事件查看器提供查看、过滤和搜索事件日志的功能。但是事件查看器不提供将事件日志导出到其它应用程序,比如说导入到数据库的功能。如果你在故障论断或者跟踪潜在的安全漏洞的时候需要查看日志的详细信息,这个功能相当有用,另外在产生报表的时候也是相当有用。
Windows 2000 Resource Kit中的Event Log Query工具(Elogdmp.exe)可以用于查看和导出事件日志。Elogdmp.exe是一个控制台命令,它可以将一个指定的日志显示到屏幕上或者以一种逗号间隔的格式转储到文件中。Elogdmp.exe为每个事件导出日期、时间、来源、类型、分类、事件ID、用户和计算机等字段。
Elogdmp.exe不仅可以转储本地事件日志,还可以通过网络转储其它计算机上的日志。这个功能使得Elogdmp.exe成为一个有用的远程管理工具。
下面是Elogdmp.exe的一般语法:
Elogdmp.exe <ComputerName> <EventLog>
其中<ComputerName>是指存有日志的计算机名,而<EventLog>是指日志的名字,比如说可以是System、Application、Security、DNS Server、Directory Service或者File Replication Service。如果事件日志的名字包含有空格,要对其名字使用引号。
如果你需要将数据导入到Access、SQL Server或者其它的数据库应用程序来分析和制作报表,可以使用重定向符号[>]将结果重定向到一个文件中。
不论你的组织是有一个大的网络还是小的网络,密切注视网络的流量始终都是一个好主意。例如,你可能需要跟踪访问未经授权的并且你的防火墙的内容过滤器没有过滤掉的Web站点,找出连接问题,或者确定计算机是否产生了过多的流量。
网络嗅探器是一个在数据帧(包)一级分析网络通信内容的设备或者应用程序,使用它可以查看单个数据帧的内容。典型的嗅探器都能根据它们收集的信息创建报表和完成其它任务。
Windows 2000 Server本身包含一个网络嗅探器。网络监视器(Network Sniffer)可以捕获本地服务器发出和收到的包。网络监视器默认是不安装的,但是你可以通过控制面板中的添加/删除程序来添加它。在添加/删除Windows组件列表的管理和监控工具下面可以找到网络监视器。
在安装了网络监视器之后,你就可以开始捕获服务器发出和收到的数据帧了。你可以查看数据,对数据进行过滤只查看特定的数据包,还可以以其它方式操纵数据来解决你想要解决的问题。
Windows 2000 Server的网络监视器版本不能捕获客户计算机或其它服务器的网络数据,但是你可以使用微软系统管理服务器(SMS)的版本实现这一功能。
