Windows server 2008
This presentation is the property of its rightful owner.
Sponsored Links
1 / 45

Windows Server 2008 事件管理機制 PowerPoint PPT Presentation


  • 93 Views
  • Uploaded on
  • Presentation posted in: General

Windows Server 2008 事件管理機制. 曹祖聖 台灣微軟資深講師 [email protected] http://teacher.allok.com.tw MCP, MCP+I, MCSA, MCSE,MCDBA, MCAD, MCSD, MCT, MVP. 大綱. Windows Server 2008 事件處理架構 全新的事件檢視器工具 XML 格式事件 事件的類型 事件的過濾 工作排程的整合 事件的儲存與轉送 自訂事件記錄檔與事件 收集事件到資料庫中. 大綱. Windows Server 2008 事件處理架構

Download Presentation

Windows Server 2008 事件管理機制

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Windows server 2008

Windows Server 2008 事件管理機制

曹祖聖

台灣微軟資深講師

[email protected]

http://teacher.allok.com.tw

MCP, MCP+I, MCSA, MCSE,MCDBA, MCAD, MCSD, MCT, MVP


Windows server 2008

大綱

  • Windows Server 2008 事件處理架構

  • 全新的事件檢視器工具

  • XML 格式事件

  • 事件的類型

  • 事件的過濾

  • 工作排程的整合

  • 事件的儲存與轉送

  • 自訂事件記錄檔與事件

  • 收集事件到資料庫中


Windows server 2008

大綱

  • Windows Server 2008 事件處理架構

  • 全新的事件檢視器工具

  • XML 格式事件

  • 事件的類型

  • 事件的過濾

  • 工作排程的整合

  • 事件的儲存與轉送

  • 自訂事件記錄檔與事件

  • 收集事件到資料庫中


Windows server 20081

Windows Server 2008 的事件記錄

新的事件報表

加強事件

基礎架構

Windows Server

2008

事件記錄

更多更詳細

的事件

事件轉送


Windows

Windows 事件處理流程

Start

Build

Management

Model

Windows

Server

Longhorn?

Yes

No

Use

NT Eventing

Use

Windows

Eventing 6.0

Create

Event

Source

Create Event

Message

File

Localize

Events

Create Manifest

From Health Model

Install

Manifest

Localize

Events

Write

Installer

Finish


Windows eventing 6 0

Windows Eventing 6.0 架構

事件提供者

Channel

LOG

事件記錄檔組態

Event

Manifest

管理工具

Event

Metadata

Events

Channel

Configuration

Provider

Metadata


Kernel transaction manager ktm

Kernel Transaction Manager (KTM)

  • 在過去,應用程式很難修復因為修改檔案或系統機碼所造成的錯誤

  • Windows Server 2008 實作了核心交易管理員 (KTM)

    • 所有的變更都可以透過交易來控制

    • 其它廠商可以進一步延伸這個功能到其它資源管理員上

  • 核心交易管理員會負責協調應用程式與資源管理員的交易

    • 系統機碼與 NTFS 都支援這項功能

      • Windows Update 和 System Protection 都使用這項功能

    • 透過 DTC 與其它資料來源進行交易處理

    • Windows Server 2003 R2 開始就支援 Common Log File System (Clfs.sys) 提供有效率的交易記錄


Transactional infrastructure

Transactional Infrastructure

System.Tx

Managed

LTM

SQL

DTC

MSMQ

Native

KtmRm

KtmW32

SMB2

KTM

Kernel

NTFS

Registry

CLFS

WCF


Windows1

Windows 事件記錄簡介

記錄檔

  • 應用程式Windows 作業系統上應用程式的事件

  • 安全性系統稽核事件

  • 系統作業系統本身的事件

  • 目錄服務網域控制站的事件

  • DNS 伺服器DNS 伺服器事件

  • 檔案複寫服務FRS 事件

錯誤


Windows server 2008

demo

如何檢視事件記錄


Windows server 2008

大綱

  • Windows Server 2008 事件處理架構

  • 全新的事件檢視器工具

  • XML 格式事件

  • 事件的類型

  • 事件的過濾

  • 工作排程的整合

  • 事件的儲存與轉送

  • 自訂事件記錄檔與事件

  • 收集事件到資料庫中


Windows server 2008

全新的事件檢視器

事件檢視器

所有事件的摘要

更多的新的選項

  • 跨事件記錄檔查詢

  • 將查詢儲存成檢視

  • 對事件指定排程工作

  • 新的事件檢視器摘要

  • 所有的事件記錄檔

  • 以事件類型排序

  • 最新的事件

  • 最近使用過的事件檢視

  • 記錄檔摘要

  • Actions pane


Windows server 2008

demo

全新的事件檢視器


Windows server 2008

大綱

  • Windows Server 2008 事件處理架構

  • 全新的事件檢視器工具

  • XML 格式事件

  • 事件的類型

  • 事件的過濾

  • 工作排程的整合

  • 事件的儲存與轉送

  • 自訂事件記錄檔與事件

  • 收集事件到資料庫中


Windows server 2008

加強事件基礎架構

  • 事件架構定義在 XML Schema

  • 事件以 XML 格式儲存

  • 支援 XML 查詢


Windows server 2008

demo

XML 格式的事件


Windows server 2008

大綱

  • Windows Server 2008 事件處理架構

  • 全新的事件檢視器工具

  • XML 格式事件

  • 事件的類型

  • 事件的過濾

  • 工作排程的整合

  • 事件的儲存與轉送

  • 自訂事件記錄檔與事件

  • 收集事件到資料庫中


Windows server 2008

事件的類型

資訊

警告

錯誤


Windows server 2008

事件類型

  • 管理型事件

    • IT 人員使用

  • 操作型事件

    • 監控工具使用

  • 偵錯與追蹤事件

    • 開發人員使用


Windows server 2008

demo

操作型事件

以角色為基礎的事件分類


Windows server 2008

硬體錯誤報告

  • 在過去,硬體的錯誤並沒有一個標準的管道進行回報

    • 沒有任何硬體錯誤回報的標準

    • 核心中並沒有一套收集與回報硬體錯誤的機制

  • Windows Server 2008 內建硬體錯誤報架構 Windows Hardware Error Architecture (WHEA)

    • 透過外掛支援各類型的硬體錯誤標準

    • 所有錯類型使用一致的錯誤格式

    • 方便查詢錯誤來源


Windows server 2008

demo

硬體錯誤事件記錄檔


Windows server 2008

大綱

  • Windows Server 2008 事件處理架構

  • 全新的事件檢視器工具

  • XML 格式事件

  • 事件的類型

  • 事件的過濾

  • 工作排程的整合

  • 事件的儲存與轉送

  • 自訂事件記錄檔與事件

  • 收集事件到資料庫中


Windows server 2008

跨記錄檔查詢

跨記錄檔查詢


Windows server 2008

demo

跨記錄檔搜尋事件


Windows server 2008

大綱

  • Windows Server 2008 事件處理架構

  • 全新的事件檢視器工具

  • XML 格式事件

  • 事件的類型

  • 事件的過濾

  • 工作排程的整合

  • 事件的儲存與轉送

  • 自訂事件記錄檔與事件

  • 收集事件到資料庫中


Windows server 2008

工作排程

在指定時間執行工作

在指定事件發生時執行工作

在使用者登入時執行工作

在電腦閒置時執行工作


Windows server 2008

工作排程

General: 名稱、說明

Triggers:什麼時候要執行 ?

Actions:要執行什麼 ?

Conditions: 執行條件

Settings: 工作的行為設定


Windows server 2008

demo

附加動作


Windows server 2008

大綱

  • Windows Server 2008 事件處理架構

  • 全新的事件檢視器工具

  • XML 格式事件

  • 事件的類型

  • 事件的過濾

  • 工作排程的整合

  • 事件的儲存與轉送

  • 自訂事件記錄檔與事件

  • 收集事件到資料庫中


Windows server 2008

如何保留記錄檔

  • 保留記錄檔的用途:

    • 追蹤資源使用的狀況

    • 追蹤資源使用的趨勢

    • 保留相關記錄以供未來法律用途

  • 保留記錄檔的格式:

    • 事件日誌格式 ( *.evtx )

    • XML 格式 (*.xml)

    • 純文字 (以 Tab 分隔) ( *.txt )

    • CSV (以逗號分隔) ( *.csv )


Windows server 2008

demo

儲存事件


Windows server 2008

事件轉送


Windows server 2008

demo

事件轉送


Windows server 2008

大綱

  • Windows Server 2008 事件處理架構

  • 全新的事件檢視器工具

  • XML 格式事件

  • 事件的類型

  • 事件的過濾

  • 工作排程的整合

  • 事件的儲存與轉送

  • 自訂事件記錄檔與事件

  • 收集事件到資料庫中


Windows server 2008

如何新增記錄檔

  • 所有的事件記錄檔都註冊在系統機碼中:

    • HKLM\System\CurrentControlSet\Services\EventLog

      Const NO_VALUE = Empty

      Const regEventLog = "HKLM\System\CurrentControlSet\Services\EventLog"

      Const newLog = "Script"

      Set WshShell = WScript.CreateObject("WScript.Shell")

      WshShell.RegWrite regEventLog + "\" + newLog, NO_VALUE


Windows server 2008

如何新增事件到記錄檔 #1

Const EVENT_SUCCESS = 0

Set objShell = Wscript.CreateObject("Wscript.Shell")

objShell.LogEvent EVENT_SUCCESS, "世紀帝國啟動成功 !"


Windows server 2008

如何新增事件到記錄檔 #2

  • 使用 eventcreate.exe 命令列工具

    • eventcreate [/S system [/U username [/P [password] ] ] ] /ID eventid [/L logname] [/SO srcname] /T type /D description

    • type: SUCCESS、ERROR、WARNING、INFORMATION

    • id:1 – 1000

      Set WshShell = WScript.CreateObject("WScript.Shell")

      strCommand = "eventcreate /T Error /ID 100 /L Scripts /D " _

      & Chr(34) & "Test event." & Chr(34)

      WshShell.Run strcommand


Windows server 2008

demo

使用 WMI 新增事件記錄檔與事件


Windows server 2008

大綱

  • Windows Server 2008 事件處理架構

  • 全新的事件檢視器工具

  • XML 格式事件

  • 事件的類型

  • 事件的過濾

  • 工作排程的整合

  • 事件的儲存與轉送

  • 自訂事件記錄檔與事件

  • 收集事件到資料庫中


Windows server 2008

如何備份記錄檔到資料庫

即時傳訊系統

工作站

安全性記錄

即時入侵分析系統

WMI + ADO

安全性記錄

SQL

伺服器

事件收集主機

後續分析

集中收集與管理事件


Windows server 2008

demo

如何備份記錄檔到資料庫


Windows server 2008

結論

  • 全新的 XML 事件處理架構

  • 方便事件搜尋與跨防火牆傳送事件

  • 與工作排程整合

  • 支援交易處理


Technet

在何處取得TechNet相關資訊?

  • 訂閱 TechNet資訊技術人快訊http://www.microsoft.com/taiwan/technet/flash/

  • 訂閱 TechNet Plus

    http://www.microsoft.com/taiwan/technet/

  • 參加TechNet的活動http://www.microsoft.com/taiwan/technet/

  • 下載 TechNet 研討會簡報與錄影檔http://www.microsoft.com/taiwan/technet/webcast/


  • Login