Správa Windows Server 2008 (1) - Event Viewer
Windows Vista, Server 2008 i Windows 7 používají kompletne prepracovaný systém záznamu událostí se zlepšenou organizací, integrací, s filtrováním a vyhledáváním v záznamech. Záznamy lze prohlížet a exportovat ve formátu XML. Jsou zavedeny kanály pro administrativní události, je zajišten globální pohled napríc logy. Následující dve funkce citelne chybely v prechozích systémech Windows - spuštení akce a sber událostí z více systému. Každá událost muže vyvolat akci - spustitelný program, odeslat zprávu (e-mail) nebo informovat uživatele na aktivní konzolu. Funkce Event Subscription dovoluje propojit sledované systémy a sbírat pomocí prohlížece Event Viewer události z více systému.
Custom Filters - fitrování podle typu a zdroje událostí, za vybrané období, které lze uložit a používat opakovane (Save Filter to Custom View... )
Custom Tasks - jakmile nastane a zaznamená se událost, lze na ni navázat tri typy akcí (Attach a Task To this Event... ) :
- spustit skript nebo aplikaci a automaticky neprodlene reagovat na událost,
- zobrazit výstražnou zprávu prihlášenému správci - uživateli,
- poslat zprávu elektronickou poštou.
Event Subscription - sbírá kopie událostí z nekolika vzdálených pocítacu a ukládá je na jednom míste. Definuje se výber událostí a zdrojové pocítace. S uloženými záznamy lze poté manipulovat naprosto stejne, jako s lokálními záznamy. Každá subskripce definuje, zda je sber iniciován zdrojovým pocítacem nebo pocítacem, na kterém se kopie událostí shromaždují (collector). V druhém prípade lze použít ke sberu úcet pocítace nebo specifikovat úcet a heslo uživatele. Funkce závisí na službách Windows Remote Management (WinRM) a Windows Event Collector (Wecsvc) na obou stranách, které se úcastní sberu událostí.
Pro další inspiraci si poznamenávám Trigger an Action using Windows Server 2008 Event Viewer a clánek o možnostech auditu - Technet.