Блог Event Log Explorer
Cоздание регулярных отчетов о проблемах в вашей Windows-сети
Оригинал статьи тут http://eventlogxp.com/blog/case-study-generating-regular-reports-about-the-problems-in-your-windows-network/
Недавно один из наших клиентов спросил нас - не могли бы мы подсказать лучший способ организации мониторинга ошибок, возникших на его серверах.
Клиент сказал, что ему нужен не активный мониторинг, а просто регулярный отчет за неделю.
Ранее он пробовал собирать события при помощи скрипта для Windows PowerShell, который экспортировал события
в CSV (чтобы потом просматривать отчет в Excel). Но потом они отказались от этой идеи.
Мы рассказали клиенту как реализовать его задачу в Event Log Explorer и подумали, что эта задача -
довольно массовый кейс и решение будет интересно многим.
Постановка задачи
Системному администратору, обслуживающему компанию, в которой 4 сервера на базе Microsoft Windows 2008 Sever, необходимо контролировать только журналы событий системы и приложений. В идеале, в журналах должны быть только информационные события, а ошибок и предупреждений не должно быть. Клиент хотел бы получать отчеты о проблемах в начале каждой недели.
В общем случае эту задачу можно сформулировать так:
Создание еженедельных отчетов о событиях ошибок и предупреждений из журналов Система и Приложения.
Наше решение
Прежде всего, мы рекомендуем запускать отдельную копию программы Event Log Explorer для работы над отдельной задачей, создать в ней отдельную новую рабочую область (команда Файл->Новая рабочая область). Вы конечно можете игнорировать это предложение, но мы все же рекомендуем всегда отделять разные долго-работающие задачи, такие как активный мониторинг или запланированные задачи, от оперативного просмотра событий.
Далее добавим нужные серверы в дерево. Это просто сделать через Мастер Добавления Компьютеров или в ручную, добавляя каждый сервер по очереди (используя кнопку Добавить компьютер на основном тулбаре).
Теперь пора создать представление (вид), объединяющее несколько журналов событий. Мы объединим все журналы событий системы и приложений наших 4х исследуемых серверов в один набор данных. Для начала откроем один журнал - раскроем сервер Serv1 в дереве и двойным кликом откроем журнал Система.
Далее нам нужно последовательно добавить в этот же вид остальные журналы событий, но лучше вначале установить фильтр при загрузке лога. Для этого идем в Вид->Опции загрузки журнала, в секции "Возраст событий" выбираем опцию "События за последние", ставим 7 дней. Далее в секции "Типы событий" снимаем галочку с "Уведомления".
Теперь можно добавить другие журналы к текущему виду и они будут автоматически отфильтрованы:
На дереве откройте правой кнопкой мыши контекстное меню на журнале Приложения (Application) сервера Serv1 и выберите "Соединить с текущим видом".
Откройте в дереве остальные серверы Serv2, Serv3 и Serv4 и также добавьте их журналы приложений и системы к текущему виду.
Кликните на колонке Дата чтобы отсортировать объединенный вид по дате и времени.
Переименуйте непонятное универсальное название вида “Merger” в что-то более понятное:
выберите Вид->Переименовать и задайте более понятное имя, например “Еженедельный отчет об ошибках“.
В итоге у вас должно получиться что-то подобное:
Теперь добавим автоматизацию
Выберите Расширенные->Планировщик в главном меню программы и создайте новую задачу. Назовите задачу, например “Еженедельный отчет об ошибках” и нажмите кнопку Вперед.
Установите расписание - когда вы хотите запускать задач, например в понедельник в 7:00 утра:
Нажмите Вперед и выберите что вы хотите делать: Обновить, затем экспортировать.
На картинке, мы выбрали экспорт в формат Excel 2007 с описаниями событий.
Параметр “Export path” имеет значение по-умолчанию “%USERPROFILE%\Documents” которое означает, что Event Log Explorer будет сохранять отчеты в папку Документы вашего профиля пользователя (имейте ввиду, что вы можете прописать тут любые пути, которые понимает Windows, включая сетевые (UNC), так что можно организовать даже сохранение отчетов на другой компьютер).
Нажмите Вперед, затем Готово и OK в окне Планировщика. Теперь сохраним рабочую область в файл (Файл->Сохранить рабочую область). Файл рабочей области можно перенести на другой компьютер если это необходимо. Далее программу можно минимизировать (можно даже минимизировать в область уведомлений).
В понедельник в 7:00 утра, Event Log Explorer автоматически загрузит события ошибок и предупреждений за последнюю неделю из указанных серверов и экспортирует эти события в файл формата XSLX. Содержимое файла будет выглядеть примерно так:
Единственным необходимым условием для выполнения нашего задания является - в назначенный час программа Event Log Explorer должна выполняться и в ней должна быть открыта рабочая область, в которой находится запланированное задание. В промежутках времени между заданиями вы можете закрывать программу, перезагружать и выключать компьютер - словом делать все что вам захочется.
Заключение
Как вы могли заметить, настройка Event Log Explorer не сложная и заняла мало времени (у нас эти шаги отняли не более 4 минут), но что еще важнее, потом вы будете регулярно получать отчеты об ошибках и проблемах, возникающих на нескольких серверах, без какой либо дополнительной работы или временных затрат. Не стоит говорить, что вы легко можете воспользоваться данным руководством, изменить фильтры и настроить множество других задач, соответствующих вашим потребностям.