EventCombMT – поиск в журналах событий

Когда вы последний раз просматривали журналы событий на ваших серверах?

Во многих организациях до сих пор не внедрены такие системы как SC Operations Manager или SC Essentials. Причины могут быть самыми разными, но факт остаётся фактом. Но тем не менее, отслеживать журналы всё равно нужно, думаю это очевидно всем. Один из способов – создать консоль MMC в которую добавить снапины журнала событий с разных серверов. Другой вариант – воспользоваться бесплатной утилитой от Microsoft, про которую я случайно узнал буквально пару часов назад🙂

image

EventCombMT не требует установки, все настройки помещаются на одном экране. Функционал тоже не богат – всё что может утилита, это выполнять поиск событий в журналах нескольких серверов, по заданным критериям. Но зато уж это она делает вполне хорошо🙂

Анализируемые серверы добавляются в окошко справа вверху, причем утилита может самостоятельно получить всех серверов из домена. Затем необходимо выбрать в каких журналах событий вы хотите искать (System, Application, Security…) и какие типы событий вам интересны – ошибки, предупреждения, информационные сообщения, или события аудита.

Разумеется можно перечислить интерисующие ID  событий (или даже указать диапазон), выбрать источник сообщений, и указать текст для поиска в сообщениях. В поле Scan Back задается период давности событий.

image

Поиск выполняется в несколько потоков. В процессе анализа SID’ы пользователей преобразовываются в человекопонятные названия, а дополнительная текстовая информация о событиях, извлекается из соответствующих DLL’ок.

После завершения поиска, EventCombMT откроет в проводнике временную папку в которой находятся файлы с именами серверов, внутри которых вы уже найдете строки с отобранными событиями. Например:

55,ERROR,Ntfs,Wed Jul 02 09:39:47 2008,,The file system structure on the disk is corrupt and unusable.  Please run the chkdsk utility on the volume Backup.  

Разумеется EventCombMT и близко не сравнить с возможностями OpsMgr, Essentials или другими системами мониторинга, но зачастую такой инструмент лучше чем анализ логов вручную, или написание сложных скриптов для разовой задачи.

Скачать утилиту можно в комплекте Security Guide Scripts, тут.

Опубликовано в Utility. Метки: , , . Комментарии к записи EventCombMT – поиск в журналах событий отключены
%d такие блоггеры, как: