Como alguém pode aprender a ler o visualizador de eventos do Windows Server e saber quais eventos são normais e quais são sinais de possíveis problemas?

3

Eu tenho gerenciado máquinas com Windows Server 2003 no trabalho, mas sou desenvolvedor de software. (Por favor, não diga 'contratar um administrador de sistemas', o objetivo dessa pergunta é meu próprio aprendizado).

Como os administradores do servidor aprendem o que procurar no visualizador de eventos? Às vezes, haverá coisas estranhas que eu não entendo, muitas vezes haverá coisas que estão sempre lá e eu simplesmente as ignoro porque elas estão sempre presentes.

Existe algum recurso em algum lugar que possa me treinar sobre o comportamento normal de um log do visualizador de eventos do Windows Server e que coisas podem significar um desastre?

Ou talvez haja alguma ferramenta de terceiros que os decifre e faça recomendações? Eu preferiria a rota de aprendizado.

    
por BigOmega 03.05.2011 / 14:39

2 respostas

5

Os logs de eventos são uma câmara de compensação para quaisquer mensagens ou erros lançados pelo SO, seus componentes e qualquer software instalado no sistema. Portanto, não podemos cobrir totalmente todos os seus conteúdos potenciais, porque há potencialidades ilimitadas que podem conter e todos exigem tratamento individual.

Uma forma de analisar os logs de eventos é:

  1. Filtre os alertas informativos para que você veja apenas avisos e erros.
  2. Pesquise cada um deles e tente resolver cada um deles à medida que avança. O Google é uma maneira perfeitamente legítima de realizar isso. Se você conseguir resolver um erro para que ele não volte a ocorrer, ótimo, caso encerrado para aquele. Para o próximo.
  3. Se você não conseguir resolver um erro, tente determinar se é um problema genuíno ou benigno. Se for um problema genuíno, encaminhe-o. Se não for, adicione-o aos registros de 'erros conhecidos' (ou mentalmente 'ignore este' pool) e passe para o próximo erro.

Isso é tudo que existe para isso. A auditoria do log de eventos de segurança é um pouco diferente, mas o aplicativo e o sistema geralmente podem ser muito bem abordados com a abordagem acima.

Você pode configurar pacotes de monitoramento / alerta para assistir a logs de eventos e alertá-lo. Há duas abordagens típicas para isso:

  1. Configure a ferramenta para observar entradas específicas e alertar sobre elas
  2. Configure a ferramenta para ignorar entradas benignas conhecidas e alertar sobre tudo o mais

Cada abordagem tem seus pontos strongs. Uma coisa importante a lembrar, porém, é que uma ferramenta de monitoramento é tão útil quanto a configurada para ser, e não há nenhuma 'mágica' para isso que lhe dará uma boa mistura de 'silencioso o suficiente' e 'garantido para alertá-lo cada vez que há um problema genuíno '. Infelizmente isso requer balanceamento contínuo.

    
por 03.05.2011 / 14:48
1

Um conselho adicional, se você estiver executando um bom hardware com qualidade de servidor, é executar o software de monitoramento gratuito do fornecedor. IBM tem diretor, a HP tem SIM, a Dell tem OpenManage. Cada um desses, quando configurado corretamente, o alertará sobre coisas ruins - mais especificamente, sobre fãs mortos, alta temperatura, falha iminente de disco dos alertas SMART ou falha real do disco que você pode não conhecer (quando em um volume RAID).

Além dos alertas de hardware, não há muito sentido em vasculhar os logs de eventos de maneira proativa (com muita frequência). Você os usará com mais frequência para descobrir a causa dos problemas depois que eles forem relatados. Naturalmente, cada ambiente é diferente e, como observado acima, o log de segurança pode ser uma história diferente se você tiver auditoria ou outros requisitos de segurança (HIPAA, PCI, etc.)

    
por 03.05.2011 / 15:11