4.5 Windows Server 2003系统日志和事件

在一个完整的信息系统里面，日志系统是一个非常重要的功能组成部分。它可以记录下系统所产生的所有行为，并按照某种规范表达出来。我们可以使用日志系统所记录的信息为系统进行排错，优化系统的性能，或者根据这些信息调整系统的行为。在安全领域，日志系统的重要地位尤甚，可以说是安全审计方面最主要的工具之一。

4.5.1 系统日志设置

1. Windows Server 2003系统日志概述

按照系统类型进行区分的话，日志系统可以分为操作系统日志、应用系统日志、安全系统日志等等。每种操作系统的日志都有其自身特有的设计和规范，例如Windows系统的日志通常按照其惯有的应用程序、安全和系统这样的分类方式进行存储，而类似Linux这样的各种UNIX系统通常都使用兼容Syslog规范的日志系统。

而很多硬件设备的操作系统也具有独立的日志功能，以Cisco路由器为代表的网络设备通常都具有输出Syslog兼容日志的能力。应用系统日志主要包括各种应用程序服务器（例如Web服务器、FTP服务器）的日志系统和应用程序自身的日志系统，不同的应用系统都具有根据其自身要求设计的日志系统。安全系统日志从狭义上讲指信息安全方面设备或软件如防火墙系统的日志，从更广泛的意义上来说，所有为了安全目的所产生的日志都可归入此类。

Windows Server 2003系统启动时“系统日志”也会自动运行。事件日志概述默认情况下，运行Windows Server 2003家族操作系统的计算机以三种类型的日志记录事件。

● 应用程序日志

应用程序日志包含由应用程序或系统程序记录的事件。例如，数据库程序可在应用程序日志中记录文件错误。应用程序开发人员决定记录哪些事件。

● 安全日志

安全日志记录诸如有效和无效的登录尝试等事件，以及记录与资源使用相关的事件，如创建、打开或删除文件或其他对象。例如，如果您已启用登录审核，登录系统的尝试将记录在安全日志中。

● 系统日志

系统日志包含Windows系统组件记录的事件。例如，在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。服务器预先确定由系统组件记录的事件类型。

运行Windows Server 2003家族操作系统且配置为域控制器的计算机以另外两种日志记录事件。

● 目录服务日志

目录服务日志包含Windows Active Directory服务记录的事件。例如，在目录服务日志中记录服务器和全局编录间的连接问题。

● 文件复制服务日志

“文件复制”服务日志包含Windows文件复制服务记录的事件。例如，在文件复制日志中，记录着文件复制失败和域控制器（利用关于系统卷更改的信息）更新时发生的事件。

运行Windows并配置为域名系统（DNS）服务器的计算机在其他日志中记录事件。

● DNS服务器日志

DNS服务器日志包含Windows DNS服务记录的日志。

根据所安装服务的情况，计算机可能会提供其他类型的事件和事件日志。

当启动Windows时，“事件日志”服务自动启动。

既然系统日志有如此重要的作用，如何妥善保存这些日志记录就成为管理员日常维护的一项重要工作。默认状态下，系统日志的存储空间、保存方法、保存日期都是有一定限制的，如果系统事件较多，时间长了很可能会造成存储溢出，即导致部分事件记录被自动清除。因此，通常情况下需要对系统日志进行如下设置。

2. 设置系统日志选项

在“事件查看器”控制台中右击需要配置选项的日志类型，如“系统”事件日志，显示如图4-78所示的“系统 属性”对话框。

● 显示名称：当前事件日志在“事件查看器”窗口中显示的名称，如果需要区别于其他同类事件日志，在这里可以对其进行重命名。修改“显示名称”并不会影响到其包含的任何事件日志。

● 日志大小 当前事件日志在计算机磁盘中被分配的磁盘空间，可以根据服务器类型判断日至文件的大小，从而设定合适的空间上限，建议设置较大的空间上限，以免由于磁盘空间不足而自动删除未经保存的陈旧事件日志。Windows Server 2003 R2家族操作系统默认的系统日志最大值为16 MB，用户可以根据自己的实际情况适当修改此上限值，最大不可超过4 GB。

● 达到日志大小上限时：当达到日志大小上限时系统将按照默认或预先设定的动作执行，系统默认的是“按需要覆盖事件”。当然也可以指定让其自动“覆盖事件超过x天的事件”，以及“不覆盖事件”等待手动清除。

● 使用低速连接：由于事件日志的产生是随时都可能发生的，因此为了不至于占用过多的系统资源影响到服务器正常运行，可以选择“使用低速连接”复选框。

3. 筛选事件

事件日志筛选器可以帮助用户快速查看想要的详细信息。使用过“事件查看器”的用户都会发现事件日志特别多，有时候一天之内产生的记录就可能有上百条，此时如果仍按照日期和时间查找，势必要花费太多的事件。事件筛选器可以按照设定的事件类型、事件ID、用户等相关信息对所有事件进行过滤，最后显示出想要的结果。

首先在“事件查看器”控制台窗口左侧的目录中单击选择自己想要查看的事件类型，例如“安全性”事件，然后单击“查看”菜单并选择“筛选”项，显示如图4-79所示的“安全性 属性”对话框。

首先在“事件类型”选项框中选择相应的事件类型，其中包括了事件查看器中记录的所有的日志类型，但是当筛选不同类型的事件日志时可以取消其他非必要的选项，例如本例中筛选“安全性”事件就可以取消“信息”、“警告”、“错误”三项，而只保留“审核成功”和“审核失败”。

“事件来源”则主要用于标识产生指定时间的软件，该软件可以是一个应用程序，也可以是系统的一个功能组件，系统默认从“全部”来源的事件中进行筛选。除此之外还可以指定特定的时间来源，如SC Manager、Security、DS等，需要注意的是选择不同事件类型时将会看到不同的时间来源选择。

在一个庞大的系统事件日志系统中往往记录了从安装操作系统至今的所有事件，而需要查看的仅仅是出现故障前后的日志信息，因此还可以采用限定时间的方法缩小筛选范围。首先分别在“从”和“到”后的下拉列表中选择“事件时间”，然后再在后面具体日期和时间选项框中设定具体的起止时间，如图4-80所示。

4.5.2 事件查看器

其实事件查看器也就是系统日志。微软在以Windows NT为内核的操作系统中集成了事件查看器功能，这些操作系统包括Windows 2000/NT/XP/2003等。通过“事件查看器”中的事件日志，可以收集关于硬件、软件和系统问题的信息。通常情况下运行Windows Server 2003的计算机的日志中记录的时间可以分为应用程序、系统和安全三类，如果安装了Active Directory服务、DNS服务、文件服务等网络组件，还会自动增加相应的事件日志记录。虽然“事件查看器”主要是一个管理员用来管理事件日志的工具，但用户也可以查看自己计算机上的应用程序和系统日志。需要注意的是只有管理员可以访问安全日志。

1. 查看事件的详细信息

选中事件查看器左边的树形结构图中的日志类型（应用程序、安全性或系统），在右侧的详细资料窗格中将会显示出系统中该类的全部日志，双击其中一个日志，便可查看其详细信息。在日志属性窗口中我们可以看到事件发生的日期、事件的发生源、种类和ID，以及事件的详细描述。这对我们寻找并解决错误来说是最重要的。

（1）查看事件信息

第1步，依次单击“开始”→“管理工具”→“事件查看器”，打开如图4-81所示的“事件查看器”窗口。

第2步，在左侧“事件查看器”目录中单击想要查看的事件类型（本例中使用的计算机已经安装活动目录等网络服务），将会在右侧主窗口中显示该类型的所有事件日志及其日期。根据事件日志的发生日期和具体时间，选择并双击想要查看的日志记录，即可显示如图4-82所示的“事件 属性”对话框。

在“事件 属性”对话框中将会显示该事件的相关描述信息、事件ID、用户类别等，如果想要继续了解该事件的更多信息，还可以单击系统提供的相关链接，转入“帮助或支持中心”或者寻求在线帮助等。另外有些事件日志还可以生成二进制数据，单击“数据”类型后面的“字节”或“字”单选项即可进行切换。二进制数据可由经验丰富的程序员或熟悉源应用程序的技术支持人员解释。

（2）查看远程计算机事件日志

默认状态下在“事件查看器”控制台窗口中显示的都是本地计算机系统的事件日志，另外还可以查看其他计算机的事件日志。在“事件查看器”控制台中右击“事件查看器（本地）”并选择快捷菜单中的“连接到另一台计算机”选项，显示如图4-83所示的“选择计算机”对话框，在“这个管理单元将始终管理”选项组中选择“另一台计算机”单选项，并在后面的文本框中键入目标计算机的主机名或IP地址（如192.168.49.1）。

单击“确定”按钮，如果网络连接正常即可在控制台窗口中显示远程计算机的事件查看器内容，如图4-84所示。查看远程主机事件详细信息的方法与查看本地计算机事件完全相同，需要注意的是如果要想查看远程主机的“安全性”事件信息必须以管理员或Administrators组成员的身份登录才可以。

2. 管理事件日志

事件日志的产生是自动的，但是日积月累占用的系统空间也会越来越多，一方面会严重影响服务器的运行速度，甚至会丢失早期重要的事件日志。管理事件日志主要就是清除陈旧无用的信息，并导出重要信息妥善保管，以便日后查看。用户可对本地计算机或远程计算机的事件日志进行管理。

（1）删除时间日志

删除日志时，系统首先删除包含该日志内容的文件，然后访问注册表并将注册到此日志的所有事件源的注册都移除。因此即使重新创建此已被删除日志，也不会以默认方式创建这些源。删除相关事件日志之前必须保证当前操作用户账户拥有足够的操作权限。需要注意的是重新创建事件日志可能是一个相当麻烦的过程，因此建议不要删除任何由系统创建的事件日志（如“系统”日志）。可以根据需要删除和重新创建自定义日志。

首先打开“事件查看器”控制台窗口，并在左侧目录中选择想要删除的事件日志的类型，然后单击“操作”菜单并选择“清除所有事件”项，打开如图4-85所示的对话框。提示“在清除之前是否要保存这些事件日志？”，如果想要彻底删除这些事件日志，则可以直接单击“否”按钮；如果在清除之前想要保存该日志还可以单击“是”按钮将其导出。

（2）导出事件日志

事件日志是管理员诊断和排除服务器故障的重要依据，因此对于一些重要的系统日志如果仍然采取统统删除的手段，显然是不可取的。为了释放系统和磁盘空间，可以将其暂时导出保存，需要的时候还可以导入查看。

在“事件查看器”窗口中单击要导出保存的事件类型，如“系统”，然后单击“操作”菜单并选择“另存为日志文件”项，打开如图4-86所示的对话框，在“文件名”文本框中键入合适的文件名即可。

如果以日志文件格式存档日志，则可以在事件查看器中重新打开它。另存为事件日志文件（*.evt）的日志将保留所记录的每个事件的二进制数据。如果把日志存档为文本或逗号分隔的格式（分别为*.txt和*.csv），则可以在文字处理或电子表格之类的其他程序中重新打开日志。以文本或逗号分隔的格式存储的日志文件不保留二进制数据。

（3）查看存档事件日志

查看曾经保存过的事件日志首先必须打开“事件查看器”控制台窗口，然后单击“操作”菜单并选择“打开日志文件”项，显示如图4-87所示的“打开”对话框，需要注意的是打开存档事件之前必须指定其日志类型，单击“日志类型”后面的下拉列表框选择对应类型即可。

“显示名称”是指打开存档后在“事件查看器”窗口中显示的名称，默认将显示为“保存了xxx日志”。

只有当日志是以日志文件格式（.evt）保存，才能在“事件查看器”中查看已存档的文件。打开保存的事件日志后是不可以进行刷新或删除的。

3. 事件的查找

查找事件是“事件查看器”为用户提供的用于查看某特定事件详细信息的工具，当查阅大型日志数据库时比较有用。查找事件与筛选事件的主要区别就在于筛选日志主要应用查看某种类型的多个事件日志，而查找事件则是应用于查看符合条件的特定事件日志。

在“事件查看器”的目录树中右击欲查找事件所属的日志类型，并选择快捷菜单中的“查看”→“查找”选项，即可显示如图4-88所示的对话框。

在“事件类型”下，选择要查找的事件类型，包括信息、警告、错误、审核成功、审核失败等。另外还需要在“事件来源”、“类别”、“事件ID”、“用户”、“计算机”或“描述”中，指定要查找的事件的其他信息，也可以设置其中的一项或者几项，设置的限定条件越多，查找结果就越明确。