مهندسی شبکه مایکروسافت

قسمت بيست و دوم


مي توانيم نتيجه auditing و سياست هايي كه اعمال كرديم را در اين قسمت بررسي كنيم.
علامت خطا به صورت يك ضربدر در يك دايره قرمز رنگ است و اهميت آن ار هر لحاظ بالاتر از بقيه ميباشد.
علامت اخطار يك مثلث زرد رنگ است كه داخلش علامت تعجب دارد. و از لحاظ اهميت بعذ از خطا قرار دارد.
علامت اطلاع تقريبا مثل يك حباب است و حرف" i" كه ابتداي كلمه information ميباشد داخل آن ميباشد. و از لحاظ اهميت در آخر قرار دارد.

حالا براي ديدن اخطارها،خطا ها و اطلاعات كه توسط سياست هاي اعمال شده ثبت ميشود مسير زير را دنبال مي كنيم:
روي my computer راست كليك مي كنيم و manage را انتخاب كرده در پنچره اي كه باز ميشود از شاخه system tools، event viewer را انتخاب مي كنيم.event viewer داراي 3 زير شاخه ميباشد:

1. Application: اخطارها (warning) ،خطاها (errors) و اطلاعات (information) مربوط به نرم افزارها اينجا ثبت ميشود.

2. System: اخطارها (warning) ،خطاها (errors) و اطلاعات (information) مربوط به سيستم عامل ويندوز و سرويسهاي ويندوز در اين قسمت ثبت ميشود.

3. Security: اخطارها (warning) ،خطاها (errors) و اطلاعات (information) مربوط به تنظيمات امنيتي ويندوز و موفقيت و يا عدم موفقيت (success يا fail) بودن آنها در اين قسمت ثبت ميشود.
نكته:اگر سرويسهاي ديگر در ويندوز نصب كنيم امكان اينكه شاخه هاي ديگر به اين قسمت اضافه شود وجود دارد (مثل DNS و دومين كنترل و...)


براي پاك كردن logها روي هر كدام از زير شاخه هاي application ، system و security كه راست كليك كنيم گزينه clear all event وجود دارد.
روي هر كدام از زير شاخه ها راست كليك كرده و properties را مي زنيم. در پنجره باز شده در general tab مي توانيم حداكثر اندازه logها را تعيين كنيم و در قسمت پايين آن مي توانيم تنظيم كنيم كه وقتي تعداد logها به حداكثر رسيد چه كار كند در واقع يعني وقتي logها پر شد چه اتفاقي بيفتد:
Overwrite events as needed: بعد از پر شدن حداكثر تعداد logها آن را باز نويسي (overwrite) كن.
Overwrite events older than..: بعد از اتمام 7 روز logها را بازنويسي كن. كه البته مي توان 7 روز را تغيير داد.
Do not overwrite events (clear manually): به هيچ عنوان logها را بازنويسي نكن. به صورت دستي logها را پاك مي كنيم.

اگر بخواهيم دنبال log بخصوصي بگرديم مي توانيم از طريق گزينه find و ****** اين كار را انجام دهيم:
در پنجره computer management در view tab گزينه find و ****** وجود دارد. هر كدام را بخواهيم مي زنيم.پنجره اي باز ميشود كه نوع event را كه مي خواهيم تعيين مي كنيم(مثلا خطا يا اخطار و...) و مشخصات log را مشخص مي كنيم.
Find و ****** چندان فرقي با هم ندارند. در ****** مي توانيم تعيين كنيم كه مثلا logهايي كه از فلان تاريخ و ساعت تا فلان تاريخ و ساعت را نمايش بده،سپس تمام logهايي كه با اين زمان تعيين شده match باشد را مي آورد. در واقع find براي پيدا كردن يك log خاص استفاده ميشود و ****** براي پيدا كردن مجموعه اي از logها. 
در پنجره ****** گزينه اي وجود دارد به نام using a low-speed connection اگر چك مارك اين گزينه را بزنيم فقط ليست logها را مي آورد و سرعت عملكرد بالا خواهد رفت.

Restore default: دكمه اي است كه در پنجرهاي مختلفي مثل find و ****** وجود دارد. با زدن اين گزينه تنظيمات پيش فرض ويندوز را بر مي گردانيم.

مي توانيم logها را ذخيره كنيم و حتي نامگذاري كنيم.به صورت پيش فرض در فولدر ويندوز در فولدر system32 در فولدري به نام security event ذخيره ميشود.