人們通常會監視 Windows 伺服器上的事件日誌嗎?
我是一名程序員而不是系統管理員,但由於我們的伺服器遇到了很多麻煩,我認為我會積極主動地幫助我們過度工作(和學習)的系統管理員。
我們有 20-25 台左右的 Windows Server(2003 和 2008)。它們的範圍從 SQL Server、Web 伺服器、批處理、託管內部應用程序等。我們確實使用 WhatsUp 作為監控軟體來監控記憶體、處理器活動、網站狀態等。
但目前似乎我們根本沒有監控事件日誌。我已經看到我們在該事件日誌中彈出了很多錯誤和警告,雖然我不了解它們的影響,但所有這些似乎都可能很糟糕。
在這種情況下,標準做法是什麼?系統管理員是否通常在某些服務視窗期間每月/每週/每天手動查看每台伺服器上的事件日誌?你有一些聚合器軟體,所以你所有的伺服器都手動檢查嗎?或者一些在事件日誌中出現錯誤/警告時立即發出警報或電子郵件的軟體?
我已經看到 WhatsUp 有一個外掛(需要花錢)可以做到這一點,而且我也看到了例如 OSSEC 建議在這裡。這是我應該建議的,如果是的話,它有多重要?
不監視事件日誌(或等效的非 Windows 系統)的管理員算不上管理員。但是,有許多不同的方式和方法可以監控日誌,並且由於它們充其量是神秘的,因此最好以程式方式進行監控。這並沒有消除對定期隨機手動檢查的需要,但肯定會使大型複雜工作變得易於管理。
關鍵是一個程序(或程序套件),它將解析日誌並提取“有趣”位。例如,為什麼我們通常會關心 Betty 向 Accounts HP 列印機發送了一份 50 頁的文件,但日誌中卻塞滿了此類內容。絕大多數事件日誌條目與日常操作無關,但在嘗試隔離或調試問題時非常有用。
使用過濾器提取錯誤和警告,然後甚至可能刪除給定係統上正常和預期的錯誤和警告。一旦你得到了正確的過濾,你應該最終得到相當少量的需要進一步調查的事件。或者至少有人希望這是結果。