• Article

Windows Vista

Nouveaux outils pour la gestion des événements dans Windows Vista

Val Menn

 

Vue d'ensemble:

  • Nouvelle infrastructure des événements
  • Types d'événements
  • Propriétés d'événements structurés
  • Utilisation d'expressions XPath

À en croire la plupart des gens, la gestion et le suivi des événements sont des tâches ennuyeuses. D'autres se plaignent que, le plus souvent, les traces et les événements ne sont que de simples produits dérivés d'activités secondaires (comme le sont les fonctionnalités de débogage et d'autosurveillance), et qu'une importante trop faible est accordée aux fonctionnalités de gestion et de suivi des événements.

Microsoft® Windows Vista™ souhaite modifier ces avis en proposant un extraordinaire pas en avant en matière de gestion d'entreprise. Microsoft a remanié certains des composants clés, ainsi que les interfaces utilisateur correspondantes. Le service Journal des événements a été intégralement réécrit en ne perdant pas l'entreprise de vue, et le suivi a considérablement gagné en vitesse et en sécurité.

Imaginez que vous disposiez d'un meilleur ensemble d'outils pour identifier et résoudre des problèmes survenant sur les systèmes essentiels. Que penseriez-vous de fonctionnalités permettant à un technicien de support technique de facilement collecter des événements et des traces à partir d'un système utilisateur ? Que penseriez-vous d'un système dans lequel vos développeurs pourraient diagnostiquer et résoudre des bogues sur un système déployé, à l'aide de traces envoyées à la volée par les utilisateurs ? Imaginez encore que vous disposiez de solutions plus faciles et plus puissantes, permettant de rassembler des informations et de rapidement effectuer un dépannage... maintenant cela ne vous semble plus si ennuyeux, n'est-ce pas ?

Qu'est-ce qu'un « événement » ?

Une application informatique est similaire à une « boîte noire » qui exécute une ou plusieurs fonctions. Il se passe beaucoup de choses dans cette boîte mais comme vous ne pouvez pas voir ce qu'il s'y passe, il est extrêmement difficile d'en comprendre les mécanismes internes. Cependant, les applications communiquent vers l'extérieur (avec d'autres programmes et utilisateurs). Ces « événements » de communication vous offrent un aperçu de ce qu'il se passe dans l'application.

Lorsqu'il s'agit du logiciel, un événement est généralement défini comme une occurrence au sein d'un système logiciel qui est communiquée à l'extérieur (l'extérieur désignant les utilisateurs et les autres programmes). Une occurrence de ce type correspond généralement à une modification liée à l'état ou à la configuration. Elle peut communiquer l'état ou la configuration actuels du système logiciel, ainsi que les raisons justifiant la modification.

Plus généralement, le terme « événement » permet également de désigner la manière dont ces occurrences sont exposées. Les exemples d'événements exposés sont nombreux :

  • Un objet Win32® utilisé pour la communication entre processus (IPC)
  • Un événement WMI utilisé pour les notifications passagères (non persistantes)
  • Un événement de suivi Windows (ETW) enregistré dans des fichiers de suivi
  • Un événement du journal des événements enregistré dans les journaux en direct du journal des événements, et éventuellement archivé dans les fichiers du journal des événements
  • Un événement enregistré dans des fichiers à l'aide de l'infrastructure personnalisée

Les trois derniers exemples répertoriés ici sont ceux que nous allons examiner dans cet article.

Mode d'utilisation des événements

Une trace ou un événement enregistré est un enregistrement d'une occurrence dans un programme ou dans un système d'exploitation. Ces traces et journaux des événements ne s'adressent pas uniquement aux développeurs. Ils fournissent des outils indispensables pour l'équipe informatique et le support technique, en leur offrant un aperçu de l'état et des mécanismes internes des applications que vous exécutez.

Vous pouvez utiliser ces journaux pour surveiller l'état général du système. À l'aide du journal des événements, vous pouvez rechercher tous les événements indiquant des problèmes. Par exemple, vous pouvez trouver l'événement d'erreur 6 dans le journal des applications à partir de la source CertificateServicesClient, accompagné du message suivant : « L'inscription automatique de certificat pour le système local a échoué (0x80070576). L'heure et la date ne sont pas les mêmes entre le client et le serveur. ». De la même manière, vous pouvez détecter la transition des composants de l'état détérioré au fonctionnement normal. Par exemple, une fois corrigée la différence d'heure et de date, la même source CertificateServiceClient publierait l'événement d'information 19 dans le journal des applications, en indiquant le message suivant : « L'inscription automatique de certificat pour <nom de l'utilisateur> a bien reçu un certificat AutoenrolledWindowsSystemComponentVerification de l'autorité de certification <nom de l'autorité>. ». De telles informations sont extrêmement précieuses pour la recherche et la résolution de conflits et autres problèmes de configuration.

Ces informations peuvent également se révéler utiles pour le diagnostic de problèmes. Vous pouvez localiser des actions de programmes et de systèmes engendrant des problèmes, puis obtenir des informations susceptibles de vous aider à déterminer la cause première. De la même manière, vous pouvez utiliser ces informations pour évaluer et résoudre les problèmes de performances.

De plus, les journaux des événements offrent de précieuses informations que vous pouvez utiliser pour assurer la sécurité accrue d'un environnement. Vous pouvez les utiliser pour détecter des tentatives d'intrusion et l'historique du système d'audit, garantir la non-répudiation et trouver des ressources incorrectement configurées.

Événements dans Windows Vista

Les versions antérieures de Windows® présentaient de nombreux défauts quant à la gestion et au suivi des événements. Parmi ces défauts, figuraient l'évolutivité limitée du journal des événements (qui limitait la taille totale de l'ensemble des journaux à la quantité de mémoire disponible), les performances de publication d'événements (qui, par exemple, limitaient le nombre d'événements publiables sur un contrôleur de domaine actif) et la sécurité limitée des événements de suivi.

Windows Vista résout nombre de ces problèmes, grâce à une nouvelle infrastructure pour la gestion et le suivi des événements nommée Windows Eventing 6.0. Cela s'applique également à ETW, utilisé depuis la sortie de Windows 2000, et remplace le service du journal des événements et l'Observateur d'événements. La nouvelle version de Windows Eventing est conçue pour traiter spécifiquement les événements persistants dans les fichiers journaux afin qu'ils soient examinés ultérieurement. Cette version n'a pas été développée pour les événements passagers tels qu'IPC et les mécanismes de notification.

En fournissant des solutions en matière de sécurité et d'évolutivité, les implémentations personnalisées de gestion et de suivi des événements devraient se révéler moins importantes. Notez que les améliorations sont fournies tout en préservant la compatibilité totale avec le journal des événements et les API ETW existants, ce qui signifie que toutes les applications existantes continueront de fonctionner de façon similaire.

Nouvelles méthodes d'observation des événements

L'Observateur d'événements existant figure déjà comme l'un des programmes Windows les plus populaires au sein de la communauté informatique. Le nouvel Observateur d'événements a été intégralement réécrit et étant donné qu'il est intégré à MMC (Microsoft Management Console) 3.0, son apparence a également été modifiée, mais elle est toujours relativement similaire à son prédécesseur et la transition sera probablement aisée.

La nouvelle version comporte toujours un volet d'exploration et une liste des événements. Vous pouvez toujours accéder aux journaux habituels d'application, de système et de sécurité sous le nœud Journaux Windows. Cependant, certains nouveaux nœuds ont été ajoutés à la racine et le nouveau journal ForwardedEvents, que j'aborderai brièvement, a été ajouté au nœud Journaux Windows.

La nouvelle fonctionnalité la plus notoire réside dans le volet de visualisation, situé sous la liste des événements. Il contient les propriétés de l'événement étudié. Cela signifie qu'il n'est plus nécessaire de double-cliquer sur un événement pour voir ses propriétés. De plus, vous n'avez plus besoin de passer d'une fenêtre à une autre pour voir simultanément la liste et la boîte de dialogue Propriétés des événements. Il est toujours possible d'afficher des propriétés dans la boîte de dialogue en double-cliquant sur un événement. La nouvelle boîte de dialogue n'est cependant pas de type modal ; vous pouvez ainsi afficher simultanément plusieurs boîtes de dialogue de propriétés d'événements.

Les nouvelles vues vous permettent d'afficher l'ensemble des événements susceptibles de vous intéresser, en seulement quelques clics de souris. Des événements peuvent être collectés pour un ou plusieurs fichiers journaux et peuvent se concentrer sur des ID, des niveaux (de gravité) ou des cadres temporels spécifiques.

Notez que sous le nœud Affichages personnalisés, vous trouverez des événements d'administration (illustré à la figure 1). Il s'agit d'une liste de tous les avertissements et erreurs de plusieurs fichiers journaux intéressants pour les administrateurs.

Figure 1 Événements d'administration

Figure 1** Événements d'administration **(Cliquer sur l'image pour l'agrandir)

Comment avons-nous déterminé quels journaux et événements étaient intéressants pour les administrateurs ? Nous avons identifié cinq types d'événements distincts et les utilisateurs associés à chacun de ces types. Ces types d'événements sont détaillés à la figure 2. Il s'agit d'une section très générale bien qu'efficace de l'ensemble des événements de suivi et du journal des événements, susceptible d'intéresser plusieurs groupes.

Figure 2 Types d'événements et utilisateurs correspondants

Type d'événement Description Utilisé par
Administration Le type « Administration » suffit à la plupart des administrateurs système. Ces événements relèvent d'un très haut niveau et fournissent souvent suffisamment d'informations pour identifier un problème et trouver la solution correspondante. Quoi qu'il en soit, les événements d'administration doivent identifier le moment où se produit un problème ou indiquer le moment où une application, un composant ou le système dans son ensemble est, ou récupère d'un état détérioré. Souvent exploitables, la plupart des événements d'administration sont des erreurs ou des avertissements. Programmes pour administrateurs, support technique et surveillance et analyse
Opérationnel À l'instar des événements d'administration, les événements opérationnels permettent de diagnostiquer des problèmes. Les événements opérationnels ne se composent uniquement d'erreurs et d'avertissements. Ils informent également les utilisateurs sur le fonctionnement normal d'une application ou d'un composant de système d'exploitation. Le volume de ces événements est maintenu à un niveau relativement bas, afin que les événements opérationnels puissent être activés sans affecter les performances du système. À l'instar des événements d'administration, les événements opérationnels sont utilisés par le support technique, les utilitaires de surveillance et certains administrateurs « pointus ». Programmes pour administrateurs avancés, support technique et surveillance et analyse
Audit Les événements d'audit fournissent un enregistrement de l'historique d'accès aux ressources ou actions entreprises par les utilisateurs. En eux-mêmes, ces événements ne représentent pas l'échec ou la réussite d'un programme, mais indiquent plutôt l'échec ou la réussite de l'action. Les événements d'audit peuvent être totalement désactivés ou activés de manière sélective et selon divers niveaux de granularité. L'audit de sécurité au niveau du système d'exploitation est pris en charge (les événements se trouvent dans le journal de sécurité du journal des événements). Administrateurs avancés, auditeurs de sécurité et experts légistes
Analytique Peu différents des événements opérationnels, les événements analytiques sont consignés au cours du fonctionnement normal d'applications et de composants. Cependant, les événements analytiques sont bien plus volumineux et la précis que les événements opérationnels. Par conséquent, il est possible que certains d'entre eux aient un effet néfaste sur les performances du système. Ainsi, les événements analytiques sont en principe désactivés. Pour utiliser les événements analytiques, activez-les avant une session de diagnostic puis désactivez-les avant d'examiner le suivi. Programmes pour support technique et surveillance et analyse
Débogage Les événements de débogage sont également des événements volumineux qui sont en principe désactivés. Ils sont principalement utilisés par les développeurs et sont rarement affichés par les professionnels de l'informatique. Développeurs

Chaque journal de Windows Eventing possède un type particulier. Tous les événements de ce journal partagent le type de ce journal. La vue de la figure 1 a été définie à l'aide de ces informations relatives au type (elles extraient tous les événements d'erreur et d'avertissement des journaux de type « administration »).

Architecture de Windows Eventing

L'infrastructure de Windows Eventing comprend des composants logiciels, permettant aux objets événement d'être publiés par des programmes et remis aux fichiers journaux. ETW fournit le transport permettant de transférer tous les types d'événements de leurs éditeurs d'événements vers leurs destinations. ETW a également été remaniée dans Windows Vista et offre à présent de meilleures performances et une sécurité renforcée. La publication d'événements via ETW est asynchrone et n'affecte par conséquent pas les performances du programme de publication. Lorsque le système reçoit un nouvel événement, des informations sur le contexte de l'utilisateur actuel et sur le processus de publication sont collectées et associées à l'événement.

Une fois les événements publiés, différents types sont traités de différentes manières. Étant donné que les événements analytiques et de débogage sont généralement volumineux, vous devez les enregistrer dans un fichier avec un traitement minimal pour éviter d'affecter les performances du système. Par conséquent, ces événements sont immédiatement enregistrés dans un fichier de suivi.

Les événements d'administration et opérationnels ne sont pas suffisamment fréquents pour permettre un traitement supplémentaire, sans affecter les performances du système. Ces événements sont remis au service Journal des événements, qui les enregistre dans les journaux des événements en direct et peut éventuellement les remettre aux abonnés en temps réel. Les abonnés peuvent sélectionner des événements devant leur être remis, à l'aide d'un langage de requête que je vais bientôt aborder.

Deux abonnés présentent un intérêt tout particulier pour la communauté informatique. Il s'agit du Planificateur de tâches et du redirecteur d'événements Windows Vista qui ont été nettement améliorés et permettent d'envoyer des événements vers un collecteur d'événements distant.

Aperçu des événements structurés

Les journaux des événements sont souvent critiqués par rapport aux informations inutiles qu'ils contiennent. En réalité, ils contiennent de nombreux événements peu ou pas pertinents qui cachent ou masquent les événements importants. Alors que certains événements ne fournissent que peu d'informations, ce qui semble inutile pour un utilisateur donné, se révèle souvent être un véritable trésor pour un autre.

Windows Vista permet de filtrer les événements sans intérêt, vous permettant ainsi de vous concentrer sur ceux qui vous intéressent. Ce filtre repose sur un langage de requête entre journaux, pris en charge par le service du Journal des événements. Pour que cette solution fonctionne, tous les événements doivent respecter une structure bien définie.

Les versions antérieures du journal des événements fournissaient une structure pour les événements, mais celle-ci n'était pas bien définie et visible seulement pour l'API Win32. Dans Windows Vista, les événements possèdent une structure bien définie. En réalité, les événements sont représentés extérieurement à l'aide du langage XML et d'un schéma publié. Cela permet de créer des requêtes collectant les événements qui vous intéressent, tout en filtrant les événements superflus. Étant donné que vous utilisez le langage XML, XPath a été sélectionné comme base du langage de requête d'événements. Naturellement, l'utilisation d'événements structurés ouvre de nouvelles perspectives d'automatisation, comme l'on peut le constater avec l'intégration du nouveau Planificateur de tâches.

Le volet de visualisation des événements intègre à présent un onglet Détails. Ce même onglet est disponible dans la boîte de dialogue Propriétés des événements. La sélection de l'onglet Détails de la boîte de dialogue Propriétés des événements permet d'afficher l'événement au format XML. L'exemple de la figure 3 illustre un événement opérationnel du Planificateur de tâches. Cet événement se compose de deux parties. La partie système se compose d'informations générales sur les événements communes à toutes les instances d'événements de cet événement, et de paramètres système collectés lors de la publication de l'instance. La partie EventData, qui est extensible, contient des informations structurées de l'application.

Figure 3 Affichage d'un événement au format XML

Figure 3** Affichage d'un événement au format XML **(Cliquer sur l'image pour l'agrandir)

Chaque fichier du journal des événements est traité comme une séquence de ces éléments d'événements structurés. Cela permet d'obtenir une vue à la fois logique et lisible du journal des événements et des fichiers d'archive d'événements. En interne, les événements sont enregistrés sous un format binaire conçu pour offrir un équilibre en termes de compacité, de fiabilité et de performances de recherche.

Attributs d'événements

La partie système des données XML indique l'heure à laquelle s'est produit l'événement, l'ID du processus, l'ID du thread, le nom de l'ordinateur et l'identificateur de sécurité (SID) de l'utilisateur. Dans les versions antérieures de Windows, les événements ne disposaient que de deux attributs (EventID et Category). Le langage XML fournit également d'autres informations, notamment les propriétés EventID, Level, Task, Opcode et Keywords. Examinons ces propriétés de plus près.

EventID et Version - Un événement ne peut être identifié que par la combinaison de ses propriétés EventID (nombre à deux octets) et Version (nombre à un octet). Tous les événements provenant du même fournisseur d'événements et possédant les mêmes propriétés EventID et Version, partagent également une même structure.

Level - Cette valeur représente le niveau de gravité ou de commentaires d'un événement. Les valeurs prédéfinies 1 (Critique), 2 (Erreur), 3 (Avertissement), 4 (Informations) et 5 (Commentaires) sont couramment utilisées, mais un fournisseur peut définir ses propres valeurs jusqu'à la valeur maximale de 255. Les nombres supérieurs correspondent à des événements plus commentés.

Task - La propriété Task identifie généralement une section générale de la fonctionnalité du fournisseur d'événements (telle que l'impression, le réseau ou l'interface utilisateur). Elle peut également désigner un sous-composant de programme. Les événements d'audit de sécurité les utilisent très fréquemment. Chaque éditeur d'événements peut définir son propre ensemble de valeurs pour ce nombre à deux octets. Notez que la signification de l'attribut Task correspond souvent d'un point de vue sémantique et figure comme un sur-ensemble de l'attribut Category, dans les versions antérieures de Windows. C'est pour cela que l'Observateur d'événements affiche cette valeur dans une colonne intitulée Catégorie de tâche.

Opcode - Il s'agit d'une valeur à un octet permettant généralement de représenter une action ou une partie d'action spécifique, exécutée par le logiciel. Cette valeur permet souvent de suivre les processus basés sur l'activité (tels que les services Web dans lesquels l'activité est une requête spécifique reçue par le service Web). Il existe quelques valeurs prédéfinies, parmi lesquelles les plus courantes sont 1 (Démarrage) et 2 (Arrêt).

Keywords - Il s'agit d'un masque doté de 56 indicateurs pouvant être définis par le programme, afin de permettre de regrouper facilement des événements similaires. Chaque événement peut posséder plusieurs indicateurs, spécifiant ainsi que l'événement appartient à plusieurs groupes.

Étude des éditeurs et des événements

Il est difficile d'être proactif lorsque l'on ne connaît pas à l'avance tous les types d'informations, susceptibles de se trouver dans les journaux des événements et dans les fichiers de suivi. Par conséquent, l'un de nos principaux objectifs quant à la nouvelle infrastructure de gestion des événements consistait à fournir de la documentation relative à chaque éditeur d'événements, notamment des informations sur l'ensemble d'événements et sur leurs destinations.

Pour ce faire, chaque éditeur doit énumérer tous les événements qu'il publiera avec la structure pour ces événements. Ces informations sont compilées, codées puis enregistrées à l'aide de l'élément binaire de l'éditeur (programme ou DLL).

Il est désormais possible d'accéder à tous les éditeurs inscrits avec le système de gestion des événements, ainsi qu'à la configuration de chacun des éditeurs. Cela inclut la consultation d'une liste complète de la totalité des événements potentiels que peut consigner un éditeur, des structures de ces événements et des messages associés (tout cela avant même que ces événements ne soient générés). La figure 4 présente comment l'utilitaire de ligne de commande wevtutill permet d'afficher la configuration du fournisseur. La commande illustrée affiche toutes les informations connues du système sur l'éditeur d'événements intitulé Microsoft-Windows-Video For Windows.

Figure 4 Utilisation de la ligne de commande wevtutil pour afficher la configuration du fournisseur

Figure 4** Utilisation de la ligne de commande wevtutil pour afficher la configuration du fournisseur **(Cliquer sur l'image pour l'agrandir)

Mode de fonctionnement du langage de requête

Comme indiqué précédemment, la nature structurée des événements de la nouvelle infrastructure nous a permis d'intégrer la prise en charge d'un langage de requête basé sur des expressions XPath standard. De manière générale, sur la base d'un emplacement de début (un élément XML), une expression XPath peut désigner n'importe quel emplacement de l'élément. (Pour une description complète du langage XPath, consultez la source officielle de référence à l'adresse suivante : w3.org/TR/xpath). Plus généralement, une expression XPath désigne un autre élément ou attribut présent dans l'élément de départ. Étant donné que le journal des événements est essentiellement constitué d'une séquence d'éléments d'événements, on peut supposer que chaque journal présente les caractéristiques suivantes :

<root>
<Event>... </Event>
...
<Event>... </Event>
</root>

L'élément racine ne possède pas de nom : il sert simplement de contexte pour toutes les expressions XPath. Seuls les axes avant sont définis, ce qui signifie qu'une expression XPath peut désigner des éléments d'événements, leurs sous-éléments et leurs attributs. Si une expression XPath sélectionne un élément existant, sa valeur est True. Prenons une expression XPath extrêmement simple basée sur l'événement représenté à la figure 3 :

*/System[Provider/@Name='Microsoft-Windows-TaskScheduler' and Level <= 2]

Cette expression sélectionne tous les éléments d'événements (« tous » est représenté par l'astérisque) à partir du fournisseur d'événements Microsoft-Windows-TaskScheduler, niveau 2 ou inférieur (à savoir, tous les événements d'erreur et critiques).

Une expression XPath simple permet de sélectionner des événements dans un journal unique, alors qu'un simple mais puissant langage de requête basé sur XML permet de sélectionner et de supprimer des événements de n'importe quel journal ou archive d'événement externe. En réalité, le langage de requête joue un rôle prépondérant dans la gestion des événements de Windows Vista. À titre d'exemple, les affichages personnalisés reposent sur des requêtes. De plus, vous pouvez utiliser le langage de requête pour spécifier les événements de l'ensemble des journaux spécifiques qui doivent être affichés dans le volet de la liste des événements de l'Observateur d'événements. Vous pouvez utiliser ce langage pour vous abonner à des événements, archiver des événements sélectionnés et déclencher des actions dans le nouveau Planificateur de tâches.

De réelles expressions de requête XML ou XPath doivent être fournies à l'utilitaire de ligne de commande du journal des événements. La définition de telles requêtes n'est pas à la portée de tous. C'est pourquoi l'Observateur d'événements propose une interface utilisateur simple pour la création de requêtes courantes. Par exemple, la boîte de dialogue Création de vues personnalisées illustrée à la figure 5 permet de créer une vue pour tous les événements du Planificateur de tâches. Notez que chaque boîte de dialogue de création de requête possède un onglet intitulé XML, qui affiche le texte de la requête et vous permet de la modifier directement.

Figure 5 Interface utilisateur facilitant la création de requêtes courantes

Figure 5** Interface utilisateur facilitant la création de requêtes courantes **(Cliquer sur l'image pour l'agrandir)

Utilisations courantes des requêtes

Il existe de nombreuses manières d'utiliser les requêtes. Cependant, certaines utilisations sont naturellement plus courantes que d'autres. Par exemple, les requêtes permettent souvent d'afficher des événements spécifiques dans l'Observateur d'événements ou même dans l'utilitaire de ligne de commande du journal des événements.

À l'aide du Planificateur de tâches Windows, vous pouvez associer une tâche à une requête. Chaque fois qu'un événement publié correspond à la requête, le Planificateur de tâches lance la tâche désignée. Notez que cette fonctionnalité utilise des abonnements et réagit à tous les événements récemment arrivés. Vous ne pouvez vous abonner qu'à des événements d'administration et opérationnels ; les événements analytiques et de débogage sont directement écrits dans les fichiers de suivi et le système ne peut pas les examiner lorsqu'ils se produisent.

Vous pouvez utiliser les requêtes pour archiver des événements sélectionnés. Vous pouvez sélectionner des événements à partir de tout type de journaux en direct, d'archives d'événements antérieurs (fichiers EVT), de fichiers de suivi externes ou de fichiers d'archive d'événements Windows Vista. Vous pouvez ouvrir un fichier d'archive dans l'Observateur d'événements, le sauvegarder en stockage secondaire ou l'envoyer au support technique pour les aider à diagnostiquer un problème. Vous pouvez associer à l'archive, des descriptions d'événements et d'autres chaînes associées aux événements, et ce, dans la langue sélectionnée au cours de l'opération d'archivage. Une fois cette opération effectuée, les événements sont alors disponibles sur n'importe quelle machine, avec des descriptions complètes rédigées dans la langue de votre choix.

Enfin, vous pouvez utiliser des requêtes pour transférer des événements vers un système dédié à la collecte d'événements. Cette fonctionnalité utilise le nouveau service Collecteur d'événements, permettant à un administrateur de créer des abonnements d'événements sur des ordinateurs distants. Ces abonnements sont persistants sur le collecteur et peuvent être retentés, à l'aide d'une planification configurable. Le collecteur d'événements utilise le protocole standard WS-Management pour créer des abonnements sur les ordinateurs distants, et le protocole WS-Eventing pour transférer des événements. (Ces deux protocoles sont sécurisés et compatibles avec un pare-feu.) Les événements que reçoit le Collecteur d'événements sont enregistrés dans le journal des événements local.

Conclusion

Les modifications apportées à Windows Eventing sont à la fois considérables et profondes (cet article ne les aborde que très rapidement). À elle seule, la fonctionnalité de transfert d'événements pourrait faire l'objet d'un article spécifique.

Le système d'événements a été amélioré en termes de performances, d'évolutivité, de fiabilité et de sécurité. Cela ne doit cependant pas nous faire oublier que le principal objectif consistait à améliorer la maniabilité de Windows. Associé aux vues de l'Observateur d'événements, le langage de requête vous permet d'identifier les problèmes plus facilement. L'intégration au Planificateur de tâches ouvre la voie à une surveillance simple, à la résolution automatique des problèmes et au développement de la notification rapide des problèmes. De plus, le transfert d'événements permet l'archivage d'événements et la surveillance sans agent de serveurs et d'ordinateurs de bureau.

Toutes ces fonctionnalités sont implémentées sans que la compatibilité ascendante n'en soit affectée, ce qui signifie que les solutions existantes continuent de fonctionner. À terme, les améliorations apportées à la gestion des événements devraient aider les organisations à gérer leurs systèmes plus efficacement.

Val Menntravaille avec le groupe des infrastructures de gestion de Microsoft, où il exerce les fonctions de responsable de programme pour le journal des événements. Il a précédemment travaillé en tant qu'ingénieur logiciel et administrateur système pour un certain nombre de start-ups.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.