Для данного обзора я отобрал пять диспетчеров журналов Windows. В зависимости от ваших потребностей, один из этих продуктов может послужить альтернативой стандартной программе просмотра событий Windows. Итак, перед нами:
- Event Log Explorer компании FSPro Labs;
- Event Reader 2 компании Altair Technologies;
- Event Analyst корпорации Dorian Software Creations;
- EventMeister компании Technology Lighthouse;
- Corner Bowl Log Manager 20 компании Corner Bowl Software.
Все пять продуктов поддерживают формат EVT, используемый системами Windows Server 2003 и Windows XP для хранения журналов событий, но не все воспринимают формат EVTX, применяемый в системах Windows Vista и Windows Server 2008 для файлов регистрации событий.
С целью испытания диспетчеров журналов я устанавливал каждый из них в среде Windows Server 2003; на моих тестах эта операционная система была базовой. Кроме того, я устанавливал продукты, совместимые с Windows Vista и Windows Server 2008, в этих двух средах, дабы подтвердить совместимость и удостовериться в том, что они могут напрямую считывать файлы EVTX.
Как выяснилось, из пяти проверенных продуктов только один несовместим с операционными системами Windows Vista или Windows Server 2008 — это Event Reader 2. В компании мне сообщили, что версия Event Reader 3 будет совместима с более новыми операционными системами, но дату ее выпуска не назвали.
Event Log Explorer, Event Analyst EventMeister и Corner Bowl Log Manager работают в средах Windows Server 2008/Vista/2003/XP/2000/NT, тогда как Event Reader 2 функционирует под управлением Windows 2003/XP/2000.
Event Log Explorer 3.1
Интерфейс разработанного специалистами компании FSPro Labs продукта Event Log Explorer (см. экран 1) представляет собой простое, без каких-либо излишеств, окно. Содержимое компьютера, на котором установлена программа, представлено в нем в виде древовидной структуры. Перемещаясь по списку журналов текущей системы, вы можете дойти до каждого отдельного журнального файла; двойным щелчком на имени журнала можно открыть оформленный в виде таблицы список хранящихся в нем событий.
Дважды щелкнув на том или ином событии, мы можем открыть отдельное окно со сводной информацией о типе события, дате, времени и о других его атрибутах. Там же имеются ссылки на базу знаний Microsoft и базу данных описаний Event ID — расположенный в среде Web репозиторий сведений о событиях в журналах Windows.
Из пользовательского интерфейса можно добавлять к дереву просмотра другие компьютеры. Специальный мастер в автоматическом режиме выполняет проверку наличия других компьютеров по тем ролям, которые они выполняют в сети.
Если вы хотите просмотреть лишь один журнал с другого компьютера, можете запустить команду Open Log, просмотреть сеть или домен, а затем выбрать интересующую вас систему. Команда Open Log File дает возможность открывать существующие файлы журналов EVT или EVTX с локального компьютера или с любой системы, подключенной к сети. С целью управления множеством журналов, расположенных на различных компьютерах, можно создавать несколько рабочих пространств, в каждом из которых будет храниться свое дерево журналов.
Для сортировки событий, отображаемых в главном окне, вы можете щелкнуть на заголовке любого столбца. Чтобы ограничить число отображаемых событий, можно применить фильтры, запустив на выполнение команду Filter. Система фильтрации, оснащенная удобным диалоговым окном, весьма эффективна. Пользователь может сохранить любой фильтр и применить его к другим журналам.
Для фильтрации журнала на базе текущего выделения предназначено удобное средство Quick Filter. Чтобы ограничить число загружаемых событий, пользователь может выполнить фильтрацию событий до их открытия. Можно также провести поиск по всем отображенным событиям с помощью команды Find.
Event Log Explorer позволяет сохранять любой журнал в файлах EVT или EVTX, так что пользователь может вести актуальный архив. Программное обеспечение дает возможность осуществлять резервное копирование как в автоматическом, так и в ручном режиме.
Event Log Explorer предусматривает возможность экспорта любого журнала в формате HTML для создания отчета — или сохранения его в виде текстового файла либо электронной таблицы Excel для последующего включения в базу данных. Вы можете экспортировать все события или только избранные, а также включать или исключать описания событий, но не более того. Однако программа не имеет функции планирования, так что пользователь не может назначить формирование отчета в автоматическом режиме и его отправку по электронной почте.
Event Reader 2
Разработанный специалистами компании Altair Technologies диспетчер Event Reader 2 (см. экран 2) отображает содержимое компьютера в виде дерева папок. Перемещаясь по его узлам, вы можете просмотреть файлы всех отдельных журналов событий. Щелкая кнопкой мыши на том или ином журнале, пользователь отображает его события и свойства событий. В окне Event Properties отображается описание выделенного события и его индивидуальные свойства. Если щелкнуть на идентификаторе события (Event ID), на экране появится окно базы данных описаний Event ID — Web-ресурса, организованного и до сих пор поддерживаемого компанией Altair Technologies.
По умолчанию программа Event Reader отображает журналы для компьютера, на котором она установлена. Пользователь может добавлять в список наблюдения другие компьютеры. Event Reader 2 поддерживает только файлы EVT; файлы EVTX не поддерживаются.
Вы можете с легкостью сортировать события в любом списке; для этого достаточно щелкнуть на заголовке любого столбца. Event Reader предоставляет несколько полезных способов фильтрации данных. На панели инструментов в верхней части экрана отображаются кнопки для каждого типа событий, таких, как ошибка (error), предупреждение (warning) и информация (information). По умолчанию все кнопки активированы, однако вы можете также исключить любой тип из числа отображаемых.
Имеются и более сложные варианты отбора события, включая фильтрацию по типу события, по дате и времени, а также по идентификатору события и по источнику. Варианты фильтрации удобно представлены и просты в использовании. В Event Reader не реализован специальный метод поиска событий. Но в большинстве случаев фильтрация представляет собой наиболее эффективный способ выявления событий с помощью тех или иных критериев.
Для создания отчета можно экспортировать журнал событий в формате HTML. Event Reader предлагает ряд базовых, но полезных возможностей форматирования HTML-отчетов. Вы можете выбирать шрифт, размер в пунктах и цвет. Можно также сохранить журнал непосредственно на сервере FTP, который просто передает его в формате отчета HTML. Есть и еще одна возможность: экспортировать содержимое журнала событий в базу данных.
Функция планирования оставляет хорошее впечатление. Пользователь может назначить составление отчета раз в день или с другим интервалом. Вы можете настроить систему так, что отчет будет сохранен в указанном каталоге, отправлен на сервер FTP, сохранен в базе данных — или так, что будут выполнены все перечисленные задания. С целью ограничения информации, отображаемой в отчете, пользователь просто создает фильтр.
Event Analyst 8.0
При запуске поставляемый компанией Dorian Software Creations диспетчер Event Analyst (см. экран 3) приветствует пользователя сообщением в виде быстрой подсказки (Quick Tips); данную функцию можно активировать и деактивировать. После этого окно пользовательского интерфейса остается пустым в ожидании ваших команд. Открывая журналы, вы можете выбирать только один компьютер и один журнал; возможность указывать сразу несколько компьютеров или журналов не предусмотрена.
Пользователь может поручить диспетчеру открыть журналы или сформировать отчет. Можно добавлять дополнительные журналы — с того же компьютера или с других компьютеров, подключенных к сети. Имеется возможность открывать в программе Event Analyst файлы, сохраненные с расширениями EVT, EVTX, CSV, а также текстовые файлы.
Команда Research this Event Online (проанализировать данное событие в Internet) открывает Web-страницу Dorian Software со ссылками на данные, касающиеся соответствующего события. Можно также подключиться к базе знаний Microsoft.
Вы можете сортировать список событий по заголовку любого столбца. Однако, поскольку заголовок для типов событий не предусмотрен, я так и не сумел отсортировать список так, чтобы увидеть все ошибки или все предупреждения, собранные вместе.
В комплект поставки Event Analyst входит несколько заранее заготовленных фильтров для ограничения отображаемых данных по событиям. Я создал и сохранил фильтр и смог использовать его, запустив команду Apply Filter. Кроме того, мне удалось на месте создать простой фильтр, который можно было не сохранять.
Пользователь может запускать расширенные фильтры, применяемые к содержимому баз данных, — Access, SQL Server или Oracle. Этот метод, предусматривающий использование широкого набора критериев и операторов булевой логики, позволяет фильтровать по таким критериям, как компьютеры, пользователи, идентификаторы событий и т. д.
Журналы можно экспортировать в любой из следующих форматов: HTML, текстовый файл с разделителями-запятыми, файл Access MDB или в виде источника ODBC для базы данных. Пользователь может запустить отчет на основе указанных им критериев или использовать встроенный отчет. Некоторые из встроенных отчетов были исключительно полезны, скажем, такой как «10 самых частых событий». Каждый отчет содержал источник события и другие подробности, а также даты начала и окончания события.
Как выяснилось, настраиваемый конструктор отчетов Event Analyst работает быстро и прост в использовании; кроме того, я смог предварительно просмотреть отчет в виде файла HTML или CSV. Систему можно настроить таким образом, чтобы отчет формировался на регулярной основе, сохранялся и передавался по электронной почте. Наряду с этим можно применять фильтры к запланированным отчетам, с тем чтобы ограничить объем включаемых в них данных.
EventMeister 3.0
С помощью диспетчера EventMeister от компании Technology Lighthouse (см. экран 4) вы можете организовать службу для сбора данных, когда в системе не зарегистрирован ни один пользователь. Перед просмотром данных журнального файла необходимо создать канал Event Log Feed; он будет собирать данные о событиях с компьютеров, за работой которых вы намереваетесь наблюдать, и направлять их в текущий канал. Вы выбираете журналы событий, которые следует включить в этот процесс, метод сбора данных о событиях, а также частоту опроса и обновления канала новыми данными.
Диспетчер EventMeister использует либо параметр Read from log, и тогда канал создается путем внесения всех зафиксированных в журнале событий, включая те, что хранились там до установки приложения, либо параметр Catch events; в этом случае в канал вводятся новые события, а старые опускаются. Пользователь может добавлять к существующей группе новые каналы с других компьютеров — или создавать новые группы и заполнять их с помощью новых каналов.
После создания канала выбранный журнал событий загружается автоматически. Вы увидите список для каждого события, в котором будут представлены такие поля, как тип, дата и категория.
Кроме того, канал можно создать, открыв файл CSV. Это полезная возможность в тех случаях, когда вы уже экспортировали данные из нескольких каналов и сохранили их в одном CSV-файле. Однако возможность напрямую открывать файлы EVT или EVTX не предусмотрена. Чтобы обойти это препятствие, нужно сохранить журналы событий в формате файлов CSV непосредственно из окна просмотра событий Windows.
Для выполнения сортировки столбцов необходимо щелкнуть на соответствующем заголовке; чтобы ограничить объем отображаемой информации, можно показать или скрыть любой столбец. В дополнение к этому пользователь может добавить поле, по которому будет осуществляться фильтрация данных, а затем вручную ввести в него значение (например, дату). Затем к значению можно применять различные условия, например «равняется», «больше, чем»; таким образом обеспечивается высокий уровень гибкости. Процедура поиска события проста: для обнаружения конкретного события или типа события нужно ввести текстовую строку или цифровой идентификатор.
Продукт предоставляет широкие возможности для экспорта. Вы можете экспортировать канал в документ HTML, выбрав один из шести различных форматов-шаблонов. Можно также экспортировать канал в другие форматы, включая CSV и XML. Мой опыт показывает, что создание пользовательских отчетов выполняется просто.
При запуске того или иного события EventMeister может направлять пользователям извещения по электронной почте или как уведомление на компьютер. Систему можно настроить таким образом, что извещение будет направляться лишь при соблюдении заданных условий.
Corner Bowl Log Manager 2009
Диспетчер Corner Bowl Log Manager 2009 (см. экран 5) дает возможность управлять как журналами событий, так и текстовыми журналами. Индикатор, имеющий вид панели индикаторов, оповещает пользователя о состоянии службы CBLM. Он показывает, какие журналы событий опрашивались в последнюю очередь, и отображает диаграммы компьютерных журналов. Я пришел к заключению, что индикатор Dashboard перегружен ненужной мне информацией, что было особенно заметно, когда я запустил программу в первый раз.
На панели Network Explorer отображается древовидное представление журналов локальной системы; каждый журнал представлен в виде отдельной папки. Чтобы просмотреть события, нужно обратиться к панели, расположенной в нижней части основного экрана. Можно также инициировать процесс загрузки вручную; для этого следует выбрать команду Download Events. Поначалу этот процесс показался мне неудобным, но задача была выполнена успешно.
Каждое событие отображается в отдельной строке на центральной панели. Когда щелкаешь на каком-либо событии, все его детали отображаются в маленьком и тесном окошке. В целом, как мне кажется, окно событий спроектировано неудачно, и с ним трудно работать.
Чтобы добавить новые компьютерные журналы к списку управляемых, можно запустить мастер или открыть панель Event Log Explorer, перейти в локальную сеть, а затем выбрать компьютеры и журналы для загрузки. Этот процесс показался мне продуманным. Удачно спроектированная функция позволяет пользователю добавлять новые компьютеры через службу Active Directory в автоматическом режиме.
На этапе до открытия журналов событий CBLM предоставляет возможность задействовать окно быстрой фильтрации, чтобы пользователь мог выбрать — следует ли открывать все события или только некоторые из них. Чтобы организовать различные журнальные файлы, можно создавать группы; это весьма удобный способ управления журналами.
Быстрая сортировка списка событий осуществляется щелчком на соответствующем заголовке. Альтернативная возможность — группирование событий с помощью буксировки заголовков столбцов. Для выполнения быстрой фильтрации можно воспользоваться кнопкой типа событий на панели инструментов или сконфигурировать функцию фильтрации с более широкими возможностями. Что же касается функции поиска, то можно выполнить простую операцию поиска; для этого нужно запустить команду Find и ввести искомую текстовую строку.
Зарезервировать или сохранить журнал можно в форматах CSV, EVT, в виде текстового файла, или в форматах HTML либо XML. Кроме того, пользователь может напрямую открывать файлы EVT (но не файлы EVTX).
Процедура составления отчетов показалась мне довольно путаной. Перед формированием отчета необходимо создавать объект Action, в котором указываются выходные данные или получатель отчета. Затем отчет формируется с помощью программы-мастера. Пользователь указывает тип отчета, его имя, частоту составления, компьютер или компьютеры, а также журналы, которые должны быть в него включены. Наконец, указывается действие, которое следует предпринять.
Удобные средства управления журналами
Диспетчеры журналов событий имеют множество достоинств по сравнению со средством просмотра событий Windows Event Viewer, даже с учетом тех новых функций фильтрации событий и поиска, которые были реализованы в системе Server 2008. Вы можете выбрать один из представленных выше продуктов или другое столь же эффективное решение; в любом случае благодаря использованию гибких и обеспечивающих экономию времени диспетчеров журналов работать вам будет легче.
Ланс Уитни (lpw@pobox.com) — технический автор, Web-разработчик, консультант по разработке приложений. Внештатный редактор журнала Microsoft TechNet Magazine и независимый репортер CNET News
Event Log Explorer 3.1
ЗА: четкий и простой пользовательский интерфейс; весьма эффективная система фильтрации.
ПРОТИВ: отсутствует функция планирования отчетов.
ОЦЕНКА: 4 из 5
ЦЕНА: для персонального использования предоставляется бесплатно (может следить за работой до трех компьютеров в домашней сети); плата за систему, обеспечивающую мониторинг серверов числом до пяти, начинается с 99,95 долл.
РЕКОМЕНДАЦИИ: Event Log Explorer — простой, хорошо спроектированный продукт; идеально подходит для любого администратора ИТ-подразделения с базовыми потребностями в области управления журналами.
КОНТАКТНАЯ ИНФОРМАЦИЯ: FSPro Labs, www.eventlogxp.com
Event Reader 2
ЗА: четкий, простой интерфейс, прекрасная функция планирования отчетов.
ПРОТИВ: продукт несовместим с системами Windows Vista и Server 2008, поскольку не может читать файлы EVTX.
ОЦЕНКА: 3 из 5
ЦЕНА: 39 долл. и выше
РЕКОМЕНДАЦИИ: недорогая, но добротная программа, подходит для стесненных в средствах ИТ-администраторов. Если вам не требуется поддержка Windows Vista или Server 2008, Event Reader — то, что вам нужно.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Altair Technologies, www.altairtech.ca
Event Analyst 8.0
ЗА: хорошо спроектированный интерфейс пользователя; тщательно продуманные встроенные отчеты; простой в использовании настраиваемый конструктор отчетов.
ПРОТИВ: дороже других диспетчеров журналов, обеспечивающих мониторинг нескольких компьютеров.
ОЦЕНКА: 3 из 5
ЦЕНА: отдельные цены на версии для серверов и рабочих станций; программа для отслеживания работы одного сервера от 69,99 долл., для мониторинга одной рабочей станции — 29,99 долл.
РЕКОМЕНДАЦИИ: Event Analyst — добротный и мощный продукт, удобный в использовании и управлении.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Dorian Software Creations, www.doriansoft.com
EventMeister 3.0
ЗА: невысокая цена; широкие возможности экспорта; функции оповещения.
ПРОТИВ: возможность напрямую открывать файлы EVT и EVTX не предусмотрена.
ОЦЕНКА: 3 из 5
ЦЕНА: минимальная цена лицензии, позволяющей осуществлять мониторинг неограниченного числа рабочих станций и серверов, составляет 129,99 долл.;
РЕКОМЕНДАЦИИ: EventMeister — мощный и эффективный диспетчер журналов; его отличает экономичность, что особенно важно для небольших организаций.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Technology Lighthouse, www.logmeister.com
Corner Bowl Log Manager 2009
ЗА: продукт дает возможность автоматически добавлять компьютеры из AD; с легкостью осуществляет группировку событий; оснащен тщательно разработанными фильтрами и мощными средствами формирования отчетов.
ПРОТИВ: основные элементы пользовательского интерфейса слишком загромождены излишними деталями; диалоговые окна иногда повергают в замешательство; средством формирования отчетов пользоваться трудно.
ОЦЕНКА: 3 из 5
ЦЕНА: 129 долл. и выше за версию, обеспечивающую мониторинг до 20 компьютеров (но этот продукт нельзя устанавливать на сервер); 259 долл. и выше за версию, предназначенную для мониторинга большего числа компьютеров, которую можно устанавливать на серверах.
РЕКОМЕНДАЦИИ: Corner Bowl Log Manager — недорогой, но мощный и добротный диспетчер журналов.
КОНТАКТНАЯ ИНФОРМАЦИЯ: Corner Bowl Software, www.cornerbowl.com