Windows Event Collector Service: Difference between revisions
| Line 49: | Line 49: | ||
== Windows Event Collector Service kasutamine == | == Windows Event Collector Service kasutamine == | ||
Kasutamaks WECS- | Kasutamaks WECS-i ühendamiseks kaug-arvutisse(''remote computer''): | ||
1. Pane käima Event Viewer | 1. Pane käima Event Viewer | ||
[[File:cac1.png]] | |||
2. Kliki "root node" | 2. Kliki "root node" | ||
[[File:cac1.png]] | |||
3. Kliki "connect to Another Computer" | 3. Kliki "connect to Another Computer" | ||
[[File:cac2.png]] | |||
4. Sisesta teise arvuti IP aadress | 4. Sisesta teise arvuti IP aadress | ||
[[File:cac3.png]] | |||
5. Kliki OK | 5. Kliki OK. Üritatakse luua ühendust | ||
[[File:cac4.png]] | |||
Kasutamaks käsureautiliiti ''wevtutil'': | Kasutamaks käsureautiliiti ''wevtutil'': | ||
1. Ava käsurida | |||
2. Kirjuta käsk: wevtutil <command> /r:<remote_computer_name> | |||
Et näha logisid teisest arvutist, kirjuta | |||
wevtutil <command> /r:<remote_computer_name> /u:<user_name> /p:<password> | wevtutil <command> /r:<remote_computer_name> /u:<user_name> /p:<password> | ||
== Täpsem tööpõhimõte == | == Täpsem tööpõhimõte == | ||
Revision as of 13:44, 30 November 2010
WECS - Misasi?!?
Event Collector Service on teenus, mis võimaldab manageerida teadete logisid kaug-arvutites(remote computers), millel Windowsi operatsioonisüsteem ning neid sisestada kohalikku sündmuste logisse. Logid salvestatakse Event Viewerisse. Event-handlerite tööpõhimõte on jälgida Windows operatsioonisüsteemi sündmusi ning tekitada nende kohta teated ja neid logida. Täpsem konfiguratsioon sõltub sellest, kuidas on teenus seadistatud kohalikus arvutis.
- Event Viewer avaaken
Event Viewer
Event Viewer on osa Microsofti Windows-NT liini operatsioonisüsteemist. Laseb administraatoritel ja kasutajatel näha, mis on arvutisüsteemis nö "kulisside taga" toimunud. Event Viewer on umbes nagu "must kast" lennukitel, mis salvestab kõik toimunu ning on oluline kui osutub vajalikuks teha tõrkeotsing. Arvuti puhul siis näiteks, kui on toimunud juhuslik restart või mingi vajalik programm on mingil tundmatul põhjusel ennast sulgenud jne. Logisüsteemis on defineeritud 3 allikat, kust teated saabuvad:
1. "System" 2. "Application" 3. "Security"
System - ilmuvad teated operatsioonisüsteemi poolt
Application - ilmuvad teated erinevate programmide poolt
Security - siia kirjutab teenus "Local Security Authority Subsystem Service (lsass.exe)"
Event Viewer kasutab ID-sid, et unikaalselt ära tunda juhtunud sündmusi. Näiteks kui kasutaja on sisenemisel kirjutanud vale parooli, ilmub logisse Event ID 672.
Logid on alates Windows Vistast salvestatud struktureeritud XML-formaadis faili. Selline muudatus tehti, et support technicianitel oleks mugavam ja kiirem logisid interpreteerida. XML-fail on nähtav, Teate(Eventi) "properties", "Details" aknas.
- valin soovitud Event-i
- valin Event Properties
- valin Event Details
- Valin XML View
Teateid salvestatakse asünkroonselt, et sellel oleks väiksem mõju arvuti ja programmi jõudlusele.
Event Vieweris on lisaks võimalik näha ka kõiki potentsiaalseid teenuseid, mis võivad teateid logisse salvestada. Võimalik on neid konfigureerida ning kasutades Task Schedulerit, on isegi võimalik käivitada automatiseeritud meetmeid, kui konkreetsed teated logisse ilmuvad.
- Selleks tuleks valida "Attach task to this event" "Task properties" aknas.
Windows Event Collector Service kasutamine
Kasutamaks WECS-i ühendamiseks kaug-arvutisse(remote computer):
1. Pane käima Event Viewer
2. Kliki "root node"
3. Kliki "connect to Another Computer"
4. Sisesta teise arvuti IP aadress
5. Kliki OK. Üritatakse luua ühendust
Kasutamaks käsureautiliiti wevtutil:
1. Ava käsurida
2. Kirjuta käsk: wevtutil <command> /r:<remote_computer_name>
Et näha logisid teisest arvutist, kirjuta
wevtutil <command> /r:<remote_computer_name> /u:<user_name> /p:<password>
Täpsem tööpõhimõte
...
Siim Kängsepp A22
