Les fondements des réseaux : Le monitoring

Explorer l'observateur d'évènements

Testez gratuitement nos 1324 formations

pendant 10 jours !

Tester maintenant Afficher tous les abonnements
Votre formateur Augusto Simoes vous présente cet observateur de façon pratique afin de vous apprendre à l'utiliser.
09:05

Transcription

Donc je bascule sur ma machine. J'ai un serveur Windows présent qui va me permettre d'aller observer justement à traverser tout de suite, de l'observateur d'évènements, ce qui s'est un peu passé sur ma machine. L'outil observateur d'évènements, vous le retrouvez dans les outils d'administration de Windows. Donc moi, je raccourcis ici dans ma barre d'état qui va me permettre de lui lancer directement. Donc voilà à quoi ressemble cet observateur d'évènements qui est l'observateur d'évènement local de ma machine. Bien sùr à partir de celui-ci, je pourrais très bien ouvrir un journal déjà pré enregistré ou de connecter à distance, à une autre machine. Mais quand j'en parle qu'il y a beaucoup de serveurs vous imaginez bien que je ne vais pas aller ouvrir machine par machine le journal d'évènements, même à distance, pour voir ce qui se passe. Donc tout l'intérêt d'utiliser les outils de centralisation et de supervisation et notamment dans notre cas pour tout ce qui est journal d'évènements on va utiliser un outil, dont on parlera plus tard vers la fin de la formation qui est un outil de type Syslog. Donc on retrouve dans cet observateur d'évènements plusieurs dossiers et ces dossiers, bien sûr qui vont permettre de classer rapidement l'ensemble des informations. Déjà Présentation et synthèse ici, que l'on retrouve et je retrouve directement Alors référmez cette partie-là. Un résumé de ce qui se passe un petit peu sur ma machine. Voilà ce qui s'est passé un peu ces dernières heures, le 24 heures, 7 jours. Voilà donc d'erreures, donc d'avertissements, le nombre d'informations, les Succès et Êchec d'audit en directement vous trouvent ici. Donc ça me permet d'avoir une synthèse rapidement si j'en veux un. Ici je vois à peu près le nombre d'occurrence qui sont apparus sur la période. Donc soit les dernières heures, soit les dernières 24 heures, ou encore les derniers 7 jours. Ici je reprends donc menu, donc je vais retrouver ici, dans cette partie-là une vue synthétique de l'ensemble des journaux avec quand est-ce qu'ils ont été créés les dates de modifications. Et enfin les résumés, ici au niveau des journaux qui existent. Et je retrouve notamment leur taille, donc le nom de tous les journaux qui existent dans la première colonne, dans la seconde: la taille actuellement la date de modification ici sont Activé. Et puis les stratégies de rétention. Est-ce qu'on garde et on conserve tous les enregistrements? Ou lorsque la taille maximale est en attente, on remplace les évènements les plus anciens pour pouvoir créer les nouveaux. Donc ce sont les stratégies de rétention qui sont faites liées aux propriétés de journal en lui-même Donc dans cet observateur d'évènements vous allez pouvoir créer des affichages personnalisés. On a déjà des affichages qui sont crées initialement par le système, puisque ma machine est un serveur donc on là déroule des services qui tournent et chaque service installé vient créer en fait sa propre vue ce n'est pas un journal, c'est une vue, en fait des données des journaux. Et puis moi utilisateur ou administrateur, je veux très bien venir créer une vue personnalisée, basée sur un niveau d'évènements, un journal spécifique, des mots-clés, par exemple. Et donc ce journal apparaitra ici et en fait, il me permet de filtrer l'ensemble des donées qui seront dans les journaux. Donc les journaux, les voici. Je vais retrouver premièrement les journaux de ma machine, donc là, c'est la machine de Windows, donc ce sont les journaux de Windows. Mais si vous avez un système Linux, vous avez également des journaux systèmes, vous avez notamment les journaux du Carmel et ces genres des choses. Je vais trouver ici mon journal d'apllications avec les erreurs, et si c'est rouge, ce n'est pas bon. Erreur ce n'est pas bonne, mais ce n'est pas grave C'est tout simplement une erreur de mon service qui est mon autorité de certification, par exemple qui ne peut pas publier les listes de révocation, tout simplement parce qu'elles cherchent une machine qui s'appelle comme ça. Et cette machine était éteinte, donc forcément cette machine est éteinte, ça ne peut pas fonctionner Je retrouve ici une première catégorie d'erreurs. Ensuite si je prends une information, voilà j'ai une base de données qui a démarré. Et si je redescends, je vais trouver visuellement un petit Warning. Peut-être j'en trouvais en d'autres journaux. Si tout va bien, j'ai pas de Warning, je n'ai que des informations ou quelques erreurs, tant mieux. Passons devant la sécurité, on va sûrement trouver au journal système. La sécutité donc je vois par exemple, mes résultats de l'autdit, les échecs, les réussites. Pourtant seulement les succès, voilà, ils sont là. Eh bien sûr, je peux voir l'ensemble des informations de ce qui se passe et de ce qui s'est passé. Donc ça au moins, ça me donne vision un peu près de ce qui se passe en ma machine. Le journal d'installsation, donc c'est pareil là donc je vais retrouver un peu près ce qui se passe au niveau installation sur ma machine. Et je veux voir la suite, le tracer. Et enfin j'ai un nouveau système qui a plusieurs services systèmes de ma machine, à proprement parler. Notamment là-dedant, je vais trouver tout ce qui est lié au démarrage de service. Est-ce que ça bien a démarré, est-ce que ça s'est arrêté, voilà, un petit avertissement, j'avais en retrouvé un. Ici et je peux regarder ce qui se passe. Voilà, là il me dit: « Le disque Z: est sur le point d'être saturé. Vous devrez peut-être supprimer des fichiers ». Et effectivement je pense que si je vous montre mon disque Z, il n'y a pas que disque Z, d'ailleurs Donc forcément le système commence à relier un petit peu Voyez ces genres d'évènements et ces genres d'occurrences qu'il est important de tracer, parce que quand ça commence à arriver forcément ça va pas durer longtemps ou par exemple, on est dans le cas d'un disque, bien sûr, ça peut être un service, beaucoup plus important. Enfin Microsoft, puisque là, je suis sur la système encore une fois Windows, a implémenté depuis quelques versions donc on l'appelle le transfert des évènements. C'est pas du Syslog, Attention !!! Mais c'est le même principe. [inaudible] tous mes serveurs et toutes mes machines de Windows, sont capables d'envoyer l'enseble de leurs journaux, ici, vers un emplacement centralisé, c'est presque du Syslog, mais Attention!!! ça ne fonctionne malheureusement qu'avec le système Windows, aussi pas du tout protocole Syslog. Contraire à ça, le protocole est le propriétaire Microsoft, et en plus, on utilise un canal très spécifique puisque on en capsule que le tout. Il y a une collection HTTP ou HTTPS. Donc en fait, je vais pouvoir récupérer ici l'ensemble des évènements qui étaient transférés vers ma machine, à partir d'autres machines et là, j'ai ce cas. J'ai une autre machine sur le réseau, quelque part qui a envoyé des évènements qui sont produits sur son système, ici dans ma console, de gestion d'observateur d'évènements Donc je peux visualiser sans même ouvrir une session sur la machine dinstante, ou l'ensemble des données que j'ai sélectionné. Et puis enfin, comme je suis sur un serveur j'ai tout un tas de rôles, tout un tas d'application et de services qui sont installés. Eh bien, depuis aux quelques versions, Microsoft a également implémanté des journaux spécifiques, certaines application et certains services. Et notamment, dès vous installez un nouveau rôle, un nouveau service, eh bien souvent, vous aurez un nouveau journal qui sera crée ici, dans ce dossier «Journaux des applications et des services » Notamment, puisque mon serveur est un contrôleur de domaine je retrouve un journal lié à mon service d'annuaire Active Directory. Et là, je vois quelques avertissements bah, notamment je vois que ma partition d'annuaire n'a pas été sauvegardée depuis un nombre de jours assez important. Ou si c'est trop avancé, [inaudible] une machine de test les sauvegarde, c'est pas très gênant. Je reprends par exemple là-bas, dans le journal de mon serveur DNS, mon service DNS est également là, où j'ai des transferts qu'on était faits, j'ai des avertissements, donc indique que la synchronisation initale du répertoire est terminée, ce genre de choses. Et plus vous rajouterez le rôle au niveau de vos serveurs, ou d'application de servicees particuliers, et bien, plus vous aurez des journaux ADAM. Et donc d'intéressons venir quand même regarder, un petit peu ce qui se passe dans ces journaux et de pouvoir récupérér ces infomrations. Et ici je vais retrouver des Abonnements. En fait, mes Abonnements, c'est tout simplemet la création de récupération d'information d'une machine distante, pour la centralisation ici, et c'est l'ensemble de ces évènements que je vais retrouver dans Évènements transférés. Donc quand je crée un Abonnement va en machine distance, la machine distance va venir envoyer l'ensemble des données. J'ai séléctionné, puisque j'ai pas pu tout prendre, je peux pas prendre toutes les données du journal de son journal d'applications sécurité ou encore de l'installation du système uniqement les données que j'ai récupérées. Par exemple, là, j'ai un Abonnement pour cette machine si je prends les propriétés de celle-ci. Les ordinateurs, cette machine-là, et maintenant si je prends mes évènements, si je fais « Modifier » Qu'est-ce que j'ai choisi? J'ai choisi uniquement les 7 derniers jours de cette machine. Mes évènement de niveau critique, erreur, information, avertissement et uniquement dans le journal. Voyez, si j'ai un petit peu de ça application sécurité et système. Si ma machine avait des rôles spécifiques, j'aurais pu venir choisir un journal spécifique pour récupérer ces informations, pour les centralisersur mon serveur. Et après, j'aurai pu filtrer bien sûr sur des mots-clés en plus, ou encore même sur des utilisateurs, par exemple directement. Donc voilà pour l'observateur d'évènements, c'est un premier outil de surveillance, c'est pas encore un outil de supervision. Mais malheureusement, c'est un outil qui est bien souvent un peu oublié par des administrateurs Alors qu'en fait c'est le permier outil de diagnostique et de survéillance c'est très important. Je vais en effet voir des informations qui vont me permettre de réagir avant qu'un véritable problème survient. Voilà donc pour l'observateur d'évènements qui est le premier outil qu'on va pouvoir utiliser.

Les fondements des réseaux : Le monitoring

Gardez une vision cohérente et centralisée de l'état de l’équipement présent sur le réseau. Découvrez les outils permettant le maintien du parc informatique de votre entreprise.

2h28 (22 vidéos)
Aucun commentaire n´est disponible actuellement
 
Spécial abonnés
Date de parution :15 mars 2016

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !