
• Windows Server 2008 內建硬體錯誤報架構 Windows
Hardware Error Architecture (WHEA)
•透過外掛支援各類型的硬體錯誤標準
•所有錯類型使用一致的錯誤格式
•方便查詢錯誤來源
![Page 22: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/22.jpg)
demo硬體錯誤事件記錄檔
![Page 23: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/23.jpg)
大綱
• Windows Server 2008 事件處理架構
• 全新的事件檢視器工具
• XML 格式事件
• 事件的類型
• 事件的過濾
• 工作排程的整合
• 事件的儲存與轉送
• 自訂事件記錄檔與事件
• 收集事件到資料庫中
![Page 24: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/24.jpg)
跨記錄檔查詢
跨記錄檔查詢
![Page 25: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/25.jpg)
demo跨記錄檔搜尋事件
![Page 26: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/26.jpg)
大綱
• Windows Server 2008 事件處理架構
• 全新的事件檢視器工具
• XML 格式事件
• 事件的類型
• 事件的過濾
• 工作排程的整合
• 事件的儲存與轉送
• 自訂事件記錄檔與事件
• 收集事件到資料庫中
![Page 27: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/27.jpg)
工作排程
在指定時間執行工作
在指定事件發生時執行工作
在使用者登入時執行工作
在電腦閒置時執行工作
![Page 28: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/28.jpg)
工作排程
General: 名稱、說明
Triggers: 什麼時候要執行 ?
Actions: 要執行什麼 ?
Conditions: 執行條件
Settings: 工作的行為設定
![Page 29: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/29.jpg)
demo附加動作
![Page 30: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/30.jpg)
大綱
• Windows Server 2008 事件處理架構
• 全新的事件檢視器工具
• XML 格式事件
• 事件的類型
• 事件的過濾
• 工作排程的整合
• 事件的儲存與轉送
• 自訂事件記錄檔與事件
• 收集事件到資料庫中
![Page 31: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/31.jpg)
31 / 63
如何保留記錄檔
• 保留記錄檔的用途:
追蹤資源使用的狀況
追蹤資源使用的趨勢
保留相關記錄以供未來法律用途
• 保留記錄檔的格式:
事件日誌格式 ( *.evtx )
XML 格式 (*.xml)
純文字 (以 Tab 分隔) ( *.txt )
CSV (以逗號分隔) ( *.csv )
![Page 32: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/32.jpg)
demo儲存事件
![Page 33: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/33.jpg)
事件轉送
![Page 34: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/34.jpg)
demo事件轉送
![Page 35: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/35.jpg)
大綱
• Windows Server 2008 事件處理架構
• 全新的事件檢視器工具
• XML 格式事件
• 事件的類型
• 事件的過濾
• 工作排程的整合
• 事件的儲存與轉送
• 自訂事件記錄檔與事件
• 收集事件到資料庫中
![Page 36: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/36.jpg)
如何新增記錄檔
• 所有的事件記錄檔都註冊在系統機碼中:
HKLM\System\CurrentControlSet\Services\EventLog
Const NO_VALUE = Empty
Const regEventLog = "HKLM\System\CurrentControlSet\Services\EventLog"
Const newLog = "Script"
Set WshShell = WScript.CreateObject("WScript.Shell")
WshShell.RegWrite regEventLog + "\" + newLog, NO_VALUE
![Page 37: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/37.jpg)
如何新增事件到記錄檔 #1
Const EVENT_SUCCESS = 0
Set objShell = Wscript.CreateObject("Wscript.Shell")
objShell.LogEvent EVENT_SUCCESS, "世紀帝國啟動成功 !"
Type Value
0 SUCCESS
1 ERROR
2 WARNING
4 INFORMATION
8 AUDIT_SUCCESS
16 AUDIT_FAILURE
![Page 38: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/38.jpg)
如何新增事件到記錄檔 #2
• 使用 eventcreate.exe 命令列工具
eventcreate [/S system [/U username [/P [password] ] ] ]
/ID eventid [/L logname] [/SO srcname]
/T type /D description
type: SUCCESS、ERROR、WARNING、INFORMATION
id: 1 – 1000
Set WshShell = WScript.CreateObject("WScript.Shell")
strCommand = "eventcreate /T Error /ID 100 /L Scripts /D " _
& Chr(34) & "Test event." & Chr(34)
WshShell.Run strcommand
![Page 39: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/39.jpg)
demo使用 WMI 新增事件記錄檔與事件
![Page 40: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/40.jpg)
大綱
• Windows Server 2008 事件處理架構
• 全新的事件檢視器工具
• XML 格式事件
• 事件的類型
• 事件的過濾
• 工作排程的整合
• 事件的儲存與轉送
• 自訂事件記錄檔與事件
• 收集事件到資料庫中
![Page 41: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/41.jpg)
41 / 63
工作站
伺服器 SQL事件收集主機
集中收集與管理事件
即時入侵分析系統
後續分析
即時傳訊系統
如何備份記錄檔到資料庫
WMI + ADO
![Page 42: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/42.jpg)
demo如何備份記錄檔到資料庫
![Page 43: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/43.jpg)
結論
• 全新的 XML 事件處理架構
• 方便事件搜尋與跨防火牆傳送事件
• 與工作排程整合
• 支援交易處理
![Page 44: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/44.jpg)
在何處取得 TechNet相關資訊?
• 訂閱 TechNet 資訊技術人快訊http://www.microsoft.com/taiwan/technet/flash/
• 訂閱 TechNet Plus
http://www.microsoft.com/taiwan/technet/
• 參加 TechNet 的活動http://www.microsoft.com/taiwan/technet/
• 下載 TechNet 研討會簡報與錄影檔http://www.microsoft.com/taiwan/technet/webcast/
![Page 45: 0514 Windows Server 2008 事件管理機制](https://reader030.vdocuments.site/reader030/viewer/2022013102/55630dded8b42a81528b4703/html5/thumbnails/45.jpg)