Данный обзор поможет потребителям решить, какой функциональностью должны обладать необходимые им продукты
Если в сети семь серверов и каждый из них располагает семью журналами событий, которые пополняются круглосуточно без выходных, и в среднем каждый час вносится семь записей, то результат может привести в ужас любого администратора — 8232 записи каждый день, 57 624 записей в неделю. Данные журнала событий Windows полезны для мониторинга системной производительности, проверки соответствия требованиям законодательных актов и других задач, но просмотр огромного количества данных, собранных в этих журналах, требует огромного же количества времени.
С помощью продуктов управления журналами событий, также называемых диспетчерами журналов событий, можно быстро преобразовать гору данных в золотоносную жилу полезной информации, затратив на это совсем немного усилий. Пока администратор занимается повседневными делами, диспетчеры журналов событий автоматически отслеживают журналы Windows и выдают предупреждения о неполадках в системе. Они могут автоматически фильтровать и консолидировать данные, чтобы упростить поиск причин снижения производительности и потенциальных уязвимых мест. Они даже автоматически составляют отчеты для обнаружения закономерностей и проверки соответствия требованиям законодательных актов. Ответив на предварительные вопросы, можно определить необходимые функции, а затем найти наиболее подходящие продукты в таблице.
Богатство функций
В продаже имеется множество диспетчеров журналов событий с различными возможностями. Начните с перечисленных ниже вопросов, чтобы сузить область поиска и определить важнейшие потребности и соответствующие функции.
Нужны ли агенты? Агенты устанавливаются на всех компьютерах, которые предстоит контролировать. В продуктах без агентов используется по крайней мере один сервер или рабочая станция для наблюдения за журналами событий сетевых серверов и рабочих станций.
Какие события необходимо отслеживать? Большинство диспетчеров журналов событий контролируют журналы Windows Application, Security, System, Directory Service, DNS Server и File Replication Service. Некоторые диспетчеры журналов событий отслеживают и журналы приложений, в том числе Microsoft (например, ISA Server, SQL Server) и независимых приложений (например, антивирусных программ Linux).
Нужно ли фильтровать и консолидировать события? В процессе фильтрации события сортируются и выделяются по содержимому. Фильтрация необходима, если нужно выдавать предупреждения при обнаружении определенных кодов ошибок или ключевых слов в описании событий. При консолидации событий исключаются лишние сообщения о повторяющихся событиях.
Какой должна быть реакция на событие? Все, кроме одного, диспетчеры журналов событий, представленные в данном обзоре, обеспечивают автоматические предупреждения какого-нибудь типа. Предупреждения могут быть разными: от сообщений электронной почты до бегущей строки на экране. В некоторых диспетчерах журналов событий можно использовать исполняемые файлы (например, сценарий, программу) для настройки на конкретное событие. Если нужно, чтобы событие запускало определенное действие (например, отключить сервер, остановить службу), выбирайте продукты с функцией автоматического запуска действий.
Какие требуются функции подготовки отчетов? Диспетчеры журналов событий с функциями автоматической подготовки отчетов предоставляют шаблоны отчетов, в том числе о неудачных попытках регистрации и ежедневные отчеты об указанных событиях. Если компания должна предоставить доказательства соответствия законодательным актам, таким как закон Грэмма-Лича-Блайли (GLBA) или Сарбейнса-Оксли (SOX) от 2002 г., следует выбирать продукты с нужными отчетами. Если требуется выявить временные закономерности, будут полезны диспетчеры с отслеживанием тенденций. В некоторых продуктах можно проектировать пользовательские отчеты, которые могут пригодиться для компаний с особыми требованиями.
Определить свои потребности и возможности различных решений — хорошая отправная точка в поиске подходящего диспетчера журналов событий. С помощью продукта управления журналами событий можно формировать специальные предупреждения и отчеты, чтобы быстрее узнавать о неполадках и анализировать тенденции при составлении планов.
Карен Бемовски (kbemowski@windowsitpro.com) — редактор Windows IT Pro
Табл.1. Диспетчер журналов и событий.