Наши серверы, приложения и сетевые устройства представляют собой, в некотором отношении, системы с неизвестным внутренним состоянием, и предусматривают малое число внешних индикаторов фактического состояния дел. Предоставляемая ими информация о событиях - один из немногих источников, по которым можно судить об их деятельности. Каждому, кто имел дело с журналами событий, известно, что эта информация может быть непонятной, но весьма объемной. Превращение необработанных данных в полезную информацию требует мастерства и особых навыков. Журналы событий могут использоваться для решения различных задач, в том числе:

  1. Поиск причин, если что-то работает не так, как предполагалось
  2. Мониторинг для обеспечения безопасности, т.е. отслеживание несанкционированной деятельности
  3. Контроль рабочего состояния систем и приложений с оперативным реагированием на возникающие проблемы
  4. Архивирование и отчетность для поддержки соответствия нормативным требованиям

Управление журналами событий и их архивирование - нить, связывающая шесть продуктов, которые являются предметом данного исследования. Все продукты поддерживают контроль и архивирование журналов Windows и системных журналов (syslog), а некоторые еще имеют дополнительные функции мониторинга.

Vista предусматривает одно полезное нововведение в части управления журналами событий. Новая инфраструктура Windows Eventing 6.0 значительно расширяет возможности технологии Event Tracing for Windows (ETW), API и интерфейсов, используемых с момента выхода Windows 2000. По словам специалистов Microsoft, реализованы усовершенствования с сохранением полной совместимости с существующими API для Event Log и ETW, а это означает, что все действующие приложения будут продолжать работать без изменений. В ходе тестирования я выяснил, что в некоторых отношениях это не совсем так. Для всех тестируемых продуктов реальная поддержка Vista только предполагается, а в текущих версиях - отсутствует.

Breakout Software MonitorIT 8.0.19

MonitorIT версии 8.0.19 от Breakout Software - нечто большее, чем просто инструмент для управления журналами событий. MonitorIT контролирует не только журналы событий Windows, но также вывод данных syslog; IP-служб, таких как SNMP, HTTP, FTP, SMTP, POP3, DNS и Telnet; серверы баз данных SQL Server и Oracle. Кроме того, этот продукт позволяет создавать пользовательские мониторы для любого IP-порта. Системы, на которых функционирует агент MonitorIT, также могут отслеживать службы, процессы, файлы и счетчики производительности.

MonitorIT требует приобретения лицензии на каждую контролируемую систему, включая число контролируемых IP-адресов. Breakout Software также предоставляет лицензию на этот продукт Engagent, которая предлагает данное приложение на рынке под названием Sentry II.

Архитектура

MonitorIT - серверное приложение, взаимодействующее с агентской службой, устанавливаемой на каждой контролируемой системе. Хотя для задания небольшого количества установок, ориентированных на сервер, используется утилита MonitorIT Configuration File Utility, большая часть заданий по настройке и администрированию выполняется в среде консоли на базе Internet Explorer (IE). Всю связь с сервером агенты инициируют с использованием зашифрованных данных через применяемый протокол, что предполагает периодическую отправку контрольного пакета, возвращаемого сервером агенту. По умолчанию, IE-консоль инициирует связь через порт 81, однако элементы управления ActiveX консоли для шифрования и обмена данными между консолью и сервером используют порт агента.

В среде IE-консоли администратор создает правила мониторинга, в терминах MonitorIT называемые watches. Возможна настройка нескольких видов правил. Серверные правила Server Watches контролируют порты IP-служб - например, обслуживающих почту и подключение к Internet. Правила мониторинга SNMP Watches контролируют SNMP-сообщения (trap), направляемые на сервер MonitorIT авторизованными устройствами, тогда как правила SNMP Counter Watches обеспечивают опрос MIB SNMP на удаленных устройствах. Правила Syslog Watches предусматривают сбор выходных данных syslog от устройств и систем Linux/UNIX, причем имеются возможности занесения всех выходных данных в текстовый файл, а некоторых событий - в базу данных. На системы Windows, где функционирует агент MonitorIT, можно загружать правила для отслеживания событий - Event Log Watches, процессов - Process Watches, служб Windows - Windows Services, файлов - File Watches и счетчиков производительности Windows - Windows Performance Counter. По каждому виду правил, назначенному для контролируемого устройства, MonitorIT осуществляет запись соответствующей информации в базу данных. Каждый тип правил имеет различные возможности. Например, правила для процессов реагируют на высокий уровень использования процессора и памяти, помимо простого оповещения о наличии или отсутствии конкретных процессов. MonitorIT позволяет выполнять настройку правил и оповещений для пользовательских журналов событий Windows, помимо набора готовых стандартных журналов событий, для чего достаточно сообщить MonitorIT имя соответствующего файла EVT.

Создавая правило, можно задавать соответствующие действия, называемые Alerts. Большинство оповещений уведомляют пользователя о наличии или отсутствии определенных условий. Уведомление может быть отправлено по электронной почте, в виде сообщения, посылаемого на пейджер, звукового сигнала, syslog- и SNMP-сообщения. Возможно также выполнение программы или сценария, инициируемого на удаленной системе агентом MonitorIT, либо на сервере MonitorIT.

Monitor IT использует ODBC-базу данных, например, SQL Server (по умолчанию используется база данных Access). Breakout Software также предлагает файл MonitorIT.mdf, который можно скопировать в систему SQL Server и прикрепить при создании имя источника данных - MonitorIT ODBC Data Source Name (DSN).

Тестирование

Начальная установка MonitorIT заняла всего несколько минут. Я выбрал поставляемую вместе с продуктом базу данных Access вместо SQL Server. После запуска консоли мне было предложено выполнить основные шаги по начальной настройке систем, правил и оповещений. Я начал с использования функции Discovery, позволяющей вывести на экран список имеющихся систем. Выбрав одну из них, я предложил MonitorIT послать агента на систему, что и было сделано. Я установил агент также и на другом сервере с использованием метода принудительной загрузки, для чего нашел файл InstallAgent.asp на web-сайте сервера MonitorIT с помощью браузера IE. В обоих случаях выбранная система отобразилась как правомочный целевой объект, которому можно назначать правила.

Я пробовал работать со многими продуктами, использующими web-консоль управления, и отметил значительные различия в отношении их вида, ощущений при работе и общих полезных свойств. Некоторые консоли демонстрируют замедленную реакцию, а их конструкция не слишком эффективна для выполнения задания. Консоль MonitorIT обычно реагировала быстро. Исключение составляло лишь относительно медленное выполнение заданий по подготовке отчетов. Организация консоли позволяет легко отыскать нужную функцию. Как показано на экране 1, слева находится меню в стиле Outlook, а справа - раскрывающееся меню, помогающее выполнять задание в новом окне - удобная возможность.

Для назначения правил системам на экране Agents and Devices сервера я отобразил имя сервера, нажал клавишу Eligible Watches и на открывшемся экране выбрал нужные правила.

MonitorIT архивирует журналы регистрации событий путем их сохранения, сжатия и копирования в централизованное хранилище. В пункте Archive предлагаются возможности создания расписания архивирования и назначения их серверам. В расписании оговаривается, с какой частотой следует осуществлять копирование файлов журналов событий в архив. Кроме того, предусмотрена возможность архивировать журналы по мере их заполнения.

Web-консоль включает обширную справочную информацию, полезную как в смысле общего понимания некоторых аспектов программы, так и в отношении использования конкретных возможностей конфигурации.

Похоже, MonitorIT значительно загружает процессор. При работе в виртуальной среде Windows Server 2003 диспетчер задач хост-системы показал стопроцентный уровень использования одного из двух процессоров, и этот показатель оставался на указанном уровне. После остановки серверного процесса MonitorIT в среде виртуального сервера уровень использования процессора снизился до отметки ниже 10 % для обоих процессоров. После запуска служб сервера MonitorIT один из процессоров вновь заработал на неизменном уровне 100 процентов. Это могло быть результатом использования базы данных Access на том же сервере, поскольку при тестировании других продуктов я использовал вариант с SQL Server.

Для MonitorIT предусмотрено лишь небольшое число стандартных отчетов. Имеется возможность просмотра текущего журнала и архивных журналов событий в указанном диапазоне данных, с применением фильтров событий, которые можно создавать и сохранять, причем можно строить отчеты как по архивным файлам EVT, так и по событиям, фиксируемым в базе данных через правила. После того, как MonitorIT выдал отфильтрованное изображение данных журнала событий, мне было предложено вывести эти результаты на печать, отослать по электронной почте, либо экспортировать в файл формата с CSV на сервер.

Итоги

Если для вас первостепенной задачей является составление отчетов по журналам событий, MonitorIT - не самый идеальный вариант. Сильные стороны этого продукта больше относятся к области контроля систем и приложений. Здесь предусмотрено меньше готовых оповещений и фильтров по сравнению с другими участниками данного сравнительного анализа, и отсутствует возможность создания нового правила по записи регистрационного журнала. Достоинством является копирование собственных регистрационных файлов Windows в централизованное хранилище, однако не предусмотрены средства архивирования показателей, записываемых только в базу данных. Это эффективное и недорогое приложение, однако его настройка под конкретные требования пользователя требует некоторых затрат времени.

Breakout Software MonitorIT 8.0.19

Достоинства: контроль широкого диапазона показателей, в дополнение к выводу журналов событий Windows и syslog; Web-консоль на базе ActiveX отличается быстротой реакции и удобством навигации
Недостатки: относительно мало готовых правил и отчетов; отсутствуют явные процедуры архивирования хранящихся в базе данных показателей
Оценка: 3 из 5
Цена: начинается на уровне 110 долл. за сервер для 1-499 серверов, 38 долл. за сервер для 500-999 серверов
Рекомендации: MonitorIT - эффективный и недорогой вариант системного мониторинга и архивирования регистрационных данных, но его настройка под конкретные требования пользователя требует некоторых затрат времени.
Контактная информация: Breakout Software, http://www.breakoutsoft.com  

Dorian Software Total Event Log Management Suite

Пакет Total Event Log Management Suite от Dorian Software включает четыре отдельно устанавливаемых компонента. Event Alarm 5 обеспечивает контроль серверов и отправку уведомлений. Event Archiver 6 отвечает за сбор данных и управляет сохранением событий в файлах и в базе данных. Event Analyst 5 поддерживает составление отчетов по данным, содержащимся в создаваемых Total Event Log Management Suite базах данных и сохраненных файлах событий. Event Rover 1.1 обеспечивает дистанционное извлечение и отображение событий по активным и сохраненным файлам регистрации событий, главным образом, для специального экспресс-анализа. Первые три компонента используют базу данных - SQL Server, Oracle 9i или Access - для регистрации и обработки отслеживаемых событий. Вместе эти компоненты Total Event Log Management Suite осуществляют управление и контроль журналов регистрации событий и системного журнала. Dorian предусматривает лицензирование пакета по числу отслеживаемых серверов и предоставляет администраторам возможность выбирать локальную установку программного компонента или дистанционное управление сервером. Источники данных типа syslog не требуют лицензии.

Архитектура

Каждый из трех основных компонентов поддерживается службами, работающими на сервере, на котором они установлены. Контроль журналов событий Windows осуществляет служба Event Alarm без установки агента на контролируемой системе. Единственный сервер Event Alarm контролирует системы по всей локальной сети, хотя Dorian рекомендует администраторам устанавливать дополнительные серверы Event Alarm на удаленных узлах на изолированных или защищенных сегментах сети. Служба Event Alarm Syslog Bridge получает выходные данные syslog от сетевых устройств и систем Linux/UNIX и заносит их в журнал приложения Windows, где их обрабатывает сервер Event Alarm. Приоритет сообщения syslog становится категорией события в журнале приложения, а служба Syslog Bridge помещает исходный IP-адрес и текст сообщения в поле Description.

В среде Event Alarm администратор выполняет настройку предупреждений и соответствующих уведомлений по регистрируемым событиям, причем установка Event Alarm предусматривает много готовых видов предупреждений. Администратор может создавать группы предупреждений, называемые наборами предупреждений. Назначение групп предупреждений серверам с аналогичными требованиями контроля сокращает трудозатраты администраторов.

Event Alarm позволяет создавать именованные наборы вариантов уведомлений, по которым реализуются один или более видов действий: отправка электронной почты и сообщений на пейджер, всплывающие сообщения на консоли Windows, сообщения на консолях Event Alarm Listener Consoles и хост-консолях syslog, а также занесение события в базу данных. Возможность объединять сообщения syslog с сообщениями журнала событий Windows и направлять выбранные сообщения на хост-сервер syslog позволяет задействовать единую форму уведомления о событиях в организациях, ориентированных на использование систем Linux/UNIX. Аналогично, консоль Event Alarm Listener Console, предназначенная для использования на административных рабочих станциях, обеспечивает единую форму уведомления о событиях для администраторов, ориентированных на системы Windows. Сводя к минимуму область уведомлений в панели задач, консоль Listener Console оповещает пользователя рабочей станции о появлении новых предупреждений.

Чтобы приступить к контролю, необходимо назначить предупреждения, группы предупреждений и наборы уведомлений журналам регистрации событий на отдельных серверах. Event Alarm позволяет помечать предупреждения и группы предупреждений как "игнорируемые события", что позволяет разделять важность контролируемых событий. В результате появляется возможность создавать широкие группы контроля и отфильтровывать конкретные события, заведомо не представляющие интерес. Event Alarm предусматривает ряд инструментов, упрощающих выполнение настроек для нескольких контролируемых серверов. Концепция Rapid Configuration Setup с использованием флажков позволяет выбирать контролируемые серверы и предупреждения, по которым Event Alarm создает группы предупреждений и назначает их соответствующим журналам на указанных серверах. Два мастера позволяют создавать или изменять настройки контроля с использованием средств управления для более крупной детализации, включая возможность указывать "игнорируемые" события. Другие мастера дают возможность устанавливать единообразные политики регистрации событий и управления файлами событий на всех контролируемых серверах.

Event Archiver осуществляет сбор и объединение журналов событий Windows локально или дистанционно с использованием стандартного API журнала событий Windows и общих архивов. Event Archiver работает как служба и использует учетную запись с административным доступом к контролируемым системам. Администраторы указывают частоту, с которой Event Archiver создает копию журнала событий в формате EVT и, при желании, очищает файлы регистрации на целевой системе. Event Archiver преобразует файл в формате с разделителями-запятыми или загружает данные в базу данных Access, SQL Server или Oracle. Чтобы Event Archiver мог создавать файлы базы данных формата Access, установка Access на сервере не требуется. Как и в случае с Event Alarm, два мастера поддерживают настройку и обслуживание расписания архивирования для нескольких систем. В случае сбоя архивирования любого рода Event Archiver делает повторную попытку с двухдневным интервалом и посылает уведомления, которые можно настраивать. Event Archiver сжимает файлы событий и помещает их в общий сетевой каталог или на FTP-сервер для долговременного хранения. При необходимости использования архивных данных Event Archiver перемещает выбранный набор файлов событий в базу данных по вашему выбору. Возможность включения или исключения определенных типов событий позволяет сократить используемое базой данных дисковое пространство. Дополнительная утилита Event Archiver Importer, бесплатно предоставляемая в случае приобретения полного пакета Total Event Log Management Suite, позволяет автоматизировать процесс объединения журналов событий, собираемых несколькими серверами Event Archiver. При этом администраторам придется выполнить настройку каждого сервера Event Archiver на отправку файлов событий на общий сетевой адрес. Event Archiver Importer отслеживает использование этого каталога и автоматически загружает файлы регистрационных данных в указанную базу данных.

Event Analyst составляет отчеты и экспортирует информацию, содержащуюся в журналах событий. При этом используются данные активных журналов, текстовые файлы, создаваемые Event Archiver, и таблицы базы данных, формируемые Event Alarm или Event Archiver. Если Event Analyst используется для открытия файла или таблицы базы данных, некоторые регистрационные записи отображаются в окне ‘View'. Характер отображаемых записей определяется заданным максимальным числом отображаемых элементов и фильтрами событий, применяемыми до момента открытия источника данных регистрации событий. Процесс извлечения и отображения файлов EVT и текстовых файлов можно облегчать с использованием базовых (Basic), а также дополнительных (Advanced) фильтров, предусматривающих фильтрацию таблиц базы данных по текстовым строкам или по времени дня. Event Analyst выпускается с множеством готовых базовых фильтров. В окне View можно отображать детальную информацию, касающуюся событий, и переходить по ссылке на Web-сайт компании Dorian для получения дополнительной информации о многих типах событий. Фильтрованные и нефильтрованные данные можно экспортировать в формате с разделителями-запятыми, HTML или базы данных Access, либо отправлять их в ODBC-базу данных. Event Analyst выпускается с множеством готовых форм отчетов, а также позволяет создавать собственные отчеты. При выполнении или планировании отчетов можно выдвигать требование их записи в общий сетевой каталог в формате HTML или в виде текстового файла с разделителями-запятыми.

Тестирование

Установка на системе Windows 2003 прошла без происшествий. Что удивительно, документация предоставляет множество полезной информации, касающейся различных сценариев реализации, однако при полном отсутствии описания реальной процедуры установки. Однако у меня не было повода для беспокойства. При первом запуске панели управления Event Alarm я без затруднений выполнил начальную настройку под руководством программы. После указания административной служебной учетной записи и установки некоторых параметров на панели управления Event Alarm произошел запуск утилиты Rapid Configuration Tool, предоставившей мне возможность выбрать контролируемые системы, журналы и события и создать наборы уведомлений для предупреждения. Я указал срабатывание предупреждения в ответ на запись событий в базу данных. Под руководством программы я без труда создал имя ODBC DSN. Поскольку я предполагал сохранять события в системе SQL Server 2005, мне пришлось прежде создать базу данных (в среде SQL Server Management Studio), чтобы указать ее в ODBC DSN. Event Alarm взял ее оттуда, чтобы создать таблицу для добавления записей о событиях.

Затем я установил Event Archiver. Как и в случае с Event Alarm, для Event Archiver предусмотрены готовые события и группы событий для упрощенного запуска. Я создал новую базу данных для указания в имени ODBC DSN и выбрал вариант, согласно которому Event Archiver должен был создавать отдельные таблицы для каждого типа журналов событий. Я обнаружил, что могу сгруппировать параметры серверов, либо создать уникальную конфигурацию для конкретного сервера и журнала событий. Возможность держать журналы Event Alarm и Event Archiver в разных базах данных и использовать различные критерии фильтрации добавила и сложности, и гибкости. В частности, администратор может использовать Event Alarm для регистрации событий с ориентацией на немедленное осуществление действий и создавать фильтры Event Archiver, имея в виду отчетность о соблюдении нормативных требований. Я настроил Event Archiver на ведение журналов событий для нескольких систем с требованием ежечасной обработки и отправки регистрационных записей в базу данных, а сжатых файлов событий - в общий сетевой каталог. Все это не составило труда. Я также активизировал функцию удаления старых записей из базы данных (для данного теста я установил время, равное одним суткам). Кроме того, я указал Event Archiver создавать таблицу SQL Server на основе выборочных сжатых файлов EVT для другого теста для проверки отчетности. Никаких затруднений при этом не возникло.

Далее наступила очередь Event Analyst. Как и раньше, установка прошла быстро, и в графическом интерфейсе Event Analyst мне удалось открыть и просмотреть события из таблиц базы данных, созданной мною ранее на основе файлов EVT. Запуск процесса формирования отчета осуществлялся в три этапа: открытие источника регистрационных данных, применение фильтра для ограничения контингента событий, включаемых в отчет, и составление отчета. Я выполнил построение довольно большого числа отчетов как по базам данных, так и по файлам EVT. Event Analyst допускает ввод только одного файла EVT, однако предусматривает удобную возможность выбора нескольких файлов EVT и их загрузки в файл базы данных Access, SQL Server или Oracle. Создание пользовательских отчетов в Event Analyst не составляет труда. Как видно на экране 2, Report Designer выдает сетку полей. Щелчок клавишей мыши в поле инициирует отображение следующего доступного поля данных. Единичное поле в одной из верхних строк определяет сортировку и образование групп. Последняя строка определяет поля, которые предполагается выводить в строке детальных данных.

Итог

В целом пакет Event Log Management Suite - привлекательное решение, обеспечивающее архивирование и отчетность по данным событий. Модульная концепция, позволяющая приобретать только необходимые функции, не слишком затрудняет администрирование, за исключением, может быть, определения фильтров и предупреждения. Поскольку фильтры и предупреждения строятся на основе одних и тех же наборов событий, существует возможность совмещения деятельности за счет совместного использования общих элементов всеми тремя модулями. Реализация упрощается, благодаря отсутствию необходимости устанавливать агентскую программу на управляемых системах. В целом продукт показался мне удобным в использовании при наличии полезного набора готовых фильтров и отчетов и относительной простоте процедуры создания пользовательских фильтров и отчетов. Этот продукт строго ориентирован на управление журналами событий и не обладает функциями системного мониторинга, которые есть у некоторых других участников данного сравнительного анализа. Это совсем неплохо, если управление регистрационными журналами - все, что вам нужно. Возможность сбора данных из системных журналов без дополнительных лицензионных требований должна заинтересовать администраторов, в ведении которых находится множество сетевых устройств, а также тем, кто заинтересован в централизации архивов syslog систем Linux/UNIX.

Total Event Log Management от Dorian Software

Достоинства: относительная простота реализации; гибкие возможности архивирования; пользовательские отчеты; процедуры формирования отчетов одинаковы, независимо от того, строятся отчеты по активным регистрационным данным, файлу EVT или CSV, либо базе данных; отсутствие агента
Недостатки: если вы приобретаете полный пакет, модульная структура может несколько усложнить реализацию
Оценка: 4 из 5
Цена: начинается с 299 долл. США за сервер
Рекомендации: если вам нужно лишь управление журналами событий без функций системного мониторинга, этот продукт - простой в реализации вариант. Модульная концепция и поддержка SQL Server 2005 Express Edition должна оказаться привлекательной для предприятий малого и среднего бизнеса, заинтересованных в сокращении своих расходов.
Контактная информация: Dorian Software, http://www.doriansoft.com/totalsolution

EventsManager 7.1 от GFI Software

EventsManager 7.1 от GFI Software обеспечивает отслеживание и архивирование журналов событий Windows, системного журнала и файла регистрации информации в формате World Wide Web Consortium (W3C). Продукт устанавливается с большим числом готовых фильтров, что облегчает быструю реализацию. Фильтры событий позволяют настраивать уведомления об избранных высокоприоритетных событиях. Для многих событий EventsManager предлагает корректирующие меры. Для крупных организаций может представлять интерес новое дополнение, позволяющее объединять информацию, собранную серверами EventsManager на различных узлах компании, в единую базу данных, и включающее возможности управления размером базы данных и сохранения записей. Отдельно устанавливаемый пакет GFI EventsManager ReportPack, на который распространяется лицензия на право использования продукта, включает разнообразные готовые отчеты и расширяет возможности отчетности по событиям, собираемым EventsManager.

Архитектура

EventsManager - серверный продукт, не требующий установки агента на контролируемых системах. Осуществляющий сбор журналов Windows EVT и W3C механизм извлечения событий (Event Retrieval Engine) регистрируется на удаленной системе и извлекает события с использованием стандартных дистанционных вызовов процедур Remote Procedure Call (RPC) и API ETW по схеме, определяемой настраиваемым вами расписанием. Event Receiving Engine на сервере выполняет функции хоста syslog для сбора направляемых ему данных syslog. При получении данных событий EventsManager осуществляет их обработку в соответствии с набором правил и при желании архивирует события в базе данных SQL Server. Имеется также возможность безоговорочного архивирования всех событий по всем заданным журналам на выбранных серверах без применения правил. Если предусматривается использование правил, EventsManager отфильтровывает не представляющие интерес события и, если нужно, оповещает пользователя об избранных событиях. Действия оповещения могут включать отправку уведомлений по электронной почте, SMS и сообщений Net Send. Кроме того, возможно выполнение сценария или программы (обычно для реализации некоторых исправлений).

Правила позволяют указывать критерии, по которым EventsManager выбирает события для дальнейшей обработки. Правила могут быть организованы в именованные наборы правил, что облегчает управление и применение. Контролируемые компьютеры могут быть организованы в именованные группы. Профиль сканирования журналов Event Log Scanning Profile - именованный набор правил, которые можно применять вместе с другими установками конфигурации к контролируемым компьютерам или группам компьютеров. Администратор может применять несколько профилей сканирования к компьютеру или группе. Это позволяет дополнять профили, применяемые ко многим или ко всем системам, с настройкой Scanning Profiles на конкретные приложения или серверы. Администратор может использовать готовые или пользовательские запросы и фильтры событий для поиска и отчетности по собранным событиям, хранящимся в базе данных.

Тестирование

Продукт EventsManager предназначен для установки на системах Windows Server с Microsoft Data Access Components (MDAC) и .NET Framework 2.0. Необходим также доступ к системе, на которой функционирует MSDE или SQL Server 2000 (либо более новая версия). Я выполнил установку на систему Windows 2003, в которой также был установлен SQL Server Express 2005 Advanced Edition. Начальная установка программы прошла быстро, после чего я оказался в среде графического интерфейса консоли EventsManager с помощью меню быстрой настройки компонентов. Под руководством программы я осуществил настройку базы данных SQL Server, указав административную учетную запись и варианты оповещения и назначив контролируемые системы. Выполнение первых трех шагов заняло всего несколько минут, и указание контролируемых систем также не отняло много времени. EventsManager устанавливается с четырнадцатью готовыми группами, каждая из которых настроена на использование совокупности наборов правил, соответствующих группе. Предварительно настроены и еще четыре группы - для контроллеров домена Windows (DC), других систем Windows, сбора данных из Microsoft IIS W3C и системных журналов, предусматривающие простое архивирование собранных событий без применения правил обработки. Более простой способ начальной настройки и запуска представить себе трудно.

По умолчанию EventsManager подключается к контролируемым системам с использованием административной учетной записи, под которой работают службы EventsManager и которую я задал в ходе установки. При необходимости можно указывать альтернативные учетные данные на панели свойств системы или групп.

Консоль GFI EventsManager, которую нельзя устанавливать на рабочей станции для обеспечения возможности дистанционного управления, удачно спроектирована и удобна для навигации. Как показано на экране 3, основные вкладки состояния Status, конфигурации Configuration, браузера событий Events Browser и общая General открывают доступ к ключевым функциональным областям. На экранах состояния отображаются счетчики сбора данных, состояние контролируемых устройств и журнал последних операций по сбору данных. Экраны конфигурации используются для настройки правил, наборов правил и контролируемых систем, а также построения процессов обработки правил и архивирования. Браузер событий обеспечивает доступ к информации о недавних событиях.

Средства отображения и отчетности по собранным событиям - показатели, по которым оцениваются технологии управления журналами событий. В ходе тестирования в моем случае Events Browser оказался удобным в применении для быстрого анализа событий. Обеспечивая отклик в реальном времени, EventsManager отображает простую для восприятия интерпретацию выбранных событий, как показано на экране 4. При просмотре журналов событий Windows каждый контролируемый журнал отображается в левой части дисплея. Для каждого типа журнала представлена группа готовых каталогов и/или запросов. Каждый запрос предполагает фильтрацию вывода собранных событий. Например, для журналов событий системы безопасности предусмотрена категория запроса Account Usage с фильтрацией запросов для событий успешной регистрации в системе, неудачной регистрации в системе и блокирования учетной записи. Одно из готовых правил обработки событий выбирает события регистрации в системе за пределами нормальных рабочих часов, и мне удалось быстро создать пользовательский фильтр, обеспечивающий отображение только событий, зафиксированных в соответствии с этим правилом.

Для составления отчетов отдельно приобретается пакет EventsManager ReportPack, работающий с использованием Report Center 3.5 (GFI) и обеспечивающий отчетность для многих продуктов GFI. Я выполнил загрузку и начал установку пакета ReportPack, который, в свою очередь, загрузил и установил Report Center. Подобно консоли EventsManager, интерфейс Report Center похож на интерфейс Outlook 2003. Предусмотрено 34 готовых отчета, которые можно настраивать и планировать при помощи удобных в работе мастеров. Выяснилось, что можно запустить любой отчет из меню, открываемого щелчком правой клавишей мыши, за любой период времени текущего дня. После ручного запуска и выполнения отчета я мог отправить его по электронной почте в форматах PDF, Word, Excel или RTF, либо экспортировать в файл в одном из перечисленных форматов, помимо HTML и Excel 'data-only'. Планируя отчеты, я мог выбрать любую дату, диапазон дат или один из пяти относительных диапазонов дат: сегодня, вчера, за истекшие семь дней, за этот месяц и за прошлый месяц. Все исследованные мной отчеты включали графическое и табличное представление выбранных данных. Это очень удачно реализованная функция отчетности.

Итог

В целом у меня осталось хорошее впечатление от продуктов GFI EventsManager и ReportPack. Для меня очевидно, что разработчики продукта стремились добиться простоты в реализации и применении и смогли достичь этой цели. Основное слабое место EventsManager - невозможность установки консоли графического интерфейса на удаленной рабочей станции. EventsManager можно рекомендовать тем компаниям, в которых потребности в отношении управления регистрацией данных ограничиваются тремя типами, поддерживаемыми EventsManager.

GFI Software EventsManager 7.0

Достоинства: большое количество готовых событий облегчает реализацию; удачно спроектированная и простая в навигации консоль графического интерфейса; много готовых фильтров для вывода на экран, которые легко дополнять пользовательскими фильтрами
Недостатки: консоль графического интерфейса нельзя устанавливать на удаленных узлах, что вынуждает использовать продукт, обеспечивающий удаленное администрирование; имеется возможность регистрировать все события в базе данных, но нельзя архивировать необработанные файлы EVT
Оценка: 4.5 из 5
Цена: начиная с 800 долл. за три узла
Рекомендации: Events Manager - удачно спроектированный и удобный в навигации продукт для управления журналами событий Windows, W3C и вывода syslog, с отлично реализованными функциями организации отчетности.
Контактная информация: GFI Software, http://www.gfi.com  

Prism Microsystems EventTracker 5.6

EventTracker от Prism Microsystems обеспечивает проверку журналов событий Windows, нескольких вариантов syslog и текстовых файлов регистрационных данных. В этом году на смену версии 5.6 должна прийти версия 6.0 с полной поддержкой каналов событий Vista. Еще один продукт - EventLogCentral - обеспечивает Web-доступ к отчетности и аналитике по данным, собираемым EventTracker. Имеются и другие компоненты, поддерживающие работоспособность сервера контроля и получение SNMP-трапов.

Архитектура

Сервер EventTracker рекомендуется устанавливать в системе Windows 2003, но допускается и установка в Windows 2000 и XP. Управление журналами событий осуществляет агент, устанавливаемый на контролируемых системах Windows. EventTracker также поддерживает контроль систем Windows без установки агента, но с ограничением возможностей, на чем я вкратце остановлюсь. Функциональные средства EventTracker включают сервер Console Server, взаимодействующий с контролируемыми системами; несколько служб, работающих на сервере консоли; три Web-сайта для удаленного администрирования и отчетности; агентские службы, функционирующие на контролируемых системах. Prism Microsystems предоставляет на выбор два варианта агентов, используемых с EventTracker. Высокопроизводительный агент предназначен для использования на DC, где частота генерации событий может создавать проблемы в производительности. Агент для Solaris C-2 транслирует данные Basic Security Model в события EventTracker.

Хранение данных осуществляется в виде упакованных САВ-файлов Microsoft, а не в базе данных ODBC. Prism Microsystems определяет управление регистрационными данными с использованием структуры CAB-данных, что обеспечивает экономию дискового пространства и выигрыш в производительности, а также устраняет необходимость в навыках администрирования баз данных.

EventTracker использует аутентификацию Active Directory (AD) по пользователям, устанавливает для каждого пользователя роли доступа, регламентирующие разрешенные для данного пользователя действия, и разрешения, определяющие системы, с которыми пользователь может работать. С использованием Web-интерфейса можно безопасно предоставлять доступ к собираемой EventTracker информации различным группам в составе организации, например, персоналу справочной службы Help и аудиторам.

EventTracker Correlation - компонент EventTracker, осуществляющий обработку правил - работает с использованием выражений Linux/UNIX для сопоставления правил и событий, реализуя мощную и гибкую концепцию сравнения. По сообщениям Prism Microsystems, EventTracker включает свыше 500 готовых правил, что облегчает и ускоряет реализацию.

Выступая в роли монитора журналов событий, ET собирает события Windows Vista/XP/2003/2000/NT, syslog и syslog-ng, Solaris BSM, SNMP и любые журналы в виде неструктурированных (плоских) файлов. Помимо мониторинга журналов, поддерживаемые агентом системы отслеживают показатели использования процессора, памяти и дискового пространства; процессы с превышением пороговых значений; отказы служб и сетевые соединения. При отслеживании неструктурированных файлов EventTracker сопоставляет текст с регулярными выражениями и сохраняет закладку к файлу, чтобы осуществлять сканирование только новой регистрационной информации. Prism Microsystems включает модули знаний, позволяющие контролировать регистрационные неструктурированные файлы, производимые IIS, SQL Server и некоторыми пользовательскими приложениями. В EventTracker 6.0 введена поддержка для журналов Vista и CheckPoint Firewall.

Тестирование

Я установил EventTracker в системе Windows 2003 SP1 в конфигурации с IIS. Процесс инсталляции потребовал установки трех компонентов с последующей настройкой. Вначале я установил центральные компоненты EventTracker, потом - систему EventTracker Correlation. Во время установки компонентов EventTracker я смог указать место для размещения файлов базы данных, устанавливаемых EventTracker. Затем последовала установка EventLogCentral 2.0 - Web-интерфейса управления. Файл ‘readme', отображаемый по завершении последнего этапа, содержал указание о необходимости настройки IIS, .NET Framework и каталога отчетов EventTracker. Доступ к консоли определяется принадлежностью к одной из двух групп пользователей AD. Все пользователи должны принадлежать группе EventTracker; административный доступ разрешается только членам группы EventTracker Admin.

Начиная подготовку к данному исследованию, первое, на что я обратил внимание, было 968-страничное руководство пользователя с 280-страничной главой, посвященной отчетности. Это может прозвучать странно, но руководство не является трудным для восприятия, как могло бы показаться, поскольку расцвечено большим количеством экранов, иллюстрирующих обсуждаемые темы.

EventTracker имеет три основных интерфейса пользователя. Графический интерфейс действует на сервере EventTracker и используется для управления контролем, анализом и отчетностью. Панель управления EventTracker включает элементы быстрого доступа ко многим функциям управления и анализа консоли графического интерфейса.

Я начал тестирование в среде консоли System Manager, где создаются группы контролируемых компьютеров. EventTracker предоставляет возможность выбора метода распределения систем по группам - по принадлежности к подсети IP или по типу операционной системы сервера/рабочей станции. Можно также создавать группу для назначения систем вручную. При необходимости получения дополнительной информации о конкретном событии EventTracker содержит ссылку для перехода на Web-сайт Prism Microsystems - kb.eventlogmanager.com. Действия по оповещению включают выполнение сценариев на сервере консоли, а также отправку уведомлений.

EventLogCentral - Web-интерфейс, используемый для управления отчетностью и пользователями. EventLogCentral применяет функцию отчетности на основе Crystal Reports и предусматривает свыше 500 шаблонов отчетов, включая набор отчетов о соответствии нормативным требованиям, указанным в Законе об унификации и отчетности в области медицинского страхования (HIPAA), законе Сарбейнса-Оксли (SOX), Федеральном законе США по управлению информационной безопасностью (FISMA), Акте Грамма-Лича-Блайли (GLB) и стандартах безопасности PCI Security Standards.

Эта консоль позволяет администраторами ограничивать права пользователя путем создания и назначения ролей индивидуальным пользователям. Степень детализации ролей такова, что существует 45 различных вариантов режима просмотра и несколько меньше вариантов в части добавления, внесения изменений, удаления и отчетности. Кроме того, можно ограничить доступ пользователя к конкретным группам компьютеров.

При использовании Event Log Central для просмотра недавних событий мне удалось легко сфокусировать внимание на конкретных типах событий, которые происходили на определенных системах. EventTracker предусматривает широкое разнообразие последовательных режимов просмотра, сужающих рамки диапазона выводимых событий, и позволяет сортировать события щелчком клавишей мыши на заголовке столбца. Испытывая эту часть Event Log Central, я убедился в быстрой реакции консоли.

Экраны, используемые для выбора и настройки одного из готовых отчетов, удобны в работе, и отчеты можно сохранять в формате .pdf или .doc. Однако, когда я попытался получить отчет, процесс запустился, и я потерял терпение, ожидая его завершения.

Итог

EventTracker обладает многими мощными возможностями и гибкостью. Например, имеется поддержка ролевого регламентирования доступа пользователей к конкретным видам информации сервера. В то же время пользовательский интерфейс показался мне менее интуитивно понятным для навигации, чем у других систем. Это мое утверждение иллюстрируется наличием на панели управления Event Tracker 21 элемента быстрого доступа на консоль графического интерфейса EventTracker. Например, если нужно добавить новые контролируемые компьютеры или группы, приходится использовать приложение System Manager, тогда как более удобно было бы активизировать эту функцию из меню, открываемого правой клавишей мыши на навигационной панели. Я создал новые группы систем, однако они не появились на навигационной панели, которая, как предполагалось, должна была автоматически обновиться, пока я не выбрал Refresh в меню просмотра (выбор Refresh в контейнере All Computers не дал нужного результата). Если говорить о быстроте реакции, то консоль показала себя не самым лучшим образом. Мне приходилось ждать не только завершения работы фильтров событий, на даже закрытия приложений панели управления. В целом, хотя EventTracker может похвалиться впечатляющим списком возможностей, организация и реактивность пользовательских интерфейсов оставляет желать лучшего.

Prism Microsystems EventTracker

Достоинства: продукт с широкими возможностями; поддержка контроля с агентом и без агента; включен агент Solaris; контроль некоторых показателей работоспособности сервера; чрезвычайная гибкость ролевой настройки доступа к консоли отчетности и просмотра
Недостатки: интерфейсы управления несколько тяжеловесны, реакция не всегда достаточно быстрая
Оценка: 3.5 из 5
Цена: начинается с 9 000 долл. за 20 серверов Windows и 50 рабочих станций. Для получения более подробной информации обращайтесь к производителю.
Рекомендации: определяемая пользователем ролевая аутентификация и Web-консоль - удачный вариант для использования справочной службой Help. Тем, кто заинтересован в уникальных возможностях продукта, рекомендую установить продукт и оценить его качества.
Контактная информация: Prism Microsystems, http://www.prismmicrosys.com  

RippleTech LogCaster

Мониторы LogCaster от RippleTech обеспечивают отчетность, проверку результатов деятельности в журналах регистрации Windows, вывод журналов syslog устройств и ведение журналов событий в виде текстовых файлов. Сохранение регистрируемых событий с изменяемой конфигурацией осуществляется в базе данных SQL Server, а для создания и хранения отчетов в различных форматах, включая PDF, HTML и CSV, используются службы SQL Server 2005 Reporting Services (SSRS). Контроль, осуществляемый LogCaster, не ограничивается лишь выводом данных в виде регистрационных журналов, а включает также возможность отслеживания счетчиков производительности Windows, запуска служб Windows и сетевых IP-служб, таких как электронная почта и Web-серверы, по корпоративной сети. Помимо журналов событий Windows, LogCaster отслеживает и составляет отчеты по данным syslog систем Linux/UNIX и сетевых устройств, а также по данным системы защиты данных в хост-машинах компании IBM - Resource Аccess Control Facility (RACF).

Архитектура

Продукт LogCaster предназначен для установки в Windows 2003, XP и Windows 2000 и требует системы SQL Server 2005 или SQL Server 2000. Поддерживается также MSDE, а предпочтительной платформой является SQL Server 2005 ввиду наличия сопряженных функциональных возможностей SSRS.

Служба LogCaster, работающая на сервере LogCaster, осуществляет сбор журналов Windows через агентов, управляет базой данных, получает данные syslog и отслеживает счетчики производительности и мониторы состояния IP-систем. Агент LogCaster на контролируемых системах Windows получает от сервера заданные для конкретной системы фильтры журналов, взаимодействует со службой, отвечающей за регистрацию данных на контролируемой системе, обрабатывает и фильтрует регистрационные записи и направляет избранные события на сервер LogCaster. Агент также отслеживает все текстовые файлы и обеспечивает создание собственных резервных копий файлов регистрационных данных. Консоль графического интерфейса LogCaster, которую можно устанавливать на рабочих станциях для обеспечения возможности удаленного доступа, используется для настройки всех аспектов LogCaster, просмотра событий и формирования отчетов.

На контролируемых системах Windows агент непрерывно отслеживает появление в системе новых событий. Новые события оцениваются с применением правил; в случае несоответствия правилам дальнейшая обработка не производится. Если есть соответствие, агент помещает событие в кэш данных на локальной системе (для которого не допускается превышение размера в 20 Мбайт) и отсылает его на сервер LogCaster. Сервер заносит событие в базу данных SQL Server и обеспечивает отправку уведомлений, предусмотренных для данного события при настройке конфигурации.

Тестирование

Тестирование и установку LogCaster 5.5 я осуществил в режиме планового сеанса Web-конференции с участием технического специалиста из RippleTech. Такую услугу RippleTech предлагает всем клиентам. Прежде чем сделать вызов, я подготовил две системы Windows Server 2003 SP1, одна из которых была настроена в конфигурации с IIS, SQL Server 2005 и SSRS. Мы начали с установки LogCaster на сервере этой службы, после чего установили модули отчетности Log Caster Reporting и Risk Assessment на SQL Server.

Администратор использует графическую консоль LogCaster для настройки всех аспектов процесса сбора данных, реализуемого LogCaster, удаленной установки агента LogCaster на системах Windows и отображения приоритетных событий. Графический интерфейс имеет три основных целевых области: настройка Setup, конфигурация Configuration и табло Dashboards.

Я начал с области настройки, где выполнил развертывание агента LogCaster по нескольким создаваемым системой папкам (называемым Business Groups в среде LogCaster), используемым для организованного распределения систем по контролируемым группам. В окне LogCaster отобразились обнаруженные домены и системы, что позволило мне переместить их путем "перетаскивания" в желаемую папку, инициирующую удаленную установку агента. Администратор также использует область настройки для создания пользовательских ID доступа к консоли, а также для управления сценариями, которые можно создавать для выполнения на контролируемых системах в ответ на определенные события.

Экраны конфигурации используются для настройки правил наблюдения: Event, Service, Performance, TCP/IP, Text file, Syslog и Plugin. Например, для типа проверки Event Watcher можно задать правила, определяющие реакцию агента LogCaster, функционирующего на контролируемой системе, на конкретные события. Можно определить, отправлять или не отправлять событие на сервер LogCaster, запустить сценарий, потребовать подтверждения получения уведомления о событии, отправить уведомление по электронной почте или на пейджер, отобразить на дисплее консоли LogCaster с соблюдением назначенного уровня приоритета и/или послать SNMP-сообщение. Правила, установленные для Event Watcher, применяются в порядке приоритета, и процесс оценки останавливается, как только установлено соответствие одному из правил. Вначале производится оценка по правилам, назначенным для бизнес-группы , затем - по правилам, заданным для бизнес-группы системы. Процедуры создания новых правил, изменения конфигурации существующих правил и назначения правил бизнес-группам абсолютно просты. На панели активных событий Live Events выбирается событие и команда Create event watcher rule from event («Создать для события правило наблюдения»). Это позволяет выбрать бизнес-группу назначения и создать правило. На дисплее конфигурации правил наблюдения Event Watcher Configuration выбирается бизнес-группа и правило. Я переименовал правило и выполнил настройку уведомления. Возможность направлять события на различные системы консоли LogCaster позволяет поддерживать распределенную систему управления критически важными событиями при надлежащей настройке правил.

Контроль Syslog поддерживается двумя способами. Во-первых, можно записывать все данные syslog в текстовый файл. Можно также настроить LogCaster на запись событий syslog в журнал Windows на сервере LogCaster, где этот журнал обрабатывается с применением правил, как любое другое событие Windows. Такая структура показалась мне далеко не идеальной. Я бы предпочел прямую обработку данных журналов событий без дополнительной записи в журнал Windows.

На панели вывода отображается текущая информация, поступающая от агентов. События отображаются в порядке поступления. Можно выбрать, какие столбцы следует отображать, и сортировать отображаемые данные щелчком на заголовке столбца. Это позволяет легко находить события, представляющие интерес, и отображать полную информацию о событии.

Для отчетности LogCaster использует службу SSRS и ее Web-интерфейс. RippleTech предоставляет обширный набор настраиваемых отчетов, как показано на рис. 5. Особый интерес представляет отчет Executive Dashboard, предусматривающий анализ информации, собранной от всех контролируемых систем, и выдачу на дисплей результатов оценки политик формируемых системами журналов, негативно влияющих на целостность данных журналов Windows. На схеме ‘Log Management' в красном сегменте отображаются системы, управляемые Windows, а в зеленом - системы, управляемые LogCaster, где LogCaster создает резервные копии и объединяет данные регистрационных журналов. В отчете ‘Log Collection' красный цвет используется для индикации управляемых систем с агентами, не предоставляющих отчетных данных на сервер LogCaster. В отчете ‘Security Risk Assessment' красная индикация применяется к системам, допускающим перезапись событий журналов Windows, что создает потенциальную угрозу для полноты собираемых данных. На других схемах отображаются оповещения системы безопасности и состояние резервирования и архивирования журналов. Все схемы активны: выбрав щелчком мыши интересующий сегмент, можно отобразить имена систем, представляемых этим сегментом. Далее, выбрав имя интересующей системы, можно увидеть ее настройки. LogCaster предусматривает функцию планирования, которая, однако, имеет слишком общий характер - было непонятно, как осуществлять планирование отчетов, и я не нашел иллюстративных примеров ни в руководстве пользователя, ни в справочной службе Help.

Для составления отчетов по показателям производительности предусмотрен инструмент на базе Excel - Performance Reporting and Analysis Suite. Для создания отчета по показателям производительности вы изменяете копию готовой, управляемой макрокомандами, электронной таблицы Excel.

Итог

LogCaster оказался простым в использовании и обладающим хорошим набором возможностей. Предусмотрена обширная коллекция готовых отчетов, построенных применительно к SSRS, поэтому относительно простых для внесения изменений. LogCaster поддерживает много типов наблюдений, обеспечивая контроль, далеко не ограничивающийся рамками простого отслеживания журналов событий. Правила относительно просто настраивать, хотя, как мне кажется, система, основанная на приоритетах, может несколько усложнить диагностику неисправностей, поскольку ничто не указывает на то, по какому из правил осуществлялась обработка события. Отсутствует интеграция отчетов по данным счетчиков производительности (выполняемых с использованием системы на базе электронных таблиц Excel) и отчетов о событиях. Таким образом, LogCaster обладает хорошим набором возможностей, но простота использования несколько оттеняется недостатками реализуемого в LogCaster способа их реализации.

RippleTech LogCaster

Достоинства: контроль служб, счетчиков производительности и IP-портов, помимо отслеживания событий; поддержка установки на удаленных консолях; поддержка распределенного управления критически важными событиями с возможностью отправки уведомлений о событиях на различные консоли по любому атрибуту события; хороший пакет отчетности на основе SSRS
Недостатки: упорядоченное применение правил и отсутствие именованных наборов правил может затруднять администрирование и диагностику неисправностей; необходимость записи данных syslog в журнал Windows, если требуется обработка событий syslog с применением правил и отправкой уведомлений.
Оценка: 4 из 5
Цена: начиная с 550 долл. за пять лицензий
Рекомендации: некоторые аспекты реализации представляются излишне усложненными, что, однако, компенсируется удачным пакетом отчетности.
Контактная информация: RippleTech, http://www.rippletech.com  

TNT Software ELM Log Manager 4.0

ELM Log Manager входит в семейство программных продуктов ELM компании TNT Software. Другие продукты включают приложение ELM Event Log Monitor, не требующее установки агента и обеспечивающее сбор данных и оповещение по журналам Windows, и технологию ELM Enterprise Manager. Это обогащает набор функций Log Manager разнообразными возможностями отслеживания IP-портов. Log Manager осуществляет сбор указываемых пользователем событий из журналов Windows и регистрационных файлов. Кроме того, предусмотрено получение выходных данных syslog от других систем и устройств, а также SNMP-событий. События записываются в базу данных SQL Server, архивируются и используются для составления отчетов.

Архитектура

Сервер Log Manager принимает данные событий от контролируемых систем и поддерживает три типа контроля. На системах Windows можно устанавливать агента Service Agent, что обеспечивает максимальный уровень функциональности. Контроль систем Windows без установки агента можно осуществлять с использованием виртуальных агентов Virtual Agents, используя удаленный вызов процедур RPC для связи с контролируемыми системами. Виртуальные IP-агенты IP Virtual Agents позволяют контролировать системы, не относящиеся к системам Windows, для получения выходных данных syslog и SNMP-событий. В потоке данных, генерируемых контролируемыми системами, Log Manager осуществляет поиск событий, определяемых элементами контроля Monitor Items. Log Manager направляет элементы контроля системам, на которых функционирует агент Service Agent. Агент оценивает события по критериям, заданным для элементов контроля, направляя на сервер Log Manager только выбранные события, и, при соответствующей настройке конфигурации, запуская программу или сценарий на контролируемой системе.

Сервер Log Manager использует три базы данных SQL Server. Главная база данных Primary, часто находящаяся на специально выделенной системе SQL Server, является хранилищем информации о событиях. Резервная база данных Failover, обычно расположенная на сервере Log Manager, накапливает информацию о событиях на случай временного выхода из строя главной базы данных. Чтобы регулировать размер главной базы данных, Log Manager позволяет настраивать периодическое перемещение давних событий в базу архивных данных Archive.

Администратор использует графическую консоль управления Microsoft Management Console (MMC), которую можно устанавливать на других рабочих станциях, обеспечивая удаленное управление. Для управления контролирующей деятельностью Log Manager администратор создает категории агента Agent Categories, назначая им контролируемые системы, и задает элементы управления Monitor Items для созданных категорий. Контролируемая система может принадлежать нескольким категориям агента, что позволяет администратору создавать категории агента для каждой функции приложения или сервера и относить элементы контроля к категории агента, соответствующей данному приложению. Если элемент контроля неприменим к системе, отнесенной к данной категории, агент игнорирует его без дальнейшей обработки. Возможность создавать категории с правилами для сбора всех событий из одного и более журналов позволяет обеспечить полноту собираемой информации о событиях.

Log Manager поддерживает пять типов элементов контроля:

  1. Мониторы сервера Server Monitors позволяют агентам отслеживать состояние сервера ELM и инициировать перезапуск служб ELM Server при наличии в реестре Windows сервера указания на его аномальную остановку.
  2. Мониторы агента Agent Monitors отслеживают состояние агента, функционирующего на контролируемых системах, и могут инициировать перезапуск служб или отправлять уведомления при обнаружении неисправности или плохих показателей производительности.
  3. Элементы контроля коллекторов событий Event Collector Monitor Items обеспечивают оценку всех событий, происходящих на контролируемых системах, и доставку событий, удовлетворяющих критериям оценки, на сервер Log Manager для помещения в базу данных.
  4. Элементы контроля предупреждения о событиях Event Alarm Monitor Items отслеживают появление конкретных событий или отсутствие конкретного события на протяжении определенного времени и инициируют выполнение действия или отправку уведомления, помимо записи события в базу данных. Возможные действия в ответ на срабатывание предупреждения включают размещение события в виде оповещения на консолях, выдачу сообщения Net Send, создание новой записи в журнале событий приложения и выполнение программы или сценария.
  5. Элементы контроля файлов File Monitor Items проверяют текстовые файлы на наличие слов и строк с использованием закладок во избежание повторного чтения ранее обработанных участков текста.

При создании элемента предупреждения о событиях Event Alarm Monitor можно предусматривать лишь небольшое количество видов уведомлений, однако администратор располагает широким набором альтернативных уведомлений с использованием функции Notification. Log Manager поддерживает пятнадцать различных методов уведомления, включая вывод выделяющей рамки, преобразование текста в речь (с использованием механизма Microsoft Voice) и размещение Web-страницы. Один из вариантов позволяет направлять события на консоли Log Manager Advisor (конкретные или все), представляющие собой устанавливаемый клиент, обитающий в системной области уведомлений и информирующий пользователя рабочей станции о наступлении нового события. Администратор определяет правила отправки уведомлений с использованием фильтров событий, для описания событий, к которым применимо данное правило отправки уведомления, а также создает именованные методы уведомления для определения ситуаций, в которых осуществляется отправка уведомлений. TNT использует один и тот же термин для описания 15 видов уведомлений, которые можно применять, и именованных методов уведомлений, создаваемых для использования поддерживаемых TNT методов уведомления.

Тестирование

Установка Log Manager в системе Windows 2003 с установленным SQL Server 2005 Express Advanced Edition прошла без происшествий. Основные требования Log Manager - .NET Framework 1.1 и IIS 5.0 (или более поздняя версия) в конфигурации с ASP.NET. Я создал несколько новых категорий агентов, развернул агенты Service Agents на двух системах и виртуальные агенты Virtual Agents (для контроля без агента) - на двух других. Затем я создал несколько типов элементов контроля Monitor Items и обнаружил, что при просмотре оповещений и событий доступны контекстные меню, как показано на экране 6. Это облегчает создание фильтра событий для использования в другом месте. Представления ‘Events Views', ‘Personal Views' (те же ‘Events Views', но появляющиеся только для вашей регистрации при входе в систему) и ‘Notification Rules' используют один и тот же набор фильтров событий. Кроме того, я убедился в удобстве настройки правил уведомлений Notification Rules.

Отчетность - область, в которой у TNT есть над чем поработать, однако, поскольку данные находятся в базе SQL Server, можно при желании создавать собственные отчеты с использованием SSRS. Выбор Reporting на консоли быстро перемещает пользователя в Web-интерфейс от