Gerenciamento Centralizado de Eventos

Por Rover Marinho

Introdução

Antes do conhecimento público da internet não "havia" necessidade de leitura e armazenamento de logs e auditoria, isto só era conversa de grandes corporações. Hoje com o avanço da internet e de ameaças que são lançadas quase que por minuto, a existência de um serviço de log, de rápido acesso, redundante a erros, bem seguro e de extrema eficácia.

Este assunto é muito polêmico, pois muitos são apaixonados por logs, outros os odeiam. A real verdade é que os logs ajudam a salvar processos, corrigir erros e recuperar banco de dados corrompidos.

Pensemos em uma empresa que necessita saber quem acessa determinado arquivo, isto é possível através de auditoria, certo. Porém estes dados estão todos sendo reportados para um arquivo de log, e isto vai muito além, podemos citar exemplos de logs em banco de dados, sincronização de servidores, limpeza de banco de dados, invasão, falhas de sistema, avisos e etc.

Podemos dizer que sem os arquivos de logs o gerenciamento de um ambiente torna-se quase, ou porque não dizer "Impossível". Neste artigo abordaremos esta importante ferramenta o "Event Viewer", aprenderemos suas funcionalidades e todos os segredos de um arquivo de log seguro, redundante e bem gerenciado.

Tópicos a serem abordados:

• ACESSANDO A FERRAMENTA EVENT VIEWER

• TIPOS DE LOGS EM MEMBER SERVER

• TIPOS DE LOGS EM DOMAIN CONTROLLER

• PROPRIEDADES DOS LOGS DE EVENTOS

• DETERMINANDO O TIPO DE LOG

• EDITANDO STRING PARA MUDANÇA DE PATH DOS LOGS

• CONHECENDO OS TIPOS DE EVENTOS

• ANALISANDO UM EVENTO

• HABILITANDO LOGS AVANÇADOS NO CONTROLADOR DE DOMINIO

• CONFIGURANDO O EVENT VIEWER PARA O DOMINIO

1 - ACESSANDO A FERRAMENTA EVENT VIEWER

Acessando o Event Viewer:

Existem algumas formas para se acessar o "Event Viewer", segue abaixo:

• Start / Programs / Administrative Tools / Event Viewer

• Start / Settings / Control Panel / Administrative Tools / Computer Management

Geralmente criamos MMC próprios para os trabalhos efetuados diariamente e sempre o Snap-In "Event Viewer" é agregado ao mesmo.

2 - TIPOS DE LOGS EM MEMBER SERVER

Visualizemos o ambiente de trabalho do "Event Viewer" em um Member Server:

Em um servidor Member Server da Família Windows o Event Viewer apresentará três tipos de log por default, os logs estão citados na Tabela1, segue abaixo:

3 - TIPOS DE LOGS EM DOMAIN CONTROLLER

Visualizemos o ambiente de trabalho do "Event Viewer" em um Domain Controller:

Existem seis tipos de logs em um DC, os três citados no member server e mais três novos tipos de logs, citados abaixo na Tabela 2.

4 - PROPRIEDADES DOS LOGS DE EVENTOS

As opções demonstradas na Figura2 têm suas propriedades descritas na Tabela3 "Member Server" e também na Tabela4 "Domain Controller":

As opções da janela "Log Size" são importantes, servem para configurar tamanho dos logs, possibilidades de limpeza dos eventos e restauração dos valores Default do Log.

Maximum Log Size: Esta opção já vem setada por default no Windows Server 2003 como 16384kb, há possibilidade de aumentar o tamanho deste, porém este aumento deve ser feito em Kilobytes, sendo múltiplo de 64.

Overwrite events as needed: Esta opção irá limpar os eventos mais antigos quando a gravação dos novos eventos não tiver mais espaço suficiente para ser efetuada, este controle e feito pelo próprio sistema. É muito interessante "Stressar" o servidor de forma que se saiba o tamanho ideal dos logs, assim não se corre o risco de quando se precisar dos eventos, os mesmo já tenham sido apagados pelo sistema.

Overwrite events older than XX days: Esta opção funciona é parecida com a opção anterior, porém a mudança esta nos dias que são setados e obrigatoriamente o sistema não poderá, gravar sobre os logs antigos a não ser que os dias setados sejam cumpridos. Marcando esta opção deve-se conhecer muito bem o fluxo gerado de eventos no sistema, pois se isto não tiver sido verificado, possivelmente o evento estoure o tamanho do log, antes da quantidade de dias especificadas, fazendo com que os eventos não sejam reportados em log.

Do not overwrite events [clear log manually]: Esta opção não efetua a gravação em cima de eventos antigos, completando o espaço referido para o serviço, até o ponto em que acaba o espaço destinado, e se o log não for limpo manualmente, também corremos risco de ter eventos não reportados no Event Viewer.

Clear Log: Este botão efetua a limpeza do log em questão, antes de limpar o log o sistema irá gerar uma mensagem, que informa se há necessidade de salvar os eventos.

5 - DETERMINANDO O TIPO DE LOG

Abaixo segue uma imagem do Event Viewer de um Domain Controller, e todos os seus Logs de Eventos.

Aprenderemos agora sobre as configurações dos Logs, onde são alocados, quais os nomes dos arquivos e qual sua função dentro do Event Viewer.

Dependendo da funcionalidade de seu servidor em sua rede, os arquivos de log's são tão importantes como o próprio serviço, baseado nisto, existe a possibilidade de mudança do local onde estes arquivos estão alocados.
Esta mudança pode ser efetuada mudando o local do arquivo, baseado nos quadrantes acima, localize o serviço ao qual vc deseja mudar o local dos log's e modifique o caminho do mesmo, conforme demonstrado abaixo:

6 - EDITANDO STRING PARA MUDANÇA DE PATH DOS LOGS

1º Abra o Event Viewer
2º Localize o caminho: Hkey_Local_Machine\System\CurrentControlSet\Services\Eventlog
3º Selecione a Key = Application, verifique ao lado direito o registro File. (Figura4)

4º A chave File (Figura4) esta preenchida com o valor %SystemRoot%\System32\config\AppEvent.Evt
5º Clique duas vezes e altere o valor, Conforme o Exemplo da Figura5.

Obs.: O caminho utilizado no exemplo é fictício, você poderá completar com o caminho planejado para ser repositório dos logs.

6º Após este procedimento, basta reiniciar a máquina para ter modificado os logs para o novo local.

Quando se faz a mudança de log, é iniciado um novo log onde foi modificado o caminho, porém os eventos registrados anteriormente ficam todos guardados no antigo local, com o antigo nome do *.evt.

7 - CONHECENDO OS TIPOS DE EVENTOS

No tópico acima, aprendemos o que cada um dos Log's reportam. Estes reports são conhecidos como eventos, os eventos são identificados por cinco atributos, aos quais aprenderemos abaixo:

Cada um dos eventos citados acima é acompanhado dos referentes ícones.

8 - ANALISANDO UM EVENTO

Os eventos têm muitos dados a serem observados, estes dados podem facilitar em muito a resolução do erro apresentado, vamos visualizar um evento de Informação e neste tópico, aprenderemos onde buscar informações sobre eventos reportados.

Para localização de eventos reportados e entender a definição de cada um dos eventos demonstrados, dois campos são de fundamental importância na pesquisa, eles são: Source e o Event ID.
Existem muitos sites de pesquisa de eventos na internet, porém abaixo segue link de dois desses sites:

1º Events and Errors Message Center - Microsoft: https://www.microsoft.com/technet/support/ee/ee_advanced.aspx

2º Event ID.Net: http://www.eventid.net/

Existem várias outras maneiras de localizar procedimentos de eventos uma delas é no acesso ao site https://support.microsoft.com, este site contém muita informação técnica de qualidade para manutenção de seu servidor. Na maioria das vezes as referências de procedimentos levam em busca de documentação Microsoft, estas são reconhecidas por ter o inicio do nome como KBXXXX, onde XXXX é o número da documentação. Para buscar o site oficial de busca dos KB, acesse: https://support.microsoft.com/?id=XXXX, onde XXXX é o número do KB.

9 - HABILITANDO LOGS AVANÇADOS NO CONTROLADOR DE DOMINIO

Os eventos tem muitos dados a serem observados, estes dados podem facilitar em muito a resolução do erro apresentado, vamos conhecer como resolver eventos aos quais os logs já apresentados, não demonstram informações avançadas sobre seu ambiente, para isto podemos "Habilitar Logs Avançados" no nosso DC.

Obs.: Utilizaremos o Registro do Windows, por favor tenha um backup do mesmo antes de alterar qualquer opção neste programa bem como resolução técnica para após desastre saber retornar o backup efetuado.

O caminho para setar esses logs, segue abaixo:

As opções da Figura7 demonstram todos os logs aos quais podemos habilitar no Log de Diagnostico, estes por default estão com seu valor setado como 0 e podem ser alterados do valor 0 ao valor 5, veja Tabela7 para maiores informações sobre o mesmo.

Os valores dos diagnósticos são:

Valor	Observação
0	Nível padrão dos logs somente eventos críticos e erros
1	Valor Mínimo, podemos usar este valor para começar achar erros
2	Valor Básico, este acrescenta mais informação ao valor Mínimo
3	Valor Extenso, este valor traz muita informação técnica, utilize com cuidado
4	Valor Verbose, Acrescenta informação ao valor Extenso
5	Valor Interno, nível completo traz todos os eventos que possam ser relatados

10 - CONFIGURANDO O EVENT VIEWER PARA O DOMINIO

Existe a possibilidade de configurar todos os seus servidores de uma única vez, fazendo com que a política de Event Viewer seja respeitada, e na procura de um evento X, pode-se ter certeza de que o mesmo não foi sobreposto ou a configuração era de pouco espaço e por isto o evento não foi registrado, vamos ver como configurar os mesmos:

No seu Controlador de Domínio, vá para Administrative Tools / Domain Security Policy / Event Log.

Dividimos as opções da Figura8 em quatro grupos, estas opções podem ser replicadas para todos os seus servidores.

1º Opção: Configurações de tamanho máximo ao qual o arquivo de log poderá chegar, lembrando que o mesmo deverá ser múltiplo de 64kb.

2º Opção: Esta configuração previne que o grupo Guest, tenha acesso aos logs do servidor.

3º Opção: A próxima configuração é utilizada como opção para deixar os log's retidos por "X" dias no Event Viewer.

4º Opção: Nesta opção, podemos escolher entre os métodos para retenção dos logs.

Após os ajustes nestas políticas, todo seu parque já estarão com os Logs configurados de forma correta para todo o domínio.

Bem, qualquer dúvida sobre este artigo ou sugestões e criticas, bem como pedidos de artigos futuros encaminhe para rovermarinho@gmail.com.

Até mais,
Rover Marinho