事件日志管理是服務(wù)器維護(hù)中的一項(xiàng)非常重要的日常工作，當(dāng)然也是一項(xiàng)耗費(fèi)精力、體力的工作，特 別是當(dāng)局域網(wǎng)中有非常多的應(yīng)用服務(wù)器時(shí)更是如此。一個(gè)好的管理方案是，部署一個(gè)專(zhuān)門(mén)用于事件日志管 理的中央服務(wù)器，然后將其他服務(wù)器上的日志轉(zhuǎn)發(fā)到該中央服務(wù)器上實(shí)施集中管理。不過(guò)，這需要利用第 三方軟件來(lái)實(shí)現(xiàn)。在Windows Server 2008中提供了一項(xiàng)新功能，通過(guò)它我們可以實(shí)現(xiàn)服務(wù)器事件日志的 轉(zhuǎn)發(fā)和訂閱，就可以自定義將特定的服務(wù)器事件日志集中起來(lái)管理了。下面筆者部署環(huán)境，對(duì)此進(jìn)行實(shí)例 演示。

環(huán)境描述：

本文以域環(huán)境為例進(jìn)行演示，有兩臺(tái)服務(wù)器：一臺(tái)為server1，作為源 服務(wù)器，以轉(zhuǎn)發(fā)日志到日志服務(wù)器;一臺(tái)為server2，作為日志服務(wù)器，以訂閱源服務(wù)器上轉(zhuǎn)發(fā)的日志。

任務(wù)目標(biāo)：

將server1服務(wù)器過(guò)去的24小時(shí)內(nèi)ID為100的錯(cuò)誤系統(tǒng)日志實(shí)時(shí)轉(zhuǎn)發(fā)到日志服務(wù) 器server2中，并且一旦server1上有符合設(shè)定的日志，在server2上會(huì)以消息框的形式通知管理員。

實(shí)現(xiàn)過(guò)程：

1.創(chuàng)建自定義視圖

以管理員身份登錄server1服務(wù)器，依次單擊 “開(kāi)始”→“運(yùn)行”，輸入eventvwr.msc打開(kāi)“事件查看器”窗口 。在左窗格中點(diǎn)擊選中“自定義視圖”，然后點(diǎn)擊展開(kāi)“操作”菜單選擇“ 創(chuàng)建自定義視圖”命令。在“創(chuàng)建自定義視圖”向?qū)Т翱诘摹昂Y選器”標(biāo)簽 頁(yè)中，設(shè)置“記錄時(shí)間”為“過(guò)去的24小時(shí)”，“事件級(jí)別”為 “錯(cuò)誤”，“事件日志”為“系統(tǒng)”。設(shè)置完畢后單擊“確定 ”退出，在彈出的“將篩選器保存到自定義視圖”對(duì)話(huà)框中，我們?yōu)橐晥D命名為 “Error Events (24 hours)”，然后“確定”退出。這樣可以在“自定義視 圖”下看到剛才創(chuàng)建的名為“Error Events (24 hours)”的視圖。(圖1)

2.將自定義事件添加到系統(tǒng)日志

其實(shí)，這一步在實(shí)戰(zhàn)中是不需要的，筆者之所以加這一 步是為了檢驗(yàn)我們創(chuàng)建的自定義視圖的效果，即創(chuàng)建一個(gè)自定義的特定事件，然后看看在自定義視圖中是 否會(huì)出現(xiàn)。在server1服務(wù)器中以管理員身份運(yùn)行命令提示符，然后執(zhí)行命令“Eventcreate /T ERROR /ID 100 /L SYSTEM /D "Application Error #1" /SO MyApp”，可以看到該命令 成功執(zhí)行，通過(guò)該命令我們自定義了一個(gè)事件。Eventcreate命令用于創(chuàng)建事件日志，參數(shù) “/T”用于指定事件的級(jí)別為“ERROR”，參數(shù)“/ID”用于指定事件ID 為“100”，參數(shù)“/L”用于指定事件的類(lèi)型為“SYSTEM”，參數(shù) “/D”是事件的描述“Application Error #1”，參數(shù)“/SO”是事件 的來(lái)源即“MyApp”。自定義日志創(chuàng)建完畢后，我們重新打開(kāi)“事件查看器”，定 位到“自定義視圖”下的“Error Events (24 hours)”上，展開(kāi)“操作 ”菜單選擇“刷新”命令，刷新完畢后就可以看到我們剛才自定義的事件，因?yàn)樗?我們剛才創(chuàng)建的自定義視圖的篩選條件，同時(shí)也驗(yàn)證了我們創(chuàng)建的自定義視圖是正確的。(圖2)

3.創(chuàng)建事件訂閱

以管理員身份登錄server2服務(wù)器，進(jìn)入其“事件查看器”控制臺(tái)窗口。點(diǎn)擊其最下面 的“訂閱”項(xiàng)，此時(shí)會(huì)彈出一個(gè)對(duì)話(huà)框詢(xún)問(wèn)我們是否要啟動(dòng)“Windows事件收集器服務(wù) ”，點(diǎn)擊“是”啟動(dòng)該服務(wù)。然后右鍵單擊“訂閱”在右鍵菜單中選擇 “創(chuàng)建訂閱”命令彈出“訂閱屬性”對(duì)話(huà)框。在該對(duì)話(huà)框中進(jìn)行設(shè)置：訂閱名稱(chēng)為 “MyApp Errors on server1”即來(lái)自服務(wù)器server1的系統(tǒng)錯(cuò)誤事件;單擊“源計(jì)算機(jī) ”項(xiàng)下的“添加”按鈕彈出“選擇計(jì)算機(jī)”對(duì)話(huà)框，輸入server1將需要訂閱 事件日志的服務(wù)器添加進(jìn)來(lái)，單擊“確定”返回到“訂閱屬性”對(duì)話(huà)框。在此，我 們可按照上面的方法添加多個(gè)服務(wù)器。添加完畢后，單擊下面右側(cè)的“測(cè)試”按鈕以驗(yàn)證剛才 添加的服務(wù)器的有效性。如果彈出一個(gè)錯(cuò)誤對(duì)話(huà)框，我們不用管單擊“確定”即可。之所以彈 出這個(gè)錯(cuò)誤對(duì)話(huà)框，是因?yàn)閟erver1上的WimRM沒(méi)有啟動(dòng)并配置，我們后續(xù)進(jìn)行配置即可。(圖3)

返回到“訂閱 屬性”對(duì)話(huà)框，單擊“選擇事件”按鈕進(jìn)入“查詢(xún)篩選器”對(duì)話(huà)框。在該對(duì) 話(huà)框中進(jìn)行如下設(shè)置：設(shè)置“記錄時(shí)間”為“過(guò)去的24小時(shí)”，事件級(jí)別為 “錯(cuò)誤”，事件日志為“Windows日志\系統(tǒng)”，事件ID為“100”，設(shè) 置完畢后退出“選擇事件”對(duì)話(huà)框。在訂閱屬性”對(duì)話(huà)框，單擊“高級(jí)”按 鈕進(jìn)入“高級(jí)訂閱設(shè)置”對(duì)話(huà)框。在該對(duì)話(huà)框中設(shè)置“用戶(hù)賬戶(hù)”為“具體 用戶(hù)”，然后單擊右側(cè)的“用戶(hù)和密碼”按鈕彈出“訂閱源的憑據(jù)”對(duì)話(huà)框 。默認(rèn)用戶(hù)名為administrator，在下面輸入管理員的密碼即可。然后設(shè)置“事件傳遞優(yōu)化” 方式為“最小化滯后時(shí)間”，協(xié)議和端口保持默認(rèn)。***單擊“確定”退出 “訂閱屬性”對(duì)話(huà)框，此時(shí)會(huì)彈出“事件查看”提升對(duì)話(huà)框告訴我們下一步的做法 ，單擊“是”退出即可。此時(shí)，從“事件查看器”控制臺(tái)的“訂閱”節(jié) 點(diǎn)中可以看見(jiàn)我們剛才創(chuàng)建的訂閱，不過(guò)卻顯示為一個(gè)紅色的驚嘆號(hào)，這是因?yàn)閟erver1的WimRM沒(méi)有啟動(dòng) 并配置。(圖4)

#p#

4.啟動(dòng)并配置 WimRM

以管理員身份登錄服務(wù)器server1，然后以管理員身份運(yùn)行命令提示符，執(zhí)行命令 “WINRM QuickConfig”快速配置WinRM。命令執(zhí)行時(shí)，會(huì)提示W(wǎng)indRM客戶(hù)端會(huì)處于監(jiān)聽(tīng)狀態(tài)， 并且可穿越防火墻，詢(xún)問(wèn)我們是否改變，屬于“y”并回車(chē)后sever1上的WinRM快速配置完畢。 下面我們登錄日志服務(wù)器server2進(jìn)行驗(yàn)證，進(jìn)入其“事件查看器”控制臺(tái)，右鍵單擊“ 訂閱”選擇右鍵菜單中的“刷新”命令，刷新完畢后，可以看到我們剛才創(chuàng)建的訂閱顯 示為綠色的對(duì)勾，表示已經(jīng)正常了。此外，我還可以進(jìn)一步地進(jìn)行驗(yàn)證。登錄日志服務(wù)器server2，然后 以管理員身份打開(kāi)命令提示符，輸入命令“EVENTCREATE /S server1.test.com /L System /T Error /ID 100 /SO MyApp /D "MyApp Encountered an error"”，如果命令成功執(zhí)行說(shuō) 明我們的配置無(wú)誤。這個(gè)命令行使用eventcreate命令在日志服務(wù)器server2上為server1創(chuàng)建一個(gè)事件日 志，其中參數(shù)“/S”指定目標(biāo)服務(wù)器，test.com是域名，server2是服務(wù)器名。在server2的 “事件查看器”控制臺(tái)中，依次展開(kāi)“Windows日志”→“轉(zhuǎn)發(fā)的事件 ”節(jié)點(diǎn)上，我們右鍵單擊該節(jié)點(diǎn)選擇“刷新”，可以在右側(cè)看到剛才創(chuàng)建的日志已經(jīng)轉(zhuǎn) 發(fā)成功。同樣的，我們登錄server1服務(wù)器，在事件查看控制臺(tái)中可看到剛才通過(guò)server2創(chuàng)建的日志。這 說(shuō)明我們的配置是正確的。(圖5)

5.將任務(wù)附加到事件

將任務(wù)附加到事件這是一項(xiàng)非常有用的功能，我們可將任務(wù)和事件捆綁在一起，當(dāng)事件發(fā)生時(shí)， 會(huì)觸發(fā)一個(gè)任務(wù)。利用此功能我們可實(shí)現(xiàn)當(dāng)某個(gè)事件發(fā)生時(shí)，運(yùn)行一個(gè)程序或腳本，或者顯示一個(gè)警報(bào)， 甚至發(fā)送一封電子郵件以通知管理員引起重視，一般采取相應(yīng)的行動(dòng)。本例中，我們就以觸發(fā)一個(gè)警報(bào)為 例。即當(dāng)服務(wù)器server1上發(fā)生了我們定義的事件是，在日志服務(wù)器server2上會(huì)顯示一個(gè)警示對(duì)話(huà)框。具 體實(shí)現(xiàn)方法如下。

登錄日志服務(wù)器server2，進(jìn)入其“事件查看器”控制臺(tái)，定位到 “Windows日志”→“轉(zhuǎn)發(fā)事件”節(jié)點(diǎn)上，在右側(cè)的內(nèi)容窗格中找到我們剛才 自定義的日志“MyApp Encountered an error”，右鍵單擊該日志選擇“將任務(wù)附加到 此事件”命令打開(kāi)“創(chuàng)建基本任務(wù)向?qū)А?。在“?chuàng)建基本任務(wù)”頁(yè)面，設(shè)置 名稱(chēng)為“MyApp Error 100 Interactive Notification”;在“操作”頁(yè)面設(shè)置 “希望該任務(wù)執(zhí)行的操作”為“顯示消息”，消息的標(biāo)題為“SERVER2服務(wù)器 事件報(bào)告”，消息內(nèi)容為“Server2服務(wù)器發(fā)生了一個(gè)系統(tǒng)錯(cuò)誤，請(qǐng)管理員馬上進(jìn)行排錯(cuò)! ”，設(shè)置完成后退出該向?qū)А４藭r(shí)會(huì)彈出一個(gè)提示對(duì)話(huà)框，我們“確定”即可。(圖6)

6.驗(yàn)證日志報(bào)告

到這一步我們就完成了服務(wù)器間日志的訂閱和轉(zhuǎn)發(fā)，下面我們驗(yàn)證一下效果。這項(xiàng)操作可以在服 務(wù)器server2上執(zhí)行，也可在日志服務(wù)器server1上執(zhí)行，我們就在服務(wù)器server2上驗(yàn)證。驗(yàn)證的思路是 ，在服務(wù)器server2上創(chuàng)建通過(guò)EVENTCREATE命令子定義并向服務(wù)器server1上轉(zhuǎn)發(fā)一個(gè)系統(tǒng)錯(cuò)誤日志，然 后看看我們?cè)O(shè)置的事件警報(bào)會(huì)有什么反應(yīng)。在服務(wù)器server2上以管理員身份運(yùn)行命令提示符，然后執(zhí)行 命令“EVENTCREATE /S server1.test.com /L System /T Error /ID 100 /SO MyApp /D "MyApp Encountered an error"E”。命令執(zhí)行完畢后，看到彈出一個(gè)警告對(duì)話(huà)框，提示 Server2服務(wù)器發(fā)生了一個(gè)系統(tǒng)錯(cuò)誤，請(qǐng)管理員馬上進(jìn)行排錯(cuò)!”，而這正是我們剛才設(shè)置的警告框 ?？梢?jiàn)，我們的試驗(yàn)成功了。這樣，當(dāng)服務(wù)器server1上如果有我們定義的事件發(fā)生時(shí)，管理員就會(huì)在日 志服務(wù)器上看到。(圖7)

總結(jié)：通過(guò)上面的操 作演示，可以看到通過(guò)事件的轉(zhuǎn)發(fā)和訂閱技術(shù)，能夠?qū)崿F(xiàn)使用一臺(tái)日志服務(wù)器集中管理多臺(tái)服務(wù)器日志。 上面的例子，主要是提供一種思路。在實(shí)戰(zhàn)中，我們要設(shè)置多臺(tái)服務(wù)器的日志訂閱和轉(zhuǎn)發(fā)。另外，為了便 于日志服務(wù)器的管理，一般情況下不要將其他服務(wù)器上所有的日志轉(zhuǎn)發(fā)到這臺(tái)日志服務(wù)器上。一個(gè)比較科 學(xué)的策略是，根據(jù)具體服務(wù)器的特點(diǎn)已經(jīng)管理員關(guān)心的重點(diǎn)，我們可通過(guò)自定義的方式只將與服務(wù)器的穩(wěn) 定安全攸關(guān)的事件轉(zhuǎn)發(fā)到日志服務(wù)器上。