隨著數位化的普及，雲端計算已經成為一種普遍的技術，並給企業帶來了更多的效率和彈性。並且隨著業務擴產，許多企業選擇橫向擴展服務器的主機，並且可能同時分布在地端與雲端。主機愈來愈多之後，如何集中管理日誌成為每間企業需要克服的問題。

首先，我們可以先從日誌開始了解，日誌之於電腦，就好比日記之於人類。讓我們來回憶一下平常我們在寫日記的時候有什麼關鍵內容是我們一定會寫進去的吧！通常會有日期、並且記錄了我們在那個日期的時候做了什麼事情對吧！電腦的日誌其實也是一樣，日誌記錄了誰（使用者）在什麼時間進行了什麼操作。

示意圖

接下來我們來看一下要怎麼找到我們電腦中的日誌吧！我們這邊以Microsoft Windows 10作業系統的日誌為例，Windows作業系統管理Log日誌的元件為事件檢視器。在事件檢視器當我們可以看到以事件為單位的Windows紀錄。其中還分為四種類型，分別為應用程式、安全性、Setup和系統：

• 應用程式事件：描述各個應用程式(如驅動程式、服務)的資訊或錯誤訊息
• 安全性事件：用戶活動(如登入成功/失敗事件)
• Setup(設定)事件：網域控制器的內容，也會記錄應用程式的安裝事件
• 系統事件：Windows系統跟服務遇到問題的報告

Windows Log示意圖

乍看之下，一條日誌數據當中有非常多的內容，比如Provider Name, EventID, Version, Task, TimeCreated SystemTime……等欄位。其中最重要的欄位就是EventID（事件ID），就是圖中<EventID>4624</EventID>的部分，單看這個4624，我們可能看不懂它所代表的意思，可以參考下圖是常見的EventID，需要查詢其他EventID也可至微軟網站中查詢。

 稽核審計中常見的EventID

現在我們已經簡單得認識了日誌和其內容，讓我們來設想一下，如果我們需要管理的主機很多怎麼辦？讓我們在下一篇文章《構建值得信賴的雲上環境二部曲--日誌解決方案》