Коли ви останній раз переглядали журнали подій на ваших серверах?
У багатьох організаціях досі не впроваджені такі системи як SC Operations Manager або SC Essentials. Причини можуть бути самими різними, але факт залишається фактом. Але тим не менш, відстежувати журнали все одно потрібно, думаю це очевидно всім. Один із способів - створити консоль MMC в яку додати снапіни журналу подій з різних серверів. Інший варіант - скористатися безкоштовною утилітою від Microsoft, про яку я випадково дізнався буквально пару годин тому 🙂
EventCombMT не вимагає установки, всі налаштування поміщаються на одному екрані. Функціонал теж не багатий - все що може утиліта, це виконувати пошук подій в журналах декількох серверів, за заданими критеріями. Але зате вже це вона робить цілком добре 🙂
Аналізовані сервери додаються в віконце справа вгорі, причому утиліта може самостійно отримати всіх серверів з домена. Потім необхідно вибрати в яких журналах подій ви хочете шукати (System, Application, Security ...) і які типи подій вам цікаві - помилки, попередження, інформаційні повідомлення, або події аудиту.
Пошук виконується в кілька потоків. У процесі аналізу SID'и користувачів перетворюються в Человекопонятние назви, а додаткова текстова інформація про події, вилучають із відповідних DLL'ок.
Після завершення пошуку, EventCombMT відкриє в провіднику тимчасову папку в якій знаходяться файли з іменами серверів, всередині яких ви вже знайдете рядки з відібраними подіями. наприклад:
55, ERROR, Ntfs, Wed Jul 02 9:39:47 2008,, The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume Backup.
Зрозуміло EventCombMT і близько не порівняти з можливостями OpsMgr, Essentials або іншими системами моніторингу, але часто такий інструмент краще ніж аналіз логів вручну, або написання складних скриптів для разової завдання.
Завантажити утиліту можна в комплекті Security Guide Scripts, тут .
Коли ви останній раз переглядали журнали подій на ваших серверах?