Windows 事件日志
对企业安全系统最具破坏性的打击往往来自内部。保护您的系统免受恶意内部攻击的唯一方法是监控您的 Windows 服务器日志并实时自动生成告警。日志可帮助您排除故障、诊断和解决问题,事件日志包含诊断应用程序和操作系统故障所需的最重要信息。基本事件日志类型包括:
- 系统日志:跟踪各种系统事件,如启动、关闭、硬件故障和控制器故障。
- 应用程序日志:应用程序状态信息的来源。
- 安全日志:跟踪登录、注销、访问权限更改以及系统启动和关闭等事件。
使用 Site24x7,您可以通过有效分析和管理 Windows 事件日志来保护这些易受攻击的信息。您还可以对 Windows 服务器进行故障排除和优化,以便在单个仪表板中找到故障的根本原因。 了解有关使用 Site24x7 进行日志管理的更多信息。
入门
Windows 事件类型规范
创建日志配置文件时 ,您必须指定应为哪些日志收集哪些 Windows 事件类型。默认情况下,提供了应用程序、系统和安全等事件类型。您还可以从日志收集中添加更多或删除事件类型。
日志模式
以下是 Site24x7 定义的用于解析 Windows 事件日志的默认模式:
$DateTime:date$ $EventId$ $Type$ $Level$ '$Source$' $ComputerName$ $User$ $TaskCategory$ $Message$
示例日志
5/8/2018 11:52:39 PM 1001 Application Information 'Windows Error Reporting' Test-PC - None Windows Update Failure
此日志分为多个字段,每个字段将采用其各自的值,然后将上传到 Site24x7。
| 字段名称 | 字段值 |
| DateTime | 5/8/2018 11:52:39 PM |
| EventId | 1001 |
| Type | Application |
| Level | Information |
| Source | Windows Error Reporting |
| ComputerName | Test-PC |
| User | - |
| TaskCategory | None |
| Message | Windows Update Failure |
Windows 事件日志仪表板
AppLogs 为每种日志类型创建一个专属仪表板,并默认显示一些小窗件。以下是 Windows 事件日志仪表板中可用的小窗件列表:
- 成功的应用程序安装
- 应用程序安装失败
- 应用程序崩溃
- 坏磁盘扇区
- 意外关机
- 登录统计
- 登录类型
- 事件类型
- 任务类别
- 前 50 个事件 ID
- 热门应用
- 主机排名靠前的应用程序
- 需要重启
- 服务统计
除了默认小窗件之外,您保存的搜索也将自动添加到仪表板中。
