• Articolo

Windows Vista

Nuovi strumenti per la gestione degli eventi in Windows Vista

Val Menn

 

Panoramica:

  • Nuova infrastruttura degli eventi
  • Tipi di evento
  • Proprietà degli eventi strutturati
  • Utilizzo di espressioni XPath

Gestire e tracciare gli eventi è spesso un compito noioso. A volte, tracce ed eventi sono considerati sottoprodotti di attività secondarie come il debug e l'auto-monitoraggio, e non viene attribuita importanza a questi compiti.

Microsoft® Windows Vista™ punta a modificare queste percezioni, consentendo di compiere un enorme passo avanti nella gestione aziendale. Microsoft ha rivisto alcuni dei componenti principali e la relativa interfaccia utente. Il servizio Registro eventi è stato completamente riprogettato in base alle esigenze delle aziende e la funzionalità di traccia è stata resa più rapida e sicura.

Si immagini di avere a disposizione strumenti migliori per l'individuazione e la risoluzione di problemi all'interno dei sistemi di importanza critica per le strategie aziendali. Oppure si pensi di disporre di funzionalità che consentano all'assistenza tecnica di raccogliere facilmente gli eventi e le tracce rilevanti dal sistema dell'utente. O ancora di permettere agli sviluppatori di rilevare e correggere i bug in un sistema distribuito grazie alle tracce inviate in tempo reale dagli utenti. Si immagini di disporre di modi più semplici e potenti per raccogliere le informazioni e eseguire rapidamente la risoluzione degli errori. E si immagini che questa sia la realtà.

Cosa sono gli eventi?

Un'applicazione per computer è una "scatola nera" che esegue una o più funzioni. Nella "scatola" si trovano molte componenti, ma poiché non sono visibili è difficile comprendere il loro funzionamento. Le applicazioni tuttavia comunicano con l'esterno, che si tratti di utenti o altri programmi. Tali "eventi" di comunicazione offrono informazioni sull'applicazione stessa.

Per ciò che riguarda il software, un evento è in genere un fenomeno che si verifica all'interno del sistema e viene comunicato all'esterno, ossia agli utenti o ad altri programmi. Tale fenomeno di solito corrisponde a uno stato o a una modifica della configurazione. La comunicazione può riguardare lo stato o la configurazione attuale del sistema e le ragioni della modifica.

Spesso il termine evento viene utilizzato per indicare il modo in cui tali elementi sono esposti. Esistono molti esempi di un evento esposto di questo tipo:

  • Un oggetto Win32® utilizzato per comunicazioni interprocesso (IPC)
  • Un evento WMI utilizzato per notifiche temporanee, ossia non persistenti
  • Un evento traccia ETW (Event Tracing for Windows) salvato in file di traccia
  • Un evento del Registro eventi salvato nei registri in tempo reale del Registro eventi ed eventualmente archiviato in file del Registro eventi
  • Un evento salvato in file utilizzando un'infrastruttura personalizzata

In questo articolo verranno analizzati eventi sul tipo degli ultimi tre esempi.

Utilizzo degli eventi

Un evento traccia o un evento registrato consiste in un record di un fenomeno verificatosi in un programma o in un sistema operativo. Tali tracce e registri eventi non sono destinati esclusivamente agli sviluppatori. Costituiscono uno strumento indispensabile per il personale IT e di assistenza, in quanto forniscono informazioni sullo stato e sui processi interni delle applicazioni in esecuzione.

È possibile utilizzare tali registri per monitorare l'integrità complessiva del sistema. Utilizzando il Registro eventi è possibile ricercare eventi che indichino problemi. Ad esempio, è possibile trovare un evento di errore 6 nel registro applicazioni generato da Client Servizi Certificati, con il messaggio seguente: "Registrazione automatica dei certificati per il sistema locale non riuscita (0x80070576). Differenza ora/data tra client e server." Ciò facilita l'adozione di misure per riportare i componenti alla normale operatività. Ad esempio, dopo aver corretto le differenze di data e orario, lo stesso Client Servizi Certificati potrebbe pubblicare l'evento informativo 19 nel registro applicazioni con il messaggio: "La registrazione certificati per <nome utente> ha ricevuto correttamente un certificato AutoenrolledWindowsSystemComponentVerification dall'Autorità di certificazione <nome autorità>." Tale informazione è molto utile per trovare e risolvere conflitti e altri problemi di configurazione.

Inoltre, agevola la diagnosi dei problemi. È possibile localizzare le operazioni del programma e del sistema che hanno condotto al problema, trovando i dettagli utili per determinarne la causa principale. È possibile inoltre utilizzare queste informazioni per valutare e risolvere problemi di prestazioni.

Il Registro eventi offre utili informazioni che consentono di garantire un ambiente protetto. Possono essere utilizzate per rilevare tentativi di intrusione, controllare la cronologia del sistema, garantire il non ripudio e individuare le risorse configurate in modo non corretto.

Eventi in Windows Vista

Le precedenti versioni di Windows® presentavano numerosi punti deboli in relazione alla gestione degli eventi e alla traccia. Tra questi, una scalabilità limitata del Registro eventi (che limitava la dimensione totale dei registri in base alla memoria disponibile), alle prestazioni della pubblicazione (che limitava ad esempio il numero di eventi pubblicabili su un Controller di dominio attivo) e una protezione limitata degli eventi traccia.

In Windows Vista molti di questi problemi sono stati risolti grazie a una nuova infrastruttura per la gestione degli eventi e la funzionalità di traccia denominata Windows Eventing 6.0. È un'estensione della funzionalità ETW, utilizzata a partire da Windows 2000, e sostituisce il servizio Registro eventi e il Visualizzatore eventi. La nuova infrastruttura Windows Eventing è progettata appositamente per la gestione degli eventi che vengono mantenuti nei file registro per essere esaminati in seguito (non è stata ideata per gli eventi temporanei come quelli relativi ai meccanismi IPC e di notifica).

Grazie alla disponibilità di soluzioni di protezione e scalabilità, le implementazioni personalizzate di gestione degli eventi e di traccia dovrebbero perdere di importanza. È da notare che i miglioramenti sono stati prodotti mantenendo piena compatibilità con il Registro eventi e le API ETW già esistenti. In altri termini, tutte le applicazioni esistenti continueranno a funzionare senza bisogno di modifiche.

Nuovi modi di visualizzare gli eventi

Il Visualizzatore eventi è attualmente uno dei programmi Windows più utilizzati dalla comunità IT. Il nuovo Visualizzatore eventi è stato completamente riscritto. Poiché è integrato in Microsoft Management Console (MMC) 3.0, anche l'interfaccia è stata modificata, ma è ancora sufficientemente familiare da rendere semplice la transizione.

Sono stati mantenuti il riquadro ad albero e l'elenco degli eventi. È ancora possibile accedere ai registri applicazioni, sistema e protezione nel nodo dei registri di Windows. Inoltre, sono stati aggiunti nuovi nodi al nodo radice, mentre al nodo dei registri di Windows è stato aggiunto il nuovo registro ForwardedEvents, che illustrerò tra poco.

La nuova funzionalità più evidente è il riquadro di anteprima, posizionato sotto l'elenco eventi, che contiene le proprietà dell'evento attivo. In questo modo non è più necessario fare doppio clic su un evento per visualizzarne le proprietà né spostarsi tra le finestre per consultare l'elenco e la finestra di dialogo Proprietà evento. Rimane possibile visualizzare le proprietà in una finestra di dialogo facendo doppio clic sull'evento. La nuova finestra non è più modale: pertanto, è possibile visualizzare contemporaneamente più finestre delle proprietà di eventi.

Le nuove visualizzazioni consentono di consultare tutti gli eventi desiderati con pochi clic. Gli eventi possono essere raccolti per uno o più file registro e ordinati per ID, livelli (gravità) o intervalli di tempo specifici.

Notare che nel nodo Visualizzazioni personalizzate è possibile trovare gli eventi amministrativi (illustrati nella figura 1). Qui viene riportato un elenco di errori e avvisi di vari file registro rilevanti per gli amministratori.

Figura 1. Eventi amministrativi

Figura 1.** Eventi amministrativi **(Fare clic sull'immagine per ingrandirla)

Per determinare con precisione quali registri ed eventi fossero rilevanti per gli amministratori, abbiamo identificato cinque tipi distinti di eventi e gli utenti relativi a ognuno. La descrizione dei tipi è riportata in dettaglio nella figura 2. Si tratta di una divisione molto generale, ma efficace, di tutto il Registro eventi e degli eventi traccia che possono essere utili ai diversi gruppi.

Figure 2 Tipi di eventi e utenti

Tipo di evento Descrizione Utilizzato da
Amministrazione Gli eventi di amministrazione risponde alle esigenze della maggior parte degli amministratori di sistema. Si tratta di eventi molto dettagliati e spesso forniscono informazioni sufficienti per identificare un problema e determinarne la soluzione. Gli eventi di amministrazione dovrebbero identificare quando si verifica un problema o indicare quando un'applicazione, un componente o il sistema si trova o è stato ripristinato da uno stato di errore. La maggior parte degli eventi di amministrazione è costituita da errori o avvisi, solitamente sono molto significativi. Amministratori, personale dell'assistenza, programmi di monitoraggio e analisi
Operativi Come gli eventi di amministrazione, anche gli eventi operativi consentono la diagnosi di problemi. Gli eventi operativi non si limitano a errori e avvisi: essi informano gli utenti delle normali operazioni eseguite da un'applicazione o un componente del sistema operativo. La frequenza di questi eventi è comunque ridotta e pertanto possono essere abilitati senza che si riducano le prestazioni del sistema. Gli eventi operativi, come quelli di amministrazione, sono utilizzati dal personale dell'assistenza, le utilità di monitoraggio e alcuni amministratori con esigenze molto specifiche. Amministratori avanzati, personale dell'assistenza, programmi di monitoraggio e analisi
Controllo Gli eventi di controllo forniscono una registrazione cronologica di ogni accesso alle risorse o azioni eseguite dagli utenti. Tali eventi non rappresentano di per sé la corretta esecuzione o meno di un programma, ma indicano la corretta esecuzione o meno di un'azione. Gli eventi di controllo possono essere disabilitati completamente o attivati in modo selettivo variando i livelli di granularità. È supportato il controllo della protezione a livello del sistema operativo (è possibile individuare gli eventi nel registro protezione del Registro eventi). Amministratori avanzati, controllori di protezione e specialisti inquirenti
Analisi Gli eventi di analisi non differiscono molto da quelli operativi e sono registrati durante il normale funzionamento di applicazioni e componenti. Poiché la frequenza e il livello di dettaglio degli eventi di analisi sono molto superiori rispetto agli eventi operativi, possono incidere maggiormente sulle prestazioni del sistema. Per questa ragione gli eventi di analisi sono normalmente disabilitati. Per utilizzarli, è necessario abilitarli prima di una sessione di diagnostica e disabilitarli prima di esaminare la traccia. Personale dell'assistenza, programmi di monitoraggio e analisi
Debug Anche gli eventi di debug normalmente sono a frequenza elevata e dunque disabilitati. Vengono utilizzati soprattutto dagli sviluppatori, e raramente dai professionisti IT. Sviluppatori

Ogni registro di Windows Eventing appartiene a un tipo specifico. Tutti gli eventi in un registro condividono il tipo di quel registro. L'immagine illustrata nella figura 1 è stata ottenuta utilizzando questo tipo di informazioni: riporta tutti gli errori e gli eventi avviso contenuti nei registri di tipo Amministratore.

L'architettura di Windows Eventing

L'infrastruttura Windows Eventing consiste di componenti software che consentono agli oggetti evento di essere pubblicati dai programmi e inviati ai file registro. ETW permette di trasportare tutti i tipi di eventi dai componenti che li hanno pubblicati alle destinazioni finali. In Windows Vista, ETW è stato migliorato e ora garantisce migliori prestazioni e una protezione avanzata. Poiché la pubblicazione di eventi tramite ETW è asincrona, non influisce sulle prestazioni del programma da cui viene eseguita. Quando il sistema riceve un nuovo evento, registra le informazioni relative al contesto dell'utente e al processo di pubblicazione. Tali informazioni sono allegate all'evento.

Dopo che gli eventi sono stati pubblicati, i tipi vengono gestiti in modi diversi. Gli eventi di analisi e debug hanno in genere una frequenza elevata e pertanto devono essere salvati in un file con il minimo di elaborazione per evitare di ridurre le prestazioni del sistema. Tali eventi dunque vengono salvati immediatamente in un file di traccia.

Gli eventi Amministrazione e Operativi sono meno frequenti e consentono quindi un'elaborazione aggiuntiva senza ridurre le prestazioni del sistema. Tali eventi vengono inviati al servizio Registro eventi che li salva nei registri eventi ed eventualmente li invia in tempo reale ai sottoscrittori. I sottoscrittori possono ottenere gli eventi utilizzando un linguaggio di query che sarà descritto in seguito.

Due sottoscrittori sono di particolare interesse per la comunità IT. Sono la nuova Utilità di pianificazione di Windows Vista e il server di inoltro eventi che può essere utilizzato per inviare gli eventi a un servizio di raccolta eventi remoto.

Gli eventi strutturati

Spesso i registri eventi risultano poco pratici perché contengono molte informazioni superflue. Infatti, contengono frequentemente eventi di scarsa o di nessuna importanza, che impediscono o ostacolano l'individuazione degli eventi importanti. Mentre alcuni eventi forniscono informazioni insufficienti, in altri informazioni apparentemente irrilevanti per un utente possono essere di grande rilievo per un altro.

Windows Vista consente di filtrare gli eventi irrilevanti, permettendo all'utente di concentrarsi su quelli di maggior interesse in quel momento. Quest'operazione è possibile grazie a un linguaggio di query su più registri che viene supportato dal servizio Registro eventi. Per garantirne il funzionamento è necessario che tutti gli eventi rientrino in una struttura ben definita.

Le versioni precedenti del Registro eventi fornivano già una struttura per gli eventi, che tuttavia non era ben definita ed era visibile solo per le API Win32. In Windows Vista, gli eventi hanno una struttura ben definita. Infatti, sono rappresentati esternamente utilizzando XML con uno schema pubblicato. In questo modo è possibile creare query che raccolgano gli eventi di interesse per l'utente escludendo quelli irrilevanti. L'utilizzo di XML ha permesso di scegliere XPath come base del linguaggio di query per gli eventi. L'uso di eventi strutturati apre nuove porte all'automazione, come si vede dall'integrazione della nuova Utilità di pianificazione.

Il riquadro di anteprima eventi ora comprende una scheda Dettagli, che è disponibile anche nella finestra di dialogo Proprietà evento. Selezionando la scheda Dettagli nella finestra di dialogo Proprietà evento viene visualizzata una rappresentazione XML dell'evento. L'esempio mostrato nella figura 3 è un evento operativo dell'Utilità di pianificazione. Contiene due parti. La parte System comprende le informazioni generali comuni a ogni istanza dell'evento, ad esempio alcuni parametri di sistema registrati al momento della pubblicazione dell'istanza. La sezione EventData, estensibile, contiene informazioni strutturate dell'applicazione.

Figura 3. Rappresentazione XML di un evento

Figura 3.** Rappresentazione XML di un evento **(Fare clic sull'immagine per ingrandirla)

Ogni file registro eventi è visto come una sequenza di elementi strutturati. Questo consente di visualizzare il file registro e i file di archivio evento in modo logico e leggibile. Internamente, gli eventi vengono salvati in formato binario, al fine di consentire l'equilibrio tra compattezza, affidabilità ed efficienza della ricerca.

Attributi evento

La sezione System dei dati XML fornisce l'ora in cui si è verificato l'evento, l'ID del processo, l'ID del thread, il nome del computer e l'identificatore di protezione (SID) dell'utente. Nelle versioni precedenti di Windows, gli eventi disponevano di due soli attributi: EventID e Category. XML fornisce ulteriori informazioni, tra cui le proprietà EventID, Level, Task, Opcode, e Keywords, che ora saranno esaminate nel dettaglio.

EventID e Version: un evento viene identificato in modo univoco in base alla combinazione dei relativi EventID (un numero di due byte) e versione (un numero di un byte). Tutti gli eventi dello stesso provider di eventi che condividono EventID e Version hanno una struttura identica.

Level: questo valore rappresenta la gravità o il livello di dettaglio di un evento. Normalmente vengono utilizzati i valori predefiniti: 1 (Critico), 2 (Errore), 3 (Avviso), 4 (Info) e 5 (Dettagliato). È possibile tuttavia definire i propri valori personalizzati fino a un massimo di 255. I numeri più elevati corrispondono a eventi più dettagliati.

Task: la proprietà Task di solito identifica un'area generale della funzionalità del provider di eventi (ad esempio stampa, rete o interfaccia utente). Può anche far riferimento a un sottocomponente del programma. È ampiamente utilizzata per gli eventi del controllo di protezione. Ogni autore di eventi può definire uno specifico set di valori per questo numero di due byte. Notare che il significato dell'attributo Task dal punto di vista semantico spesso corrisponde ed è un superset dell'attributo Category nelle versioni precedenti di Windows. Per questa ragione, questo valore è elencato in una colonna del Visualizzatore eventi denominata Task Category.

Opcode: è un valore di un byte utilizzato di solito per rappresentare un'azione o una parte di azione specifica eseguita dal software. Spesso viene utilizzato per processi basati su attività di traccia, ad esempio servizi Web in cui l'attività è una richiesta specifica ricevuta dal servizio Web. Esistono pochi valori predefiniti, i più comuni dei quali sono 1 (Start) e 2 (Stop).

Keywords: è una maschera con 56 flag che possono essere impostati dal programma per facilitare il raggruppamento di eventi simili. Per ogni evento possono essere impostati più contrassegni, indicando che l'evento può essere riferito a più gruppi.

Autori ed eventi

È difficile intervenire tempestivamente se non si conoscono in anticipo le informazioni che possono essere reperite nei registri eventi e nei file di traccia. Uno dei maggiori obiettivi nello sviluppo di una nuova infrastruttura di gestione degli eventi era dunque riuscire a fornire documentazione per ogni autore di eventi, comprese le informazioni sui gruppi di eventi e le loro destinazioni.

Per raggiungere lo scopo, è necessario che ogni autore enumeri tutti gli eventi pubblicati, insieme alla struttura per gli eventi stessi. L'informazione viene compilata, codificata e salvata con il codice binario dell'autore (un programma o una DLL).

È ora possibile individuare tutti gli autori di eventi registrati con il sistema di gestione degli eventi, nonché la relativa configurazione. È incluso un elenco completo di tutti gli eventi che potrebbero essere registrati da un autore, le strutture di tali eventi e i messaggi associati: tutto questo prima che gli eventi vengano generati. Nella figura 4 è illustrata l'utilità da riga di comando wevtutil, utilizzabile per visualizzare la configurazione dei provider. Il comando consente di visualizzare tutte le informazioni note al sistema sull'autore di eventi Microsoft-Windows-Video per Windows.

Figura 4. Utilizzo di wevtutil per visualizzare le configurazioni dei provider

Figura 4.** Utilizzo di wevtutil per visualizzare le configurazioni dei provider **(Fare clic sull'immagine per ingrandirla)

Funzionamento del linguaggio di query

Come menzionato prima, la natura strutturata degli eventi nella nuova infrastruttura ha consentito di includere il supporto per un linguaggio di query basato sulle espressioni XPath standard. In termini generali, data una posizione di partenza (un elemento XML), un'espressione XPath può fare riferimento a ogni posizione all'interno dell'elemento. Per una descrizione completa del linguaggio XPath, fare riferimento al sito Web ufficiale w3.org/TR/xpath (in inglese). Più comunemente, un'espressione XPath fa riferimento a un altro elemento o attributo contenuto nell'elemento di partenza. Poiché il registro eventi è essenzialmente una sequenza di elementi Event, si può supporre che ogni registro avrà un aspetto simile al seguente:

<root>
<Event>... </Event>
...
<Event>... </Event>
</root>

L'elemento radice non ha nome, viene usato semplicemente come contesto per tutte le espressioni XPath. Vengono utilizzati solo gli assi per la ricerca in avanti, il che significa che un espressione XPath può far riferimento agli elementi Event e relativi sottoelementi e attributi. Se un'espressione XPath seleziona un elemento esistente, viene valutata come vera. Si consideri una semplice espressione XPath basata sull'evento mostrato nella figura 3:

*/System[Provider/@Name='Microsoft-Windows-TaskScheduler' and Level <= 2]

Questa espressione seleziona tutti gli elementi Event ("tutti" è rappresentato dall'asterisco) dell'autore di eventi Microsoft-Windows-TaskScheduler con livello 2 o inferiore (vale a dire tutti gli errori e gli eventi critici).

Una semplice espressione XPath può essere utilizzata per selezionare gli eventi di un singolo registro. Un linguaggio di query basato su XML, semplice ma potente, consente invece di selezionare e sopprimere gli eventi di ogni registro o archivio di eventi esterni. Il linguaggio di query infatti è utilizzato diffusamente nella gestione degli eventi di Windows Vista. Le visualizzazioni personalizzate, ad esempio, sono basate su query. È inoltre possibile utilizzare il linguaggio di query per specificare quali eventi di più registri specifici devono essere visualizzati nel riquadro dell'elenco eventi del Visualizzatore eventi. È possibile utilizzare il linguaggio per sottoscrivere eventi, archiviare eventi selezionati e attivare azioni nella nuova Utilità di pianificazione.

Le espressioni XML o XPath di query devono essere fornite all'utilità da riga di comando del Registro eventi. Poiché la definizione di tali query può risultare complessa, il Visualizzatore eventi fornisce una semplice interfaccia utente per creare le query più comuni. La finestra di dialogo Crea visualizzazione personalizzata mostrata nella figura 5, ad esempio, consente di creare una visualizzazione per tutti gli eventi dell'Utilità di pianificazione. Ogni finestra di dialogo di creazione query dispone di una scheda XML che consente di visualizzare il testo della query e modificarla direttamente.

Figura 5. Interfaccia utente per la creazione di query comuni

Figura 5.** Interfaccia utente per la creazione di query comuni **(Fare clic sull'immagine per ingrandirla)

Utilizzi comuni per le query

Le query possono essere utilizzate in molti modi, alcuni dei quali sono molto comuni. Le query, ad esempio, vengono spesso utilizzate per visualizzare eventi specifici nel Visualizzatore eventi o con l'utilità da riga di comando del Registro eventi.

Utilizzando l'Utilità di pianificazione di Windows è possibile associare un'attività a una query. In questo modo, quando viene pubblicato un evento che corrisponde alla query, l'Utilità di pianificazione esegue l'azione assegnata. È da notare che questa funzione utilizza le sottoscrizioni e si attiva ogni volta che arriva un nuovo evento. È possibile sottoscrivere solo gli eventi di amministrazione e operativi; gli eventi di debug e di analisi vengono scritti direttamente nei file di traccia e non possono essere esaminati quando si verificano.

Le query possono essere utilizzate per archiviare eventi specifici. È possibile selezionare eventi specifici da registri di qualunque tipo, archivi di eventi di livello inferiore (file EVT), file di traccia esterni o file di archivio eventi di Windows Vista. È possibile aprire un file di archivio nel Visualizzatore eventi, eseguirne il backup in un supporto di memorizzazione secondario o inviarlo al personale dell'assistenza per la diagnosi di un problema. Tutte le descrizioni degli eventi e le altre stringhe associate agli eventi possono essere allegate all'archivio in un linguaggio selezionato durante l'operazione di archiviazione. In questo caso, gli eventi saranno disponibili insieme a una descrizione completa nel linguaggio scelto.

Infine, è possibile utilizzare le query per inoltrare gli eventi a un sistema dedicato alla raccolta di eventi. Questa funzionalità utilizza il nuovo servizio Raccolta eventi che consente agli amministratori di creare sottoscrizioni degli eventi per computer remoti. Tali sottoscrizioni sono permanenti nel computer di raccolta e possono essere recuperate utilizzando una pianificazione configurabile. Raccolta eventi utilizza il protocollo WS-Management, standard del settore, per creare sottoscrizioni in computer remoti, e il protocollo WS-Eventing per trasferire gli eventi stessi (entrambi i protocolli sono protetti e compatibili con i firewall). Gli eventi ricevuti dal servizio Raccolta eventi vengono salvati nel Registro eventi locale.

Conclusioni

Le modifiche apportate a Windows Eventing sono molte e di vasta portata: questo articolo si limita a indicarne brevemente alcune. Soltanto la funzione di inoltro degli eventi potrebbe occupare l'intero articolo.

Il sistema degli eventi porta a rilevanti miglioramenti di prestazioni, scalabilità, affidabilità e protezione. È tuttavia importante ricordare che l'obiettivo principale era migliorare la gestibilità generale di Windows. Il linguaggio di query e le visualizzazioni del Visualizzatore eventi consentono di individuare i problemi più facilmente. La stretta integrazione con l'Utilità di pianificazione permette di semplificare il monitoraggio, la risoluzione automatica dei problemi e lo sviluppo di notifiche rapide per i problemi. L'inoltro degli eventi consente di archiviare e monitorare senza agenti i server e i computer desktop.

Tutte queste funzionalità sono state implementate senza sacrificare la compatibilità con le versioni precedenti di Windows, il che significa che le soluzioni già esistenti continuano ad essere utilizzabili. Infine, i miglioramenti nella gestione degli eventi aiuteranno le organizzazioni a gestire i propri sistemi in modo più efficiente.

Val Menn fa parte del Management Infrastructure Group di Microsoft ed è Program Manager per il Registro eventi. In precedenza ha lavorato come software engineer e amministratore di sistema per numerose giovani aziende.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.