Om händelseövervakning

En händelse innebär att något betydelsefullt hänt med systemet (eller i ett enskilt program). Information om vissa kritiska händelser visas i meddelanden på skärmen. En händelse som inte behöver åtgärdas omedelbart lagras i en händelselogg. Händelseloggningen startas automatiskt varje gång SunLink Server startas. Med händelseloggen, som du visar med SunLink Server Manager, kan du felsöka olika problem och övervaka SunLink Server-säkerhetshändelser.

SunLink Server registrerar händelser i följande typer av loggar:

• Systemloggen - Innehåller de händelser som loggats av SunLink Servers systemkomponenter. I systemloggen registreras exempelvis att en tjänst inte går att starta. Vilka typer av händelser som loggas av systemkomponenterna avgörs av SunLink Server.

• Säkerhetsloggen - Kan innehålla inloggningsförsök som lyckats och misslyckats liksom händelser som har samband med resursanvändning, som t.ex. att skapa, öppna eller ta bort filer och andra objekt.

• Programloggen - Innehåller händelser som program har loggat. Ett databasprogram kan t.ex. registrera ett filfel i programloggen. Programutvecklarna bestämmer vilka händelser som skall loggas.

System- och programloggarna kan visas av alla användare, medan säkerhetsloggarna bara är åtkomliga för systemadministratörer.

Tolka en händelse

Händelseloggar består av ett huvud, en beskrivning av händelsen (beroende på händelsetyp) och ytterligare data. De flesta poster i säkerhetsloggen består bara av huvud och beskrivning.

SunLink Server Manager visar händelser från de olika loggarna separat. Varje rad visar information om en händelse, inklusive datum, tid, källa, kategori, händelse-ID, användarkonto och datornamn.

Händelsehuvud

I händelsehuvudet finns följande information:

• Datum - Det datum då händelsen inträffade.

• Tid - Det klockslag då händelsen inträffade.

• Källa - Den programvarumodul som loggade händelsen, t. ex. namnet på ett program; det kan även vara en komponent i systemet eller i ett stort program, som ett namn på en tjänst.

• Kategori - En klassificering av händelsen (gjord av källan till den). Denna information används främst i säkerhetsloggen.

• Händelse - Ett nummer som identifierar en viss händelsetyp. Den första raden i beskrivningen innehåller oftast namnet på händelsetypen. Exempelvis är 6005 ID:n för den händelse som inträffar när loggtjänsten startas. Den första raden i beskrivningen av en sådan händelse är "Händelseloggtjänsten startades". Händelse-ID och källa kan användas av kundstödspersonal för att felsöka systemproblem.

• Användare - Användarnamnet för den användare som gav order om den åtgärd som i sin tur orsakade händelsen. Om händelsen inte loggades av någon användare visas säkerhets-ID:n för hela loggsystemet.

• Dator - Namnet på den dator där händelsen inträffade.

Händelsebeskrivning

Formatet och innehållet i händelsebeskrivningen varierar beroende på typen av händelse. Beskrivningen är oftast den information som är mest värdefull, eftersom den talar om vad som hände och vilken betydelse det hade.

Typer av händelser

SunLink Server Manager-loggarna skiljer på följande typer av händelser:

• Fel - Allvarliga problem, t.ex. förluster av data eller funktioner. En felhändelse kan t.ex. loggas om en tjänst inte laddades under starten av SunLink Server.

• Varning - Händelser som inte nödvändigtvis har någon större betydelse, men som kan leda till allvarligare problem i framtiden. Exempelvis kan en varningshändelse loggas om servern har brist på vissa nyckelresurser.

• Information - Händelser som sällan har någon större betydelse och som talar om att viktigare servertjänster kunnat utföras. Exempelvis kan en tjänst som har startats korrekt och initierats logga en informationshändelse.

• Granskning - lyckad - Säkerhetsgranskning av lyckad åtkomst. Att en användare lyckas logga in på ett system kan t.ex. loggas som en sådan här händelse.

• Granskning - misslyckad - Säkerhetsgranskning av misslyckad åtkomst. Att t.ex. en användare försökte komma åt en nätverksenhet, men inte lyckades, kan loggas som en sådan här händelse.

Ytterligare data

Fältet data innehåller binära data som man kan visa i byte eller dataord. Informationen skapas av det program som gav upphov till att händelsen registrerades. Eftersom data visas i hexadecimal form är denna information bara av något värde för den som verkligen känner till programmet.

Använda SunLink Server Manager för att visa händelser

Du kan avgöra vilken händelselogg du vill visa genom att växla mellan system-, säkerhets- och programloggen i gruppen Händelser i SunLink Server Manager.

• Välja en logg - Dubbelklicka på rätt logg-ikon för händelsevisning. Även om loggarna för den lokala datorn visas första gången du startar SunLink Server Manager, kan du välja att visa loggarna för någon annan SunLink Server-dator, när du har loggat in på den.

• Uppdatera informationen - När du först öppnar en loggfil visar SunLink Server Manager den aktuella informationen i loggen. Denna information uppdateras inte automatiskt. För att se de senaste händelserna och ta bort överskrivna poster väljer du Uppdatera från Visa.

• Visa detaljerad information om händelser - Du kan visa mer information om många händelser genom att dubbelklicka på händelsen. Dialogrutan Detaljinformation om händelse visar en textbeskrivning av den valda händelsen och eventuella binärdata för den. Denna information skapas av det program som registrerade händelsen. Eftersom data visas hexadecimalt är de oftast bara begripliga för användare som kan mycket om källprogrammet. Alla händelser skapar inte sådana data.

  ---

  Obs!

  För att styra flaggorna för vilka säkerhetshändelser som granskas kan du skapa granskningspolicies med Windows NT-verktygen. Granskningspolicies skapas inte med SunLink Server Manager och därför finns det inga instruktioner för hur du gör detta i denna handbok.

  ---

Använda händelseloggarna för att felsöka problem

Om du går igenom händelseloggarna noga kan du lätt förutsäga och identifiera källorna till systemproblem. Loggar kan också bekräfta problem med Windows NT-program. Om ett Windows NT-program kraschar kan händelseloggen för det ge viktig information om den aktivitet som ledde till händelsen.

Gör så här när du använder händelseloggar för att diagnostisera problem:

• Ta reda på hur ofta ett fel inträffar. Om en viss händelse verkar vara kopplad till systemproblem söker du i händelseloggen för att ta reda på om samma händelse inträffat vid andra tillfällen eller bedöma hur ofta felet inträffar.

• Anteckna händelse-ID. Till varje ID-nummer hör en textbeskrivning i källmeddelandefilen. Kundstödsrepresentanter kan använda numret för att få en bild av vad som hände.

Övervaka säkerhetshändelser i SunLink Server

Du aktiverar granskning från dialogrutan Granskningsprinciper i Kontohanteraren för domäner i Windows NT. Genom granskningen kan du följa säkerhetshändelser i SunLink Server. Du kan ange att en granskningspost skall skrivas till säkerhetsloggen varje gång en viss åtgärd utförs eller vissa filer hanteras.

En granskningspost visar vilken händelse som inträffade, vem som utförde den, och datum och klockslag för den. Du kan granska både lyckade och misslyckade försök. Granskningen kan visa vem som faktiskt gjorde saker på nätverket och vem som försökte göra saker som han/hon inte fick.

Händelser granskas inte som standard. Om du är administratör kan du ange vilka typer av systemhändelser som skall granskas genom att använda Windows NT User Manager for Domains.

Granskningspolicyn anger vilken typ av säkerhetsloggning SunLink Server skall utföra och hur omfattande den skall vara. När det gäller åtkomst till filer och andra objekt kan du ange vilka filer och skrivare du vill övervaka. Du kan även välja vilken typ av åtkomst du vill övervaka, och från vilka användare och grupper. När du t.ex. har valt File and Object Access auditing kan du använda fliken Säkerhet i dialogrutan Egenskaper för en fil eller mapp (som du öppnar genom Utforskaren) för att ange vilka filer, och vilken typ av åtkomst till dessa filer, som skall granskas.

Gör så här för att övervaka händelser

1. Använd SunLink Server Manager för att logga in på och öppna det SunLink Server-system som du vill visa händelseloggarna för.

   Instruktioner finns i "Gör så här för att logga in med SunLink Server Manager". För att göra några ändringar måste du logga in som root.

2. Dubbelklicka på Händelser.

   Följande skärm visas.

   

3. Dubbelklicka på namnet på den logg du vill titta på.

4. Dubbelklicka på någon rad i loggen om du vill ha mer information om den händelsen.

   Bakgrundsinformation om hur man tolkar händelser finns i "Tolka en händelse".

Gör så här för att övervaka händelser från kommandoraden

Du kan använda SunLink Server-kommandot elfread för att läsa system-, säkerhets- och programloggen. Det här kommandot är speciellt användbart om du felsöker ett SunLink Server-system som inte går att starta. (Händelser som orsakar detta finns normalt med i systemloggen.) Använd kommandot elfread som en reservlösning för SunLink Server Manager, som annars är den metod att visa loggfilerna som rekommenderas när servern är igång.

1. Skriv så här vid SunLink Servers kommandorad:

elfread [-od] loggnamn

Byt ut loggnamn mot någon av följande loggtyper: system, security och application (på engelska).

För att visa loggfilens innehåll med den äldsta händelsen först använder du alternativet -o. För att visa detaljerad information om händelserna använder du alternativet -d.

Om du inte anger något alternativ visas en sammanfattning av alla händelser i den angivna loggen i omvänd kronologisk ordning (med de senaste händelserna först).

Gör så här för att visa SunLink Server-information

1. Använd SunLink Server Manager för att logga in på och öppna det SunLink Server-system vars information du vill visa.

   Instruktioner finns i "Gör så här för att logga in med SunLink Server Manager". För att göra några ändringar måste du logga in som root.

2. Dubbelklicka på Information.

   Följande skärm visas.

   

   De data som visas i Information är aktuella när de visas, men uppdateras inte automatiskt. För att uppdatera så att de senaste uppgifterna visas klickar du på Uppdatera under Visa eller klickar en gång till på Information i navigeringsområdet.

Följande information visas:

• Solaris-användarnanmet för den aktuella SunLink Server Manager-sessionen

• Namnet på Solaris-servern

• Typen av Solaris-maskinvara

• Solaris-version

• SunLink Server-systemets namn

• SunLink Server-systemets domännamn

• SunLink Server-systemets domänfunktion (om den är BDC står även namnet på PDC:n med)

• Version av SunLink Server-programvaran

• Om servern är igång eller inte

• Om något databasunderhåll är schemalagt

Förutom att fönstret Information ger dig viktig information innehåller det tre knappar, som du kan utföra olika administrationsuppgifter med:

• Egenskaper - Genom att klicka på den här knappen kan du göra ändringar av SunLink Server-systemets konfiguration, inklusive servernamn, domännamn och serverns funktion i domänen. I avsnittet "Om konfigurering och hantering av domäner" finns mer information och instruktioner.

• Status - Med den här knappen kan du, beroende på om SunLink Server-programmet är igång eller inte, stanna eller starta det. I avsnittet "Om att starta och stanna tjänster" finns mer information och instruktioner.

• Schema - Genom att klicka på den här knappen kan du schemalägga (eller ändra schemat för) det databasunderhåll som SunLink Server utför automatiskt. I avsnittet "Databasunderhåll" finns mer information och instruktioner.