Auditando Eventos de Instalação de Patch em Servidores

Neste artigo vamos abordar uma ação que deveria ser frequente em ambientes administrados por mais de uma pessoa: verificação de eventos relacionados a instalação de Patches (atualizações de sistema). A Equipe de Gerenciamento acompanha de perto as ações da Equipe de Operações. Neste acompanhamento de tarefas e procedimentos, a Equipe de Gerenciamento verifica os logs de eventos dos Servidores contidos neste ambiente. Neste cenário, também é tarefa da Equipe de Gerenciamento verificar se as ações de instalação de atualizações foram acompanhadas de interrupções de funcionamento dos servidores causados por um RESTART do Servidor.

Solução:

Inicie o SERVER MANAGER (e busque no MENU TOOLS o EVENT VIEWER), ou na mesma tela digite a palavra EVENT (destaque em verde). Selecione o EVENT VIEWER,

image

Após iniciar a interface do EVENT VIEWER, selecione SETUP. Teremos os LOGS deste segmento agrupados conforme destacado em verde e a descrição um pouco mais detalhada mais abaixo na figura na região destacada em azul.

image

Neste exemplo precisamos investigar se a atualização de segurança KB2912390 foi instalada e se houve RESTART do Servidor em um momento próximo desta instalação.

Também possuímos evidências no LOG de SISTEMA (SYSTEM) destacada em vermelho. Temos os LOGS que estamos procurando (em verde) e a descrição dos mesmos logo abaixo (em azul).

image

Ainda precisamos de mais uma informação: as evidências de RESTART de um Servidor. Vamos buscar por ALGUNS EXEMPLOS DE EVENTOS filtrando em SYSTEM os eventos com ID 6005, 6006, 6008, 1074, 41.

image

image

image

image

image

Alguns outros eventos podem ser utilizados tais como: 1076, 109, 20.

Vale lembrar que são exemplos de evidências. Outros eventos mais ou menos relevantes podem ser adicionados para compor sua ferramenta de análise posterior.

image

image

image

image

Agora que possuímos alguns eventos que podem nos dar pistas do cenário o qual desejamos monitorar, vamos para o próximo passo.

Clique em CUSTOM VIEWES com o botão direito e selecione CREATE CUSTOM VIEW,

image

Preencha qual o LOG o qual deseja filtrar os eventos (destacado em vermelho), preencha os IDs dos eventos (destacado em verde)

Observe que os eventos foram separados pela caractere “,(VIRGULA).

Sobre os EVENTOS EXEMPLIFICADOS: considere apenas estes que utilizamos no POST apenas para exemplificar, ou você poderá considerar outros para compor o seu cenário.

image

Nomeie o filtro recém criado e organize da forma que julgar mais interessante. Criamos uma pasta chamada Conjunto Analise 01 para alocar o VIEW Customizada chamada Analise 01.

image

Agora basta analisar as informações já filtradas tendo como parâmetro todas as variáveis comentadas posteriormente:

image

Para finalizar, vamos investigar se a atualização de segurança KB2912390 foi instalada e se houve RESTART do Servidor em um momento próximo desta instalação.

Clique com o botão direito em Analise 01 (View Customizada) e selecione a opção FIND.

image

Digitando a informação desejada: KB2912390,

image

Encontramos as evidências necessárias para o processo de analise de LOGs,

Temos a descrição do evento (destacado em vermelho). Para navegar entre os eventos anteriores e sucessores basta utilizar as setas (destacadas em verde).

image

Segue a visualização de uma outra porção dos LOGs, possuindo as seguintes evidências:

Adicionando agora o EVENT ID 2, do LOG de SETUP,

image

Temos com bastante clareza a noção do processo como um todo:

Instalação de atualização (Eventos destacados em vermelho). RESTART do Servidor (eventos destacado em verde).

image

 

Conclusão:

Podemos criar VIEWS Customizadas para analisar um subconjunto de operações que fazem sentido em nossa estrutura. Estas VIEWS Customizadas agilizam o processo de análise pois eliminam eventos desnecessários ou externos ao contexto simplificando a leitura das informações.

  • Charles

    Parabéns!!! Artigo, claro, objetivo e dotado de telas o que ajuda e “muito” na compreensão. Existe alguma maneira nativa do Windows de nós alertar quando um log destes contiver por exemplo as palavras: Reset, Shutdown entre outras?