Hétköznapi felfedezések - 1. rész
A minap egy feladat kapcsán betévedtem a Windows Vista felügyeleti eszközeit tartalmazó mappába - az eseménynaplóval volt dolgom, némi kis hibakeresés ürügyén. Aztán az ablak valahogy nyitva maradt azután is, hogy a hibát már rég megtalátam és amikor félszemmel újra ránéztem, akkor jutott eszembe ennek kis naplóbejegyzésnek az ötlete.
Bevallom, volt egy kis lelkiismeretfurdalásom: a Vista megjelenését követően a Felügyeleti eszközökben található dolgokat mintegy 10 perc alatt elintéztem.
"Hm, igen... van eseménynapló, meg időzített feladatok, meg a szokásos dolgok. És akkor mi van?"
Most további 10 perc alatt rájöttem, hogy itt azért lényegesen nagyobb változások történtek, amire érdemes rászánni néhány bekezdést.
Kezdjük rögtön az eseménynaplóval. Akár szomorkodhatnánk is: már ez sem a régi. Nem az, de ez nem baj. Izgalmas dolgokat találunk ugyanis odabent.
Van például testreszabható nézet. Ha kiválogattuk a különböző logokból, hogy mi az a 10-20 esemény, amit feltétlenül szeretnénk azonnal látni, akkor ezeket néhány kattintással összeszedhetjük egy testreszabott nézetbe és ezek az események innentől kezdve az eseménynapló tetején várják, hogy megnézzük őket. A válogatásban nincs igazán megkötve a kezünk, csak úgy nagyjából a választék: mikor keletkezett, melyik logban, milyen forrásból, milyen azonosítóval és így tovább.
A kis példában az utolsó 24 óra kritikus eseményei jelennek meg, szülessenek bármelyik alapvető logban, bármely forrásból.
Tapasztalt nyomkeresőknek ajánlom a lap tetején az XML fülecskét. Ott valami ilyesmi gyönyörűséget lehet találni:
<QueryList>
<Query Id="0" Path="Application">
<Select Path="Application">*[System[(Level=1 ) and TimeCreated[timediff(@SystemTime) <= 86400000]]]</Select>
<Select Path="Security">*[System[(Level=1 ) and TimeCreated[timediff(@SystemTime) <= 86400000]]]</Select>
<Select Path="System">*[System[(Level=1 ) and TimeCreated[timediff(@SystemTime) <= 86400000]]]</Select>
</Query>
</QueryList>
Ettől kezdve már csak fantázia kérdése, hogy ki, hogyan fejleszti tovább ezt a kis lekérdezést.
Ha most átvergődünk az unalomig ismert Windows logok szekción és bekukucskálunk az Alkalmazások és szolgáltatások logjába, ott egyelőre nem sok dolgot találunk, a logok többsége üres. Persze ne aggódjunk, csak néhány szervízcsomag kérdése és az Internet Explorer, az Office és a többi dolog is önteni fogja az eseményeket (csak győzze a rendszerünk erőforrással). Hasonlóan üres (még!) a Microsoft/Windows mappákban megbújó sok-sok további napló.
Vannak viszont, amik nem üresek és nagyon is hasznos adatokkal szolgálnak. Itt van példaként a Group Policy napló: azt már megszokhattuk, hogy a csoportházirendek kiértékeléséről csak 1-2 kisebb bejegyzést találunk az alkalmazásnaplóban. (Siker esetén ez nem sok információt tartalmaz, hiba esetén valamivel hasznosabb a tartalma.) Itt viszont a házirend alkalmazásának minden lépése szerepel! Ami ebben nem szerepel, azt valószínűleg nem is érdemes tudni.
Az utolsó apróságot az MMC jobb oldalán találjuk. "Legkedvesebb" eseményeinkhez bekövetkezésük esetére rendelhetünk feladatot, így a már unalmassá koptatott (és ismert módon megoldható hibákat) meg sem kell nyitnunk, csak lefuttatjuk a "mindentmegoldó" szkriptünket és nyugodtan alszunk tovább. Az izgalmasabbakról küldhetünk magunknak e-mailt (SMTP) vagy ráijeszthetünk a felhasználóra egy felbukkanó ablakkal.
(Még nincs vége...)
