PHẦN I : CÁC KHÁI NIỆM TỔNG QUAN
9. Audit Policies
9.2 Các hạng mục trong Event Viewer
9.2.1 Custom view
Việc cố gắng xác định một sự kiện cụ thể trong Windows Event Viewer là một cơng việc rất khó khăn. Những tiến trình riêng biệt có thể tạo ra rất nhiều sự kiện khác nhau trong một thời gian ngắn gây khó khăn cho việc xác định sự kiện muốn kiểm tra.
Custom Event View cho phép người dùng thực hiện các phiên tìm kiếm động nâng
cao dựa trên một số điều kiện lọc. Theo đó, chúng ta có thể xác định mọi sự kiện gây ra lỗi nào đó ngồi việc chỉ tìm lỗi.
Hộp thoại Create Custom View là giao diện chính được sử dụng để tạo khung nhìn tùy biến của các sự kiện máy chủ.
Hình 18. Hộp thoại Create Custom View.
Đầu tiên phải lựa chọn phạm vi của những sự kiện muốn lọc. Danh sách
Logged thả xuống cho phép kiểm soát những sự kiện xảy ra trong giờ trước, ngày trước, tuần trước hay một giai đoạn thời gian cụ thể. ta có thể tạo một khoảng thời
gian tùy biến.
Trong hình trên có thể lựa chọn các cấp độ Event gồm Critical, Error, Warning, Information, hay Verbose.
Sự kiện bằng Event Log (bản ghi sự kiện) hay Event Source (nguồn sự kiện) không thể sử dụng cả hai. Nếu lựa chọn tùy chọn By Log, khi đó danh sách thả xuống sẽ hiển thị một chuỗi option chọn có thể sử dụng để lựa chọn những Event Log riêng biệt muốn đưa vào tiến trình lọc. Nếu lựa chọn tùy chọn By Source, danh sách thả
xuống sẽ hiển thị một số hộp chọn cho mọi Event Source hiện có. Tiếp theo, nhập những Event ID khác nhau muốn lọc. Nếu không xác định được những Event ID cụ thể, có thể nhập một vùng Event ID. Ví dụ, nếu muốn lọc những Event ID có giá trị từ
1 đến 99, hãy nhập 1-99.
Hình 19. Khung nhìn hiển thị kết quả xuất hiện dưới Custom Views
9.2.2 Windows logs
Windows Logs được định để lưu trữ các sự kiện từ các ứng dụng kế thừa và các sự
kiện áp dụng cho tồn bộ hệ thống.
- Application log có chứa các sự kiện đăng nhập bởi các ứng dụng hoặc các
chương trình.
- Security log chứa các sự kiện như cố gắng đăng nhập hợp lệ và không hợp lệ, cũng như các sự kiện liên quan đến sử dụng tài nguyên, chẳng hạn như tạo, xóa các tập tin hoặc các đối tượng khác. Người quản trị có thể xác định những gì các sự kiện được ghi trong security log.
- Setup log chứa các sự kiện liên quan để thiết lập ứng dụng.
- System log chứa các thành phần hệ thống đăng nhập của Windows. Ví dụ, sự thất bại của một trình điều khiển hoặc các thành phần hệ thống khác để nạp lúc khởi động được ghi lại trong system log. Các loại sự kiện đăng nhập của các thành phần hệ thống được xác định trước bởi Windows.
- Forwarded Events log đăng nhập được sử dụng để lưu trữ các sự kiện thu thập từ các máy tính từ xa. Để thu thập các sự kiện từ các máy tính từ xa, bạn phải tạo một đăng kí sự kiện.
9.2.3 Applications and Services Logs
Những sự kiện lưu trữ các bản ghi từ một ứng dụng đơn lẻ hoặc một thành
phần chứ không phải là sự kiện mà có thể có tác động rộng hệ thống.
Thể loại của các bản ghi bao gồm bốn phân nhóm: Admin, Operational, Analytic, and Debug logs. Các sự kiện trong Admin log được quan tâm đặc biệt để chuyên gia IT sử dụng Event Viewer để gỡ rối vấn đề. Các sự kiện trong Admin log cung cấp cho bạn hướng dẫn về làm thế nào để đáp ứng cho họ.
Analytic logs lưu trữ các sự kiện mà theo dõi một vấn đề và một khối lượng lớn
các sự kiện được lưu lại. Debug logs được sử dụng bởi các nhà phát triển khi gỡ lỗi các ứng dụng. Cả Analytic và Debug log được ẩn và vơ hiệu hóa theo mặc định.
- Admin: Những sự kiện này chủ yếu nhắm vào người dùng cuối, các quản trị viên, và nhân viên hỗ trợ. Những sự kiện được tìm thấy trong các kênh Admin chỉ ra một vấn đề và giải pháp cũng như các quy định rằng một quản trị viên có thể
hành động.
- Operational events: được sử dụng để phân tích và chẩn đoán một vấn đề hay xảy ra. Chúng có thể được sử dụng để kích hoạt các công cụ hoặc nhiệm vụ dựa trên các vấn đề hay xảy ra.
- Analytic events: được công bố về mức độ cao. Chúng mô tả những hoạt động
chương trình và chỉ ra những vấn đề mà không thể được xử lý bởi sự can thiệp của người dùng.
- Debug events: được sử dụng bởi các nhà phát triển khắc phục sự cố các vấn đề với chương trình của họ.