Log Fil Analyser. Lars Hejlund IMM-B.Eng

Transkript

1 Log Fil Analyser Lars Hejlund IMM-B.Eng DTU-vejleder: Klaus Poul Thiesen Virksomhed vejleder: Bent Okholm Virksomhed: Implement / Okholm Informatik A/S

2 Technical University of Denmark Informatics and Mathematical Modelling Building 321, DK-2800 Kongens Lyngby, Denmark Phone , Fax

3 ii Summary During the last ten years, the use of IT in companies has increased, including the use of software. With this increase, the number of errors encountered has increased too. Searching and correcting errors is a time consuming process, as it is needed to analyse where the error occurred before the correction can be done. Normally, programs can use Windows Event Log or log files to save information about which operation it has done and what errors that has happened. The project is based on a research where I asked several companies about theirs use of log files and event log. In this report I will explain how I analysed, designed and created a program that can find all log files in a system, and show a combined result of what errors there had been registered. Before I could create the program I had to analyse log files and event log to know its structure and what kind of information it was possible to get.

4 iii

5 iv Resume Inden for de sidste par år er brug af IT i virksomheder steget. Herunder brug af software. Med det øgede forbrug er forekomsten af fejl også forøget. At lave fejlfinding er en tidskrævende proces, da der først skal analyseres hvor fejlene er før de kan løses. En del programmer samler sine oplysninger i en fil, normalt benævnt logfil, hvorigennem alle oplysninger omkring hvad programmet har udført og fejlmelding bliver gemt. Udover logfiler, så har Windows sin egen logbog som indeholder lignende log informationer. Denne eksamensrapport skal bruges til fortælle om udarbejdelse af en løsning som kan formindske den tid det tager at analyserer og finde frem til hvor fejlene er og hvilke slags fejl der er tale om. I rapporten vil der, på baggrund af en spørgeundersøgelse til virksomheder omkring deres anvendelse af logfiler og logbøger, blive foretaget en analyse over hvordan logfiler og logbog er struktureret, hvilke informationer man kan få samt hvordan man kan få fat i de informationer og fremvise dem. Herudover vil der være en analyse og design af hvordan man ved brug moduler og MVC metoden, kan få udviklet og afprøvet et program der kan gå ind og finde, behandle og analysere logfiler samt hvordan program kan oprette rapporter over resultaterne.

6 v

7 Indholdsfortegnelse Summary...ii Resume...iv Indholdsfortegnelse Projektbeskrivelse Kravspecifikation Spørgeundersøgelse Formål med undersøgelsen Resultat Konklusion Afgrænsning Systemanalyse Logbog og logfiler Definition af logbog Hvad er en logbog Hvordan er logbogen struktureret Hvordan er en hændelse struktureret Hvilke informationer er der i en hændelse Definition af logfiler Hvad er en logfil Hvordan er en logfil struktureret Hvordan er en meddelelse struktureret Hvilke informationer er der i en meddelelse Logbog versus logfiler Hvilke informationer er der behov for Med og uden struktur Definition af typen: fejl, advarsel og oplysning Bruger interesserede emner Overskuelighed af output Inputmodul Formål Input Behandling Output Eksempel: Behandlingsmodul Formål Input Behandling Output Analysemodul Formål Input Behandling Output...34

8 5.8 Outputmodul Formål Input Behandling Output Service modul Formål Input Behandling Output Konfigurationsmodul Formål Input Behandling Output Databehandling Hvad slags data bliver der arbejde med Opbevaring af data Afgrænsning til prototype Design Model-View-Controller Entity Relationship Diagrams Use cases Use case: Opret inputprofil Use case: Opret inputrapport Use case: Opret behandlingsprofil Use case: Opret behandlingsrapport Use case: Opret analyseprofil Use case: Opret analyserapport Use case: Vis rapport Sequence diagram SD: Opret inputprofil SD: Opret inputrapport SD: Opret behandlingsprofil SD: Opret behandlingsrapport SD: Opret analyseprofil SD: Opret analyserapport SD: Vis rapport Klassediagram Implementering Test Opret inputprofil Opret og vis inputrapport Opret og vis behandlingsrapport Opret og vis analyserapport...64

9 10. Udvidelser Begrænsning af datamængde Logdata Behandling versus Analyse Konklusion Ordforklaring Generelle ord Ord i rapporterne Kildeliste...74 Bilag...1 Indholdsfortegnelse...2 Bilag 1: Spørgeskema: Anvendelse af logfiler...3 Bilag 1: Spørgeskema: Anvendelse af logfiler...3 Bilag 2: Resultat af spørgeundersøgelsen...4 Bilag 3: Analyse af logfiler...5 Bilag 4: Eksempler på strukturbeskrivelser...6 Bilag 5: Inputrapport...7 Bilag 6: Behandlingsrapport...8 Bilag 7: Analyserapport...10 Bilag 8: Eksempel på en ordliste og ekskluderingsliste...12 Bilag 9: Klassediagrammer...13 Bilag 10: Implementering af inputmodulet...14 Bilag 11: Implementering af behandlingsmodulet...15 Bilag 12: Implementering af analysemodulet...18 Bilag 13: Implementering af outputmodulet...19 Bilag 14: Implementering af konfigurationsmodulet...26 Bilag 15: Implementering af database kontroller...27

10 9

11 Kapitel Projektbeskrivelse

12 11 IT kom til Danmark i 1950 erne (DASK) og lige siden er IT blevet udbredt år for år. Når man i dag læser i pressen står der, at Danmark er blandt de førende IT nationer. Dette betyder at langt de fleste virksomheder anvender og er afhængig af IT i en eller anden form. Nogle virksomheder anvender specialsystemer i forbindelse med deres produktion, f.eks. reservationssystemer. Andre virksomheder anvender standard systemer til deres administration f.eks. Microsoft Dynamics og Navision, Vista og SAP og Movex og endnu flere anvender Microsoft kontor-programmer til deres daglige rutiner. Med andre ord er der skabt en stærk afhængighed af IT i de fleste virksomheder. Når virksomhederne er så afhængige af IT som det er skitserede ovenfor, er der et naturligt behov for at der også sikres en høj driftsstabilitet. Ofte når man taler med IT-afdelinger taler de om tilgængelighed til systemerne på mere end 99 % af produktionstiden. For at kunne leve op til det er det nødvendigt at udføre såvel forebyggende som opfølgende vedligeholdelse, f.eks. ved kontrol af diskplads, driftsinformationer og backup. Det er ikke ualmindeligt at mange først griber ind når fejlen er opstået. Grunden hertil kan skyldes at man ikke foretager tilstrækkelig forebyggende vedligeholdelse, endsige ved hvad man skal gøre når fejlen opstår. Windows styresystem har en indbygget logbog (event log) til at opsamle informationer om programmernes afvikling samt advarsler og decideret fejlmeldinger. Ligeledes har mange software producenter indbygget deres egne definerede funktioner til at opsamle data om programmernes afvikling og fejlsituationer. De beskrevne informationer, der løbende opsamles, kan anvendes til at diagnosticere systemets tilstand. Da man kunne få det indtryk at disse informationer relativt sjældent anvendes har jeg som en del af opgaven valgt at udsende et spørgeskema til en mindre gruppe virksomheder. Målet med spørgeundersøgelsen var at fastslå om virksomhederne anvender logfiler eller logbog, i hvilken forbindelsen de blev anvendt samt finde ud af virksomhedernes behov for et hjælpeværktøj der gør anvendelse af logfiler og logbog mere effektiv, herunder ved analyse af alt det logdata som hele tiden indsamles. Baseret på informationerne om hvordan virksomhederne anvender event logs og logfiler, samt deres interesse i et analyse og rapporteringsværktøj, vil jeg undersøge logfiler og Windows event log, med henblik på hvordan det kan anvendes til at opretholde systemer stabile og være sikker på der ikke forekommer graverende fejl, samt at finde frem til hvilke slags informationer virksomhederne ønsker at anvende for at være sikker på om systemerne fungere som de skal. På baggrund af virksomhedernes behov for et hjælpeværktøj der kan undersøge systemers logdata, vil jeg opsætte krav samt udarbejdes en analyse og et design til hvordan man, på forkant, kan gøre det muligt for virksomheder at være informeret om mulige fejl. Ved at anvende hjælpeværktøjet skal det også undersøges hvordan det kan gøres mere enkelt for virksomhederne at foretage forebyggende vedligeholdelse, herunder ved at kunne finde frem til hvor fejlene er samt hvilke slags fejl der er tale om og fremvise dette på effektivt måde. Herudover skal jeg også undersøge hvordan den tid en bruger skal anvende på at udføre vedligeholdelse kan formindskes, bl.a. ved automatisk overvågning af systemer og som rapportere når der sker ændring i systemernes logdata.

13 12 I eksamensprojektet vil der på baggrund af designet udvælges et område hvorfra der skal udvikles en prototype. Prototypen skal gøre det muligt for virksomheden at vælge en eller flere logfiler i deres system og køre den igennem en analyseproces. Efter analysen af de valgte logfiler skal resultatet vises på en overskuelig måde, således at der ikke er i tvivl om indholdet af de forskellige informationer og at brugeren nemmere kan gå ind og se fejl og advarsler, og derefter foretage det nødvendige. Løsningen er specificeret til at skulle udvikles i form af et software program. For at løsningen bliver optimal, herunder med hensyn til anvendelse og evt. videreudvikling, er det krav at udviklingen bliver opbygget med tanke på en modul baseret struktur. Grundmodellen omhandler minimum 4 moduler: input, behandling, analyse og output; se tegning 1. Løsningen kan også indeholde et modul (service) som automatisk vil kontrollerer specifikke logfiler og processer på udvalgte tidspunkter. Inputmodulet Tegning 1: Sammenhængen mellem modulerne. Input modulet skal bruges til at gennemsøge systemet efter logfiler. Input til dette modul er brugerens valg af angivelser af placeringer i systemet og navne på logfilerne. Modulet laver herefter en behandling hvor den finder alle de filer som passer på brugeren krav Efter søgningen er færdiggjort skal systemet (outputmodulet) kunne vise en liste over de logfiler der er blevet fundet. Ud fra denne liste har brugeren mulighed for at vælge hvilke logfiler der skal behandles og hvor stor en dybdegående behandling der skal udføres. Behandlingsmodulet: Behandlingsmodulet bruges til at udføre den generelle analyse af logfilerne. Her vil der blive lavet en analyse over de forhold der gælder for alle slags logfiler, herunder: - Hvornår logfilen er oprettet - Tidspunkt for sidste ændring - Antal poster i filen - Antal ens poster i filen

14 13 Analysemodulet: Analysemodulet er det modul der tillader brugeren at udarbejde en specialiseret analyse af de enkelte logfiler. Med denne mere dybdegående analyse er det muligt at lave analyse af en bedre kvalitet end den generelle, eftersom man her kan gå ind og tage hver meddelelse linie for linie. For hver enkelt meddelelse er det så muligt at undersøge hvilken type meddelelse der er tale om og hvilket tidspunkt meddelelsen er blevet tilføjet til logfilen. Meddelelsestypen er grundlæggende opdelt i tre kategorier: fejl, advarsel og information. Med dette modul vil det også være muligt at lave en afgrænsning af hvilke slags meddelelsestyper der vises, idet der skal være mulighed for brugeren at lave en brugersøgning ud fra meddelelsesteksten. Yderligere skal det også være muligt at gruppere forskellige meddelelser under en slags fejltype. Outputmodul: Output modulet er den modul der sørger for at vise resultatet af de forskellige analyser. For at have et resultat af en god kvalitet er det et krav at følgende information bliver vist til brugere: - Fejl, advarsler og information. - Oprettelse af logfilen - Antal poster i filen - Antal ens poster i filen - Tidspunkt for sidste ændring - Tidspunktet for hver meddelelse - Hyppigheden for en bestemt meddelelse. Ud fra de nævnte punkter skal det være muligt for at brugeren selv at vælge de punkter der anses som relevante. Derfor skal brugeren have den mulighed at: - Vælge hvilke meddelelsestyper der skal vises. - Lave en angivelse og sortering af det tidsinterval man ønsker at analysere under - Angive en hyppighedskvotient, som angiver hvor stor hyppigheden for en meddelelse skal være for at blive fremhævet. Analyserapporten skal kunne gemmes på computeren, med den mulighed for brugeren at kunne lave et print. Denne rapport må kun være på 1 side for at beholde overblikket. Filformat der skal gemmes i skal være i formatet PDF eller TIFF. Serviceprogram: Med service programmet skal det være muligt at køre analyser af specifikke logfiler i baggrunden på selvvalgte tidspunkter. Ud over at en analyse skal kunne gemmes som en fil på computeren, så skal det også være muligt for brugeren at vælge om rapporten ønskes udskrevet på en printer eller sendt som en .

15 Kapitel Kravspecifikation

16 15 For at udvikle en løsning som opfylder brugerens behov er det nødvendigt at opsætte nogle krav til løsningen. For at brugeren skal få mest ud af løsningen er det et krav at programmet er informativt, overskueligt, enkelt og intuitivt at anvende, samt at der skal bruges så lidt tid som muligt på at udføre en analyse. Med informativt menes, at programmet skal kunne fremvise en oversigt over alle de informationer der er i systemets logfiler, dvs. de logfiler der er i et operativsystem og de logfiler der oprettes af andre programmer. For at gøre det mere overskueligt er det nødvendigt at brugeren kan opsætte afgrænsninger over de informationer der ønskes medtaget eller fravalgt ved fremvisning af den enkelte undersøgelse. Brugeren skal kunne vælge hvilke logfiler der ønskes medtaget i analysen, ved f.eks. at angive de(n) filtype(r) der skal søges efter samt om nødvendigt, hvilke placeringer der skal søges i. Selve fremvisningen af informationer skal være overskuelig, således at der ikke er nogen tvivl om hvad slags information det drejer sig om. Dette gælder specielt med angivelse af hvilke fejl der er tale om og hvor fejlene er placeret. For at gøre programmet simpelt og intuitivt at bruge er det et krav at der anvendes udtryk som er selvforklarende og at der understøttes forskellige sprog. For at brugeren skal anvende så lidt tid som muligt skal der kunne oprettes brugerprofiler, der skal indeholde de valg der er truffet med hensyn til afgrænsning af informationerne og valg af filer, således at brugeren ikke behøver at lave de samme valg hver gang der skal udføres en analyse. Det skal også være muligt for brugeren at overvåge bestemte filer, hvoraf brugeren derved kan få en notifikation i det øjeblik der sker en ændring i specifik logfil. For at programmet skal kunne afvikles med regelmæssige mellemrum er der behov for og krav til vedligeholdelse og sikkerhed. Med hensyn til vedligeholdelse er det et krav at der er rutiner for oprydning så systemet ikke løber fuld med manglende diskplads til følge. Dette betyder at systemet skal udvise forbruget af plads og i hvor lang tid informationerne må opbevares i systemet. Af sikkerhedsmæssige hensyn skal det være muligt at angive hvem der har lov til at bruge systemet.

17 Kapitel Spørgeundersøgelse

18 17 For at undersøge hvor stort et behov der er for denne løsning er der gennemført en spørgeundersøgelse hos et mindre antal virksomheder. Undersøgelsen blev udført ved at udsende et spørgeskema (se bilag 1) til de virksomheder der var blevet kontaktet og som ønskede at deltage. 3.1 Formål med undersøgelsen Målet med spørgeundersøgelsen var at få afdækket om der er behov i virksomhederne for et værktøj til at undersøge deres systemers tilstand i forbindelse med forebyggende vedligeholdelse. Derfor ønskede jeg oplyst om de anvender Windows event log og/eller logfiler, samt i hvilken forbindelse og hvor ofte virksomhederne anvender dem.. I undersøgelsen spurgte jeg også ind til, hvor interesseret virksomhederne er i en sådan løsning. Ud fra hvordan virksomhederne besvarede de stillede spørgsmål om hvordan de anvender event log og logfiler samt deres interesse for en løsning vil denne information indgå ved opgaveløsningen. 3.2 Resultat Ved at samle alle svarmeldinger (se bilag 2) fandt jeg frem til, at alle deltagende virksomheder anvender event loggen og at 6 ud af 7 virksomheder anvender logfiler. Hyppigheden for hvor ofte virksomhederne anvender logfilerne er, at 5 ud af 7 virksomheder gennemgår deres logfiler dagligt. Med hensyn til en systematisk analyse af filerne, så er der 1 virksomhed der analyserer dem dagligt, 2 der gør det ugentligt og 2 virksomheder månedligt. Man kan se at virksomhedernes anvender logbog og logfiler i forbindelse med fejlsøgning og for at være sikker på at systemet køre som planlagt. Herudover kan man se, at de fleste anvender systemer til at overvåge logbog og logfiler og at der er generel tilfredshed med hvordan de på gældende systemer virker. Over halvdelen af deltagerne i undersøgelse angav, at de synes der er behov for en løsning der kan lave en rapport over indhold af logfil og event log. 3.3 Konklusion Resultatet af denne undersøgelse har vist et behov for et værktøj der kan gå ind og samle oplysninger fra event log og forskellige logfiler. Ud fra resultat kan jeg konkludere at der er et behov for at udvikle en løsning som kan gøre det nemt for brugeren at lave fejlsøgning i logfiler og logbogen og at der skal være mulighed for at får en rapport over søgningen.

19 Kapitel Afgrænsning

20 19 Ved den indledende opgavedefinition er der fortaget følgende afgræsninger, der senere i opgaven er fulgt op af en afgræsning i forhold til den konkrete eksamensopgave og den tidsramme der er defineret hertil. Opgaven vil kun omfatte systemer der bliver afviklet under Windows operativsystem, og det er kun de mest forekommende logfiler der vil indgå ved opgavens løsning. Under analysefasen vil der blive nævnt udtryk som har forbindelse med analyse af logfiler i større netværk. Jeg har dog valgt ikke at gå i dybden med dette, men i stedet koncentrere mig om analyse af logfiler på én enkelt maskine.

21 Kapitel Systemanalyse

22 21 Ud fra spørgeundersøgelsen og kravspecifikation er der blevet dannet en ramme for hvad løsningen skal kunne undersøge og fremvise af informationer. Heri vil jeg starte analysen med at undersøge hvilke informationer der er tilgængelige, hvordan de relaterer sig til de informationer der er defineret som behov, herunder hvordan informationerne kan fremvises i forhold til kravet om overskuelighed. Dette indebærer at der vil bliver undersøgt hvad en logfil og event log er, hvordan de er opbygget samt hvilke informationer de indeholder. Efter jeg har fundet frem til hvilke informationer, det er muligt at vise til brugeren som resultat af programundersøgelse, vil jeg gennemføre en analyse over hvordan man kan komme frem til det ønskede output. Denne analyse er baseret på de moduler der er nævnt i kravspecifikationen: Input, Behandling, Analyse, Output og Service. For hvert modul undersøges formålet og hvilket output der skal fremstille som resultat. Herudover vil der også blive undersøgt hvilke input den skal kunne modtage samt hvilken behandling der skal udføres for at kunne danne resultatet. (?) Til sidst vil jeg lave en undersøgelse over de informationer der bliver arbejdet med, specielt med henblik på hvilke data der skal gemmes og hvordan de skal gemmes.

23 Logbog og logfiler I Windows styresystem er der to anvendte metoder som software producenter anvender til angive information om hvad programmet har udført. Producenten kan vælge at anvende styresystemets egen logbog eller oprette sin egen logfil. 5.2 Definition af logbog Hvad er en logbog En logbog, som også går under navnet Event log, er en applikation der anvendes af styresystemet til at registrere forskellige informationer og fejl der er opstået i systemet. Det er også muligt for andre software producenter at anvende logbogen for at placere lignende informationer der fortæller hvad deres program har udført Hvordan er logbogen struktureret Selve logbogen er delt op i tre log typer: Program, Sikkerhed og System, hvoraf hvert logtype anvendes for at vise information fra bestemte steder i systemet: - Program bruges til at vise programrelaterede fejl og information, f.eks. når et program går ned eller der er fejl i en fil. - Sikkerhed står for at registrere brug af systemets ressourcer og når nogen forsøger at logger på computeren. - System bruges til at registrere systemkomponenter, f.eks. ved indlæsning af drivers. Hver gang systemet eller et program ønsker at give informationer om hvad der er blevet udført, foregår det ved at der oprettes en hændelse i logbogen, under den tilhørende logtype Hvordan er en hændelse struktureret En hændelse har en fast defineret struktur, hvor det for hver hændelse gælder, at der er angivet en type. Der er der fem forskellige typer til rådighed: - Oplysning. Oplysning bruges når der skal gives general information omkring hvilke ting der er blevet udført. F.eks. når en driver er indlæst korrekt. - Advarsel. Advarsel bruges til at give en indikation af, at der er nogen ting som kan indebære en risiko for at gå i fejl, f.eks. når et diskdrev er ved at løbe tør for plads. - Fejl Fejl bruges når der er opstået et problem, og det kan medføre tab af data eller funktionalitet hvis der ikke bliver rettet op på fejlen. - Overvågning af udførte handlinger Denne type bruges i sikkerhedsdelen til at fortælle at en overvåget hændelse er blevet udført korrekt, f.eks. når en bruger logger ind på computeren. - Overvågning af fejl Denne type bruges i sikkerhedsdelen til at fortælle at en overvåget sikkerhedshændelse ikke kunne udføres, f.eks. når en bruger ikke kan få adgang til et netværksdrev.

24 Hvilke informationer er der i en hændelse Ud over typen er det også muligt at få en beskrivelse, som fortæller hvad programmet har udført, samt følgende oplysninger: - Dato og klokkeslæt Dato og klokkeslæt angiver tidspunktet for hvornår hændelsen er blevet registreret. - Bruger Anvendes til at angive brugernavnet på den bruger i systemet der var logget på, da hændelsen blev oprettet. - Computer Anvendes til at angive navnet på det system hvori hændelsen blev registreret. - Hændelses-id Kan anvendes sammen med type for bedre at kunne identificere hvad der er sket i systemet. - Kilde Kilde angiver hvilket program/ressource der stod for oprettelsen af hændelsen. - Kategori Anvendes til at klassificere hændelser på baggrund af kilden, primært brugt i sikkerhedssammenhæng.

25 Definition af logfiler Hvad er en logfil Logfil er et alternativ til logbogen, som udviklere af programmer og andre systemer kan anvende for at videregive informationer om udførte operationer og eventuelle fejl Hvordan er en logfil struktureret Ved en gennemgang af forskellige logfiler (se bilag 3) blev det konstateret at hver logfil er forskellig fra program til program, og at der i forhold til logbogen, ikke er nogen regler for hvordan strukturen er opbygget eller hvor meget information der bliver givet. Selv om det er den enkelte programudvikler der selv vælger strukturen i sin logfil, viste gennemgangen at der er et overordnet struktur der går igen for hovedparten af logfilerne. De fleste logfiler anvender hovedsagligt en linie per meddelelse frem for at dele dem op i flere linier Hvordan er en meddelelse struktureret Der er ikke nogen fast struktur i hvordan den enkelte meddelelse er opbygget, men det er op til den enkelte softwareproducent at beslutte hvordan en meddelelse skal opbygges, dvs. hvordan informationerne skal placeres i forhold til i hinanden, samt mængden af informationer der skal vises Hvilke informationer er der i en meddelelse Ved at se på indholdet af meddelelserne i de enkelte logfiler fandt jeg frem til at informationsmængden ændrer sig fra den ene meddelelse til den næste. Den eneste information der med sikkerhed er i en meddelelse, er en beskrivelse af hvad der er sket i programmet. Herud over er der nogle logfiler der også angiver en dato og klokkeslæt for hvornår meddelelsen er blevet oprettet i logfilen Logbog versus logfiler Ved at tage udgangspunkt i den informationsmængde der er i logbogen og sammenligne den med et udvalg af logfiler, så kan man se at nogle meddelelser har mere information end andre. Dette indebære at nogle meddelelser indeholder informationer specifikt angiver hvilket system og program der står for oprettelsen af meddelelsen, hvilke type meddelelsen kan placeres under, samt informationer der kan anvendes som et id eller kategoriseringsemne. Ligeledes indeholder logfiler mere specifikt informationer om det enkelte program.

26 Hvilke informationer er der behov for Med og uden struktur For at kunne analysere logfiler og logbogen er det vigtigt at vide hvilke informationer det er muligt at få fra hver logfil. Logbogen har en fast struktur hvilket gør den lettere at arbejde med end det er tilfældet med logfiler. Eftersom at der ikke er nogen regel for strukturen og hvilke informationer der er i en logfil, vil det være nødvendigt at brugeren kan lave en beskrivelse af hvordan en meddelelse i en logfil er opbygget. Eftersom logfiler ikke anvender den samme struktur på tværs af logfiler skal det være muligt for brugeren at definere hvordan forskellige logfiler er struktureret. Dette betyder at brugeren skal kende de logfiler der ønskes at analyseret. For hver definition der oprettes skal der angives hvilke typer informationer meddelelsen skal indeholde og hvor i meddelelsen de enkelte informationer er placeret. Placering angives med en start og slut position i meddelelsen. (se: bilag 4: Eksempler på strukturbeskrivelser) Hvis der ikke er nogen struktur der passer på en logfil skal brugeren have besked om dette, under betegnelsen ukendt logfil Systemet vil indeholde en standard strukturbeskrivelse der kan anvendes til de meddelelser der er opbygget med dato og tidspunkt placeret i starten af meddelelsen, efterfulgt af en beskrivelse.

27 Definition af typen: fejl, advarsel og oplysning. Eftersom der ikke er nogen fast struktur på opbygning og informationskategori i logfiler, så er det ikke muligt at kende alle former for typer der bliver brugt til at definere om en meddelelse er en fejl, advarsel eller til oplysning. Ved oprettelsen af en logfilbeskrivelse skal det være muligt at specificere typer for inddeling af meddelelser. For nogle logfiler er typen måske en del af beskrivelsen. Dette betyder at brugeren skal have mulighed for at angive en ordliste som indeholder type/indikatorer for hvilken type meddelelse der er tale om. For at gøre det nemmere for brugeren at se hvilket sted i systemet der er fejl, skal det også være muligt at opdele informationerne fra logbogen og logfiler i tre emner: Stabilitet, netværk og sikkerhed. Stabilitet er det område der skal bruges til at holde styr på om systemet køre som det skal, f.eks. om driver er indlæst korrekt eller om backup rutinen er blevet udført korrekt. Netværk er det område der skal bruges til at fortælle hvordan systemet kommunikerer hinanden, f.eks. at der ikke er problemer med at tilgå delte drev. Sikkerhed er det område der skal bruges til at se om der er nogen sikkerhedshuller, f.eks. hvis der er nogen der prøver at få uautoriseret adgang til systemet. Udover de tre emner skal det også være muligt at angive emnet overvågning. Med overvågning skal brugeren kunne se om en bestemt meddelelse eller hændelse fremkommer. Således skal brugeren f.eks. have mulighed for at se om antallet af bestemte meddelelser stiger eller falder over tid Bruger interesserede emner Før man begynder på at analysere logfiler, er det nødvendigt at afklare hvilke informationer brugeren er interesserede i. Ud fra spørgeundersøgelsen kunne jeg konkludere at virksomhederne bruger logbogen og logfiler til at undersøge hvad der er sket på systemet, hovedsageligt på baggrund af fejlrapportering fra medarbejdere. Samtidigt bliver de også brugt til at undersøge systemet løbende, f.eks. ved at kontrollere om backup rutinerne kører fejlfrit.

28 Overskuelighed af output For at gøre det mere overskuelig for administratorer, at se oprettede hændelser og omfanget heraf har jeg valgt at dele fremvisningen af de udsøgte informationerne op i tre rapporter: inputrapport, behandlingsrapport og analyserapport. Fremvisning af inputrapport Inputrapporten skal anvendes til at vise en liste over de logfiler der er blevet fundet i systemet ud fra brugervalgte parametre For at informere brugeren om hvilke filer der er blevet fundet skal der for hver logfil vises filnavn, placering, dato for hvornår den sidst er blevet ændret og størrelsen. Ud over en liste over logfiler skal der også være en oversigt over de logbøger der er fundet på systemet og som skal medtages i behandlingen. For hver event log skal der angives hvilken af de tre log typer der er blevet fundet frem. Se bilag 5 for eksempel til inputrapport Fremvisning af behandlingsrapport Med behandlingsrapporten skal det være muligt for brugeren at få overblik over hvor aktive de udvalgte logfiler er, hvilket angives ved at opgøre hvor mange meddelelser der er blevet skrevet i logfilerne samt dato og klokkeslæt. For at brugeren kan få et overblik over hvilke tidspunkter hændelsen er opstået skal antallet af meddelelser i logfilen opgøres indenfor dato og tidsintervaller. Som standard skal tidsintervallerne opdeles i fire tidszoner: 0-6, 6-12, og Rapporten skal også vise en liste over de logfiler der er ukendte og de systemer, hvor det ikke har været muligt at få adgang til logbogen. Se bilag 6 for eksempel til behandlingsrapport Fremvisning af analyserapport Med analyserapporten skal det det være muligt for brugeren at få overblik over hvilke fejl der er og hvor fejlene er placeret. Eftersom at spørgeundersøgelsen viste at logbogen og logfiler bliver brugt til at se hvilke fejl der er opstået, er det nødvendigt at typen som minimum vises for hver meddelelse og hændelse samt hyppigheden, kilden, emnet og beskrivelsen. Hyppighedskvotienten angiver det antal gange hver unik meddelelse forekommer. Ved fremvisningen er det nødvendigt at resultatet vises på en overskuelig måde, således at der ikke er nogen tvivl om hvad der er af fejl, samt hvor de er opstået. Det skal også være muligt at sammenligne tidligere analyser for at se om der er sket ændringer siden sidst, f.eks. om der er kommet flere eller færre fejl.