Administration de Windows Server 2012 R2: surveillance et audit – Serveur d’impression
Sommaire
Leçon 1: Surveillance des serveurs
Les serveurs non surveillés, comme les enfants non surveillés, se retrouvent invariablement dans un état chaotique. La surveillance d'un serveur à l'aide d'ensembles de collecteurs de données, d'alertes et d'événements vous permet de garder un œil sur les performances et la configuration du serveur. Bien qu'une surveillance efficace ne risque pas d'empêcher un serveur de rencontrer des problèmes, elle fournit souvent des signes d'avertissement concernant le développement de problèmes, vous donnant la possibilité de les résoudre avant qu'ils ne provoquent une interruption de service. Dans cette leçon, vous apprendrez à configurer des ensembles de collecteurs de données, à gérer les alertes, à surveiller les événements et à effectuer une surveillance du réseau.
Configuration des ensembles de collecteurs de données
Ensembles de collecteurs de données vous permettent de collecter des données de performances, des informations de configuration du système et des statistiques dans un seul fichier. Vous pouvez utiliser l'Analyseur de performances ou d'autres outils tiers pour analyser ces informations afin de déterminer dans quelle mesure un serveur fonctionne par rapport à une charge de travail affectée.
Vous pouvez configurer des ensembles de collecteurs de données pour inclure les éléments suivants:
- Données du compteur de performances L'ensemble de collecteurs de données comprend non seulement des compteurs de performances spécifiques, mais également les données générées par ces compteurs.
- Données de trace d'événement Vous permet de suivre les événements et les activités du système. Les données de trace d'événement peuvent être utiles lors du dépannage d'applications ou de services qui se comportent mal.
- Informations de configuration du système Vous permet de suivre l'état des clés de registre et d'enregistrer toutes les modifications apportées à ces clés.
Windows Server 2012 et Windows Server 2012 R2 incluent les ensembles de collecteurs de données intégrés suivants, comme le montre la figure 10-1.
FIGURE 10-1 Ensembles de collecteurs de données intégrés
- Diagnostics Active Directory Disponible si vous avez installé l'ordinateur en tant que contrôleur de domaine; il fournit des données sur l'intégrité et la fiabilité d'Active Directory.
- Diagnostique du systeme Vous permet de résoudre les problèmes liés au matériel, aux pilotes et aux erreurs d'arrêt.
- La performance du système Vous permet de diagnostiquer les problèmes de performances système lentes. Vous pouvez déterminer quels processus, services ou matériels peuvent entraîner des goulots d'étranglement des performances.
Pour créer un ensemble de collecteurs de données, procédez comme suit:
- Ouvrez l'Analyseur de performances dans le menu Outils de la console du Gestionnaire de serveur.
- Développez Ensembles de collecteurs de données.
- Cliquez sur Défini par l'utilisateur. Dans le menu Action, cliquez sur Nouveau, puis sur Ensemble de collecteurs de données.
-
Vous avez la possibilité de créer l'ensemble de collecteurs de données à partir d'un modèle, ce qui vous permet de sélectionner un ensemble de collecteurs de données existant ou de créer un ensemble de collecteurs de données manuellement. Si vous choisissez de créer un ensemble de collecteurs de données manuellement, vous avez la possibilité de créer un journal de données, qui peut inclure un compteur de performances, des données de suivi des événements et des informations de configuration du système; ou une alerte de compteur de performances. Ce choix est illustré à la figure 10-2.
FIGURE 10-2 Création d'un nouvel ensemble de collecteurs de données
-
Si vous sélectionnez Compteur de performances, vous choisissez ensuite les compteurs de performances à ajouter à l'ensemble de collecteurs de données. Vous spécifiez également la fréquence à laquelle Windows doit collecter les données des compteurs de performances. La figure 10-3 montre que les données sont collectées toutes les 15 secondes.
FIGURE 10-3 Définition d'un intervalle pour l'ensemble de collecteurs de données
-
Si vous choisissez d'inclure des données de suivi d'événements, vous devez activer les fournisseurs de suivi d'événements. Comme le montre la figure 10-4, un grand nombre de fournisseurs de trace d'événements sont disponibles avec Windows Server 2012 R2. Vous utilisez des fournisseurs de trace d'événements lors du dépannage d'un problème spécifique. Par exemple, le fournisseur de trace d'événements Microsoft Windows-AppLocker vous aide à diagnostiquer et à résoudre les problèmes liés à AppLocker.
FIGURE 10-4 Fournisseurs de trace d'événement
-
Si vous choisissez de surveiller les informations de configuration du système, vous pouvez sélectionner les clés de registre à surveiller, comme illustré à la figure 10-5. La sélection d'une clé parent vous permet de surveiller toutes les modifications du Registre qui se produisent sous cette clé pendant que l'ensemble du collecteur de données est en cours d'exécution.
FIGURE 10-5 Définition des clés de registre pour l'enregistrement
- Vous spécifiez ensuite où vous souhaitez stocker les données collectées par l'ensemble de collecteurs de données. L'emplacement par défaut est le dossier% systemdrive% PerfLogs Admin. Si vous avez l'intention d'exécuter l'ensemble de collecteurs de données pendant une période prolongée, vous devez stocker les données sur un volume distinct de celui qui héberge le système d'exploitation.
- La dernière étape de la configuration d'un ensemble de collecteurs de données consiste à spécifier le compte sous lequel s'exécute l'ensemble de collecteurs de données. La valeur par défaut est Système local, mais vous pouvez configurer l'ensemble de collecteurs de données pour utiliser n'importe quel compte pour lequel vous disposez des informations d'identification.
Vous pouvez planifier l'exécution d'un ensemble de collecteurs de données en configurant l'onglet Planification des propriétés d'un ensemble de collecteurs de données, comme illustré à la figure 10-6.
FIGURE 10-6 Configurer la planification de l'ensemble de collecteurs de données
Gérer les alertes
Compteur de performance alertes vous permet de configurer une tâche à exécuter lorsqu'un compteur de performances, tel que l'espace disque ou la mémoire disponible, tombe sous ou dépasse une valeur spécifique. Pour configurer une alerte de compteur de performances, vous créez un nouvel ensemble de collecteurs de données, choisissez l'option Créer manuellement et sélectionnez l'option Alerte de compteur de performances, comme illustré à la figure 10-7.
FIGURE 10-7 Configuration de l'alerte du compteur de performances
Vous ajoutez le compteur de performances, la valeur de seuil et si l'alerte doit être déclenchée si la valeur dépasse ou tombe en dessous de cette valeur. La figure 10-8 montre une alerte qui se déclenche lorsque la quantité de mémoire disponible tombe en dessous de 512 mégaoctets.
FIGURE 10-8 Définition d'un seuil d'alerte
Lorsque vous créez une alerte, tout ce qu'il fait lorsqu'il est déclenché est d'ajouter un événement au journal des événements. Vous pouvez également configurer une alerte pour exécuter une tâche planifiée lorsqu'elle est déclenchée. Pour ce faire, modifiez les propriétés de l'alerte et spécifiez le nom de la tâche planifiée sous l'onglet Tâche, comme illustré à la figure 10-9.
FIGURE 10-9 Exécution d'une tâche planifiée
Surveillance des événements avec la visionneuse
Observateur d'événements, illustré à la figure 10-10, vous permet d'accéder aux informations sur les événements enregistrés. L'Observateur d'événements Windows Server 2012 et Windows Server 2012 R2 diffère de l'Observateur d'événements dans les versions antérieures du système d'exploitation Windows Server, tel que Windows Server 2003, en ce qu'il offre non seulement les journaux d'application, de sécurité, d'installation et système, mais il contient également des journaux d'application et de service distincts. Ces journaux sont conçus pour fournir des informations par rôle ou par application, plutôt que de voir tous les événements liés aux services d'application et de rôle canalisés dans le journal d'application. Lors de la recherche d'événements liés à un service, une fonctionnalité ou une application de rôle spécifique, vérifiez si ce service, cette fonctionnalité ou cette application de rôle possède son propre journal d'application.
Filtres du journal des événements
Les filtres et les journaux d'événements vous permettent d'afficher uniquement les événements qui ont des caractéristiques spécifiques. Les filtres s'appliquent uniquement à la session actuelle de l'Observateur d'événements. Si vous utilisez constamment un filtre spécifique ou un ensemble de filtres pour gérer les journaux des événements, vous devez plutôt créer une vue personnalisée. Les filtres s'appliquent uniquement à un seul journal des événements. Vous pouvez créer des filtres sur un journal en fonction des propriétés suivantes:
- Connecté Vous permet de spécifier la plage de temps pour le filtre.
- Niveau d'événement Vous permet de spécifier des niveaux d'événement. Vous pouvez choisir les options suivantes: Critique, Avertissement, Verbose, Erreur et Information.
- Sources d'événements Vous permet de choisir la source de l'événement.
- ID d'événement Vous permet de filtrer en fonction de l'ID d'événement. Vous pouvez également exclure des ID d'événement spécifiques.
- Mots clés Vous permet de spécifier des mots clés en fonction du contenu des événements.
- Utilisateur Vous permet de limiter les événements en fonction de l'utilisateur.
- Ordinateur Vous permet de limiter les événements en fonction de l'ordinateur.
Pour créer un filtre, procédez comme suit:
- Ouvrez l'Observateur d'événements et sélectionnez le journal que vous souhaitez filtrer.
- Déterminez les propriétés de l'événement que vous souhaitez filtrer.
- Dans le volet Actions, cliquez sur Filtrer le journal actuel.
-
Dans la boîte de dialogue Filtrer le journal actuel, illustrée à la figure 10-11, spécifiez les propriétés du filtre.
FIGURE 10-11 Spécification des propriétés du filtre
Vues du journal des événements
Vues du journal des événements vous permet de créer des vues personnalisées des événements dans n'importe quel journal des événements stocké sur un serveur, y compris les événements dans le journal des événements transmis. Plutôt que de rechercher dans chaque journal des événements des éléments d'intérêt spécifiques, vous pouvez créer des vues du journal des événements qui ciblent uniquement ces éléments spécifiques. L'Observateur d'événements inclut une vue personnalisée nommée Événements administratifs. Cette vue affiche les événements critiques, d'avertissement et d'erreur à partir de divers journaux d'événements importants tels que les journaux d'application, de sécurité et système.
Les vues diffèrent des filtres des manières suivantes:
- Persistant Vous pouvez utiliser une vue sur plusieurs sessions de l'Observateur d'événements. Si vous configurez un filtre sur un journal, il n'est pas disponible la prochaine fois que vous ouvrez l'Observateur d'événements.
- Inclure plusieurs journaux Une vue personnalisée peut afficher les événements de journaux distincts. Les filtres se limitent à afficher les événements d'un journal.
- Exportable Vous pouvez importer et exporter des vues du journal des événements entre ordinateurs.
La création d'une vue du journal des événements est un processus similaire à la création d'un filtre. La principale différence est que vous pouvez sélectionner des événements dans plusieurs journaux, donner un nom à la vue du journal des événements et choisir un emplacement pour l'enregistrer. Pour créer une vue du journal des événements, procédez comme suit:
- Ouvrez l'Observateur d'événements.
- Cliquez sur le nœud Vues personnalisées, puis sur Créer une vue personnalisée dans le menu Actions.
-
Dans la boîte de dialogue Créer une vue personnalisée, illustrée à la figure 10-12, sélectionnez les propriétés de la vue, notamment:
- Lorsque les événements sont enregistrés
- Le niveau de l'événement
- De quel journal des événements tirer des événements
- Source de l'événement
- Catégorie de tâche
- Mots clés
- Utilisateur
- Ordinateur
FIGURE 10-12 Création d'une vue personnalisée
-
Dans la boîte de dialogue Enregistrer le filtre dans une vue personnalisée, entrez un nom pour la vue personnalisée et un emplacement dans lequel enregistrer la vue (voir la figure 10-13). Cliquez sur OK.
FIGURE 10-13 Saisie du nom de la vue personnalisée
- Vérifiez que la nouvelle vue est répertoriée comme son propre nœud distinct dans l'Observateur d'événements.
Vous pouvez exporter une vue du journal des événements personnalisé en sélectionnant la vue du journal des événements et en cliquant sur Exporter la vue personnalisée. Les vues exportées peuvent être importées sur d'autres ordinateurs exécutant Windows Server 2012 et Windows Server 2012 R2.
Configuration des abonnements aux événements
Transfert du journal des événements vous permet de centraliser la collecte et la gestion des événements à partir de plusieurs ordinateurs. Plutôt que d'avoir à examiner le journal des événements de chaque ordinateur en établissant une connexion à distance avec cet ordinateur, le transfert du journal des événements vous permet d'effectuer l'une des opérations suivantes:
- Configurez un ordinateur central pour collecter des événements spécifiques à partir des ordinateurs source. Utilisez cette option dans les environnements dans lesquels vous devez consolider des événements à partir d'un petit nombre d'ordinateurs uniquement.
- Configurez les ordinateurs source pour transmettre des événements spécifiques à un ordinateur collecteur. Utilisez cette option lorsque vous disposez d'un grand nombre d'ordinateurs à partir desquels vous souhaitez consolider des événements. Vous configurez cette méthode à l'aide de la stratégie de groupe.
Le transfert du journal des événements vous permet de configurer les événements spécifiques qui sont transmis à l'ordinateur central. Cela permet à l'ordinateur de transmettre des événements importants. Il n'est pas nécessaire de transférer tous les événements depuis l'ordinateur source. Si vous découvrez quelque chose qui justifie une enquête plus approfondie du trafic transféré, vous pouvez vous connecter à l'ordinateur source d'origine et afficher tous les événements de cet ordinateur de manière normale.
Le transfert du journal des événements utilise la gestion à distance de Windows (WinRM) et le collecteur d'événements de Windows (wecsvc). Vous devez activer ces services sur des ordinateurs qui fonctionnent comme des transmetteurs d'événements et des collecteurs d'événements. Vous configurez WinRM à l'aide de la commande winrm quickconfig. Vous configurez wecsvc à l'aide de la commande wecutil qc. Si vous souhaitez configurer des abonnements à partir du journal des événements de sécurité, vous devez ajouter le compte d'ordinateur de l'ordinateur collecteur au groupe Administrateurs local sur l'ordinateur source.
Pour configurer un abonnement aux événements lancé par le collecteur, configurez WinRM et le collecteur d'événements Windows sur les ordinateurs source et collecteur. Dans l'Observateur d'événements, configurez la boîte de dialogue Propriétés d'abonnement, illustrée à la figure 10-14, avec les informations suivantes:
- Nom de l'abonnement Le nom de l'abonnement.
- Journal de destination Journal dans lequel les événements collectés seront stockés.
- Type d'abonnement et ordinateurs source: initié par le collecteur Utilisez la boîte de dialogue Sélectionner des ordinateurs pour ajouter les ordinateurs à partir desquels le collecteur récupérera les événements. Le collecteur doit être membre du groupe Administrateurs local ou du groupe Lecteurs de journaux d'événements sur chaque ordinateur source, selon que l'accès au journal de sécurité est requis.
- Événements à collecter Créez une vue personnalisée pour spécifier les événements à extraire de chacun des ordinateurs source.
FIGURE 10-14 Configuration d'un abonnement aux événements initié par le collecteur
Si vous souhaitez plutôt configurer un abonnement initié par ordinateur source, vous devez configurer les stratégies de groupe suivantes sur les ordinateurs qui agiront en tant que redirecteurs d'événements:
- Configurer l'utilisation des ressources du redirecteur Cette stratégie détermine le taux de transfert d'événements maximal en événements par seconde. Si cette politique n'est pas configurée, les événements seront transmis dès qu'ils seront enregistrés.
- Configurer le gestionnaire d'abonnement cible Cette stratégie vous permet de définir l'emplacement de l'ordinateur collecteur.
Ces deux stratégies se trouvent dans le nœud Configuration ordinateur Stratégies Modèles d'administration Composants Windows Transfert d'événement. Lors de la configuration de l'abonnement, vous devez également spécifier les groupes d'ordinateurs qui détiennent les comptes d'ordinateurs des ordinateurs qui transmettront les événements au collecteur. Pour ce faire, dans la boîte de dialogue Groupes d'ordinateurs, comme le montre la figure 10-15.
FIGURE 10-15 Configuration des groupes d'ordinateurs d'abonnement pour l'abonnement
Attacher des tâches événementielles
L'Observateur d'événements vous permet d'attacher des tâches à des événements spécifiques. Un inconvénient du processus de création de tâches pilotées par les événements est que vous devez avoir un exemple de l'événement qui déclenche la tâche déjà présente dans le journal des événements. Les événements sont déclenchés en fonction d'un événement ayant le même journal, la même source et le même ID d'événement.
Pour attacher une tâche à un événement spécifique, procédez comme suit:
- Ouvrez l'Observateur d'événements. Recherchez et sélectionnez l'événement sur lequel vous souhaitez baser la nouvelle tâche.
- Dans le volet Actions de l'Observateur d'événements, cliquez sur Attacher une tâche à cet événement. L'assistant de création d'une tâche de base s'affiche.
- Sur la page Créer une tâche de base, vérifiez le nom de la tâche que vous souhaitez créer. Par défaut, la tâche est nommée d'après l'événement. Cliquez sur Suivant.
- Sur la page Lorsqu'un événement est enregistré, consultez les informations sur l'événement. Cela répertorie le journal à partir duquel l'événement est originaire, la source de l'événement et l'ID d'événement. Cliquez sur Suivant.
-
Sur la page Action, illustrée à la figure 10-16, vous pouvez choisir la tâche à effectuer. Les tâches Envoyer un e-mail et Afficher un message sont obsolètes et vous obtenez une erreur si vous essayez de créer une tâche à l'aide de ces actions. Cliquez sur Suivant.
-
Sur la page Démarrer un programme, illustrée à la figure 10-17, spécifiez le programme ou le script à déclencher automatiquement ainsi que des arguments supplémentaires.
-
Une fois la création de la tâche terminée, vous pouvez modifier la tâche pour spécifier le contexte de sécurité dans lequel la tâche s'exécute. Par défaut, les tâches d'événement ne s'exécutent que lorsque l'utilisateur est connecté. Vous pouvez configurer la tâche pour qu'elle s'exécute, que l'utilisateur soit connecté ou non, comme illustré à la figure 10-18.
Exécution de la surveillance du réseau
Surveillance du réseau vous permet de suivre la façon dont un ordinateur interagit avec le réseau. Grâce à la surveillance du réseau, vous pouvez déterminer quels services et applications utilisent des interfaces réseau spécifiques, quels services écoutent sur des ports spécifiques et le volume de trafic existant. Il existe deux outils principaux à travers lesquels vous pouvez effectuer une surveillance du réseau sur les ordinateurs exécutant Windows Server 2012 et Windows Server 2012 R2:
- Moniteur de ressources
- Analyseur de messages
Moniteur de ressources
Moniteur de ressources vous permet de surveiller la façon dont un ordinateur exécutant le système d'exploitation Windows Server 2012 et Windows Server 2012 R2 utilise les ressources CPU, mémoire, disque et réseau. Le moniteur de ressources fournit des informations en temps réel. Vous ne pouvez pas utiliser le Moniteur de ressources pour effectuer une capture de trafic et examiner une activité qui s'est produite dans le passé. Vous pouvez utiliser le moniteur de ressources pour afficher l'activité en cours. L'onglet Réseau du moniteur de ressources est illustré à la figure 10-19.
Le moniteur de ressources fournit les informations suivantes pertinentes pour la surveillance du réseau:
- Processus avec activité réseau Cette vue répertorie les processus par nom et ID; et fournit des informations sur les bits envoyés par seconde, les bits reçus par seconde et le nombre total de bits par seconde.
- Activité réseau Répertorie l'activité réseau par processus, mais répertorie également l'adresse de destination, les bits envoyés par seconde, les bits reçus par seconde et le nombre total de bits par seconde.
- Connexions TCP Fournit des informations sur les connexions en fonction de l'adresse locale, du port et de l'adresse et du port distants.
- Ports d'écoute Répertorie les ports et les adresses que les services et les applications écoutent. Fournit également des informations sur l'état du pare-feu pour ces rôles et services.
Analyseur de messages
Microsoft Message Analyzer est le successeur de Network Monitor. Vous pouvez utiliser Message Analyzer pour effectuer la capture et l'analyse du trafic réseau. Message Analyzer fonctionne également en remplacement de LogParser, qui vous permet de gérer les messages système, les événements et les fichiers journaux. Lorsque vous effectuez une capture, vous sélectionnez le scénario qui représente le mieux le type d'événement pour lequel vous souhaitez capturer du trafic. Par exemple, le scénario LAN, illustré à la figure 10-20, vous permet de capturer le trafic sur les interfaces de réseau local (LAN).
Lors de l'exécution de certains types de capture du trafic réseau, vous devez exécuter Message Analyzer à l'aide d'un compte membre du groupe Administrateurs local. Une fois la capture effectuée, vous pouvez analyser le contenu de chaque message, comme le montre la figure 10-21. En appliquant des filtres appropriés, vous pouvez localiser le trafic réseau qui présente des caractéristiques spécifiques, telles que l'utilisation d'un port TCP, d'une source ou d'une adresse de destination particuliers.
Résumé de la leçon
- Les ensembles de collecteurs de données vous permettent de collecter des données de compteur de performances, des données de trace d'événement et des informations de configuration du système.
- Les alertes de compteur de performances permettent d'écrire un événement dans le journal des événements et d'exécuter une commande lorsqu'un compteur de performances spécifié dépasse ou tombe en dessous d'une valeur configurée.
- Les filtres du journal des événements s'appliquent à un seul journal des événements et ne sont pas persistants.
- Les vues du journal des événements sont persistantes, peuvent inclure des éléments de plusieurs journaux des événements et peuvent être importées et exportées.
- Les abonnements aux événements vous permettent de configurer un ordinateur pour consolider les journaux d'événements de plusieurs ordinateurs.
- Les tâches pilotées par les événements vous permettent de configurer un programme ou un script à exécuter lorsqu'un événement spécifique est écrit dans le journal des événements.
- Message Analyzer, qui succède au Moniteur réseau, vous permet de capturer et d'analyser le trafic réseau.
Examen de la leçon
Répondez aux questions suivantes pour tester votre connaissance des informations de cette leçon. Vous pouvez trouver les réponses à ces questions et expliquer pourquoi chaque choix de réponse est correct ou incorrect dans la section «Réponses» à la fin de ce chapitre.
-
Vous souhaitez collecter des données d'utilisation du processeur, de la mémoire et de l'interface réseau sur plusieurs heures. Vous devez pouvoir revoir les données ultérieurement. Lequel des outils suivants devez-vous utiliser pour atteindre cet objectif?
- Moniteur de ressources
- Gestionnaire des tâches
- Ensemble de collecteur de données
- Analyseur de messages
-
Un service réseau particulier sur un ordinateur exécutant Windows Server 2012 R2 que vous êtes responsable de la gestion ne fonctionne pas correctement. Vous pensez que le service écoute sur un port TCP que le pare-feu Windows est configuré pour bloquer, mais vous ne savez pas quel port TCP le service utilise. Lequel des outils suivants devez-vous utiliser pour déterminer ces informations?
- Gestionnaire des tâches
- Moniteur de ressources
- Analyseur de messages
- Ensemble de collecteur de données
-
Lequel des outils suivants pouvez-vous utiliser pour capturer et analyser le trafic réseau?
- Ensemble de collecteur de données
- Analyseur de messages
- Moniteur de ressources
- Gestionnaire des tâches
-
Vous configurez les abonnements au journal des événements. L'ordinateur MEL-DC fonctionnera comme collecteur du journal des événements et les ordinateurs MEL-A, MEL-B et MEL-C fonctionneront comme sources du journal des événements. Vous souhaitez que MEL-DC collecte les événements des journaux de sécurité sur les ordinateurs MEL-A, MEL-B et MEL-C. À lequel des groupes de sécurité suivants sur MEL-A, MEL-B et MEL-C devez-vous ajouter le compte d'ordinateur de MEL-DC?
- Opérateurs de sauvegarde
- Utilisateurs expérimentés
- Lecteurs de journaux d'événements
- Administrateurs
Commentaires
Laisser un commentaire