![系统与服务监控技术实践](https://wfqqreader-1252317822.image.myqcloud.com/cover/941/656941/b_656941.jpg)
4.4 事件管理任务
事件是标志计算机系统是否正常运行的重要标志,管理好计算机系统中的日志,是管理员的必修课。本节以Windows Server 2008为例说明常见的事件日志管理任务。
4.4.1 清除事件日志
事件日志过多或者监控新的管理任务前,管理员可以清除已经存在的日志。以清除应用程序日志为例说明。
第1步,打开事件查看器,选择“事件查看器”→“Windows日志”→“应用程序”选项,如图4-57所示。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0118_0001.jpg?sign=1739040338-itOGVDTisvucwBqDvAZnEONQXLDM4oG6-0-97aba464fa5d6c44fa3afa409723170d)
图4-57 清除事件日志之一
第2步,右击“应用程序”,在弹出的快捷菜单中选择“清除日志”命令,如图4-58所示。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0118_0002.jpg?sign=1739040338-dPKZCmPSMcpSAu1zGq0GRyFmQMCDDv8v-0-89eb31f72efbac77f10ba4b4303b2c68)
图4-58 清除事件日志之二
第3步,命令执行后,显示如图4-59所示的“事件查看器”对话框。提示管理员要进行的操作,清除日志前是否需要保存日志。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0119_0001.jpg?sign=1739040338-ORMYGx41XnGQAoeFzZnVr8xME1ursk0u-0-b3ff7daede68af6157474b571c8be967)
图4-59 清除事件日志之三
第4步,如果需要保存,选择“保存并清除”按钮,否则选择“清除”按钮。日志清除后,在右侧的事件列表中,显示的事件个数为0,如图4-60所示。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0119_0002.jpg?sign=1739040338-GwysWR0r6ERmtG4ZRxUOLVY13ePJgniB-0-4ddbca876b08197e75792cd05a23c4fd)
图4-60 清除事件日志之四
4.4.2 设置日志大小以及保留策略
事件日志存储在文件中,管理员可以更改日志默认值。以设置安全日志为例说明。
第1步,打开事件查看器,选择“事件查看器”→“Windows日志”→“安全”选项,如图4-61所示。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0119_0003.jpg?sign=1739040338-GJ72f8Kjq72TUj1u7jNo7J28WFOFdUMQ-0-a59b176dc0f1bca4f41e1ddd8fd87167)
图4-61 设置日志大小以及保留策略之一
第2步,右击“安全”,在弹出的快捷菜单中选择“属性”命令,如图4-62所示。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0120_0001.jpg?sign=1739040338-bUq5uqquLweb1Uo9vqLhSRbiYJQEtod3-0-4d9e51ca6345a07d8395f423912aa983)
图4-62 设置日志大小以及保留策略之二
第3步,命令执行后,显示如图4-63所示的“常规”对话框。在“日志最大大小”文本框中,设置日志的最大值。注意,日志大小必须是64 KB的倍数,且不能小于1024 KB,如果随意键入日志的最大值,将自动取整为最接近64 KB的倍数。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0120_0002.jpg?sign=1739040338-kvUrqR3bUCMxTN8gBGg1t1EQ7XTyaYxm-0-d1f85e0b294b9d375742b043d7ff8c84)
图4-63 设置日志大小以及保留策略之三
第4步,在“达到事件日志最大大小”区域,设置日志的处理方式。事件存储在只能增长到可配置的最大值的日志文件中。文件大小达到其最大值后,传入事件所发生的情况由日志保留策略决定。保留策略如表4-3所示。
表4-3 日志保留策略
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0120_0003.jpg?sign=1739040338-XEJ3zgqYJdNBImrvvJ4oMfnJVpzCheVd-0-e58564e18865b19f068e7fc4bf73651f)
4.4.3 事件转储
Windows Server 2008操作系统支持事件日志的导入和导出,在事件查看器的多个模块中,都支持此功能。
1. 导出日志
导出日志,将本机中日志存成文件,可以备份或者在其他的计算机上查看,可以作为计算机是否健康的“证据”。
第1步,登录目标服务器,打开“服务器管理器”窗口,选择“服务器管理器”→“诊断”→“事件查看器”→“Windows日志”选项,显示如图4-64所示的“服务器管理器”窗口。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0121_0002.jpg?sign=1739040338-yIG43M7nc0BdLSP3pJGJFcBgPcw0KXVu-0-a5b336c580c85511f3d0bc2b082eecc5)
图4-64 导出日志之一
第2步,以“系统”日志为例说明。右击“系统”,在弹出的快捷菜单中选择“将日志文件另存为”命令,显示如图4-65所示的“另存为”对话框。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0121_0003.jpg?sign=1739040338-e7h4zbdbUGkB3mQ6pipZYVQrDe46AlLY-0-1732f22b7321e2501148f2e002554484)
图4-65 导出日志之二
第3步,选择目标文件夹,键入日志文件的名称,单击“保存”按钮,显示如图4-66所示的“显示信息”对话框。日志文件的默认保存格式为“evtx”。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0122_0001.jpg?sign=1739040338-p3FoSiDREVxdqiRuNdVisshjpuArs0Ue-0-a9815fe814bea6afa509c3b1316a085e)
图4-66 导出日志之三
第4步,单击“确定”按钮,成功保存日志,如图4-67所示。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0122_0002.jpg?sign=1739040338-2BmPYNdUUgKurbIfFBs3OCWh5xdH46EC-0-b8527af15b3df7a4ae916502cf08a855)
图4-67 导出日志之四
2. 查看保存的日志
日志转储后,可以在Windows Server 2008或者Windows Vista操作系统中,查看保存的日志。以Windows Vista操作系统为例说明如何查看保存的日志。
第1步,将日志文件复制到运行Windows Vista操作系统的客户端计算机。
第2步,右击“计算机”,在弹出的快捷菜单中选择“管理”命令,打开“计算机管理”窗口。选择“计算机管理”→“系统工具”→“事件查看器”选项,显示如图4-68所示的“计算机管理”窗口。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0122_0004.jpg?sign=1739040338-e0q9UeaXfqbuiwqD0woLN2y0paIbDm9z-0-efe48afde5d528df00a0e0d097fa020a)
图4-68 查看保存的日志之一
第3步,右击“事件查看器”,在弹出的快捷菜单中选择“打开保存的日志”命令,显示如图4-69所示的“打开保存的文件”对话框。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0123_0001.jpg?sign=1739040338-Vw3QpgLb69ZhdzIMPg1MWGeCivMSDD1r-0-222b6f578719b29ae95ca4c5cb9f22e8)
图4-69 查看保存的日志之二
第4步,选择日志文件,单击“打开”按钮,显示如图4-70所示的“打开保存的文件”对话框。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0123_0002.jpg?sign=1739040338-sNy92GMJidaX5XjIoHYxzvZVevczOf5o-0-f2c83f6c6df6cd26cd28425490d66bba)
图4-70 查看保存的日志之三
第5步,单击“确定”按钮,打开日志文件,即可查看导入的日志,如图4-71所示。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0123_0003.jpg?sign=1739040338-M5GBuArr7hDjrVbxL6ePaDnklXPscy2R-0-4b436fc9e38b241dae985483d2fb6f1f)
图4-71 查看保存的日志之四
4.4.4 自定义事件视图
在系统运行过程中,将产生大量事件,尤其是在多服务器的Active Directory环境中,查看事件是一项枯燥而且乏味的工作。管理员可以根据需要定制需要引起注意的事件,例如错误事件和警告事件,正常的事件将不需要显示。下面介绍自定义事件的创建方法。
第1步,登录事件收集服务器或者Active Directory服务器,打开“服务器管理器”窗口,选择“服务器管理器”→“诊断”→“事件查看器”选项,显示如图4-72所示的“服务器管理器”窗口。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0124_0001.jpg?sign=1739040338-uwX25juxGllK4ESjc6Ov5kYFathiLo34-0-53e3c018ae7eb7c0ef5acaa507072962)
图4-72 自定义事件视图之一
第2步,右击“自定义视图”,在弹出的快捷菜单中选择“创建自定义视图”命令,显示如图4-73所示的“创建自定义视图”对话框。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0124_0002.jpg?sign=1739040338-xTlhO4xrk9BhCcRhuYwtYCmjAZwItLWP-0-1ff1147f33dee99fd830532aa1b6d870)
图4-73 自定义事件视图之二
① 管理员如果要仅查看出现“错误”事件日志,在“事件级别”区域中,选择“错误”选项。
② 选择“按日志”单选按钮,在“事件日志”下拉列表框中,选择日志来源,如图4-74所示。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0124_0003.jpg?sign=1739040338-fLccSlm3Uatc8adu8j3On6ZmYCPgZMWS-0-a24a4a5ca0d447fab67c71be38a6e2b2)
图4-74 “创建自定义视图”对话框
③ 单击“确定”按钮,显示如图4-75所示的“事件查看器”对话框。提示管理员选择的事件类别多余10个,将引起性能问题。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0125_0001.jpg?sign=1739040338-pwZCBo3h24I4ITLM8IGH8vdZSYvVFbNc-0-f107acb8ffe1e078abd22f5cbeb1642c)
图4-75 “事件查看器”对话框
④ 单击“是”按钮,显示如图4-76所示的“将筛选器保存到自定义视图”对话框,键入自定义视图的名称,以及自定义视图在事件查看器中的位置。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0125_0002.jpg?sign=1739040338-3GwOTKMCx4CSiVqkpacFRWv9lGHQxmfR-0-6c343cce741431b6e834df1b3c2ca305)
图4-76 “将筛选器保存到自定义视图”对话框
第3步,单击“确定”按钮,完成自定义视图的创建,如图4-77所示。在事件列表中,显示的所有事件级别全部是“错误”。
![](https://epubservercos.yuewen.com/FA1D1C/3590320104161901/epubprivate/OEBPS/Images/figure_0125_0003.jpg?sign=1739040338-6RhQYuFQltp4EtLKHpdOK9fyuw2bUKxc-0-36dd44cef60fb689f58f5406e621112f)
图4-77 自定义事件视图之三