Windows 事件日志
对企业安全系统危害最大的攻击往往来自内部。保护系统免受恶意内部攻击的唯一方法,是实时监控 Windows 服务器日志并自动生成告警。日志有助于故障排除、诊断和解决问题,而事件日志包含诊断应用程序和操作系统故障所需的最重要信息。基本事件日志类型包括:
- 系统日志: 跟踪各类系统事件,如启动、关机、硬件故障和控制器故障。
- 应用程序日志:应用程序状态信息的来源。
- 安全日志: 跟踪登录、注销、访问权限变更以及系统启动和关闭等事件。
使用 Site24x7,您可以通过有效分析和管理 Windows 事件日志来保护这些敏感信息。您还可以在单一仪表板中对 Windows 服务器进行故障排除和优化,找出故障根因。了解有关 Site24x7 日志管理的更多信息。
入门
Windows 事件类型规范
在创建日志配置文件时,您需要指定应收集哪些日志的哪些 Windows 事件类型。默认情况下,提供了应用程序、系统和安全等事件类型。您也可以添加或删除日志收集中的事件类型。
日志模式
以下是 Site24x7 为解析 Windows 事件日志定义的默认模式:
$DateTime:date$ $EventId$ $Type$ $Level$ '$Source$' $ComputerName$ $User$ $TaskCategory$ $Message$
日志示例
5/8/2018 11:52:39 PM 1001 Application Information 'Windows Error Reporting' Test-PC - None Windows Update Failure
该日志被分隔为各个字段,每个字段将取其对应的值,然后上传到 Site24x7。
| 字段名 | 字段值 |
| DateTime | 5/8/2018 11:52:39 PM |
| EventId | 1001 |
| Type | Application |
| Level | Information |
| Source | Windows Error Reporting |
| ComputerName | Test-PC |
| User | - |
| TaskCategory | None |
| Message | Windows Update Failure |
注意
对于 Windows 事件日志,当代理启动或重启时,将收集过去 5 分钟的日志,然后从该时间点起持续收集事件。
Windows 事件日志仪表板
AppLogs 为每种日志类型创建专属仪表板,并默认显示若干小部件。以下是 Windows 事件日志仪表板中可用小部件的列表:
- 成功的应用程序安装
- 失败的应用程序安装
- 应用程序崩溃
- 磁盘坏扇区
- 意外关机
- 登录统计
- 登录类型
- 事件类型
- 任务类别
- 前 50 个事件 ID
- 热门应用程序
- 按主机划分的热门应用程序
- 需要重启
- 服务统计
注意
除默认小部件外,您保存的搜索也会自动添加到仪表板。
