Windows Vista事件記錄、檢視與Task Scheduler的新改變 謝合宜 微軟特約技術顧問 MCSE : Security/Messaging MVP/MCT

預備知識 熟悉Windows作業系統的介面 熟悉Windows環境的使用與管理 Level 200

講題大綱 體驗Windows Vista的新事件記錄 工作排程的使用

Windows Vista 的事件記錄 加強事件 基礎架構 新的事件報表 Windows Vista 事件記錄 更多更詳細 的事件 事件轉送

Event Log Architecture Publishing Consuming UI application (Event Viewer) WS-Management, WS-Eventing Event publishing application MC compiler Subscription & Query Processing API’s, Legacy Event Log API’s Published Events Event Schema Event Message DLL Queries, Subscriptions Query & Subscription Results Publishing API User mode Kernel mode Event Log Service Sessions session Publishing API Config Store (registry) Published Events Logs Windows Event Logs Kernel Component Publisher Consumer

事件記錄的新改變(I) 效能改善與延展性 客戶問題的解決 記錄封存的改善 記錄檔案大小限制已移除 單一 API set 來產生事件與處理追蹤 速度加速與增加延展性 紀錄動作為非同步(不會造成應用程式的問題) 使用高效的系統核心追蹤機制 (ETW) 改善的安全性與強固性 事件記錄更結構化 (XML) 並方便後續分析 記錄封存的改善 事件可將詳細描述一併匯出 自動紀錄檔封存

事件記錄的新改變(II) 集中管理 控制資訊流程 事件轉送 – 訂閱功能 跨紀錄的檢視、查詢 自我維護的記錄檔儲存 啟用或停用詳細記錄功能來進行問題診斷

加強事件基礎架構 事件架構定義在 XML Schema 事件以 XML 格式儲存 支援 XML 查詢

事件檢視器 更多新的選項 事件檢視器 所有事件的摘要 最近使用過的事件檢視 記錄檔摘要 Actions pane 新的事件檢視器摘要 所有的事件記錄檔 以事件類型排序 最新的事件 跨事件記錄檔查詢 將查詢儲存成檢視 對事件指定排程工作

跨記錄檔查詢 跨記錄檔查詢

可重複使用的檢視

Demo 新事件檢視的使用介面 導覽 New Features 建立與使用檢視(Views)

事件轉送 SEA-DC-01 SEA-WRK-002 SEA-WRK-001

事件轉送參予電腦的設定 參予的電腦都需要設定 需要用到 Windows Remote Management Service (winrm) Windows Event Collector Service (wecsvc) 使用 Winrm 來建立網路的 Listener Winrm create winrm/Config/Listener?Address=*+Transport=Http @{HostName=“Name”} Windows Firewall建立遠端桌面(Remote Desktop)的例外

Demo 事件轉送與訂閱 建立紀錄的訂閱功能

講題大綱 體驗Windows Vista的新事件記錄 工作排程的使用

工作排程概觀 Scheduled Tasks MMC Start Service 1 Send E-Mail Start Service 2

工作排程 在指定時間執行工作 在指定事件發生時執行工作 在使用者登入時執行工作 在電腦閒置時執行工作

工作排程設定 General: 名稱、說明 Triggers: 什麼時候要執行 ? Actions: 要執行什麼 ? Conditions: 執行條件 Settings: 工作的行為設定

Triggers

Actions

Demo 設定排程工作 建立與事件相關的工作排程 新的排程工作設定

講題總結 體驗Windows Vista的新事件記錄 新的架構 新的畫面 新的功能 工作排程的使用 固定時間 事件相關 登入 系統閒置

For More Information… TechNet Windows Vista www.microsoft.com/taiwan/technet Windows Vista www.microsoft.com/taiwan/windowsvista Windows Vista: Resources for IT Professional www.microsoft.com/technet/windowsvista/default.mspx MVP Community社群網站 www.microsoft.com/taiwan/community

Structured Event XML-based external presentation Get events Standard properties grouped under System element Developer-defined XML representation Get events Query from a across live logs or log files (including trace files) Subscribe to events across live admin and operational logs Render events Consistent XML and message formatting Extract values from XML using XPath <Event> <System> <Provider Name=" Microsoft-Windows-Demonstration" /> <EventID>101</EventID> <Level>2</Level> <Task>1</Task> <Keywords>1</Keywords> <TimeCreated SystemTime= "2005-03-24T17:50:23.125Z" /> <EventRecordID>119</EventRecordID> <Channel>Application</Channel> <Computer>mySystem</Computer> <Security UserID="" /> </System> <EventData> <data name=“Greeting”> Hello World! </data> </EventData> </Event>

Filters And Queries Simplify monitoring and diagnostics by finding events of interest Advanced XPath query functionality Event[System/EventID=101] Find selected events and filter out noise <QueryList> <Query> <Select>Event[System/Keywords=1]</Select> <Suppress>Event[System/Level>2]</Suppress> </Query> </QueryList> Query across live event logs and log files from Windows Vista, existing Windows event logs, and ETW trace files