Windows Event Collector Service

From ICO wiki
Jump to navigationJump to search

Windows Event Collector Service

Event Collectori tööpõhimõte on manageerida ja valvata Windows operatsioonisüsteemi sündmusi ning tekitada nende kohta logisid. Logid salvestatakse Event Viewerisse.

[[File:[Capture]]]

The function of the Event Collector service is to receive events from event sources, which are remote Windows computers, and to publish these events into a local event log. The ability to save the events depends on the settings for the Event Log service.

Event Viewer

Event Viewer on osa Microsofti Windows-NT liini operatsioonisüsteemist. Laseb administraatoritel ja kasutajatel näha, mis on arvutisüsteemis toimunud. Event Viewer on umbes nagu "must kast" lennukitel, mis salvestab kõik toimunu ning on oluline kui osutub vajalikuks teha tõrkeotsing. Arvuti puhul siis näiteks, kui on toimunud juhuslik restart või mingi vajalik programm on mingil tundmatul põhjusel ennast sulgenud jne. Logisüsteemis on defineeritud 3 allikat, kust teated saabuvad: 

  1. "System"
  2. "Application"
  3. "Security"

System - ilmuvad teated operatsioonisüsteemi poolt

Application - ilmuvad teated erinevate programmide poolt

Security - siia kirjutab teenus "Local Security Authority Subsystem Service (lsass.exe)"


Event Viewer kasutab ID-sid, et unikaalselt ära tunda juhtunud sündmusi. Näiteks kui kasutaja on sisenemisel kirjutanud vale parooli, ilmub logisse Event ID 672. Logid on alates Windows Vistast salvestatud struktureeritud XML-formaadis faili. Selline muudatus tehti, et support technicianitel oleks mugavam ja kiirem logisid interpreteerida. XML-fail on nähtav, Teate(Eventi) "properties", "Details" aknas.

(capture-xml)

Teateid salvestatakse asünkroonselt, et sellel oleks väiksem mõju arvuti ja programmi jõudlusele.

Event Vieweris on lisaks võimalik näha ka kõiki potentsiaalseid teenuseid, mis võivad teateid logisse salvestada. Võimalik on neid konfigureerida ning kasutades Task Schedulerit, on isegi võimalik käivitada automatiseeritud meetmeid, kui konkreetsed teated logisse ilmuvad. Selleks tuleks valida "Attach task to this event" "Task properties" aknas.

(capture-attach task)

Täpsemalt WECS-st

Event Subscribers

Major event subscribers include the Event Collector service and Task Scheduler 2.0. The Event Collector service can automatically forward event logs to other remote systems, running Windows Vista, Windows Server 2008 or Windows Server 2003 R2 on a configurable schedule. Event logs can also be remotely viewed from other computers or multiple event logs can be centrally logged and monitored agentlessly and managed from a single computer. Events can also be directly associated with tasks, which run in the redesigned Task Scheduler and trigger automated actions when particular events take place.


Täpsem tööpõhimõte

Retrieved from "https://wiki.itcollege.ee/index.php?title=Windows_Event_Collector_Service&oldid=17945"