Проверка средства просмотра событий

  • Статья

 

Применимо к: Exchange Server 2007 SP3, Exchange Server 2007 SP2, Exchange Server 2007 SP1, Exchange Server 2007

Последнее изменение раздела: 2007-01-17

Средство просмотра событий можно использовать для получения сведений о сбоях служб, ошибках репликации в службе каталогов Active Directory и предупреждениях, имеющих отношение к системным ресурсам, таким как виртуальная память и место на диске. Средство просмотра событий позволяет просматривать журналы событий и управлять ими, получать сведения о проблемах оборудования, программного обеспечения и системы, требующих решения, и определять тенденции, которые потребуют действий в будущем.

Средство просмотра событий позволяет вести журналы событий приложений, безопасности и системных событий. Как Microsoft Exchange Server, так и Microsoft Windows регистрируют в журналах событий предупреждения и ошибки, поэтому просматривать эти журналы следует ежедневно.

Дополнительные сведения о средстве просмотра событий см. в справке Windows Server 2003. Средство просмотра событий можно также использовать для устранения неполадок. Дополнительные сведения об использовании средства просмотра событий для устранения неполадок см. в статье 302542 базы знаний Майкрософт Диагностика неполадок при помощи средства «Просмотр событий» в Microsoft Windows 2000.

Компьютер, работающий под управлением операционной системы Windows Server 2003, регистрирует события в журналах трех типов.

  • Журналы приложений. В журнале приложений регистрируются события приложений или программ. События, регистрируемые в журнале, определяют разработчики. Например, СУБД может регистрировать в журнале приложений ошибки, возникшие при работе с файлами. Большинство событий, имеющих отношение к Exchange Server, регистрируются в журнале приложений.

  • Журналы безопасности. В журнале безопасности регистрируются такие события, как удачные и неудачные попытки входа в систему, а также события, связанные с использованием ресурсов, например создание, открытие или удаление файлов или других объектов. Например, если включен аудит входа в систему, попытки входа в систему будут регистрироваться в журнале безопасности.

  • Системные журналы. События в системном журнале регистрируются системными компонентами Windows. Например, в системном журнале регистрируются сбои при загрузке драйвера или другого системного компонента. Типы событий, регистрируемых системными компонентами, предопределены сервером.

Функция ведения журнала диагностики Exchange 2007 позволяет регистрировать важные события, имеющие отношение к проверке подлинности, подключениям и действиям пользователей. После включения этой функции записи журналов можно просматривать в средстве просмотра событий.

noteПримечание.
Использовать максимальный уровень ведения журнала не рекомендуется, если только это не было указано службой технической поддержки Майкрософт. При максимальном уровне ведения журналов расходуется много ресурсов и может происходить большое число ложных срабатываний, то есть ошибок, которые регистрируются только при максимальном уровне ведения журнала, но на самом деле являются ожидаемыми и не должны быть поводом для беспокойства. Кроме того, не рекомендуется использовать ведение журнала диагностики постоянно. Включайте эту функцию только для устранения неполадок.

В каждом журнале средства просмотра событий сервер Exchange Server регистрирует информационные события, предупреждения и ошибки. Внимательно анализируйте эти журналы для отслеживания типов операций, выполняемых на серверах Exchange. Во избежание нехватки свободного места на дисках следует периодически архивировать журналы или использовать функцию их автоматической перезаписи. Так как файлы журналов не могут занимать бесконечный объем места на диске, увеличьте размер журнала (например до 50 МБ) и включите его перезапись, чтобы Exchange Server мог продолжить регистрацию событий.

Кроме того, можно автоматизировать администрирование журналов событий с помощью ряда средств и технологий, некоторые из которых указаны ниже.

  • Event Comb. Средство Event Comb позволяет собирать сведения о конкретных событиях из журналов событий на нескольких компьютерах в одном централизованном месте. Кроме того, оно может составлять отчеты только для указанных кодов или источников событий. Дополнительные сведения о средстве Event Comb см. на веб-узле Средства блокировки учетных записей и управления ими (на английском языке).

  • Eventtriggers. Для создания журналов событий, запросов к ним и сопоставления программ с определенными зарегистрированными событиями можно также использовать средства командной строки. Используя средство Eventtriggers.exe, можно создавать триггеры событий, запускающие программы при возникновении конкретных событий. Дополнительные сведения о средстве Eventtriggers см. в статье Windows Server 2003 Новые средства командной строки (на английском языке) и статье Windows XP Управление журналами событий из командной строки (на английском языке).

  • Microsoft Operations Manager. Microsoft Operations Manager (MOM) можно использовать для наблюдения за работоспособностью и использованием серверов Exchange. Пакет управления Exchange 2007 расширяет возможности Microsoft Operations Manager, предлагая специализированные средства наблюдения для серверов с Exchange 2007. Этот пакет управления включает определение работоспособности сервера Exchange 2007. При обнаружении состояния, требующего вмешательства, он отправляет предупреждение администратору. Дополнительные сведения о пакете управления Exchange 2007 см. на веб-узле Microsoft Operations Manager (на английском языке).

Дополнительные сведения

Дополнительные сведения о других важных ежедневных задачах см. в разделе Ежедневные задачи.