Windows 2003 Event Log

• Emissores
• Tipos (graus) de severidade
• Emitir mensagens de log

Emissores

Basicamente qualquer entidade do sistema pode emitir mensagens para o log.

No entanto, os emissores são normalmente agrupados em grupos, o que motiva a caracterização das mensagens de log.

Tipicamente são considerados três tipos de emissores, correspondentes a outros três tipos de logs:

• SYSTEM log, diz respeito às mensagens emitidas pelos componentes básicos do sistema operativo (e.g. drivers);
• Security log, diz respeito às mensagens emitidas pelos componentes responsaveis pela segurança, nomeadamente no que respeita a acessos (login) ao sistema;
• APPLICATION log, diz respeito às mensagens de qualquer outra aplicação a correr no sistema.

Tratando-se o Windows Server 2003 dum servidor, existem ainda alguns outros grupos de eventos relacionados com serviços específicos:

• Directory Service log, respeitante às mensagens emitidas pelo Active Directory Service, nomeadamente falhas de conexão entre servidores e domínios;
• File Replication Service log, respeitante às mensagens do serviço de replicação de sistema de ficheiros, nomeadamente referentes às falhas de actualização entre servidores.

Tipos/graus de severidade

Tal como mostra a figura anterior, as mensagens são além do tipo de emissor, caracterizadas segundo o grau de severidades (type).

Existem os seguintes graus de severidade de mensagens:

• ERROR, deve ser usado em caso de eventos graves e com implicações imediatas;
• WARNING, deve ser usado em caso de eventos não necessariamente grave mas que possam ter consequências graves no futuro;
• INFORMATION, deve ser usado em casos de mera apresentação de informação, nomeadamente quando determinada tarefa se desenrolou com sucesso.

Os seguintes tipos/graus de severidade são usados apenas pelo serviço de monitorização (audit) do sistema de segurança:

• Success audit, é usado quando determinado evento de segurança ocorre com sucesso (e.g. login com sucesso);
• Failure audit, é usado quando determinado evento de segurança falha (e.g. tentativa falhada de acesso a determinado recurso partilhado).

Emitir mensagens de log

Na linha de comandos ou em batch, pode-se usar o comando eventcreate para gerar mensagens de log:

eventcreate
	/s Computador
	[/u Dominio\Utilizador [/p Password]]
	{[/l {APLICATION | SYSTEM} ] | [/so Nome_do_emissor]}
	/t {ERROR | WARNING | INFORMATION}
	/id ID_do_evento
	/d Mensagem

Última actualização: 31-10-2005