4.4.1 清除事件日志_系统与服务监控技术实践-QQ阅读男生历史网

系统与服务监控技术实践

上QQ阅读APP看本书，新人免费读10天

设备和账号都新为新人

上一章目录下一章

4.4 事件管理任务

事件是标志计算机系统是否正常运行的重要标志，管理好计算机系统中的日志，是管理员的必修课。本节以Windows Server 2008为例说明常见的事件日志管理任务。

4.4.1 清除事件日志

事件日志过多或者监控新的管理任务前，管理员可以清除已经存在的日志。以清除应用程序日志为例说明。

第1步，打开事件查看器，选择“事件查看器”→“Windows日志”→“应用程序”选项，如图4-57所示。

图4-57 清除事件日志之一

第2步，右击“应用程序”，在弹出的快捷菜单中选择“清除日志”命令，如图4-58所示。

图4-58 清除事件日志之二

第3步，命令执行后，显示如图4-59所示的“事件查看器”对话框。提示管理员要进行的操作，清除日志前是否需要保存日志。

图4-59 清除事件日志之三

第4步，如果需要保存，选择“保存并清除”按钮，否则选择“清除”按钮。日志清除后，在右侧的事件列表中，显示的事件个数为0，如图4-60所示。

图4-60 清除事件日志之四

4.4.2 设置日志大小以及保留策略

事件日志存储在文件中，管理员可以更改日志默认值。以设置安全日志为例说明。

第1步，打开事件查看器，选择“事件查看器”→“Windows日志”→“安全”选项，如图4-61所示。

图4-61 设置日志大小以及保留策略之一

第2步，右击“安全”，在弹出的快捷菜单中选择“属性”命令，如图4-62所示。

图4-62 设置日志大小以及保留策略之二

第3步，命令执行后，显示如图4-63所示的“常规”对话框。在“日志最大大小”文本框中，设置日志的最大值。注意，日志大小必须是64 KB的倍数，且不能小于1024 KB，如果随意键入日志的最大值，将自动取整为最接近64 KB的倍数。

图4-63 设置日志大小以及保留策略之三

第4步，在“达到事件日志最大大小”区域，设置日志的处理方式。事件存储在只能增长到可配置的最大值的日志文件中。文件大小达到其最大值后，传入事件所发生的情况由日志保留策略决定。保留策略如表4-3所示。

表4-3 日志保留策略

4.4.3 事件转储

Windows Server 2008操作系统支持事件日志的导入和导出，在事件查看器的多个模块中，都支持此功能。

1. 导出日志

导出日志，将本机中日志存成文件，可以备份或者在其他的计算机上查看，可以作为计算机是否健康的“证据”。

第1步，登录目标服务器，打开“服务器管理器”窗口，选择“服务器管理器”→“诊断”→“事件查看器”→“Windows日志”选项，显示如图4-64所示的“服务器管理器”窗口。

图4-64 导出日志之一

第2步，以“系统”日志为例说明。右击“系统”，在弹出的快捷菜单中选择“将日志文件另存为”命令，显示如图4-65所示的“另存为”对话框。

图4-65 导出日志之二

第3步，选择目标文件夹，键入日志文件的名称，单击“保存”按钮，显示如图4-66所示的“显示信息”对话框。日志文件的默认保存格式为“evtx”。

图4-66 导出日志之三

第4步，单击“确定”按钮，成功保存日志，如图4-67所示。

图4-67 导出日志之四

2. 查看保存的日志

日志转储后，可以在Windows Server 2008或者Windows Vista操作系统中，查看保存的日志。以Windows Vista操作系统为例说明如何查看保存的日志。

第1步，将日志文件复制到运行Windows Vista操作系统的客户端计算机。

第2步，右击“计算机”，在弹出的快捷菜单中选择“管理”命令，打开“计算机管理”窗口。选择“计算机管理”→“系统工具”→“事件查看器”选项，显示如图4-68所示的“计算机管理”窗口。

图4-68 查看保存的日志之一

第3步，右击“事件查看器”，在弹出的快捷菜单中选择“打开保存的日志”命令，显示如图4-69所示的“打开保存的文件”对话框。

图4-69 查看保存的日志之二

第4步，选择日志文件，单击“打开”按钮，显示如图4-70所示的“打开保存的文件”对话框。

图4-70 查看保存的日志之三

第5步，单击“确定”按钮，打开日志文件，即可查看导入的日志，如图4-71所示。

图4-71 查看保存的日志之四

4.4.4 自定义事件视图

在系统运行过程中，将产生大量事件，尤其是在多服务器的Active Directory环境中，查看事件是一项枯燥而且乏味的工作。管理员可以根据需要定制需要引起注意的事件，例如错误事件和警告事件，正常的事件将不需要显示。下面介绍自定义事件的创建方法。

第1步，登录事件收集服务器或者Active Directory服务器，打开“服务器管理器”窗口，选择“服务器管理器”→“诊断”→“事件查看器”选项，显示如图4-72所示的“服务器管理器”窗口。

图4-72 自定义事件视图之一

第2步，右击“自定义视图”，在弹出的快捷菜单中选择“创建自定义视图”命令，显示如图4-73所示的“创建自定义视图”对话框。

图4-73 自定义事件视图之二

① 管理员如果要仅查看出现“错误”事件日志，在“事件级别”区域中，选择“错误”选项。

② 选择“按日志”单选按钮，在“事件日志”下拉列表框中，选择日志来源，如图4-74所示。

图4-74 “创建自定义视图”对话框

③ 单击“确定”按钮，显示如图4-75所示的“事件查看器”对话框。提示管理员选择的事件类别多余10个，将引起性能问题。

图4-75 “事件查看器”对话框

④ 单击“是”按钮，显示如图4-76所示的“将筛选器保存到自定义视图”对话框，键入自定义视图的名称，以及自定义视图在事件查看器中的位置。

图4-76 “将筛选器保存到自定义视图”对话框

第3步，单击“确定”按钮，完成自定义视图的创建，如图4-77所示。在事件列表中，显示的所有事件级别全部是“错误”。

图4-77 自定义事件视图之三

上一章目录下一章