Windows Serverイベントビューアを読み、どのイベントが正常で、どのイベントが潜在的な問題の兆候であるかを知るにはどうすればよいでしょうか。
私は職場でWindowsServer 2003マシンを管理していますが、ソフトウェア開発者です。 (「システム管理者を雇う」とは言わないでください。この質問のポイントは私自身の学習です)。
サーバー管理者は、イベントビューアで何を探すべきかをどのように学習しますか?時々、私にはわからない奇妙なことがあります。多くの場合、常にそこにあるので、私が単に無視することが常にあります。
Windows Serverイベントビューアログの通常の動作と、災害を引き起こす可能性のあるものについてトレーニングできるリソースはどこかにありますか?
それとも、それらを解読して推奨を行うサードパーティのツールがありますか?しかし、私は学習ルートを好みます。
イベントログは、OS、そのコンポーネント、およびシステムにインストールされているソフトウェアによってスローされたメッセージやエラーの情報センターです。そのため、含まれる可能性のあるものは無限にあり、それらはすべて個別の処理が必要なため、潜在的なコンテンツをすべて完全に網羅することはできません。
イベントログを分析する1つの方法は次のとおりです。
- 警告とエラーだけが表示されるように、情報アラートを除外します。
- それぞれを順番に調べて、進むにつれてそれぞれを解決しようとします。グーグルはこれを達成するための完全に合法的な方法です。エラーが再発しないようにエラーを解決できる場合は、そのエラーのケースを閉じます。次へ。
- エラーを解決できない場合は、それが良性の問題なのか、それとも本物の問題なのかを判断してください。真の問題である場合は、エスカレーションしてください。そうでない場合は、それを「既知のエラー」レコードに追加し(またはメンタル「これを無視する」プール)、次のエラーに進みます。
これですべてです。セキュリティイベントログの監査は少し異なりますが、アプリケーションとシステムは通常、上記のアプローチでかなりうまくカバーできます。
監視/アラートパッケージを設定して、イベントログを監視し、アラートを出すことができます。これには2つの典型的なアプローチがあります。
- 特定のエントリを監視して警告するようにツールを構成します
- 既知の無害なエントリを無視し、他のすべてについて警告するようにツールを構成します
それぞれのアプローチには長所があります。ただし、覚えておくべき重要なことの1つは、監視ツールは構成されたものと同じくらい便利であり、「十分に静か」と「すべてのユーザーに警告することが保証されている」の適切な組み合わせを提供する「魔法の弾丸」はないということです。本当の問題がある時」。残念ながら、それは継続的なバランスを取る必要があります。
サーバー品質の優れたハードウェアを実行している場合の追加のアドバイスは、ベンダーが提供する無料の監視ソフトウェアを実行することです。 IBMにはDirectorがあり、HPにはSIMがあり、DellにはOpenManageがあります。これらはそれぞれ、適切に構成されている場合、悪いことについて警告します。具体的には、ファンの停止、高熱、SMARTアラート)からの差し迫ったディスク障害、または知らない可能性のある実際のディスク障害について警告します。約(RAIDボリューム内の場合)。
ハードウェアアラートを除いて、イベントログをプロアクティブに(非常に頻繁に)トロールする意味はあまりありません。ほとんどの場合、問題が報告された後、それらを使用して問題の原因を見つけます。もちろん、環境はそれぞれ異なります。前述のように、監査またはその他のセキュリティ要件(HIPAA、PCIなど)がある場合、セキュリティログは異なるストーリーになる可能性があります。