我是一名程序员,而不是系统管理员,但是由于我们的服务器遇到了很多问题,我认为我应该积极主动地帮助我们过度劳累(和学习)的系统管理员。
我们有 20-25 台左右的 Windows 服务器(2003 和 2008)。它们包括 SQL 服务器、Web 服务器、批处理服务器、托管内部应用程序等。我们确实使用 WhatsUp 作为监控软件来监控内存、处理器活动、网站状态等。
但目前看来我们根本没有监控事件日志。我发现事件日志中弹出了很多错误和警告,虽然我不明白它们的影响,但其中一些似乎可能很严重。
在这种情况下,标准做法是什么?系统管理员是否通常会在某些服务窗口期间每月/每周/每天手动检查每台服务器上的事件日志?您是否有一些聚合器软件,以便您以这种方式手动检查所有服务器?或者一些软件会在事件日志中出现错误/警告时立即发出警报或发送电子邮件?
我看到 WhatsUp 有一个插件(需要付费)可以做到这一点,我还看到这里建议使用 OSSEC。这是我应该建议的吗?如果是,它有多重要?
答案1
不监控事件日志(或非 Windows 系统中的等效日志)的管理员算不上管理员。但是,监控日志的方式和方法有很多种,而且由于日志最多只能算是隐秘的,因此最好通过编程方式进行监控。这并不能消除定期随机手动检查的需要,但肯定可以使大型复杂工作变得易于管理。
关键在于一个程序(或一套程序),它可以精简日志并提取“有趣”的部分。例如,为什么我们通常会关心 Betty 向 Accounts HP 打印机发送了一份 50 页的文档,但日志中却塞满了这样的内容。绝大多数事件日志条目与日常操作无关,但在尝试隔离或调试问题时非常有用。
使用过滤器提取错误和警告,然后甚至可能删除给定系统上的正常和预期错误和警告。一旦正确过滤,您应该会得到相当少量的需要进一步调查的事件。或者至少有人希望这是结果。
答案2
您可以使用Splunk收集并索引 Windows 事件。
答案3
- 2008 集成了一个聚合器,只需将其配置为将事件转发到中央服务器即可。
- 大多数专业设置都会使用一个系统来管理服务器。微软也有一个 - SCCM 非常好,只要配置正确,可以与 Tivoli 之类的东西相媲美。Whatsup 在这方面相当 - 嗯 - 不专业。“正常运行”不等于“快速运行”。
答案4
Zenoss 除了可以监控 WMI、SNMP 和 SNMP traps、Syslog、SSH 和许多社区添加的协议外,还可以监控 Windows Eventlog。此外,它还是开源的。