系統事件檢視器秘訣

作者: Nino Bilic

雖然事件檢視器是 Microsoft® Windows® 作業系統的工具,而不是 Microsoft Exchange Server 工具,但它在疑難排解 Exchange Server 的問題時還是相當有用。本文將說明事件檢視器的基本概念及新的實用功能。

定義

本文所使用的名詞和定義如下:

  • 事件     系統或應用程式中發生需要通知使用者或需要在記錄檔中加入項目的任一重大情況。

  • 事件記錄服務        一種記錄系統、安全性和應用程式記錄檔中各項事件的服務。

  • 事件記錄        每當發生某事件時記錄稽核行蹤內之稽核項目的過程,如服務啟動和停止,或使用者登入、登出和存取資源等。

  • 事件檢視器   一個可用來檢視和管理事件記錄檔、收集硬體和軟體相關問題的資訊,以及監視安全性事件的元件。事件檢視器保有關於程式、安全性和系統事件的記錄。

概觀

使用事件檢視器中的事件記錄檔,您不但可以收集關於硬體、軟體和系統問題的資訊,還可以監視 Windows 作業系統的安全性事件。

事件檢視器中的記錄類型

Microsoft Windows  Server™ 2003、Windows  XP、Windows  2000 Server,以及 Windows  NT® 會將事件記錄在這種三記錄檔中:

  • 應用程式記錄   應用程式記錄包含由應用程式或程式所記錄的事件。例如,資料庫程式可能會將檔案錯誤記錄在應用程式記錄中。程式開發人員會決定要記錄哪些事件。

  • 系統記錄      系統記錄包含由 Windows 作業系統元件所記錄的事件。例如,驅動程式或其他系統元件在啟動時載入失敗會記錄到系統記錄中。系統元件所記錄的事件類型是由 Windows 作業系統預先決定。

  • 安全性記錄      系統記錄可記錄安全性事件,諸如有效及無效登入嘗試,還有與資源使用相關的事件等,像是建立、開啟或刪除檔案。系統管理員可指定要在安全性記錄中記錄哪些事件。譬如,假使您已啟用登入稽核,則嘗試登入系統的動作就會記錄到安全性記錄中。

執行 Windows Server  2003 和 Windows  2000 Server 且為網域控制站的伺服器,在事件檢視器中可能還有下列其他的記錄:

  • 目錄服務記錄      Windows Server  2003 和 Windows  2000 Server 目錄服務會將事件記錄在目錄服務記錄中。這包括任何與 Active Directory® 目錄服務和 Active Directory 資料庫維護相關的資訊。

  • 檔案複寫服務記錄      檔案複寫服務 (FRS) 會將它的事件記錄到此記錄中。此項服務是用在網域控制站之間複寫檔案,如網域原則。

  • DNS 伺服器服務記錄      此記錄包括在 Windows Server 2003 和 Windows 2000 Server 上執行之網路名稱系統 (DNS) 伺服器服務的相關事件。這只會顯示在執行 Windows Server  2003 和 Windows  2000 Server 的 DNS 伺服器上。

記錄的事件類型

事件檢視器畫面左側的圖示會說明 Windows 作業系統的事件分類。事件檢視器會顯示這些事件類型:

  • 錯誤        重大的問題,如遺失資料或失去功能性。舉例來說,若服務無法在啟動時載入,就會記錄錯誤。

  • 警告     不太重大但可能指出未來潛在的問題的事件。例如,當磁碟空間不足時,就會記錄警告。

  • 資訊   描述應用程式、驅動程式或服務操作成功的事件。例如,當網路磁碟機載入成功,就會記錄資訊事件。

  • 成功稽核   稽核的安全性存取嘗試成功。例如,使用者登入系統的成功嘗試動作將記錄為成功稽核事件。

  • 失敗稽核   稽核的安全性存取嘗試失敗。例如,若使用者嘗試存取網路磁碟機失敗,則該嘗試動作將記錄為失敗稽核事件。

事件分析

主要的事件元件如下:

  • 來源   記錄事件的軟體,這可以是應用程式名稱,如 Microsoft SQL Server™,或者是系統或大型應用程式的元件,像是 MSExchangeIS,亦即 Microsoft Exchange Information Store 服務。

  • 類別      由事件來源分類的事件。例如,安全性類別包括登入和登出、原則變更、特殊權限使用、系統事件、物件存取、詳細追蹤和帳戶管理等。

  • 事件識別碼   每個來源用以識別試驗的唯一號碼。

  • 使用者   當事件發生時登入以及在工作之使用者的使用者名稱。不適用   指出項目並沒有指定使用者。

  • 電腦   發生事件之電腦的電腦名稱。

  • 描述   這個欄位提供事件的實際文字,或是記錄事件的應用程式如何解釋所發生的情況。

  • 資料   以十六進位 (位元組) 或 DWORDS (文字) 格式顯示事件所產生的二進位資料。並非所有事件都會產生二進位資料。熟悉來源應用程式的程式設計人員及支援專業人員可解譯此資訊。

要儲存成什麼格式?

一般來說,您只想使用事件記錄檔 (.evt) 格式。這是最容易閱讀和搜尋的格式,因為這種格式可以使用伺服器上的事件檢視器開啟。

當您想要查看沒有安裝在電腦上的服務事件,諸如叢集服務或協力廠商服務,則可將記錄檔存成 .csv 格式。.csv 檔案可在 Microsoft Office Excel 中開啟。

儲存記錄檔最不適合的格式是 .txt 檔案格式。文字檔雖可搜尋,可是當中的資訊雜亂,而且容易遺漏重要的事件。請只在必要時,才使用 .txt 格式。

要怎麼知道開啟得當?

  • 下面是沒有正確顯示資訊的事件範例。

    Event Type: Information

    Event Source: MSExchangeIS Private

    Event Category: (30)

    Event ID: 2003

    Date: 8/16/2001

    Time: 1:47:02 PM

    User: N/A

    Computer: SERVERNAME

    Description: The description for Event ID ( 2003 ) in Source ( MSExchangeIS Private ) cannot be found. The local computer may not have the necessary registry information or message DLL files to display messages from a remote computer. The following information is part of the event:

  • 下面是顯示正確的相同事件。

    Event Type: Information

    Event Source: MSExchangeIS Private

    Event Category: Transport Sending

    Event ID: 2003

    Date: 8/16/2001

    Time: 1:47:02 PM

    User: N/A

    Computer: SERVERNAME

    Description: There are no messages ready to send. The send thread is sleeping.

第一個事件範例是在沒有安裝 Exchange Server 的電腦上開啟時出現的事件。而第二個範例則是在執行 Exchange Server 的電腦上開啟相同事件的記錄項目。

假如您想要開啟事件記錄檔,並正確地查看事件描述,必須在裝有該些應用程式或服務的電腦上開啟記錄檔。假如您需要在另一部電腦上顯示由協力廠商應用程式所建立事件的事件記錄,可能會想要將記錄檔存成 .csv 格式,以查看該些事件的涵義。

總是會有些事件您不能正確查看,如協力廠商服務、硬體驅動程式、音訊視覺軟體和備份軟體等,不過在 Exchange 伺服器上開啟記錄檔時,至少可以在出現 Exchange Server 事件時看到它們。

Windows Server 2003、Windows XP、Windows 2000 Server 和 Windows NT Server 4.0 之間的事件檢視器差異

在事件檢視器中,當您按下 [複製] 按鈕時,事件中記錄的全部文字都會複製到剪貼簿。您接著可以將該資訊貼到任一處。

在 Windows Server  2003 和 Windows  XP 中,您可以指示事件檢視器在您開啟記錄檔時,查詢其他一些電腦上的登錄項目。舉例來說,在執行 Windows XP Professional 的電腦上,您可以另外建立捷徑來啟動事件檢視器。每個捷徑都能指向另一部電腦,一個用於 Exchange Server  5.5 版,另一個用於 Exchange  2000 Server,而第三個用於叢集服務,以便在工作站上開啟相關的事件記錄檔。

您可以開啟在 Windows Server 2003、Windows 2000 Server 和 Windows NT Server 4.0 上建立的事件記錄檔。在絕大多數的情況下,所有事件都可正確顯示。不過也有可能發生像是 Windows NT Server 4.0 事件在 Windows Server 2003 或 Windows 2000 Server 上查看時,顯示的內容完全不一樣的情況。相關資訊,請參閱微軟知識庫文件 312216<事件檢視器 /AUXSOURCE 參數選項的詳細用途>(英文)。

秘訣

下面各節提供的資訊可協助您疑難排解 Exchange Server。

增加記錄檔大小

在預設情況下,記錄檔大小是 512 KB,如果您想要查看幾天下來的活動,這是不夠的。在忙碌的應用程式伺服器上,加上一些診斷記錄,512 KB 在幾個小時內就可能裝滿資訊。請考慮增加記錄檔大小。10 MB 或以上的記錄檔大小在大多數情況下,可提供您足夠的歷史記錄顯示好幾天的資訊。事件記錄檔會經過適當壓縮,90 MB 的應用程式記錄一般會壓縮為 2 MB 的檔案。

篩選事件

如果您想要在記錄檔中尋找指定的事件識別碼,或者只想查看錯誤、警告或由特定元件所記錄的事件,可使用篩選。在 Windows NT Server  4.0 上,按一下 [檢視],再按 [篩選事件]。在 Windows Server  2003 或 Windows  2000 Server 上,選取您想要篩選的記錄檔,按一下 [檢視],再按 [篩選]。這在檢視大型事件記錄檔時相當有用。

搜尋關鍵字

假設您想要搜尋特定事件記錄檔中所有提及一個指定使用者或伺服器的事件,可在事件檢視器中,按一下 [檢視],再按 [尋找]。在 [描述] 欄位中鍵入您要在任一事件中尋找的單字,或者您可以搜尋指定資訊,像是事件識別碼或來源。

若在 Windows XP 上,則使用新功能

如前所述,Windows Server  2003 和 Windows  XP 中有項新功能。您可以重新導向事件檢視器來查詢另一部電腦上的登錄設定和 DLL。

這是個實用且省時的功能。它允許您從執行 Windows XP 的電腦,檢視在環境中安裝在任一部伺服器上的各種應用程式類型的事件記錄檔。如需詳細資訊,請參閱微軟知識庫文件 312216<事件檢視器 /AUXSOURCE 參數選項的詳細用途>(英文)。

取得可能需要的所有記錄檔

在大多數情況下,您應該在疑難排解 Exchange Server 時查看應用程式記錄。而對於 Exchange Server 2003 和 Exchange 2000 Server,因為 Exchange、Active Directory 和 DNS 之間的相互關係,您也應該固定檢查系統記錄。請考慮同時取得兩種記錄。檢閱這兩種記錄可向您顯示 Windows 作業系統層級上能夠解釋 Exchange Server 行為的錯誤。

其他詳細資訊

如需詳細資訊,請參閱微軟知識庫文件 294893<檢視儲存的 FRS、DNS 和目錄服務事件日誌和 Windows XP 非網域控制站上的事件>。

Dd159857.ninobilic(zh-tw,TechNet.10).jpg Nino Bilic, MCSE, MCSE+I, MCSE+M, MCSA, MCSA+M, A+ Technical Lead, Microsoft Product Support Services Exchange administration support

顯示: