Discussion :

[carreau]

bonjour à tous,

J'ai une machine serveur (windows server 2003) qui plante ou plutôt qui 'frize'
Lorsque je regarde vite fait les journaux d’événements (rien que du standard et du 'par défaut'), je constate que 12 h environ avant le plantage, windows n'a plus rien noté dans le journal 'Application'
Les autres journaux système, sécurité etc ont gardé une activité (mais je ne sais pas encore comment les lire)
Quelle stratégie d'audit faut il mettre en place pour mieux détecter la cause de la panne ? Pour trouver l'élément de l'OS à l'origine du dysfonctionnement

Merci d'avance pour les pistes
Jerome

[Razorbak]

Bonjour,

Tu devrais regarder les autres evenements, ça se fait de la même maniére que pour les autres.
Si tu ne sais pas comment : Google : Consulter evenement windows server 2003.

Regarde les événements critiques, encore une fois si tu ne comprends pas l'erreur tu tapes sur google event id xxxx avec le numéro de l evenement.

Sa te permettras de comprendre ce qui ne va pas.

As-tu redemarrer ton serveur et fait les mises à jours depuis que ton probleme a eu lieu ?

Lors du reboot, as tu vu des messages d'erreur bizarre ?

[carreau]

ce que je comprends, c'est qu'il faut que j'attrape les événements qui se produisent juste avant la panne

hélas non , je n'ai pas eu accès à l'une des machines au moment du redémarrage

[Razorbak]

Regarde déja les evenements, tu pourras voir les evenement par type.
Les erreurs, les evenements critiques.

Essayent de redemarrer ton serveur et regarde ce qui ce passe, si il continue à frizer.

Tu as quoi comme role sur ce serveur ?

[carreau]

lorsque le serveur est redémarré, windows fonctionne normalement, jusqu'au freeze suivante (quelques heures ou quelques jours après)

J'ai des pouvoirs d'administration, mais je ne suis pas le seul à intervenir, je peux surtout faire des tests sur une machine qui ne plante jamais ...

sur cette machine de test, j'ai activé les audits d'accès au service d'annuaire, de connexion, d'accès aux objets, de suivi des processus, mais je ne sais pas les lire et je ne les vois pas dans l'observateur d’évènements ...

audit -> journal
suivi des processus -> Application ?
accès au service d'annuaire -> ou se trouve le journal EVT ?
connexion -> ou se trouve le journal EVT ?
accès aux objets -> Application ?

[Razorbak]

Quand tu cliques sur Démarrer -> Outil d'administration as tu ensuite accés à observateur d evenement ? car c'est la que tu auras tous les logs ?

Si tu as pas la, tu fais un click droit sur le nom de ton serveur puis Gerer

[carreau]

bien sur j'ai accès à l'observateur d'événements
comme le montrent mes captures d'écran,
mais je ne vois pas de journal dédié
ou je ne sais pas dans quel journal chercher les audit paramétrés

merci pour votre aide

[Razorbak]

Déjà parcours les explorateurs d événements au dates ou tu penses avoir eu les problèmes voir si tu ne vois pas une erreur ....

Et au fait tu as quoi comme rôle sur ce serveur ?

[carreau]

hélas, je n'avais rien vu dans les journaux à l'occasion des plantages passés

j'ai un rôle de maitrise d'oeuvre sur les applications métier et de maintien en bonne condition d'usage ; les OS doivent etre maintenus par d'autres personnes mais je dois aussi analyser les choses