Windows Event Collector Service: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Skangsep (talk | contribs)
Skangsep (talk | contribs)
No edit summary
 
(28 intermediate revisions by the same user not shown)
Line 1: Line 1:
== WECS - Misasi?!? ==
== WECS - Misasi?!? ==


Event-handleride(teadete) tööpõhimõte on jälgida Windows operatsioonisüsteemi sündmusi ning tekitada nende kohta teated ja neid logida. Logid salvestatakse '''Event Viewerisse'''. '''Event Collector Service''' on teenus, mis võimaldab manageerida teadete logisid kaug-arvutites, millel Windowsi operatsioonisüsteem ning neid sisestada kohalikku sündmuste logisse. Täpsem konfiguratsioon sõltub sellest, kuidas on teenus seadistatud kohalikus arvutis.
'''Event Collector Service''' on teenus, mis võimaldab manageerida teadete logisid kaug-arvutites(''remote computers''), millel Windowsi operatsioonisüsteem ning neid sisestada kohalikku sündmuste logisse. Logid salvestatakse '''Event Viewerisse'''. ''Event-handlerite'' tööpõhimõte on jälgida Windows operatsioonisüsteemi sündmusi ning tekitada nende kohta teated ja neid logida. Täpsem konfiguratsioon sõltub sellest, kuidas on teenus seadistatud kohalikus arvutis.
 
*'''Event Viewer''' avaaken


[[File:Capture_ev.png]]
[[File:Capture_ev.png]]
Line 7: Line 10:
== Event Viewer ==
== Event Viewer ==


Event Viewer on osa Microsofti Windows-NT liini operatsioonisüsteemist. Laseb administraatoritel ja kasutajatel näha, mis on arvutisüsteemis nö "kulisside taga" toimunud. Event Viewer on umbes nagu "must kast" lennukitel, mis salvestab kõik toimunu ning on oluline kui osutub vajalikuks teha tõrkeotsing. Arvuti puhul siis näiteks, kui on toimunud juhuslik restart või mingi vajalik programm on mingil tundmatul põhjusel ennast sulgenud jne. Logisüsteemis on defineeritud 3 allikat, kust teated saabuvad:     
'''Event Viewer''' on osa '''Microsofti Windows-NT''' liini operatsioonisüsteemist. Laseb administraatoritel ja kasutajatel näha, mis on arvutisüsteemis nö "kulisside taga" toimunud. Event Viewer on umbes nagu "must kast" lennukitel, mis salvestab kõik toimunu ning on oluline kui osutub vajalikuks teha tõrkeotsing. Arvuti puhul siis näiteks, kui on toimunud juhuslik restart või mingi vajalik programm on mingil tundmatul põhjusel ennast sulgenud jne. Logisüsteemis on defineeritud 3 allikat, kust teated saabuvad:     


   1. "System"
   1. "System"
Line 13: Line 16:
   3. "Security"
   3. "Security"


System - ilmuvad teated operatsioonisüsteemi poolt
'''System''' - ilmuvad teated operatsioonisüsteemi poolt


Application - ilmuvad teated erinevate programmide poolt
'''Application''' - ilmuvad teated erinevate programmide poolt
   
   
Security - siia kirjutab teenus "Local Security Authority Subsystem Service (lsass.exe)"
'''Security''' - siia kirjutab teenus "Local Security Authority Subsystem Service (lsass.exe)"




Event Viewer kasutab ID-sid, et unikaalselt ära tunda juhtunud sündmusi. Näiteks kui kasutaja on sisenemisel kirjutanud vale parooli, ilmub logisse Event ID 672.
'''Event Viewer''' kasutab ID-sid, et unikaalselt ära tunda juhtunud sündmusi. Näiteks kui kasutaja on sisenemisel kirjutanud vale parooli, ilmub logisse Event ID 672.
Logid on alates Windows Vistast salvestatud struktureeritud XML-formaadis faili. Selline muudatus tehti, et support technicianitel oleks mugavam ja kiirem logisid interpreteerida. XML-fail on nähtav, Teate(Eventi) "properties", "Details" aknas.  
Logid on alates Windows Vistast salvestatud struktureeritud XML-formaadis faili. Selline muudatus tehti, et kasutajatoel (support technician) oleks mugavam ja kiirem logisid interpreteerida. XML-fail on nähtav, Teate(''Eventi'') ''"properties"'', ''"Details"'' aknas.  


*valin soovitud Event-i
*valin soovitud Event-i
[[File:xml1.png|300px]]
[[File:xml1.png|600px]]


*valin Event Properties  
*valin Event Properties  
[[File:xml2.png|300px]]
[[File:xml2.png|600px]]


*valin Event Details
*valin Event Details
[[File:xml3.png|300px]]
[[File:xml3.png|600px]]


*Valin XML View
*Valin XML View
[[File:xml4.png|300px]]
[[File:xml4.png|600px]]




Line 39: Line 42:
Teateid salvestatakse asünkroonselt, et sellel oleks väiksem mõju arvuti ja programmi jõudlusele.
Teateid salvestatakse asünkroonselt, et sellel oleks väiksem mõju arvuti ja programmi jõudlusele.


Event Vieweris on lisaks võimalik näha ka kõiki potentsiaalseid teenuseid, mis võivad teateid logisse salvestada. Võimalik on neid konfigureerida ning kasutades Task Schedulerit, on isegi võimalik käivitada automatiseeritud meetmeid, kui konkreetsed teated logisse ilmuvad.  
'''Event Vieweris''' on lisaks võimalik näha ka kõiki potentsiaalseid teenuseid, mis võivad teateid logisse salvestada. Võimalik on neid konfigureerida ning kasutades '''Task Schedulerit''', on isegi võimalik käivitada automatiseeritud meetmeid, kui konkreetsed teated logisse ilmuvad.  
Selleks tuleks valida "Attach task to this event" "Task properties" aknas.
 
*Selleks tuleks valida "Attach task to this event" "Task properties" aknas.
 
[[File:Attach task....png]]
 
== Windows Event Collector Service kasutamine  ==
 
Kasutamaks WECS-i ühendamiseks kaug-arvutisse(''remote computer''):
 
1. Pane käima Event Viewer
 
[[File:capture_ev.png]]
 
2. Kliki "root node"
 
 
[[File:cac1.png]]
 
3. Kliki "connect to Another Computer"
 
 
[[File:cac2.png]]
 
4. Sisesta teise arvuti IP aadress
 
 
[[File:cac3.png]]
 
5. Kliki OK. Üritatakse luua ühendust
 
 
[[File:cac4.png]]
 
 
 
 
Kasutamaks käsureautiliiti ''wevtutil'':
 
1. Ava käsurida
 
2. Kirjuta käsk: wevtutil <command> /r:<remote_computer_name>
 
Et näha logisid teisest arvutist, kirjuta
 
wevtutil <command> /r:<remote_computer_name> /u:<user_name> /p:<password>
 


[[File:Attach task.png]]


== Täpsemalt WECS-st ==
== Täpsema informatsiooni huvilistele ==


Techneti link[http://technet.microsoft.com/en-us/library/cc774957(WS.10).aspx]




Event Subscribers
== Kokkuvõte ==


Major event subscribers include the Event Collector service and Task Scheduler 2.0. The Event Collector service can automatically forward event logs to other remote systems, running Windows Vista, Windows Server 2008 or Windows Server 2003 R2 on a configurable schedule. Event logs can also be remotely viewed from other computers or multiple event logs can be centrally logged and monitored agentlessly and managed from a single computer. Events can also be directly associated with tasks, which run in the redesigned Task Scheduler and trigger automated actions when particular events take place.
Selle wikilehe eesmärgiks minu poolt, oli tutvustada lühidalt Event Vieweri ja sellest tuleneva Event Collector Service põhimõtet ning eesmärke. Piltidega varustatud juhendi koostasin Windows Event vieweri ja Event Collector Service remote connectioni kasutamiseks.




== Täpsem tööpõhimõte ==
Siim Kängsepp A22

Latest revision as of 16:49, 17 December 2010

WECS - Misasi?!?

Event Collector Service on teenus, mis võimaldab manageerida teadete logisid kaug-arvutites(remote computers), millel Windowsi operatsioonisüsteem ning neid sisestada kohalikku sündmuste logisse. Logid salvestatakse Event Viewerisse. Event-handlerite tööpõhimõte on jälgida Windows operatsioonisüsteemi sündmusi ning tekitada nende kohta teated ja neid logida. Täpsem konfiguratsioon sõltub sellest, kuidas on teenus seadistatud kohalikus arvutis.

  • Event Viewer avaaken

Event Viewer

Event Viewer on osa Microsofti Windows-NT liini operatsioonisüsteemist. Laseb administraatoritel ja kasutajatel näha, mis on arvutisüsteemis nö "kulisside taga" toimunud. Event Viewer on umbes nagu "must kast" lennukitel, mis salvestab kõik toimunu ning on oluline kui osutub vajalikuks teha tõrkeotsing. Arvuti puhul siis näiteks, kui on toimunud juhuslik restart või mingi vajalik programm on mingil tundmatul põhjusel ennast sulgenud jne. Logisüsteemis on defineeritud 3 allikat, kust teated saabuvad:

  1. "System"
  2. "Application"
  3. "Security"

System - ilmuvad teated operatsioonisüsteemi poolt

Application - ilmuvad teated erinevate programmide poolt

Security - siia kirjutab teenus "Local Security Authority Subsystem Service (lsass.exe)"


Event Viewer kasutab ID-sid, et unikaalselt ära tunda juhtunud sündmusi. Näiteks kui kasutaja on sisenemisel kirjutanud vale parooli, ilmub logisse Event ID 672. Logid on alates Windows Vistast salvestatud struktureeritud XML-formaadis faili. Selline muudatus tehti, et kasutajatoel (support technician) oleks mugavam ja kiirem logisid interpreteerida. XML-fail on nähtav, Teate(Eventi) "properties", "Details" aknas.

  • valin soovitud Event-i

  • valin Event Properties

  • valin Event Details

  • Valin XML View


Teateid salvestatakse asünkroonselt, et sellel oleks väiksem mõju arvuti ja programmi jõudlusele.

Event Vieweris on lisaks võimalik näha ka kõiki potentsiaalseid teenuseid, mis võivad teateid logisse salvestada. Võimalik on neid konfigureerida ning kasutades Task Schedulerit, on isegi võimalik käivitada automatiseeritud meetmeid, kui konkreetsed teated logisse ilmuvad.

  • Selleks tuleks valida "Attach task to this event" "Task properties" aknas.

Windows Event Collector Service kasutamine

Kasutamaks WECS-i ühendamiseks kaug-arvutisse(remote computer):

1. Pane käima Event Viewer

2. Kliki "root node"


3. Kliki "connect to Another Computer"


4. Sisesta teise arvuti IP aadress


5. Kliki OK. Üritatakse luua ühendust




Kasutamaks käsureautiliiti wevtutil:

1. Ava käsurida

2. Kirjuta käsk: wevtutil <command> /r:<remote_computer_name>

Et näha logisid teisest arvutist, kirjuta

wevtutil <command> /r:<remote_computer_name> /u:<user_name> /p:<password>


Täpsema informatsiooni huvilistele

Techneti link[1]


Kokkuvõte

Selle wikilehe eesmärgiks minu poolt, oli tutvustada lühidalt Event Vieweri ja sellest tuleneva Event Collector Service põhimõtet ning eesmärke. Piltidega varustatud juhendi koostasin Windows Event vieweri ja Event Collector Service remote connectioni kasutamiseks.


Siim Kängsepp A22