Cette article va expliquer comment tirer le meilleur partie des logiciels Windows pour la surveillance des machines.
- Qu’est-ce que le journal d’événement ?
Le journal d’événement Windows est un répertoire ou les erreurs, les avertissements et les informations des différant services sont listés. Il y a trois type d’alerte
- Information, le système n’est pas impacté il annonce surtout le démarrage ou le statut d’un service.
- Avertissement, le système peut être légèrement impacté lors d’une erreur non fatal ou lors d’un plantage puis redémarrage d’un service.
- Erreur, le système est impacté et peut être mis en échec si l’erreur n’est pas corrigé le service en erreur ne peut généralement plus démarrer.
Lors d’une ouverture d’une alerte il y a des informations liées comme le service ou le programme mis en cause le niveau d’alerte, l’exception enregistrée par Windows (d’ou proviens l’erreur selon Windows, ce qui n’est pas toujours vrais), l’ID de éventrements et la date ou l’événement c’est produit.
Pour un petit exemple voici les trois types d’événements sur le service de partage de fichiers sur W2K8 R2 (Windows Server 2008 R2).
Information :
Avertissements :
Erreur :
- Qu’est-ce que l’audit de sécurité ?
Un audit de sécurité est un système qui permet à tout instant de vérifier le statut et les vulnérabilités d’un système d’information.
- Qu’est-ce que l’analyseur de performances ?
L’analyseur de performance permet de voir en temps réel les ressources utilisée par l’ordinateur ou le serveur ainsi que la charge sur les différant composants
- Comment programmer des audits de sécurité ?
Pour programmer un audit de sécurité il faut aller dans les paramètres du dossier sur le quel vous voulez placer un audit.
- Comment crée une vue utilisateur des événements ?
Pour ce faire vous devez aller dans l’observateur d’événements et cliquer sur l’option à droite nommée « Créer une vue personnalisée… ». Vous devriez obtenir ceci :
Il vous reste plus qu’a paramétrer comme bon vous semble.
- Comment centraliser les journaux d’événements sur une seule machine ?
Le but de centraliser les journaux d’événements sur le même ordinateur et de pouvoir voir tout les rapports importants des différant services rapidement sur le même ordinateur.
Pour ce faire vous devriez utiliser un serveur Windows Server 2008 minimum et utiliser l’option souscription de l’observateur d’événements. Pour cella allez dans l’Observateur d’Evénements puis dans le menu « Action » puis cliquez sur l’option « Se connecter à un autre ordinateur… ».
Puis sélectionnez un ordinateur et un utilisateur avec assez de privilège pour récolter les informations depuis l’observateur d’événements.
Une fois validée une petite boîte devrait apparaître.
Une fois fait les rapports de la machine clients seront automatiquement acheminée sur le serveur ou il pourront être visionnée par les personnes compétentes.
Vous devez vous connecter pour laisser un commentaire.