Настройка пересылки событий WindowsConfiguring Windows Event Forwarding. Cmd журнал событий

Настройка пересылки событий Windows в Advanced Threat Analytics

• 3/21/2018
• Время чтения: 5 мин
• Соавторы

В этой статье

Применяется к: Advanced Threat Analytics версии 1.9Applies to: Advanced Threat Analytics version 1.9

Note

В версии ATA 1.8 и более поздних настройка сбора событий для упрощенных шлюзов ATA больше не требуется.For ATA versions 1.8 and higher, event collection configuration is no longer necessary for ATA Lightweight Gateways. Упрощенный шлюз ATA теперь может считывать события локально — настраивать переадресацию событий не требуется.The ATA Lightweight Gateway can now read events locally, without the need to configure event forwarding.

Чтобы улучшить возможности обнаружения, ATA требуется доступ к следующим событиям Windows: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045.To enhance detection capabilities, ATA needs the following Windows events: 4776, 4732, 4733, 4728, 4729, 4756, 4757, 7045. Они могут автоматически считываться упрощенным шлюзом ATA или, если упрощенный шлюз ATA не развернут, передаваться в шлюз ATA путем настройки прослушивания событий SIEM в шлюзе ATA или пересылки событий Windows.These can either be read automatically by the ATA Lightweight Gateway or in case the ATA Lightweight Gateway is not deployed, it can be forwarded to the ATA Gateway in one of two ways, by configuring the ATA Gateway to listen for SIEM events or by configuring Windows Event Forwarding.

Настройка пересылки событий Windows для шлюза ATA с зеркалированием портовWEF configuration for ATA Gateway's with port mirroring

Когда вы настроите зеркальное отображение портов от контроллеров домена на шлюз ATA, выполните следующие инструкции, чтобы осуществлять пересылку событий Windows с помощью настройки "инициировано источником".After you configured port mirroring from the domain controllers to the ATA Gateway, follow the following instructions to configure Windows Event forwarding using Source Initiated configuration. Это один из возможных способов пересылки событий Windows.This is one way to configure Windows Event forwarding.

Шаг 1. Добавление учетной записи сетевой службы в группу читателей журнала событий для доменаStep 1: Add the network service account to the domain Event Log Readers Group.

В этом сценарии предполагается, что шлюз ATA входит в домен.In this scenario, assume that the ATA Gateway is a member of the domain.

1. Откройте раздел "Пользователи и компьютеры Active Directory", перейдите в папку Builtin и дважды щелкните группу Читатели журнала событий.Open Active Directory Users and Computers, navigate to the BuiltIn folder and double-click Event Log Readers.
2. Выберите пункт Участники.Select Members.
3. Если в этом списке нет элемента Сетевая служба, нажмите кнопку Добавить и введите имя Сетевая служба в поле Введите имена выбираемых объектов.If Network Service is not listed, click Add, type Network Service in the Enter the object names to select field. Щелкните Проверить имена и дважды нажмите ОК.Then click Check Names and click OK twice.

После добавления сетевой службы в группу Читатели журнала событий перезагрузите контроллеры домена, чтобы изменения вступили в силу.After adding the Network Service to the Event Log Readers group, reboot the domain controllers for the change to take effect.

Шаг 2. Создание на контроллерах домена политики для изменения параметра "Настроить конечный диспетчер подписки"Step 2: Create a policy on the domain controllers to set the Configure target Subscription Manager setting.

Note

Вы можете настроить групповую политику для этих параметров, а затем применять ее к каждому контроллеру домена, контролируемому шлюзом ATA.You can create a group policy for these settings and apply the group policy to each domain controller monitored by the ATA Gateway. Описанные ниже действия изменяют локальную политику контроллера домена.The steps below modify the local policy of the domain controller.

1. Выполните следующую команду на каждом контроллере домена: winrm quickconfig.Run the following command on each domain controller: winrm quickconfig
2. В командной строке введите gpedit.msc.From a command prompt type gpedit.msc.

3. Раскройте элементы Конфигурация компьютера > Административные шаблоны > Компоненты Windows > Пересылка событий.Expand Computer Configuration > Administrative Templates > Windows Components > Event Forwarding

   

4. Дважды щелкните Настроить конечный диспетчер подписки.Double-click Configure target Subscription Manager.

   1. Выберите значение Включено.Select Enabled.
   2. В разделе Параметры щелкните Показать.Under Options, click Show.
   3. В поле SubscriptionManagers введите следующее значение и нажмите кнопку ОК: Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10 (например, Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)Under SubscriptionManagers, enter the following value and click OK: Server=http://:5985/wsman/SubscriptionManager/WEC,Refresh=10 (For example: Server=http://atagateway9.contoso.com:5985/wsman/SubscriptionManager/WEC,Refresh=10)

   

   1. Нажмите кнопку ОК.Click OK.
   2. В командной строке с повышенными привилегиями введите команду gpupdate /force.From an elevated command prompt type gpupdate /force.

Шаг 3. Выполнение действий на сервере шлюза ATAStep 3: Perform the following steps on the ATA Gateway

1. Откройте командную строку с повышенными привилегиями и введите wecutil qcOpen an elevated command prompt and type wecutil qc
2. Откройте средство просмотра событий.Open Event Viewer.

3. Щелкните правой кнопкой мыши Подписки и выберите Создать подписки.Right-click Subscriptions and select Create Subscription.

   1. Введите имя и описание для подписки.Enter a name and description for the subscription.
   2. В параметре Журнал на конечном компьютере должно быть выбрано значение Пересланные события.For Destination Log, confirm that Forwarded Events is selected. Чтобы шлюз ATA мог прочитать события, для журнала назначения следует указать Перенаправленные события.For ATA to read the events, the destination log must be Forwarded Events.

   3. Выберите Инициировано исходным компьютером и нажмите Выбор групп компьютеров.Select Source computer initiated and click Select Computers Groups.

      1. Щелкните Добавить компьютер в домен.Click Add Domain Computer.
      2. Введите имя контроллера домена в поле Введите имена выбираемых объектов.Enter the name of the domain controller in the Enter the object name to select field. Щелкните Проверить имена и нажмите кнопку ОК.Then click Check Names and click OK.

      

      1. Нажмите кнопку ОК.Click OK.

   4. Щелкните Выбрать события.Click Select Events.

      1. Щелкните По журналу и выберите Журнал безопасности.Click By log and select Security.
      2. В поле Включить/исключить идентификаторы событий введите номер события и нажмите кнопку OK.In the Includes/Excludes Event ID field type the event number and click OK. Например, введите 4776, как в следующем примере.For example, type 4776, like in the following sample.

   

   1. Щелкните созданную подписку правой кнопкой мыши и выберите Состояние выполнения, чтобы проверить, есть ли проблемы с состоянием.Right-click the created subscription and select Runtime Status to see if there are any issues with the status.
   2. Через несколько минут убедитесь в том, что события, для которых настроена пересылка, отображаются в списке пересланных событий в шлюзе ATA.After a few minutes, check to see that the events you set to be forwarded is showing up in the Forwarded Events on the ATA Gateway.

Подробности см. в статье Настройка компьютеров для пересылки и сбора событийFor more information, see: Configure the computers to forward and collect events

См. такжеSee Also

docs.microsoft.com

about_Eventlogs

Windows PowerShell® создает журнал событий Windows с именем "Windows PowerShell" для записи событий Windows PowerShell. Этот журнал можно изучить в средстве просмотра событий или с помощью командлетов, которые получают события, например Get-EventLog. По умолчанию события модуля Windows PowerShell и поставщика событий записываются в журнал событий, но переменные настроек журнала событий можно использовать для настройки журнала событий. Например, можно добавить события о командах Windows PowerShell.

В журнал событий Windows PowerShell записываются подробные сведения об операциях Windows PowerShell, таких как запуск и остановка модуля программы и запуск и остановка поставщиков Windows PowerShell. Можно также записывать в журнал сведения о командах Windows PowerShell.

Журнал событий Windows PowerShell находится в группе "Журналы приложений и служб". Журнал Windows PowerShell — это классический журнал событий, не использующий технологию событий Windows. Чтобы просмотреть журнал, используйте командлеты, предназначенные для классических журналов событий, например Get-EventLog.

ПРОСМОТР ЖУРНАЛА СОБЫТИЙ WINDOWS POWERSHELL

Журнал событий Windows PowerShell можно просмотреть в средстве просмотра событий или с помощью командлетов Get-EventLog и Get-WmiObject. Для просмотра содержимого журнала Windows PowerShell введите следующую команду:

Get-EventLog -LogName "Windows PowerShell"

Для изучения событий и их свойств используйте командлет Sort-Object, командлет Group-Object и командлеты, содержащие глагол Format.

Например, для просмотра событий в журнале, сгруппированных по коду события, введите:

Get-EventLog "Windows PowerShell" | Format-Table -GroupBy EventID

Также можно ввести следующую команду:

Get-EventLog "Windows PowerShell" | Sort-Object EventID ` | Group-Object EventID

Чтобы просмотреть все классические журналы событий, введите:

Также можно выполнить командлет Get-WmiObject, чтобы с помощью классов WMI просмотреть журнал событий. Например, чтобы просмотреть все свойства файла журнала событий, введите:

Get-WmiObject Win32_NTEventLogFile | where ` {$_.LogFileName -eq "Windows PowerShell"} | Format-List -Property *

Чтобы найти классы WMI, связанные с событиями Win32, введите:

Get-WmiObject -List | where {$_.Name -like "win32*event*"}

Для получения дополнительных сведений введите "Get-Help Get-EventLog" и "Get-Help Get-WmiObject".

ВЫБОР СОБЫТИЙ ДЛЯ ЖУРНАЛА СОБЫТИЙ WINDOWS POWERSHELL

Переменные настройки журнала событий можно использовать, чтобы определить, какие события записываются в журнал событий Windows PowerShell.

Существует шесть переменных настроек журнала событий, по две переменные для каждого из трех компонентов ведения журнала: модуль (программа Windows PowerShell), поставщики и команды. Переменные LifeCycleEvent регистрируют обычные события запуска и остановки. Переменные Health регистрируют события ошибки.

В следующей таблице перечислены переменные настроек журнала событий.

Variable Description -------------------------- ---------------------------------------- $LogEngineLifeCycleEvent Logs starting and stopping of Windows PowerShell. $LogEngineHealthEvent Logs Windows PowerShell program errors. $LogProviderLifeCycleEvent Logs starting and stopping of Windows PowerShell providers. $LogProviderHealthEvent Logs Windows PowerShell provider errors. $LogCommandLifeCycleEvent Logs starting and completion of commands. $LogCommandHealthEvent Logs command errors.

(Чтобы получить сведения о поставщиках Windows PowerShell, введите: "Get-Help about_providers".)

По умолчанию включены только следующие типы событий:

$LogEngineLifeCycleEvent $LogEngineHealthEvent $LogProviderLifeCycleEvent $LogProviderHealthEvent

Чтобы включить тип события, присвойте переменной настройки для этого типа события значение $true. Например, чтобы включить события жизненного цикла командные, введите:

$LogCommandLifeCycleEvent

Также можно ввести следующую команду:

$LogCommandLifeCycleEvent = $true

Чтобы отключить тип события, присвойте переменной настройки для этого типа события значение $false. Например, чтобы отключить события жизненного цикла командные, введите:

$LogProviderLifeCycleEvent = $false

Вы можете отключить любое событие, за исключением событий, указывающих, что модуль Windows PowerShell и основные поставщики запущены. Эти события создаются до запуска профилей Windows PowerShell и до того, как ведущая программа может принимать команды.

Параметры переменных применяются только для текущего сеанса Windows PowerShell. Чтобы применить их ко всем сеансам Windows PowerShell, добавьте их в профиль Windows PowerShell.

РЕГИСТРАЦИЯ СОБЫТИЙ МОДУЛЯ

Начиная с Windows PowerShell 3.0 можно записывать события выполнения командлетов и функций в модулях и оснастках Windows PowerShell, присвоив свойству LogPipelineExecutionDetails модулей и оснасток значение TRUE. В Windows PowerShell 2.0 эта функция доступна только для оснасток.

Если свойство LogPipelineExecutionDetails имеет значение TRUE ($True), Windows PowerShell записывает события выполнения командлета и функции в сеансе в журнал Windows PowerShell в средстве просмотра событий. Этот параметр действует только в текущем сеансе.

Чтобы включить ведение журнала событий выполнения командлетов и функций в модуле, используйте следующую последовательность команд.

Import-Module <ModuleName> $m = Get-Module <ModuleName> $m.LogPipelineExecutionDetails = $True

Чтобы включить ведение журнала событий выполнения командлетов в оснастке, используйте следующую последовательность команд.

$m = Get-PSSnapin <SnapInName> [-Registered] $m.LogPipelineExecutionDetails = $True

Чтобы отключить ведение журнала, используйте та же последовательность команд для установки значения свойства FALSE ($False).

Также можно использовать параметр групповой политики "Включить на ведения журнала модуля" для включения и отключения ведения журнала модулей и оснасток. Значение политики содержит список имен модулей и оснасток. Поддерживаются подстановочные знаки.

Если параметр "Включить ведение журнала модуля" включен для модуля, значение свойства LogPipelineExecutionDetails модуля равно TRUE во всех сеансах и не может быть изменено.

Параметр групповой политики "Включить ведение журнала модуля" находится в следующих путях групповой политики:

Computer Configuration\Administrative Templates\Windows Components\Windows PowerShell User Configuration\Administrative Templates\Windows Components\Windows PowerShell

Политика конфигурации пользователя имеет приоритет над политикой конфигурации компьютера, и обе политики имеют приоритет над значением свойства LogPipelineExecutionDetails модулей и оснасток.

Подробнее об этом параметре групповой политики см. в разделе about_Group_Policy_Settings (http://go.microsoft.com/fwlink/?LinkID=251696).

БЕЗОПАСНОСТЬ И АУДИТ

Журнал событий Windows PowerShell предназначен для регистрации действий и предоставления операционных сведений для устранения неполадок.

Однако, как и большинство журналов событий приложений Windows, журнал Windows PowerShell не защищен. Его не следует использовать для аудита безопасности или записи конфиденциальных и личных сведений.

Журналы событий предназначены для чтения пользователями. Они могут читать и записывать данные в журнал. Злоумышленник может прочитать журнал событий на локальном или удаленном компьютере, записать неправильные данные и отключить ведение журнала своих действий.

msdn.microsoft.com

Сохранить журнал событий

Эта документация перемещена в архив и не поддерживается.

 

Применимо к:System Center 2012 SP1 - Orchestrator, System Center 2012 - Orchestrator, System Center 2012 R2 Orchestrator

Действие сохранения журнала событий используется для сохранения записей из журнала событий, чтобы можно было использовать позже. Действие сохранения журнала событий сохраняет записи журнала событий в файл с разделителями в формате, который можно указать. Действия можно выбрать поля, которые будут сохранены и позволяет фильтровать по отношению к полям разрешаются только операции определенного журнала событий для сохранения. Это действие использует вспомогательную лицензию.

Действие сохранить журнал событий может использоваться для создания журналов аудита проблем, возникающих с определенным приложением или определенных записей в журнале событий. Эти сохраненные файлы позже можно отслеживать производительность серверов и приложений в сети.

Перед настройкой действия Сохранить журнал событий, необходимо определить следующее:

• Журнал событий, который выполняется сохранение из

• Компьютер, на котором он находится

• Поля, которые требуется включить

• Формат файла

Примечание

Если требуется только определенные записи сохраняется и не весь журнал событий, необходимо знать, какие поля для фильтрации по, а также какие значения для фильтрации.

Используйте следующие сведения для настройки действия Сохранить журнал событий.

Вкладка "Подробные сведения"

Параметры

Инструкции по настройке

Компьютер	Введите имя компьютера, на котором находится журнал событий. Тип localhost для указания сервера runbook, где обрабатывается runbook. Можно также использовать кнопку с многоточием (...) кнопку, чтобы найти на компьютере.
Журнал событий	Введите имя журнала событий Windows находятся записи, сохраняются. Можно также использовать кнопку с многоточием (...) Кнопка для поиска имени журнала событий. Просмотр доступен только если указан допустимый компьютере.
Включить	Выберите все поля журнала событий, которые необходимо сохранить в файле. Вы можете выбрать событие с кодом, источника, категории, Описание, тип, компьютере, и даты и времени.

Вкладка «фильтры»

Параметры

Инструкции по настройке

Код события	Выберите и введите идентификатор конкретного события записи журнала событий, который требуется сохранить.
Источник	Выберите и введите значение, которое будет должны соответствовать поля источника записей журнала событий.
Категория	Выберите и введите значение, которое будет должны соответствовать поле категории записей журнала событий.
Описание	Выберите и введите значение, которое будет должны соответствовать поле Описание записи журнала событий.
Тип	Выберите и укажите значение, которое будет должны соответствовать поле Type записи журнала событий.
Компьютер	Выберите и укажите значение, которое поле записи журнала событий компьютера будет должны совпадать.
Начальная дата	Выберите и диапазоны дат, события должен быть от должны быть включены.

Вкладка «Вывод»

Параметры

Инструкции по настройке

Имя файла	Введите имя файла для сохранения записей журнала событий. Этот файл будет сохранен на компьютере, на котором находится журнал событий.
Если файл существует	Выберите действие, которое необходимо предпринять, если файл с таким именем уже существует. Создайте файл с уникальным именем: Выберите, чтобы добавить значение к имени файла, чтобы создать уникальное имя, которое не конфликтует с существующим именем. Добавьте: Выберите для добавления записей, которые сохраняются в файл. Перезаписать. Выберите, чтобы перезаписать существующий файл с файлом, который создается. Fail: Выберите, чтобы вызвать действие сохранить журнал событий с ошибкой, если имя файла уже существует.
Формат файла	Выберите формат, который будет использоваться для сохранения записей журнала событий в файле: Разделители CSV: Выберите для использования формата CSV для каждой записи в журнал. Табуляция: Выберите для разделения полей в каждой записи с помощью символа табуляции. Спец разделители: Выберите для разделения полей в каждой записи, используя пользовательские символов, указанное в разделитель поле.
Разделитель	Введите разделитель, который вы хотите использовать для отделения полей каждой записи.
Создать столбец заголовков	Выберите, чтобы сохранить сведения о заголовке столбца, при сохранении набора записей в файл. Данные заголовка содержит метаданные, такие как имена полей.

В следующей таблице перечислены элементы опубликованных данных.

Элемент

Описание

Имя журнала событий	Имя журнала событий, который был сохранен.
Компьютер	Компьютер, на котором находится журнал событий, который был сохранен.
Имя и путь к файлу, в которой сохраняются записи	Полный путь файла, где был сохранен журнал событий.
Число записей	Число записей, которые были сохранены.

msdn.microsoft.com

Сбор и анализ журналов событий Windows в Azure Log Analytics

• 12/11/2017
• Время чтения: 5 мин
• Соавторы

В этой статье

Журналы событий Windows — это один из самых распространенных источников данных, используемый для сбора данных агентами Windows, так как он применяется большинством приложений для записи сведений.Windows Event logs are one of the most common data sources for collecting data using Windows agents since many applications write to the Windows event log. События можно собирать из стандартных журналов, таких как журналы системы и приложений, а также указывать пользовательские журналы приложений, которые необходимо отслеживать.You can collect events from standard logs such as System and Application in addition to specifying any custom logs created by applications you need to monitor.

Настройка журналов событий WindowsConfiguring Windows Event logs

Журналы событий Windows настраиваются в меню "Данные" в параметрах Log Analytics.Configure Windows Event logs from the Data menu in Log Analytics Settings.

Log Analytics собирает события только из журналов событий Windows, указанных в параметрах.Log Analytics only collects events from the Windows event logs that are specified in the settings. Чтобы добавить журнал событий, введите его имя и щелкните +.You can add an event log by typing in the name of the log and clicking +. Из каждого журнала собираются только события с заданной степенью серьезности.For each log, only the events with the selected severities are collected. Укажите степени серьезности событий, которые хотите получать из соответствующего журнала.Check the severities for the particular log that you want to collect. Дополнительные критерии для фильтрации событий задавать нельзя.You cannot provide any additional criteria to filter events.

При вводе имени служба Log Analytics предоставляет варианты распространенных имен журналов событий.As you type the name of an event log, Log Analytics provides suggestions of common event log names. Если журнал, который нужно добавить, не отображается в списке, вы по-прежнему можете его добавить, введя его полное имя.If the log you want to add does not appear in the list, you can still add it by typing in the full name of the log. Полное имя журнала можно просмотреть с помощью средства просмотра событий.You can find the full name of the log by using event viewer. Для этого в средстве просмотра событий откройте страницу Свойства журнала и скопируйте строку в поле Полное имя.In event viewer, open the Properties page for the log and copy the string from the Full Name field.

Сбор данныхData collection

По мере создания событий служба Log Analytics собирает из отслеживаемого журнала событий все события, соответствующие заданной степени серьезности.Log Analytics collects each event that matches a selected severity from a monitored event log as the event is created. Агент фиксирует место сбора в каждом журнале событий, который используется для сбора данных.The agent records its place in each event log that it collects from. Если агент на некоторое время переходит в автономный режим, Log Analytics собирает события, начиная с места остановки, даже если эти события были созданы, пока агент был отключен.If the agent goes offline for a period of time, then Log Analytics collects events from where it last left off, even if those events were created while the agent was offline. Существует вероятность, что эти события не будут собраны, если оболочки журнала событий с несобранными событиями будут перезаписаны, пока агент находится вне сети.There is a potential for these events to not be collected if the event log wraps with uncollected events being overwritten while the agent is offline.

Примечание

Log Analytics не собирает события аудита, созданные SQL Server, из источника MSSQLSERVER с идентификатором события 18453, которые содержат ключевые слова Classic или Audit Success и ключевое слово 0xa0000000000000.Log Analytics does not collect audit events created by SQL Server from source MSSQLSERVER with event ID 18453 that contains keywords - Classic or Audit Success and keyword 0xa0000000000000.

Свойства записей о событиях WindowsWindows event records properties

Записи о событиях Windows имеют тип Событие и свойства, описанные в приведенной ниже таблице.Windows event records have a type of Event and have the properties in the following table:

СвойствоProperty ОПИСАНИЕDescription

КомпьютерComputer	Имя компьютера, с которого было получено событие.Name of the computer that the event was collected from.
EventCategoryEventCategory	Категория события.Category of the event.
EventDataEventData	Все данные событий в формате RAW.All event data in raw format.
EventIDEventID	Номер события.Number of the event.
EventLevelEventLevel	Степень серьезности события в числовом формате.Severity of the event in numeric form.
EventLevelNameEventLevelName	Степень серьезности события в текстовом формате.Severity of the event in text form.
EventLogEventLog	Имя журнала событий, из которого было получено событие.Name of the event log that the event was collected from.
ParameterXmlParameterXml	Значения параметров события в формате XML.Event parameter values in XML format.
ManagementGroupNameManagementGroupName	Имя группы управления для агентов System Center Operations Manager.Name of the management group for System Center Operations Manager agents. Для других агентов это AOI-.For other agents, this value is AOI-
RenderedDescriptionRenderedDescription	Описание события со значениями параметров.Event description with parameter values
ИсточникSource	Источник события.Source of the event.
SourceSystemSourceSystem	Тип агента, из которого было получено событие.Type of agent the event was collected from. OpsManager — агент Windows, подключенный напрямую или управляемый с помощью Operations Manager.OpsManager – Windows agent, either direct connect or Operations Manager managed Linux — все агенты LinuxLinux – All Linux agents AzureStorage – диагностика AzureAzureStorage – Azure Diagnostics
TimeGeneratedTimeGenerated	Дата и время создания события в Windows.Date and time the event was created in Windows.
UserNameUserName	Имя пользователя учетной записи, который зафиксировал событие.User name of the account that logged the event.

Поиск журналов с помощью событий WindowsLog searches with Windows Events

Ниже приведены различные примеры запросов поиска по журналу, которые извлекают записи событий Windows.The following table provides different examples of log searches that retrieve Windows Event records.

ЗапросQuery ОПИСАНИЕDescription

СобытиеEvent	Все события Windows.All Windows events.
Event | where EventLevelName == "error"Event | where EventLevelName == "error"	Все события Windows с указанием серьезности ошибки.All Windows events with severity of error.
Event | summarize count() by SourceEvent | summarize count() by Source	Число событий Windows по источникам.Count of Windows events by source.
Event | where EventLevelName == "error" | summarize count() by SourceEvent | where EventLevelName == "error" | summarize count() by Source	Число событий ошибок Windows по источникам.Count of Windows error events by source.

Дополнительная информацияNext steps

docs.microsoft.com

Как открыть журнал событий в windows 7

Обновлено: 31 августа 2017 года 31 августа, 2017 | Автор: Максим Тютюшев

р>

В отложенной строке ОС записываются все основные события, которые происходят в системе, и их последующая запись в журнале. Записываются ошибки, предупреждения и только разные уведомления. На основе этих записей опытный пользователь может исправить работу системы и устранить ошибки. Давайте посмотрим, как открыть журнал событий в Windows 7.

Журнал событий хранится в системном средстве Event Viewer . Давайте посмотрим, как вы можете использовать различные методы.

Метод 1: Панель управления

Один из наиболее распространенных способов начать работу В этой статье описывается инструмент, но не самый простой и удобный способ, используя «Панель управления» .

1. Нажмите Начать и перейдите в Панель управления .



2. Затем перейдите в «Система и безопасность» .



3. Затем нажмите на название раздела «Администрирование» .



4. После того, как раздел, указанный в списке системных утилит, будет искать имя «Показать события» . Нажмите на нее.



5. работает. В частности, чтобы войти в системный журнал, щелкните элемент «Журналы Windows» на левой панели интерфейса окна.



6. В открывшемся списке выберите одну из пяти, которая вас интересует.подразделы:
   • Приложение;
   • Безопасность;
   • Set;
   Система
   • ;
   • Переадресация событий.

   В средней части окна отображается журнал событий, соответствующий выбранной теме.



7. Аналогичным образом вы можете развернуть раздел «Приложения и службы журналов» , но будет расширен список разделов. Выбор конкретных дисплеев в центре окна содержит список соответствующих событий.

Способ 2. Запустите инструмент

Гораздо проще инициировать активацию описанного инструмента с помощью «Выполнить» .

1. Используйте ярлык Win + R . В гонке молота:

   eventvwr

   Нажмите «ОК» .



2. Требуемое окно будет открыто. Все остальные измерения, просматривая журнал, можно выполнить по тому же алгоритму, который был описан в первом методе.

Основным недостатком этого быстрого и удобного метода является удержание управления оконным вызовом.

Метод 3: окно меню поиска «Пуск»

Очень похожий вызов метода, мы изучаем инструмент, выполняемый с активацией меню поля поиска «Пуск» .

1. Нажмите «Пуск» . В нижней части открытого меню есть поле. Введите выражение:

   eventvwr

   р>

   Или просто напишите:

   Просмотр событий

   Число в списке блоков "program" будет иметь имя "eventvwr.exe" или "показать события" , в соответствии с выражение введено. В первом случае, скорее всего, результат трансляции будет единственным, а во втором - нескольких. Нажмите на одно из названий выше.



2. Газета будетработает.

Способ 4: Командная строка

Вызов инструмента с помощью «Командная строка» довольно неудобен, но есть такой метод, поэтому стоит упомянуть. Сначала нужно вызвать окно Command Line .

1. Нажмите Начать . Затем выберите «Все программы» .



2. Перейдите в папку Standard .



3. В списке открытых утилит нажмите «Командная строка» . Активация с административным органом не требуется.

   

4. Для одного из двух описанных выше действий будет запущено окно Command Line . Введите знакомую команду:

   eventvwr

   Нажмите Enter .



5. Окно журнала будет активировано.

Занятие:

Метод 5: Запустите файл eventvwr.exe напрямую

Вы можете использовать эту «экзотическую» версию решения проблемы, например, запустить файл непосредственно из «Проводник» . Однако этот метод может быть полезен на практике, например, если ошибки достигли такого масштаба, что другие варианты запуска инструмента просто недоступны. Это случается очень редко, но это возможно.

Во-первых, вам нужно перейти в место eventvwr.exe. Он находится в системном каталоге, следуя этому пути:

C: \ Windows \ System32

1. Запустите «Проводник Windows» .



2. Вставьте адрес, который был отправлен ранее в поле адреса, и нажмите Enter или щелкните значок справа.



3. Перемещение в каталог "System32" . Здесь хранится целевой файл "eventvwr.exe" . Если у вас нет расширений в системе, объект будет называться "eventvwr" . Найдите и дважды щелкните по нему левой кнопкой мыши ( LMC ). Чтобы упростить поиск, потому что есть так много элементов, вы можете сортировать элементы в алфавитном порядке, щелкнув опцию «Имя» в верхней части списка.



4. Окно журнала будет активировано.

Способ 6: введите путь к файлу в адресной строке

Используя «Проводник» , вы можете запустить окно интереса и быстрее. В этом случае вам даже не нужно искать eventvwr.exe в каталоге «System32» . Для этого в поле адреса «Проводник» укажите путь к этому файлу.

1. Запустите «Проводник» и введите следующий адрес в поле адреса:

   C: \ Windows \ System32 \ eventvwr.exe

   Нажмите Enter или щелкните эмблему стрелки.



2. Окно журнала немедленно активируется.

Способ 7: Создать ярлык

Если вы не хотите запоминать разные команды или переходы на разделах «Панель управления» , думайте слишком смущающе, но часто пользуйтесь журналом, в этом случае можете создать значок на em> «desktop» или в другом удобном для вас месте, после этого запуск Event Viewer будет таким же простым, как вы можете, не задумываясь ни о чем либо.

1. Перейдите в Рабочий стол или запустите Проводник в месте расположения файловой системы, в которой вы хотите создать значок доступа. Щелкните правой кнопкой мыши на пустой области. В меню перейдите к Создать и нажмите Ярлык .



2. Включен инструмент быстрого доступа. В открывшемся окне введите адрес, который уже упоминался:

   C: \ Windows \ System32 \ eventvwr.exe

   Нажмите «Далее» .



3. Откроется окно, в котором вы должны указать имя значка, с помощью которого пользовательОн определит активированный инструмент. По умолчанию имя используется для имени исполняемого файла, который в нашем случае «eventvwr.exe» . Но, конечно, это имя мало что может сказать непосвященному пользователю. Поэтому лучше всего войти в поле - это поговорка:

   Журнал событий

   

   Или следующим образом:

   Просмотр событий

   В общем, введите имя, под которым вы будете руководствоваться, инструмент, который запускает этот значок. После ввода нажмите Готово .



На рабочем столе или где-либо еще, где вы его создали, появляется значок запуска
4. . Чтобы активировать инструмент «Показать события» , просто дважды щелкните Paint .



5. Будет запущено требуемое системное приложение.

Проблемы с открытием журнала

Бывают случаи, когда открытие журнала имеет проблемы, описанные выше. Чаще всего это происходит потому, что служба, ответственная за работу этого инструмента, отключена. Когда вы пытаетесь запустить инструмент, «Показать события» отображает сообщение, указывающее, что служба журнала событий недоступна. Затем вы должны активировать его.

1. Сначала вам нужно перейти в «Service Manager» . Это можно сделать в разделе «Панель управления» , который называется «администрирование» . Как ввести его, было описано подробно, рассмотрев Метод 1 . В этом разделе найдите элемент «Сервис» . Нажмите на нее

   

   «Service Manager» может перейти с помощью «Запустить» . Назовите его, набрав Win + R . Область ввода для ввода:

   services.msc

   Нажмите «ОК» .

2. Независимо от того, какую точку вы переходите на «Панель управления» или используется для ввода команды в «Запустить» , запустите " Service Manager ". В списке найдите элемент «Журнал событий Windows» . Чтобы упростить поиск, вы можете создать список всех объектов в алфавитном порядке, щелкнув поле Имя «Имя» . Как только искомая строка будет найдена, просмотрите соответствующее значение в столбце «Статус» . Если служба включена, должна быть запись "working" . Если он пуст, это означает, что служба отключена. Также посмотрите на значение в столбце «Тип запуска» . В нормальном состоянии должна быть запись «Автоматически» . Если для него установлено значение «Отключено» , это означает, что служба не включена при запуске системы.



3. Чтобы решить эту проблему, перейдите к свойствам службы, дважды щелкнув имя Живопись .



4. Откроется окно. Нажмите на поле Тип запуска .



5. В раскрывающемся списке выберите «Автоматический» .



6. собирает надписи «Применить» и «ОК» .



7. Когда вы вернетесь в «Service Manager» , проверьте «Журнал событий Windows» . В левой части оболочки щелкните значок «Пуск» .



8. Служба запускается. В столбце «Статус» будет отображаться «Запуск» , а «Тип запуска» отобразит «Автоматически» . Теперь журнал может быть открыт любым из этих способов, чтобы мыописанных выше.

В ветровом журнале событий существует немало вариантов. Конечно, самый удобный и популярный способ - это пересечение панели инструментов , активируется средствами «Выполнить» или поле поиска в меню Пуск . Чтобы легко получить доступ к описанной функции, вы можете создать значок на Desktop . Иногда возникают проблемы с окном Event View . Затем вам нужно проверить, активирована ли соответствующая услуга.

Мы будем рады помочь вам решить вашу проблему. Спасибо автору, поделитесь статьей в социальных сетях.

Vkontakte

Facebook

Одноклассники

Twitter

Google +

Телеграмма

Задайте свой вопрос в комментариях, подробно изложив суть проблемы. Наши специалисты постараются ответить как можно быстрее.

При работе на ПК создается системный файл: Журнал событий Windows, в котором отображаются данные о состоянии системы и ее настройках. Он создается автоматически и используется для оптимизации работы, устранения сбоев. Журнал событий Windows 8, 7, XP или любая другая версия ОС представляет собой консоль управления Microsoft

Начните быстро, добавив оснастку в консоль. Это история уведомлений, отчетов об ошибках, предупреждений, создаваемых различными программами. Эти данные могут использоваться для оптимизации работы операционной системы.

См. Недавнюю активность на вашем компьютере с использованием записей в соответствии с настройками по умолчанию. Он не может быть пустым, так как сообщение об ошибке происходит даже в устройстве, работает нормально. Существует два способа запуска этой оснастки с панели управления. Чтобы открыть журнал событий без выполнения командной строки, повторите алгоритм:

1. Перейдите в раздел «Пуск» в Панель управления в Системное администрирование и обслуживание до
2. В открывшемся окне перейдите в Event Viewer
3. Дважды щелкните по

Окно для требуемого события откроется

Второй способ увидеть журнал посещения на вашем компьютере - запустить его из командной строки. Этот метод подходит для любой версии ОС XP и выше. Запустите командную строку, удерживая Win + R и набрав cmd в открывшемся окне. Другой способ - пройтиПуск в Все программы в Стандартная в Командная строка. В открывшемся поле командной строки введите комбинацию eventvwr.

Запустите журнал событий с помощью командной строки

Существует способ вручную найти журнал посещения на компьютере. Это файл .msc с именем Eventvwr. Его можно найти в поисковой системе ОС или в папке Sustem32. Папка расположена на локальном диске C в каталоге Windows / ProgramFiles /% SYSTEMROOT%. Дважды щелкните, чтобы открыть файл, используя стандартные инструменты Windows.

Системный журнал Windows 7 позволяет определить причину проблемы, когда устройство перезагружается автоматически или появляется «экран смерти». Программа позволит вам увидеть файл, ответственный за отказ. Если возникает проблема, помните время, когда оно произошло, затем сканируйте файл и выясните, в каком процессе произошел сбой. Наиболее серьезные проблемы считаются критическими.

В дополнение к сообщениям об ошибках в журнале событий Windows XP также записывается другая важная информация. Это общее время загрузки системы и т. Д. Но данные в файле должны быть прочитаны правильно, а затем увидеть это будет полезно. В левом блоке есть дерево разделов, где вы можете найти необходимый элемент привязки.

Средство просмотра событий - это список центральной ошибки, а справа - список действий для фильтрации и ошибок

Управление простое. Нажмите на строку, и в нижней части окна вы увидите информацию о проблеме. Каждая ошибка содержит атрибуты:

• Имя представляет собой подраздел данных, в которых была сохранена информация;
• Источник - программа, ставшая катализатором проблемы.
• Код - цифровое шифрование, позволяющее вам найти информацию в Интернете по ошибке;
• Пользователь и компьютер - покажите, кому была запущена задача - какое устройство и для какого пользователя. Особенно актуально на серверах.

Остальная часть информации в средстве просмотра событий не несет никакой полезной информации, потому что они не могут обратить внимание

Дополнительная информация о том, что происходит за устройством из записи события, не может быть распознана. Он не отображает все текущие программы, только те, которые потерпели неудачу. Итак, если вы хотите просмотреть историю на своем компьютере, вам нужно загрузить кейлоггер.

DISPLAY VIDEO

Удаление информации из этого файла так же просто, как удаление журнала посетителей в браузере. Для этого перейдите в раздел одним из указанных способов и найдите в левом блоке дерево, которое вы хотите удалить.

Щелкните правой кнопкой мыши и выберите «Очистить журнал» в контекстном меню

В операционной системе Windows седьмая версия имеет функцию важные события, которые происходят в работе системы программы. В Microsoft термин «события» означает инциденты в системе, которые регистрируются в специальном журнале и знайте пользователей или администраторов о себе. Это может быть утилита, которая не хочет запускаться, сбой приложения или неправильной установки устройств. Все записи об инцидентах и сохраняет журнал событий Windows 7. Он также показывает и отображает все действия в хронологическом порядке, помогает создать контроль, обеспечивает безопасность операционной системы, исправляет ошибки и диагностику всей системы.

Вы должны периодически видеть, что Журнал для появления поступающей информации и производства настройте систему для сохранения важных данных.

Компьютер Средство просмотра событий является основной частью утилиты «Майкрасофт», которые предназначены для мониторинга и просмотра журнала события Это необходимый инструмент для контроля работоспособности системы и устранить возникающие ошибки. Утилита «Windows» Управление документацией об инцидентах называется «Журнал Если эта служба запущена, она начинает собирать и записывайте все важные данные в ваш архив. Журнал событий Windows 7 позволяет выполнять следующие шаги:

- отображать данные, записанные в архивах;

- использование различных фильтров событий и их сохранение для последующего использования в системных настройках;

- создание подписки по некоторым инцидентам и управлению;

- назначить определенные действия в случае любого события

Ответная программа Для записи инцидентов выполните следующие действия:

1. Меню активируется нажатием кнопки «Пуск» в нижнем левом углу монитора, затем открывается «Панель управления». В списке элементов управления выберите «Администрирование» и уже в этом подменю нажмите «Просмотреть события. "

2. Существует другой способ просмотра журнала событий Windows 7. Для этого перейдите в меню «Пуск», в поле поиска Введите mmc и отправьте запрос на поиск файла. Затем открывается таблица. MMC, где вы должны выбрать абзац, указывающий добавление и удаление слэм. Затем надстройка «Event Viewer» к основному , Окно р>

В операционные системы Вдовы 7 и Vista установили два типа журналов События: системный архив и журнал обслуживания приложений. Первый вариант Он используется для регистрации общесистемных инцидентов, связанных с производительность различных приложений, запуск и безопасность. Второй вариант отвечает за запись событий их работы. Для контроля и все данные, служба журнала событий использует «Вид», который разделен на следующее:

- Приложение - события, связанные с конкретной программы. Например, почтовые службы хранятся в Это место - история отправки информации, различные события в почте коробки и так далее.

- Элемент «Безопасность» записывает все данные, связанных с открытием и закрытием системы, используя административный потенциал и доступ к ресурсам.

- Установка - В этом журнале событий Windows 7 данные, которые возникают, когда установке и настройке системы и ее приложений.

- Система - записывает все события операционной системы, такие как сбой при запуске службы приложений или при установке и обновлении драйверов устройств, различные сообщения, касающиеся работы всей системы.

-. перенаправленные события - когда эта опция включена, она хранит информацию, поступающую с других серверов

также в меню« admin », где журнал событий в Windows 7 и есть, есть несколько дополнительных элементов:

- Internet Explorer - событие регистрируется как всплывающее окно Эксплуатация и настройка браузера с таким же именем

-. Windows PowerShell - в этой папке записаны инцидент со ссылками с помощью PowerShell

-. Event Equipment - если этот параметр включен, то соедините данные, которые генерируют устройство, будут сохранены.

Все Структура «семь», которая обеспечивает запись всех событий, основана на по типу «Vista» в XML. Но для использования в программах Window 7 Журнал событий не должен знать, как использовать этот код. Приложение «Просмотр событий» сделает все, чтобы простая таблица с элементами меню

Polzovatel, желая узнать, как просматривать журнал событий Windows 7, также следует понимать и в характеристиках данных, которые он хочет вид Существуют разныесвойства тех или иных события, описанные в средстве просмотра событий. Эти характеристики мы Рассмотрим ниже:

- Источники - программа, которая корректирует события в журнале. Здесь имена приложений или драйверов, которые влияют на тот или иной другое событие.

- Код события представляет собой набор чисел, которые определяют тип инцидент. Этот код и имя источника события используются специалистом поддерживать систему обслуживания для исправления ошибок и устранения неудачи программы.

- Уровень - степень важности события. Журнал системных событий имеет шесть уровней событий:

1. Сообщение.

2. Внимание.

3. Ошибка.

4. Опасная ошибка.

5. Мониторинг успешных операций коррекции ошибок.

6. Аудит безуспешных действий.

- Пользователи - данные учетной записи, от имени которых произошел инцидент. Это могут быть имена различных служб, а также реальные пользователи

-. Дата и время - время возникновения записей о событиях

-. Использование ЦП - время, необходимое для выполнения пользовательских команд

. многие другие события, которые происходят во время работы система. Все инциденты выделены в «Просмотр событий» с помощью описание всех соответствующих информационных данных.

Очень Важным моментом в защите системы от аварий и аварий является Периодический обзор журнала «Заявка», в котором информация об инцидентах, последние действия с конкретной программой, и предоставляет выбор доступных операций.

Вход Windows 7, в подменю «Приложение» вы можете увидеть список всех программы, вызвавшие различные негативные события в системе, время и дату их внешний вид, источник, а также степень проблемы.

В этом Консоль может записывать все события за последние несколько месяцев, Очистить журнал старых записей, изменить размер таблицы и многое другое , Другое

После изучения, Как открыть журнал событий Windows 7 и как его использовать следует дополнительно научиться применять это полезное приложение Планировщик заданий. Для этого щелкните правой кнопкой мыши для любого инцидента и в открывшемся окне выберите меню ссылки задачи в событие. В следующий раз, когда это произойдет в системы, операционная система запустит лечениеошибки и ее коррекции.

Esli, Когда вы проверяете журнал событий Windows 7, вы увидите периодические системные ошибки или предупреждения, должен волноваться и паниковать об этом. Даже с отличным Рабочий компьютер может записывать различные ошибки и сбои, большинство из них не представляют серьезной угрозы для работы ПК.

Описание Мы создали приложение для облегчения работы системы административный контроль над компьютерами и устранение возникающих проблемы.

Начиная со всего вышеизложенного, он становится ясно, что журнал событий - это способ, которым программы и система сохранять и сохранять все события на компьютере в одном месте. В этом В журнале хранятся все операционные ошибки, сообщения и предупреждения. системных приложений.

Где находится журнал событий в Windows 7, только открыть его, как его использовать, как его исправить ошибки, которые появились - мы все это узнали из этой статьи. Но много спросит: «И зачем нам это нужно, мы не системные администраторы, а не программисты, но обычные пользователи, которым это знание не кажется Но этот подход неверен. В конце концов, когда человек что-то больной, прежде чем идти к врачу, он пытается исцелить себя этими другими способами. И многие это часто понимают. Итак, компьютер, которая является цифровой организацией, может «заболеть», и в этой статье способ диагностировать причину такого «Болезни», по результатам такого «расследования», вы можете принять правильное решение о том, как следовать «лечению».

Таким образом, информация о том, как видеть события, будет полезна не только для разработчиков системы, но и для обычного пользователя.

Привет друзья! В этой статье я рассмотрю журнал Журнал событий Windows 7 . Операционная система записывает почти все, что происходит с этим в этом журнале. Удобно видеть его с помощью Event Viewer, с которым установлен. Скажите, что записанные события многочисленны - ничего не говорите. Их темнота. Но трудно потеряться, поскольку все категоризировано.

Использование журнала событий значительно облегчает поиск и исправление ошибок профессионалам и пользователям. Говоря проще, я не имел в виду легкое. Почти всегда, чтобы исправить повторяющуюся ошибку, вам нужно будет перечитать много материала. Иногда стоит избавиться от поведения нестандартной операционной системы.

В операционную системууспешно завершили журналы событий, необходимые для запуска службы журнала событий Windows для этого респондента. Посмотрим, работает ли эта служба. В поле поиска главного меню найдите Службы

Найдите Журнал событий Windows и проверьте статус - Работы и тип запуска - Автоматически

Если у вас нет этой службы, дважды щелкните ее левой кнопкой мыши и в свойствах раздела «Тип запуска» выберите «Автоматически». Затем нажмите «Пуск» и «ОК»

Служба запускается, и журналы событий начнут заполняться.

Запустите утилиту просмотра событий, используя

Утилита по умолчанию выглядит следующим образом

Многие здесь могут быть настроены для вас. Например, используя кнопки под областью меню, вы можете скрыть или показать дерево консоли слева, а панель «Действия» справа

Нижняя центральная область называется областью просмотра. Он отображает информацию о выбранном событии. Его можно удалить, удалив соответствующий флажок из меню «Вид» или нажав X в правом верхнем углу окна.

Основное поле находится в верхнем центре и представляет собой таблицу с событиями журнала, которые вы выбрали в дереве консоли. По умолчанию все столбцы не отображаются. Вы можете добавить и изменить порядок отображения. Для этого щелкните столбец справа в заголовке столбца и выберите Добавить или удалить столбцы ...

В открывшемся окне в столбце Столбцы добавьте необходимые столбцы в левое поле

Чтобы изменить порядок отображения столбцов в правом поле, выберите нужный столбец и используйте кнопки «Вверх» и «Вниз» для измененияместо.

Каждый столбец является специфическим свойством события. Все эти свойства прекрасно описаны Дмитрием Булановым. Я дам скриншот. Чтобы увеличить масштаб, щелкните по нему.

Определение всех столбцов в таблице бессмысленно, так как свойства ключа отображаются в окне. Если он не отображается, дважды щелкнув левой кнопкой мыши на событии в отдельном окне, он увидит его свойства

На вкладке «Общие» есть описание этой ошибки, а иногда и способ ее исправления. Ниже приведены все свойства и события, см. Подробности, он относится к веб-сертификату, на котором можно будет исправить информацию об ошибке.

В операционной системе журналы разбиваются на две категории:

• Журналы Windows
• Журналы приложений и сервисов

Журналы Windows содержат информацию, относящуюся только к операционной системе. В журналах приложений и сервисов, соответственно, для всех служб и приложений, установленных отдельно.

Все газеты расположены в

% SystemRoot% \ System32 \ Winevt \ Logs \ = C: \ Windows \ System32 \ Winevt \ Logs \

Рассмотрим основной

Приложение : регистрировать события службы, установленные с операционной системой

Безопасность : регистрирует события, связанные с протоколированием входа и выхода из Windows и захватом доступа к ресурсам. Другими словами, если пользователь не существует, он, вероятно, будет записан в событии

Установка . События регистрируются при установке и удалении компонентов Windows. Для меня этот журнал пуст, вероятно, потому, что не менял системных компонентов

Система : регистрируются системные события. Например, сетевые предупреждения или антивирусные обновления от Microsoft Antimalware

Переадресованные события . События регистрируются с других компьютеров. Другими словами, сетевой администратор может отслеживать события на других компьютерах в сети, если вы перенаправляете

ACEEventLog - эта услуга появилась сегодня после AMD. До этого момента его там не было. Если у вас компьютер AMD или у вас есть AMD, вполне вероятно, что у вас тоже есть.

- сохраняет все события, связанные с Windows

Служба управления ключами . - Службы службы управления ключами регистрируются. Он предназначен для управления активацией корпоративных версий операционных систем. Газета пуста, потому что вы можете обойтись без нее.

Центр мультимедиа, Windows PowerShell и Hardware Events . Эти три журнала для меня пустые. В результате, если естьсобытия, связанные с этими компонентами, будут регистрироваться. Журнал событий оборудования должен быть включен так или иначе (кто знает запрос на обмен в комментариях).

Газеты также имеют свои собственные свойства. Чтобы просмотреть их, щелкните правой кнопкой мыши журнал и выберите «Свойства» в контекстном меню

В поле «Открыть свойства» вы увидите полное имя пути к файлу журнала по его размеру журнала и дате создания, изменения и открытию

Также установите флажок Включить ведение журнала. Он неактивен, и вы не сможете его удалить. Посмотрев этот вариант в свойствах других журналов, он также включен и неактивен. Для журнала событий оборудования он находится точно в том же положении, и журнал не работает.

В свойствах вы можете установить максимальный размер журнала (КБ) и выбрать действие при достижении максимального размера. Для серверов и других важных рабочих станций, скорее всего, размер журналов и выбор архивов журналов, когда он заполнен, чтобы вы могли в случае ненормальной ситуации, когда проблема начала следовать ,

Задача состоит в сортировке, группировании, очистке журналов и создании пользовательских представлений, чтобы упростить поиск событий.

Выберите журнал. Например, приложение и в таблице по центру нажмите на заголовок любого столбца левой кнопкой мыши. События будут отсортированы по этому столбцу

Если вы нажмете еще раз, выполните сортировку в противоположном направлении. Принципы сортировки такие же, как и для. Ограничения не могут сортировать более одного столбца.

Чтобы группировать события в определенном столбце, щелкните его заголовок правой кнопкой мыши и выберите «Групповые события» в этом столбце. В примере события сгруппированы по уровню

В этом случае удобно работать с определенной группой событий. Например, с ошибками. После группировки событий вы сможете сократить и расширить группы. Это можно сделать в таблице событий, дважды щелкнув имя группы. Например, по уровню: предупреждение (74).

Чтобы удалить группировку, вы должны щелкнуть правой кнопкой мыши заголовок столбца и выбрать «Удалить группу событий».

Если вы исправили ошибки в системе, которые привели к регистрацииВ журнале вы, вероятно, захотите очистить журнал, чтобы старые записи не мешали диагностике новых состояний компьютера. Для этого щелкните правой кнопкой мыши журнал, который вы хотите удалить, и выберите Очистить журнал ...

В открывшемся окне мы можем просто очистить журнал и сохранить его в файле перед его очисткой

Сохранить и удалить лучше, потому что мы всегда сможем удалить.

Пользовательские сортировки и группы исчезают при закрытии окна. Смотрите события. Если вам часто приходится работать с событиями, вы можете создавать пользовательские представления. Это некоторые фильтры, сохраненные в соответствующем разделе дерева консоли, которые нигде не исчезают, когда вы закрываете средство просмотра событий.

Чтобы создать собственное представление, щелкните правой кнопкой мыши любой журнал и выберите «Создать пользовательский вид ...

В открывшемся окне раздела «Дата» выберите в раскрывающемся списке временной интервал, для которого мы должны выбрать события

В разделе «Уровень события» проверьте важность событий.

Мы можем сделать выбор для журнала или журналов в частности или по источникам. Наклоните радиоканал на нужную позицию и проверьте необходимые поля в раскрывающемся списке

Вы можете выбрать определенные коды событий для отображения или отсутствия отображения в созданном вами представлении.

Когда все настройки в представлении выбраны, нажмите «ОК»

В появившемся окне укажите имя и описание пользовательского представления и нажмите OK

Например, создайте собственное представление для ошибок и критических событий из журналов приложений и безопасности

Это представление может быть изменено позже и не исчезнет нигде, когда утилита просмотра событий закрыта. Чтобы изменить, щелкните правой кнопкой мышимыши и выберите настраиваемый фильтр просмотра ...

В открывшемся окне установите дополнительные параметры в представлении.

Вы можете сделать аналогию с пользовательским представлением с условиями, сохраненными в проводнике Windows.

В этой статье мы рассмотрели журнал событий Windows 7, чтобы поговорить о почти всех основных операциях с удобством поиска событий об ошибках и критических событиях. И тогда возникает логический вопрос: «И как исправить эти ошибки в системе». Здесь все намного сложнее. В сети мало информации, поэтому может потребоваться потратить на нее много времени. Поэтому, если работа компьютера в целом вам подходит, тогда вы не сможете этого сделать. Если вы хотите попытаться исправить это, смотрите видео ниже.

Вы также можете использовать журнал событий для этого.

Я буду рад всем комментариям и предложениям.

Спасибо, что поделились статьями в социальных сетях. Вы все хороши!

С уважением,

Если вы обнаружили ошибку, выделите текст и нажмите Ctrl + Enter .

Местоположение

russian Австралия Австрия Азербайджан Албания Алжир Ангола Anguilla Andorra Антигуа и Барбуда Вест-Индия Аргентина A Афганистан Багамы Бангладеш Barbados Бахрейн Беларусь опция> Белиз Бельгия Бенин Бермудские острова Болгария Боливия Босния и Герцеговина Ботсвана Бразилия Британские Виргинские острова Brunei Burkina Faso Бурунди Bhutan Vanuatu Vatican Соединенное Королевство Венгрия Венесуэла Вьетнам Габон Гаити Гайана Gambia Ghana Guadeloupe Guatemala Guinea Гвинея-Бисау Германия Остров Гернси Гибралтар Гондурас Гонконг Состояние Палестины Гренада Гренландия Греция Грузия Демократическая Республика Конго Дания Остров Джерси Джибути Доминиканская Республика Египет ption> Замбия Западная Сахара Зимбабве Израиль Индия Индонезия Иордания Ирак Иран Ирландия Исландия Испания Италия Йемен Кабо-Верде Казахстан Камбоджа Камерун Канада Qatar Кения Кипр Китай Колумбия Коста-Рика Ivory ' Yvoire Куба Кувейт Острова Кука Laos Латвия Лесото Либерия Ливан Ливия Литва Лихтенштейн Люксембург Маврикий Мавритания Мадагаскар Македония Малайзия Мали Мальдивы Мальта Марокко Мексика Мозамбик Молдова Монако Монголия Мьянма (Бирма) Остров Мэн Namibia Непал Нигер Нигерия Нидерланды Никарагуа Новая Зеландия Новая Каледония Норвегия OAE Oman Пакистан Palau Панама Папуа-Новая Гвинея Парагвай Перу Остров Питкэрн Польша Португалия Пуэрто-Рико Республика Конго Встреча Руанда Румыния United States El Salvador Самоа Сан-Марино Сан-Томе и Принсипи Саудовская Аравия Свазиленд Сент-Люсия Северная Корея Сейшельские острова Saint-Pierre и Miquelon Сенегал Сент-Китс и Невис Сент-Винсент и Гренадины надины Syria Словакия Словения Соломоновы Острова Судан Суринам Sierra Leone Таджикистан Thailand Тайвань Танзания Острова Теркс и Кайкос Togo Tokelau Tonga Тринидад и Тобаго Тувалу Тунис Turkm enistan Турция Уганда Узбекистан Украина Wallis and Futuna Уругвай Фарерские острова Фиджи Филиппины Финляндия Франция Французская Полинезия Хорватия Chad Черног Чешская Республика Чили Швейцария Швеция Шри-Ланка Эквадор Экваториальная Гвинея Эритрея Эстония Эфиопия Южная Африка Южная Корея Ямайка Япония

Нажимая« Далее », вы согласны.

Весеннее настроениеОдноклассники!

Статьи на тему журнала Windows (см. события) - http://www.oszone.net/11296/ Что решает проблемы в приложении или системе, вам нужно знать, какие события предшествовали возникновению ошибки, это инструмент для этого «средства просмотра событий» в окнах , который хранит много информации по различным темам. В этом видео я показал, как запустить этот журнал, как автоматизировать решение проблем (для создания задачи на конкретном событии, в этом видео есть команда chkdsk performance с ошибкой «недопустимый блок на устройстве» , «Исходный диск». «Запустите программу CHKDSK на томе»

Пуск - "eventvwr.msc" - введите Полный список компьютерных ошибок можно просмотреть в специальном журнале, а с помощью Google или Yandex их можно решить.

Источник: http://pyatilistnik.org/kak-ochistit-istoriyu-na-kompyutere-s-windows/ ____________________________________________________________________ Уважаемые читатели и посетители портала, чтобы каждый спросил вас, как очистить историю на компьютере с Windows, класс истории, все понимают, что что-то свое, что является историей посещения браузера, которые соответствуют или открывают файлы, все это можно назвать активностью на компьютере, вы и я очищаем и удаляем их. ________________________________________________________________ Утилита Sysprep http://pyatilistnik.org/chto-takoe-utilita-sysprep/ _________________________________________________________________ работа в режиме аудита sysprep http://pyatilistnik.org/sozdaem-svoyu-sborku-windows-10-2-chast/ ________________________________________________________________ Файлы файлов cookie http://pyatilistnik.org/kak-udalit-cookie-kuki-i-chto-eto-takoe/ _______________________________________________________________ Загрузите программу приватизации http://pyatilistnik.org/kak-ochistit-windows-ot-musora-2-chast-utilita-privazer/ _______________________________________________________________ Как использовать CCLeaner http://pyatilistnik.org/kak-ochistit-kompyuter-ot-musora-s-pomoshhyu-ccleaner/ _______________________________________________________________ как стереть историю Skype на компьютере http://pyatilistnik.org/kak-udalit-istoriyu-skype-v-android-i-windows/ _________________________________________________________________ Удалить журнал событий http://pyatilistnik.org/kak-pochistit-vse-zhurnalyi-windows-s-pomoshhyu-skripta/

Как я могу удалить историю * * отдельно от компьютера: https://www.youtube.com/watch?v=KAkqrAzVGsg

Восстановите систему с помощью Windows 7. Создайте точку восстановления в ручном режиме.

http://www.teachvideo.ru/catalog/20 - больше обучающих видеороликов на операционных системах. http://facebook.com/teachvideo - присоединяйтесь к нам на facebook https://plus.google.com/101051633986902739434/posts - наша группа в Google+ http://vk.com/club19054655 - наша группа ВКонтакте http://www.softkey.ru/catalog/company.php?ID=1734742 - здесь вы можете купитьНаши видео уроки и видеоролики без доступа в Интернет Сначала щелкните правой кнопкой мыши значок «Мой компьютер» на нашем рабочем столе и во всплывающем меню выберите пункт «Свойства». В появившемся окне мы видим системную информацию и различные элементы управления, которые мы выбираем Элемент «Диспетчер устройств» на левой панели. Теперь у нас есть окно со списком всех устройств установлены на нашем компьютере. Здесь вы можете обновить необходимый по одному водитель. Для этого выберите нужное устройство и нажмите Щелкните правой кнопкой мыши и в контекстном меню нажмите свойства В появившемся окне перейдите на вкладку «Драйвер» и нажмите Кнопка «Обновить» Появится окно, позволяющее выбрать способ это реализация обновления. Первый вариант позволит автоматическое обновление драйверов, в которых Windows автоматически найдет соответствующую версию драйверов и установить Второй вариант: «Найти драйверы на этом компьютер ", вы можете установить драйвер из папки на лазерном диске, жестком диске или флэш-накопителе. В этом видео мы будем использовать параграф «Автоматический», поиск обновленных драйверов. " Как вы можете видеть, операционная система начала искать драйверы в Интернет, после чего, после обнаружения необходимости, Windows автоматически перейдут на их загрузку и установку. Итак, повторяя эту процедуру с помощью необходимого

Если у вас есть автоматическое обновление операционной системы Windows 7, жесткий диск может быть загроможден старыми, бесполезными файлами. В этом видео вы узнаете, как удалить эти файлы и папки.

Периодическая очистка Windows не только освободит вас от дополнительного дискового пространства, но и продлит срок службы вашей операционной системы. http://pcsecrets.ru/sluzhebnye-programmy/programma-dlya-chistki-kompyutera.html

Программы восстановления ошибок Windows 10, 8.1 и Windows 7 Всевозможные ошибки в Windows - типичная проблема с пользователем, и неплохо было бы иметь программу для их автоматического исправления. Если вы попытались найти бесплатные программы для исправления ошибок в Windows 10, 8.1 и Windows 7, очень вероятно, что вы найдете только CCleaner, другие утилиты для очистки компьютера, но не то, что можно исправить ошибка. «На компьютере нет DLL», проблема с отображением ярлыков на рабочем столе, запуском программ и другими. В этом видео - способы исправления общих ошибок ОС в автоматическом режиме с использованием бесплатных программ, предназначенных для этих целей.Некоторые из них универсальны, другие адаптированы к более конкретным задачам: например, для решения проблем доступа к сети и Интернету. # для # ошибок # программ # исправлений # 7 # 10 # 81 # windows

Как установить GFWL не появляется ошибка: Not Found Windows Wizard live input error id get log acquisitions, вы не можете подключиться к Интернету, ошибке входа. Чтобы установить и запустить Игры для Windows Live, выполните следующие действия: 1. Вы должны удалить все старые версии игр для Windows Live; 2. Очистите систему Ccleaner и перезагрузите компьютер. 3. Настройте Центр обновления Windows; 4. Загрузите программу установки игр для Windows Live с http://go.microsoft.com/fwlink/?LinkId=98609. Запустите его и дождитесь завершения установки! Все должно работать, если вы сделаете это именно в этой последовательности! Источник: http://1pchelp.ru/problemyi-s-igrami/games-for-windows-live-problemy-xlive-dll-ne-byl-najden-ne-najden-pomoshchnik-po-vkhodu-windows-live- ID-как- sozdat-avtonomnyj-профиль, я-dr.html Удачи!

синий экран смерти: причина и решение http://sys-team-admin.ru Практически все пользователи сталкиваются с «синим экраном смерти», главной целью которого является «синий экран смерти» "(или BSOD - синий экран смерти) - сообщите пользователю о критической системной ошибке. Ссылка на программу - http://www.nirsoft.net/utils/blue_screen_view.html#DownloadLinks Видеокурс «Восстановление Windows для клика» - http://www.sys-team-admin.ru/kursi/free/click/index.html Видеокурс «Создание и настройка сети между Windows XP 7-8» - http://www.sys-team-admin.ru/kursi/free/nastrojka-seti-mezhdu-windows-7-i-windows- xp / index .html

, -— —

:

AMI 2.5x/2.6x 6.0

6.0, 6.0

6.0PG AMI2.5x/2.6x.

6.0, 6.0

51PG

AMI 2.5x/2.6x —

AMI 2.5x 2.6x

2.01 Megatrends,Inc. AMI 6.0PG.

AMI

AMI—1.50— AMI1.45

AMI 1.45.

kotudajinuqena.tk

Сбор журналов событий аудита Windows Information Protection (WIP) (Windows 10)

• 09/11/2017
• Время чтения: 4 мин
• Соавторы
  • 
  • 

В этой статье

Область применения:

• Windows 10 (версия 1607 и выше)
• Windows 10 Mobile (версия 1607 и выше)

Windows Information Protection (WIP) создает события аудита в следующих случаях:

• Когда сотрудник изменяет значение параметра "Владение файлом" с Рабочий на Личный.

• Когда данные отмечаются как Рабочие, но передаются в личное приложение или на личную веб-страницу (например, путем копирования и вставки, перетаскивания, предоставления общего доступа к контакту, размещения на личной веб-странице, или если пользователь предоставляет личному приложению временный доступ к рабочему файлу).

• Когда приложение имеет пользовательские события аудита.

Сбор журналов аудита WIP с помощью поставщика службы конфигурации отчетов (CSP)

Вы можете собирать журналы аудита WIP с устройств сотрудников, следуя указаниям, предоставленным в документации к поставщику служб конфигурации отчетов (CSP). Этот раздел содержит сведения о фактических событиях аудита.

Note

Элемент Данные в ответе содержит запрошенные журналы аудита в формате XML.

Элемент "Пользователь" и его атрибуты

В данной таблице содержатся все доступные атрибуты для элемента Пользователь.

Атрибут Тип значения Описание

UserID	Строка	Идентификатор безопасности (SID) пользователя, соответствующий данному отчету об аудите.
EnterpriseID	Строка	Идентификатор предприятия, соответствующий данному отчету об аудите.

Элемент "Журнал" и его атрибуты

В данной таблице содержатся все доступные атрибуты/элементы для элемента Журнал. Ответ может содержать ноль (0) или несколько элементов Журнал.

Атрибут/элемент Тип значения Описание

ProviderType	Строка	Всегда EDPAudit.
LogType	Строка	Включает: DataCopied. Рабочие данные были скопированы или переданы в личное расположение. ProtectionRemoved. Защита WIP удалена из файла, определенного как рабочий. ApplicationGenerated. Настраиваемый журнал аудита, предоставленный приложением.
TimeStamp	Целое число	Использует структуру FILETIME для обозначения времени события.
Политика	Строка	Способ передачи рабочих данных в личное расположение: CopyPaste. Рабочие данные были вставлены в личное расположение или приложение. ProtectionRemoved. Статус рабочих данных был изменен на незащищенный. DragDrop. Рабочие данные были переданы в личное расположение или приложение путем перетаскивания. Share. Личному расположению или приложению был предоставлен доступ к рабочим данным. NULL. Любой другой способ, с помощью которого рабочие данные могли стать личными (например, при открытии рабочего файла в личном приложении (что также известно как временный доступ)).
Обоснование	Строка	Не реализовано. Это значение всегда будет пустым или NULL. ПримечаниеСохраните для будущего использования при сборе пользовательских обоснований изменения статуса файлов с Рабочий на Личный.
Объект	Строка	Описание рабочих данных, к которым был осуществлен личный доступ. Например, если сотрудник открывает рабочий файл с помощью личного приложения, здесь будет указан путь к файлу.
DataInfo	Строка	Любая дополнительная информация о том, каким образом был изменен рабочий файл: Путь к файлу. Если сотрудник разместил рабочий файл на личном веб-сайте с помощью Microsoft Edge или Internet Explorer, здесь будет указан путь к файлу. Типы данных буфера обмена. Если сотрудник вставил рабочие данные в личное приложение, здесь будет приведен список типов данных буфера обмена, предоставленных рабочем приложением. Дополнительные сведения см. в разделе Примеры данной статьи.
Действие	Целое число	Предоставляет информацию о том, что произошло в тот момент, когда рабочие данные были переданы в личное расположение, включая: 1. Расшифрование файла. 2. Копирование в расположение. 3. Отправка получателю. 4. Другое.
FilePath	Строка	Путь к файлу, указанному в событии аудита (например, расположение файла, расшифрованного сотрудником или размещенного на личном веб-сайте).
SourceApplicationName	Строка	Исходное приложение или веб-сайт. Для исходного приложения это удостоверение AppLocker. Для исходного веб-сайта это имя узла.
SourceName	Строка	Строка, предоставленная приложением, которое зарегистрировало событие. Она предназначена для описания источника рабочих данных.
DestinationEnterpriseID	Строка	Значение корпоративного идентификатора приложения или веб-сайта, куда сотрудник передал данные. NULL, Личный или пустое значение означают, что корпоративный идентификатор отсутствует, поспольку данные были переданы в личное расположение. Поскольку в настоящее время мы не поддерживаем множественную регистрацию, всегда будет отображаться одно из этих значений.
DestinationApplicationName	Строка	Целевое приложение или веб-сайт. Для целевого приложения это удостоверение AppLocker. Для целевого веб-сайта это имя узла.
DestinationName	Строка	Строка, предоставленная приложением, которое зарегистрировало событие. Она предназначена для описания назначения передачи рабочих данных.
Приложение	Строка	Удостоверение AppLocker приложения, в котором произошло событие аудита.

Примеры

Вот несколько примеров ответов от поставщика службы конфигурации отчетов.

Статус владения файлом изменен с рабочего на личный

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data>&lt;?xml version="1.0" encoding="utf-8"?&gt; &lt;Reporting Version="com.contoso/2.0/MDM/Reporting"&gt; &lt;User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com"&gt; &lt;Log ProviderType="EDPAudit" LogType="ProtectionRemoved" TimeStamp="131357166318347527"&gt; &lt;Policy&gt;Protection removed&lt;/Policy&gt; &lt;Justification&gt;NULL&lt;/Justification&gt; &lt;FilePath&gt;C:\Users\TestUser\Desktop\tmp\demo\Work document.docx&lt;/FilePath&gt; &lt;/Log&gt; &lt;/User&gt; &lt;/Reporting&gt;</Data></Item></Results><Final/></SyncBody></SyncML>

Рабочий файл отправлен на личную веб-страницу в Edge

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data>&lt;?xml version="1.0" encoding="utf-8"?&gt; &lt;Reporting Version="com.contoso/2.0/MDM/Reporting"&gt; &lt;User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com"&gt; &lt;Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357192409318534"&gt; &lt;Policy&gt;CopyPaste&lt;/Policy&gt; &lt;Justification&gt;NULL&lt;/Justification&gt; &lt;SourceApplicationName&gt;NULL&lt;/SourceApplicationName&gt; &lt;DestinationEnterpriseID&gt;NULL&lt;/DestinationEnterpriseID&gt; &lt;DestinationApplicationName&gt;mail.contoso.com&lt;/DestinationApplicationName&gt; &lt;DataInfo&gt;C:\Users\TestUser\Desktop\tmp\demo\Work document.docx&lt;/DataInfo&gt; &lt;/Log&gt; &lt;/User&gt; &lt;/Reporting&gt;</Data></Item></Results><Final/></SyncBody></SyncML>

Рабочие данные были вставлены на личную веб-страницу

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data>&lt;?xml version="1.0" encoding="utf-8"?&gt; &lt;Reporting Version="com.contoso/2.0/MDM/Reporting"&gt; &lt;User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com"&gt; &lt;Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357193734179782"&gt; &lt;Policy&gt;CopyPaste&lt;/Policy&gt; &lt;Justification&gt;NULL&lt;/Justification&gt; &lt;SourceApplicationName&gt;O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000&lt;/SourceApplicationName&gt; &lt;DestinationEnterpriseID&gt;NULL&lt;/DestinationEnterpriseID&gt; &lt;DestinationApplicationName&gt;mail.contoso.com&lt;/DestinationApplicationName&gt; &lt;DataInfo&gt;EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink&lt;/DataInfo&gt; &lt;/Log&gt; &lt;/User&gt; &lt;/Reporting&gt;</Data></Item></Results><Final/></SyncBody></SyncML>

Рабочий файл открыт с помощью личного приложения

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data>&lt;?xml version="1.0" encoding="utf-8"?&gt; &lt;Reporting Version="com.contoso/2.0/MDM/Reporting"&gt; &lt;User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com"&gt; &lt;Log ProviderType="EDPAudit" LogType="ApplicationGenerated" TimeStamp="131357194991209469"&gt; &lt;Policy&gt;NULL&lt;/Policy&gt; &lt;Justification&gt;&lt;/Justification&gt; &lt;Object&gt;C:\Users\TestUser\Desktop\tmp\demo\Work document.docx&lt;/Object&gt; &lt;Action&gt;1&lt;/Action&gt; &lt;SourceName&gt;O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2&lt;/SourceName&gt; &lt;DestinationEnterpriseID&gt;Personal&lt;/DestinationEnterpriseID&gt; &lt;DestinationName&gt;O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2&lt;/DestinationName&gt; &lt;Application&gt;O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT® WINDOWS® OPERATING SYSTEM\WORDPAD.EXE\10.0.15063.2&lt;/Application&gt; &lt;/Log&gt; &lt;/User&gt; &lt;/Reporting&gt;</Data></Item></Results><Final/></SyncBody></SyncML>

Рабочие данные были вставлены в личное приложение

<SyncML><SyncHdr/><SyncBody><Status><CmdID>1</CmdID><MsgRef>1</MsgRef><CmdRef>0</CmdRef><Cmd>SyncHdr</Cmd><Data>200</Data></Status><Status><CmdID>2</CmdID><MsgRef>1</MsgRef><CmdRef>2</CmdRef><Cmd>Replace</Cmd><Data>200</Data></Status><Status><CmdID>3</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Cmd>Get</Cmd><Data>200</Data></Status><Results><CmdID>4</CmdID><MsgRef>1</MsgRef><CmdRef>4</CmdRef><Item><Source><LocURI>./Vendor/MSFT/Reporting/EnterpriseDataProtection/RetrieveByTimeRange/Logs</LocURI></Source><Meta><Format xmlns="syncml:metinf">xml</Format></Meta><Data>&lt;?xml version="1.0" encoding="utf-8"?&gt; &lt;Reporting Version="com.contoso/2.0/MDM/Reporting"&gt; &lt;User UserID="S-1-12-1-1111111111-1111111111-1111111111-1111111111" EnterpriseID="corp.contoso.com"&gt; &lt;Log ProviderType="EDPAudit" LogType="DataCopied" TimeStamp="131357196076537270"&gt; &lt;Policy&gt;CopyPaste&lt;/Policy&gt; &lt;Justification&gt;NULL&lt;/Justification&gt; &lt;SourceApplicationName&gt;O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US\MICROSOFT OFFICE 2016\WINWORD.EXE\16.0.8027.1000&lt;/SourceApplicationName&gt; &lt;DestinationEnterpriseID&gt;NULL&lt;/DestinationEnterpriseID&gt; &lt;DestinationApplicationName&gt;&lt;/DestinationApplicationName&gt; &lt;DataInfo&gt;EnterpriseDataProtectionId|Object Descriptor|Rich Text Format|HTML Format|AnsiText|Text|EnhancedMetafile|Embed Source|Link Source|Link Source Descriptor|ObjectLink|Hyperlink&lt;/DataInfo&gt; &lt;/Log&gt; &lt;/User&gt; &lt;/Reporting&gt;</Data></Item></Results><Final/></SyncBody></SyncML>

Сбор журналов аудита WIP с помощью службы пересылки событий Windows (только на компьютерах с Windows, подключенных к домену)

Для сбора и объединения событий аудита WIP можно использовать службу пересылки событий Windows. Просматривать события аудита можно в средстве просмотра событий.

Для просмотра событий WIP в средстве просмотра событий

1. Откройте окно просмотра событий.

2. В дереве консоли в подменю Журналы приложений и служб\Microsoft\Windows щелкните EDP-Audit-Regular и EDP-Audit-TCB.

docs.microsoft.com

---

Смотрите также

• 
  Электронный журнал андреаполь
• 
  Опрос читателей журнала
• 
  Журнал статистическое обозрение
• 
  Журнал событий касперский
• 
  Дошколенок кузбасса журнал
• 
  Радио журнал 1985г
• 
  Кукла канди журнал
• 
  Теле2 журнал звонков
• 
  Журнал трезвое слово
• 
  Журнал литературный европеец
• 
  Вопросы гму журнал