事件查看器進(jìn)階管理

無(wú)論是在審核的管理上或是其它系統(tǒng)、應(yīng)用程序的故障排除上，事件查看器是系統(tǒng)管理員最經(jīng)常會(huì)去使用到的管理工具，因此接下來(lái)筆者要針對(duì)幾個(gè)操作上的小技巧多作一些介紹。

無(wú)論是在審核的管理上或是其它系統(tǒng)、應(yīng)用程序的故障排除上，事件查看器是系統(tǒng)管理員最經(jīng)常會(huì)去使用到的管理工具，因此接下來(lái)筆者要針對(duì)幾個(gè)操作上的小技巧多作一些介紹。如圖5所示，在一般我們所開(kāi)啟的事件查看器接口中，無(wú)論準(zhǔn)備針對(duì)哪一類(lèi)型的事件項(xiàng)目進(jìn)行檢視時(shí)，通常都會(huì)發(fā)現(xiàn)事件的項(xiàng)目琳瑯滿(mǎn)目，而真正所要檢視的重要事件卻可能埋藏于其中，這時(shí)候我們應(yīng)該怎么辦呢？請(qǐng)選擇動(dòng)作窗口中的“篩選目前的記錄”鏈接繼續(xù)。

緊接著將會(huì)開(kāi)啟篩選目前的記錄設(shè)定頁(yè)面，在此我們可以依照實(shí)際的需要，設(shè)定所要篩選的時(shí)間范圍、事件等級(jí)（例如：重大、警告）、事件日志（例如：安全性）、事件來(lái)源、事件編號(hào)、關(guān)鍵詞、用戶(hù)以及計(jì)算機(jī)等等來(lái)設(shè)定篩選的條件，以從眾多的事件中迅速找到我們所需要的相關(guān)事件。范例中筆者以惟一輸入事件編號(hào)5137來(lái)作為篩選的條件，選擇確定完成設(shè)定。

當(dāng)我們完成了篩選目前的記錄事件設(shè)定之后，您將會(huì)發(fā)現(xiàn)根據(jù)條件的定義，我們實(shí)際上所需要檢視的事件項(xiàng)目在窗口中只剩下一個(gè)。在上述的事件管理中，我們是針對(duì)本機(jī)的計(jì)算機(jī)事件類(lèi)別進(jìn)行篩選，以加速故障排除或?qū)徍斯芾頇z視上的效率，可是如果今天所要同時(shí)監(jiān)控管理的相關(guān)服務(wù)器或客戶(hù)端計(jì)算機(jī)不只一部時(shí)，該怎么辦呢？

相信讀者可能會(huì)聯(lián)想到使用System Center家族產(chǎn)品中的Operations Manager 2007來(lái)進(jìn)行集中監(jiān)控，在一個(gè)ITIL架構(gòu)領(lǐng)域中這的確是一個(gè)最佳的解決方案，但是這畢竟是另一門(mén)技術(shù)上的領(lǐng)域與經(jīng)驗(yàn)，更重要的是您還必須要有額外的信息預(yù)算編列才能夠真正做到。如果今天我們只想透過(guò)Windows Server 2008所提供的現(xiàn)有功能，來(lái)達(dá)到這項(xiàng)管理需求時(shí)該怎么呢？很簡(jiǎn)單！請(qǐng)同樣在事件查看器的界面中選擇最下方的訂閱項(xiàng)目節(jié)點(diǎn)繼續(xù)，執(zhí)行之后將會(huì)出現(xiàn)警告訊息，然后選擇“是”即可。

然后，我們可以新增一個(gè)自定義的訂閱項(xiàng)目，執(zhí)行之后將會(huì)開(kāi)啟訂閱內(nèi)容的頁(yè)面，首先輸入一個(gè)惟一的訂閱名稱(chēng)，然后在目的地記錄文件下拉菜單中確認(rèn)選取“轉(zhuǎn)送的事件”，緊接著請(qǐng)選擇“選取計(jì)算機(jī)”按鈕繼續(xù)。之后在開(kāi)啟了 計(jì)算機(jī)列表的頁(yè)面中，您可以選擇“新增網(wǎng)域計(jì)算機(jī)”來(lái)將所要收集事件來(lái)源的計(jì)算機(jī)一一加入即可，完成設(shè)定之后選擇確定按鈕。

接下來(lái)，在前兩個(gè)步驟的頁(yè)面中選擇“選取事件”的按鈕，接著系統(tǒng)將會(huì)開(kāi)啟查詢(xún)篩選器的頁(yè)面，在此您可以針對(duì)前面所選擇的來(lái)源計(jì)算機(jī)，設(shè)定所要收集的事件篩選條件，這包括了時(shí)間范圍、事件等級(jí)、事件日志、事件來(lái)源、事件編號(hào)、用戶(hù)以及計(jì)算機(jī)等等條件即可。最后您還可以選擇進(jìn)階按鈕來(lái)開(kāi)啟“進(jìn)階訂閱設(shè)定”頁(yè)面，來(lái)設(shè)定負(fù)責(zé)取得來(lái)源計(jì)算機(jī)事件的用戶(hù)賬戶(hù)，注意：該賬戶(hù)必須具備有網(wǎng)域管理員的權(quán)限才可以，此外還可以設(shè)定“事件傳遞優(yōu)化”的類(lèi)型，在此建議采用預(yù)設(shè)的標(biāo)準(zhǔn)即可。

這樣，就成功完成了一個(gè)位在相同網(wǎng)域中，但是針對(duì)不同計(jì)算機(jī)的事件轉(zhuǎn)送的訂閱設(shè)定，這樣便可以輕松管理一些重要的事件在一部計(jì)算機(jī)的事件查看器當(dāng)中，而不需要總是透過(guò)遠(yuǎn)程桌面的聯(lián)機(jī)到每一部去查看了。

雖然Windows Server 2008或Windows Server 2012在網(wǎng)域服務(wù)的審核管理上，相比過(guò)去已經(jīng)大幅改善了許多，但是對(duì)于大型企業(yè)來(lái)說(shuō)，審核管理還必須要能夠提供集中控管與分析，才能夠符合實(shí)務(wù)上的需求。根據(jù)這一項(xiàng)需求，在Microsoft的解決方案中便需要進(jìn)一步透過(guò)與System Center Operations Manager 2012 R2整合即可達(dá)到。