Устранение неполадок развертывания и файлы журнала. Документ журнала windows что это

Настройка списка последних использованных файлов

Закрепление файла в списке последних использованных документов

1. Откройте вкладку Файл.

2. Выберите пункт Открыть, чтобы просмотреть список последних использованных файлов.

3. Щелкните значок Закрепить этот элемент в списке . Когда файл закреплен в списке, значок булавки выглядит следующим образом: . В более ранних версиях Office он выглядит так:

   .

Совет: Чтобы открепить файл, щелкните значок булавки еще раз.

Файлы, закрепленные в списке, выводятся в обратном хронологическом порядке (начиная с новых записей). 

Удаление отдельного файла из списка недавно использовавшихся файлов

Если вы хотите удалить какие-либо файлы из списка, просто щелкните их правой кнопкой мыши и выберите команду Удалить из списка.

Внимание: Обязательно нажмите кнопку Удалить из списка, а не Удалить файл, если вы не хотите удалить сам файл из системы.

Изменение количества файлов, отображаемых в списке последних использованных файлов

1. Откройте вкладку Файл.

2. Выберите пункт Параметры.

3. Выберите пункт Дополнительно.

4. В группе Отображение в списке Число документов в списке последних файлов: выберите необходимое количество отображаемых файлов.

Совет:  Чтобы не отображать файлы в списке последних использованных файлов, выберите в списке Число документов в списке последних файлов значение, равное нулю.

Удаление незакрепленных файлов из списка последних использованных файлов

1. Откройте вкладку Файл.

2. Нажмите кнопку Открыть.

3. Щелкните правой кнопкой мыши файл в списке и выберите команду Очистить незакрепленные документы.

4. Нажмите кнопку ДА, чтобы очистить список.

Почему в списке недавно использовавшихся файлов появились файлы, которые давно (или вообще) не открывались?

Начиная с Office 2013 список последних использовавшихся файлов синхронизируется с учетной записью Майкрософт. Это удобно, так как если вы используете несколько устройств (например, компьютер и ноутбук), в обоих списках будут одни и те же файлы.

Однако если у вас есть старый компьютер, который вы давно не включали, при его подключении к сети он может синхронизироваться, из-за чего некоторые документы их старого списка могут попасть в новый.

Кроме того, иногда это происходит, если кто-то другой — например, член вашей семьи — пользуется вашим компьютером. Если они вошли с вашей учетной записью, все документы, над которыми они работали, появятся в списке.

Лучший способ удалить такие файлы из списка — выполнить процедуру, описанную выше в разделе "Удаление отдельного файла из списка недавно использовавшихся файлов". Щелкните правой кнопкой мыши ненужные файлы и выберите команду Удалить из списка.

support.office.com

Устранение неполадок развертывания и файлы журнала

В следующем разделе описывается взаимосвязь между стандартными сценариями развертывания и соответствующими файлами журнала. Развертывание Windows(R) представляет собой настраиваемый процесс, который содержит множество потенциальных точек отказа. Определение точки отказа начинается с понимания принципов работы базовых технологий.

Сценарий установки Windows

Этот сценарий начинается с завершения установки Windows на новом компьютере и начала работы. Этот сценарий часто используется при создании исходного образа. Этот процесс также называется первым впечатлением пользователя.

Как показано на следующем рисунке, основным аспектом устранения ошибок является возможность определения этапа установки и момента возникновения ошибки. Так как создается новая установка, жесткий диск изначально недоступен, поэтому программа установки Windows записывает журналы в память, в частности в сеанс среды предустановки Windows (X:\Windows). После форматирования жесткого диска программа установки продолжает записывать журнал прямо на новый жесткий диск (C:\Windows). Файлы журнала, созданные в ходе сеанса среды предустановки Windows, являются временными.

Когда в программе установки Windows возникает ошибка, просмотрите записи в файлах Setuperr.log, Setupact.log, а также в других файлах.

Файлы журналов, связанные с установкой Windows

Файл журналаОписаниеРасположение

Setupact.log	Основной файл журнала для записи ошибок, возникающих в ходе установки Windows. Существует несколько экземпляров файла Setupact.log (в зависимости от этапа установки, на котором возникает ошибка). В связи с этим важно знать версию файла Setupact.log, которую необходимо открыть.	Установка (специализация): X: \Windows\panther Установка (OOBE), LogonUI, первый запуск изготовителем оборудования:%windir%\panther Запуск при первом включении компьютера (OOBE): %windir%\panther\unattendGC
Setuperr.log	Общий список ошибок, возникших в ходе этапа специализации установки. Файл Setuperr.log не содержит подробных сведений.	Установка (специализация): %windir%\panther Установка (специализация): %windir%\panther Установка (OOBE), LogonUI, первый запуск изготовителем оборудования: %windir%\panther
Setupapi.offline.log	Ошибки драйверов в ходе подэтапа специализации компонентов этапа специализации установки.	%windir%\inf
Cbs_unattend.log	Ошибки обслуживания автоматической установки.	%windir%\panther
Setupapi.dev.log	Ошибки драйверов на этапе установки oobe.	%windir%\inf
Sessions.xml	XML-файл журнала транзакций, который отслеживает все действия по обслуживанию по идентификатору сеанса, клиенту, статусу, задачам и действиям. При необходимости файл Sessions.log будет указывать на файлы DISM.log и CBS.log для получения дополнительных сведений.	%windir%\servicing\sessions
CBS.log	Файл журнала обслуживания, который содержит подробные сведения об ошибках автономного обслуживания.	%windir%\panther

 

Сценарий автономного обслуживания

Этот сценарий включает в себя добавление и удаление обновлений, драйверов и языковых пакетов, а также настройку других параметров без загрузки Windows. Автономное обслуживание – это эффективный способ управления существующими образами, хранящимися на сервере, поскольку он устраняет необходимость повторного создания обновленного образа. Автономное обслуживание можно выполнить для образа, подключенного или примененного к диску или каталогу.

Система обслуживания образов развертывания и управления ими (DISM) является основным средством выполнения все задач автономного обслуживания. DISM запускается из командной строки среды предустановки Windows или работающей ОС Windows. При возникновении ошибки в ходе выполнения команды DISM средство немедленно выведет ответ, а также запишет ошибку в файл DISM.log. Файл Session.xml является файлом журнала транзакций, который записывает все действия по обслуживанию для целевой операционной системы. Файл Session.xml можно использовать в сочетании с файлом DISM.log для определения точек отказа и необходимых действий по обслуживанию.

При возникновении ошибок автономного обслуживания обратитесь к файлу DISM.log для просмотра ошибок. Если файл DISM.log не содержит ошибок, обратитесь к файлу Sessions.xml и файлу CBS.log.

Файлы журналов, связанные с автономным обслуживанием

Файл журналаОписаниеРасположение

DISM.log	Основной файл журнала для всех автономных действий с помощью средства DISM.	%windir%\logs\dism Файл журнала DISM также можно создать в другом расположении с помощью параметра /LogPath. Уровень записываемых в журнал данных также определяется параметром /LogLevel.
Sessions.xml	XML-файл журнала транзакций, который отслеживает все действия по обслуживанию по идентификатору сеанса, клиенту, статусу, задачам и действиям. При необходимости файл Sessions.log будет указывать на файлы DISM.log и CBS.log для получения дополнительных сведений.	%windir%\servicing\sessions

 

Подробнее об автономном обслуживании см. в разделе Общие сведения о стратегиях обслуживания.

Сценарий интерактивного обслуживания

Этот сценарий представляет собой обслуживание работающей операционной системы. При этом компьютер загружается в режиме аудита для добавления драйверов, приложений и других пакетов. Интерактивное обслуживание идеально для драйверов, если для пакетов драйверов существуют соустановщики или зависимости приложений. Кроме того, его использование эффективно в случае, если для большинства пакетов обслуживания существуют установщики, обновления используют форматы файлов MSI или KB.exe, или если приложения основаны на установленных службах и технологиях Windows (например, платформа .NET Framework или полная поддержка Plug and Play).

Как и при автономном обслуживании, все сведения записываются в файлы DISM.log, CBS.log и Sessions.xml. При возникновении ошибки в ходе выполнения команды DISM средство немедленно выведет ответ, а также запишет ошибку в файл DISM.log. Файл Session.xml является файлом журнала транзакций, который записывает все действия по обслуживанию для целевой операционной системы. Файл Session.xml можно использовать в сочетании с файлом DISM.log для определения точек отказа и необходимых действия по обслуживанию.

При возникновении ошибок автономного обслуживания обратитесь к файлу DISM.log для просмотра ошибок. Если файл DISM.log не содержит ошибок, обратитесь к файлу Sessions.xml и файлу CBS.log.

Файлы журналов, связанные с интерактивным обслуживанием

Файл журналаОписаниеРасположение

DISM.log	Основной файл журнала для всех интерактивных действий с помощью средства DISM. При необходимости файл DISM.log будет указывать на файл CBS.log для получения дополнительных сведений.	%windir%\logs\dism Файл журнала DISM также можно создать в другом расположении с помощью параметра /LogPath. Уровень записываемых в журнал данных также определяется параметром /LogLevel.
CBS.log	Дополнительный файл журнала обслуживания, который содержит подробные сведения об ошибках интерактивного обслуживания. DISM.log будет ссылаться на файл CBS.log для получения дополнительных сведений.	%windir%\logs\cbs
Sessions.xml	XML-файл журнала транзакций, который отслеживает все действия по обслуживанию по идентификатору сеанса, клиенту, статусу, задачам и действиям. При необходимости файл Sessions.log будет указывать на файлы DISM.log и CBS.log для получения дополнительных сведений.	%windir%\servicing\sessions

 

Подробнее об автономном обслуживании см. в разделе Общие сведения о стратегиях обслуживания.

 

 

msdn.microsoft.com

Что такое Windows Journal.lnk и как его исправить? Содержит вирусы или безопасно?

Шаг 1: Исправить записи реестра, связанные с MSDN Disc 3613

Иногда ошибки Windows Journal.lnk и другие системные ошибки LNK могут быть связаны с проблемами в реестре Windows. Несколько программ может использовать файл Windows Journal.lnk, но когда эти программы удалены или изменены, иногда остаются "осиротевшие" (ошибочные) записи реестра LNK. В принципе, это означает, что в то время как фактическая путь к файлу мог быть изменен, его неправильное бывшее расположение до сих пор записано в реестре Windows. Когда Windows пытается найти файл по этой некорректной ссылке (на расположение файлов на вашем компьютере), может возникнуть ошибка Windows Journal.lnk. Кроме того, заражение вредоносным ПО могло повредить записи реестра, связанные с MSDN Disc 3613. Таким образом, эти поврежденные записи реестра LNK необходимо исправить, чтобы устранить проблему в корне. Редактирование реестра Windows вручную с целью удаления содержащих ошибки ключей Windows Journal.lnk не рекомендуется, если вы не являетесь специалистом по обслуживанию ПК. Ошибки, допущенные при редактировании реестра, могут привести к неработоспособности вашего ПК и нанести непоправимый ущерб вашей операционной системе. На самом деле, даже одна запятая, поставленная не в том месте, может воспрепятствовать загрузке компьютера! В связи с подобным риском мы настоятельно рекомендуем использовать надежные инструменты очистки реестра, такие как WinThruster (разработанный Microsoft Gold Certified Partner), чтобы просканировать и исправить любые проблемы, связанные с Windows Journal.lnk. Используя очистку реестра, вы сможете автоматизировать процесс поиска поврежденных записей реестра, ссылок на отсутствующие файлы (например, вызывающих ошибку Windows Journal.lnk) и нерабочих ссылок внутри реестра. Перед каждым сканированием автоматически создается резервная копия, позволяющая отменить любые изменения одним кликом и защищающая вас от возможного повреждения компьютера. Самое приятное, что устранение ошибок реестра может резко повысить скорость и производительность системы. Предупреждение: Если вы не являетесь опытным пользователем ПК, мы НЕ рекомендуем редактирование реестра Windows вручную. Некорректное использование Редактора реестра может привести к серьезным проблемам и потребовать переустановки Windows. Мы не гарантируем, что неполадки, являющиеся результатом неправильного использования Редактора реестра, могут быть устранены. Вы пользуетесь Редактором реестра на свой страх и риск. Перед тем, как вручную восстанавливать реестр Windows, необходимо создать резервную копию, экспортировав часть реестра, связанную с Windows Journal.lnk (например, MSDN Disc 3613): Нажмите на кнопку Начать. Введите "command" в строке поиска... ПОКА НЕ НАЖИМАЙТЕ ENTER! Удерживая клавиши CTRL-Shift на клавиатуре, нажмите ENTER. Будет выведено диалоговое окно для доступа. Нажмите Да. Черный ящик открывается мигающим курсором. Введите "regedit" и нажмите ENTER. В Редакторе реестра выберите ключ, связанный с Windows Journal.lnk (например, MSDN Disc 3613), для которого требуется создать резервную копию. В меню Файл выберите Экспорт. В списке Сохранить в выберите папку, в которую вы хотите сохранить резервную копию ключа MSDN Disc 3613. В поле Имя файла введите название файла резервной копии, например "MSDN Disc 3613 резервная копия". Убедитесь, что в поле Диапазон экспорта выбрано значение Выбранная ветвь. Нажмите Сохранить. Файл будет сохранен с расширением .reg. Теперь у вас есть резервная копия записи реестра, связанной с Windows Journal.lnk. Следующие шаги при ручном редактировании реестра не будут описаны в данной статье, так как с большой вероятностью могут привести к повреждению вашей системы. Если вы хотите получить больше информации о редактировании реестра вручную, пожалуйста, ознакомьтесь со ссылками ниже. Мы не несем никакой ответственности за результаты действий, совершенных по инструкции, приведенной ниже - вы выполняете эти задачи на свой ​​страх и риск. Windows XPhttp://www.theeldergeek.com/windows_xp_registry.htm Windows 7http://www.theeldergeek.com/windows_7/registry_edits_for_win7.htm Windows Vistahttp://support.microsoft.com/kb/2688326 - LetMeFixItMyselfAlways

Шаг 2: Проведите полное сканирование вашего компьютера на вредоносное ПО

Есть вероятность, что ошибка Windows Journal.lnk может быть связана с заражением вашего компьютера вредоносным ПО. Эти вредоносные злоумышленники могут повредить или даже удалить файлы, связанные с LNK. Кроме того, существует возможность, что ошибка Windows Journal.lnk связана с компонентом самой вредоносной программы. Совет: Если у вас еще не установлены средства для защиты от вредоносного ПО, мы настоятельно рекомендуем использовать Emsisoft Anti-Malware (скачать). В отличие от других защитных программ, данная программа предлагает гарантию удаления вредоносного ПО.

Шаг 3: Очистить систему от мусора (временных файлов и папок) с помощью очистки диска (cleanmgr)

Со временем ваш компьютер накапливает ненужные файлы в связи с обычным интернет-серфингом и повседневным использованием компьютера. Если такие ненужные файлы иногда не удалять, они могут привести к снижению быстродействия MSDN Disc 3613 или к ошибке Windows Journal.lnk, возможно вследствие конфликтов файлов или перегрузки жесткого диска. Удаление таких временных файлов при помощи утилиты Очистка диска может не только устранить ошибку Windows Journal.lnk, но и существенно повысить быстродействие вашего компьютера. Совет: Хотя утилита Очистки диска является прекрасным встроенным инструментом, она удаляет не все временные файлы с вашего компьютера. Другие часто используемые программы, такие как Microsoft Office, Firefox, Chrome, Live Messenger, а также сотни других программ не поддаются очистке при помощи программы Очистка диска (включая некоторые программы Microsoft). Из-за недостатков утилиты Windows Очистка диска (cleanmgr) мы настоятельно рекомендуем использовать специализированное программное обеспечение очистки жесткого диска / защиты конфиденциальности, например WinSweeper (разработано Microsoft Gold Partner), для очистки всего компьютера. Запуск WinSweeper раз в день (при помощи автоматического сканирования) гарантирует, что ваш компьютер всегда будет чист, будет работает быстро и без ошибок Windows Journal.lnk, связанных с временными файлами. Как запустить Очистку диска (cleanmgr) (Windows XP, Vista, 7, 8 и 10): Нажмите на кнопку Начать. Введите "command" в строке поиска... ПОКА НЕ НАЖИМАЙТЕ ENTER! Удерживая клавиши CTRL-Shift на клавиатуре, нажмите ENTER. Будет выведено диалоговое окно для доступа. Нажмите Да. Черный ящик открывается мигающим курсором. Введите "cleanmgr" и нажмите ENTER. Программа Очистка диска приступит к подсчету занятого места на диске, которое вы можете освободить. Будет открыто диалоговое окно Очистка диска, содержащее флажки, которые вы можете выбрать. В большинстве случаев категория "Временные файлы" занимает большую часть дискового пространства. Установите флажки напротив категорий, которые вы хотите использовать для очистки диска, и нажмите OK.

Шаг 4: Обновите драйверы устройств на вашем компьютере

Ошибки Windows Journal.lnk могут быть связаны с повреждением или устареванием драйверов устройств. Драйверы с легкостью могут работать сегодня и перестать работать завтра по целому ряду причин. Хорошая новость состоит в том, что чаще всего вы можете обновить драйверы устройства, чтобы устранить проблему с LNK. В связи с временными затратами и общей сложностью обновления драйверов мы настоятельно рекомендуем использовать утилиту обновления драйверов, например DriverDoc (разработана Microsoft Gold Partner), для автоматизации этого процесса.

Шаг 5: Используйте Восстановление системы Windows, чтобы "Отменить" последние изменения в системе

Восстановление системы Windows позволяет вашему компьютеру "отправиться в прошлое", чтобы исправить проблемы Windows Journal.lnk. Восстановление системы может вернуть системные файлы и программы на вашем компьютере к тому времени, когда все работало нормально. Это потенциально может помочь вам избежать головной боли от устранения ошибок, связанных с LNK. Пожалуйста, учтите: использование восстановления системы не повлияет на ваши документы, изображения или другие данные. Чтобы использовать Восстановление системы (Windows XP, Vista, 7, 8 и 10): Нажмите на кнопку Начать. В строке поиска введите "Восстановление системы" и нажмите ENTER. В окне результатов нажмите Восстановление системы. Введите пароль администратора (при появлении запроса). Следуйте инструкциям Мастера для выбора точки восстановления. Восстановить ваш компьютер.

Шаг 6: Удалите и установите заново программу MSDN Disc 3613, связанную с Windows Journal.lnk

Инструкции для Windows 7 и Windows Vista: Откройте «Программы и компоненты», нажав на кнопку Пуск. Нажмите Панель управления в меню справа. Нажмите Программы. Нажмите Программы и компоненты. Найдите MSDN Disc 3613 в столбце Имя. Нажмите на запись MSDN Disc 3613. Нажмите на кнопку Удалить в верхней ленте меню. Следуйте инструкциям на экране для завершения удаления MSDN Disc 3613. Инструкции для Windows XP: Откройте «Программы и компоненты», нажав на кнопку Пуск. Нажмите Панель управления. Нажмите Установка и удаление программ. Найдите MSDN Disc 3613 в списке Установленные программы. Нажмите на запись MSDN Disc 3613. Нажмите на кнопку Удалить справа. Следуйте инструкциям на экране для завершения удаления MSDN Disc 3613. Инструкции для Windows 8: Установите указатель мыши в левой нижней части экрана для показа изображения меню Пуск. Щелкните правой кнопкой мыши для вызова Контекстного меню Пуск. Нажмите Программы и компоненты. Найдите MSDN Disc 3613 в столбце Имя. Нажмите на запись MSDN Disc 3613. Нажмите Удалить/изменить в верхней ленте меню. Следуйте инструкциям на экране для завершения удаления MSDN Disc 3613. После того, как вы успешно удалили программу, связанную с Windows Journal.lnk (например, MSDN Disc 3613), заново установите данную программу, следуя инструкции Microsoft. Совет: Если вы абсолютно уверены, что ошибка LNK связана с определенной программой Microsoft, удаление и повторная установка программы, связанной с Windows Journal.lnk с большой вероятностью решит вашу проблему.

Шаг 7: Запустите проверку системных файлов Windows ("sfc /scannow")

Проверка системных файлов представляет собой удобный инструмент, включаемый в состав Windows, который позволяет просканировать и восстановить поврежденные системные файлы Windows (включая те, которые имеют отношение к Windows Journal.lnk). Если утилита проверки системных файлов обнаружила проблему в LNK или другом важном системном файле, она предпримет попытку заменить проблемные файлы автоматически. Чтобы запустить проверку системных файлов (Windows XP, Vista, 7, 8 и 10): Нажмите на кнопку Начать. Введите "command" в строке поиска... ПОКА НЕ НАЖИМАЙТЕ ENTER! Удерживая клавиши CTRL-Shift на клавиатуре, нажмите ENTER. Будет выведено диалоговое окно для доступа. Нажмите Да. Черный ящик открывается мигающим курсором. Введите "sfc /scannow" и нажмите ENTER. Проверка системных файлов начнет сканирование на наличие проблем Windows Journal.lnk и других системных файлов (проявите терпение - проверка может занять длительное время). Следуйте командам на экране.

Шаг 8: Установите все доступные обновления Windows

Microsoft постоянно обновляет и улучшает системные файлы Windows, связанные с Windows Journal.lnk. Иногда для решения проблемы LNK нужно просто напросто обновить Windows при помощи последнего пакета обновлений или другого патча, которые Microsoft выпускает на постоянной основе. Чтобы проверить наличие обновлений Windows (Windows XP, Vista, 7, 8 и 10): Нажмите на кнопку Начать. Введите "update" в строке поиска и нажмите ENTER. Будет открыто диалоговое окно Обновление Windows. Если имеются доступные обновления, нажмите на кнопку Установить обновления.

Шаг 9: Произведите чистую установку Windows

Предупреждение: Мы должны подчеркнуть, что переустановка Windows займет очень много времени и является слишком сложной задачей, чтобы решить проблемы Windows Journal.lnk. Во избежание потери данных вы должны быть уверены, что вы создали резервные копии всех важных документов, изображений, программ установки программного обеспечения и других персональных данных перед началом процесса. Если вы сейчас е создаете резервные копии данных, вам стоит немедленно заняться этим (скачать рекомендованное решение для резервного копирования), чтобы защитить себя от безвозвратной потери данных. Пожалуйста, учтите: Если проблема Windows Journal.lnk не устранена после чистой установки Windows, это означает, что проблема LNK ОБЯЗАТЕЛЬНО связана с аппаратным обеспечением. В таком случае, вам, вероятно, придется заменить соответствующее оборудование, вызывающее ошибку Windows Journal.lnk.

www.solvusoft.com

Централизованный сбор и обработка журналов печати Windows / Хабр

В небольших офисах далеко не всегда используются сетевые принтеры и МФУ, поэтому получить статистику использования печатающих устройств получить достаточно сложно. Тем более, если это требуется произвести с минимальными затратами. Такие данные смогут помочь определить наиболее активно используемые устройства, оценить нагрузку на них и принять своевременные решения по закупке расходных материалов, техническом обслуживании или даже замене на более экономичные и производительные. Данную задачу возможно решить без дополнительного ПО используя встроенные средства управления журналами Windows и скриптом на Powershell. Используя поисковые системы можно найти готовые программные продукты для аудита печати в офисе, например:Такие системы далеко не всегда подходят, так как они требуют покупки, бесплатные версии имеют ограниченную функциональность, необходима установка как центрального ПО на сервер, так и агентов на клиентские компьютеры, некоторые программы работают только с принт-сервером и так далее. Предлагаю использовать для решения задачи встроенные средства операционной системы Windows 7/2008R2 и скрипты на Powershell.

Итак, примем за исходные данные следующую информацию:

• В организации есть домен Active Directory
• В организации используются компьютеры c операционной системой не ниже Windows 7, сервера – с ОС не ниже Windows Server 2008R2
• Есть как сетевые, так и локальные принтеры и МФУ.
• Существует необходимость централизовано обрабатывать журналы печати с принтеров и иметь статистику использования и нагрузки на печатающие устройства.

Подготовка инфраструктуры

Первым делом необходимо подготовить инфраструктуру для централизованного сбора журналов событий с клиентских компьютеров. Для работы подписки на события Windows на компьютере-источнике необходимы следующие настройки:

1. Наличие пользователя в группе Читатели журнала событий (Event Log Readers), от имени которого будет читаться журнал
2. Доступ по удаленному управлению (Windows Remote Management с сервера-коллектора
3. Настроенное разрешение на пересылку событий на сервер-коллектор логов.
4. Включенный журнал событий печати (выключен по умолчанию)

Создаем в оснастке Пользователи и Компьютеры нового пользователя, в качестве полного имени и логина указываем EventCollectorUser. Назначаем сложный пароль и ставим галочки «Запретить смену пароля пользователем» и «Срок действия пароля неограничен».

Далее создаем на контроллер домена новую групповую политику и называем ее, например, GPO-EventCollector. В политике задаем следующие параметры:

1. В разделе «Конфигурация компьютера — Настройка — Параметры панели управления — Службы» создаем запись службы «Автозагрузка: Автоматически (отложенный запуск)», «Имя службы — Служба удаленного управления Windows (MS-Management) (WinRM)», «Действие службы: Запуск службы»
2. В разделе «Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Удаленное управление Windows — Служба удаленного управления Windows» задать параметр «Разрешить автоматическую настройку прослушивателей: Включить» и разделе параметра «Фильтр IPv4″ поставить значение «*».
3. В разделе «Конфигурация компьютера – Политики – Конфигурация Windows – Параметры безопасности – Брандмауэр Windows в режиме повышенной безопасности – Брандмауэр Windows в режиме повышенной безопасности – Правила для входящих подключений» создаем новое правило. Выбираем пункт «Предопределенные правила» и в списке выбираем «Удаленное управление Windows (HTTP — входящий трафик)»
4. В разделе «Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Пересылка событий» задать параметр «Настроить конечный диспетчер подписки» и в разделе параметра «SubscriptionManagers» вписать полный FQDN путь до сервера–коллектора.
5. В разделе «Конфигурация компьютера – Политики – Конфигурация Windows – Параметры безопасности – Группы с ограниченным доступом» добавляем новую группу «Читатели журнала событий». В члены группы добавляем созданного нами пользователя EventCollectorUser.

После создания групповой политики необходимо перезагрузить целевые компьютеры или выполнить на них команду gpupdate /force.

Включить журнал печати на целевом компьютере можно через оснастку MMC «Просмотр событий» по пути «Журналы приложений и служб – Microsoft – Windows – PrintService – Работает» (кликнуть правой кнопкой мыши на журнале и выбрать «включить»). Этот вариант подходит, если компьютеров не так много. В случае, если требуется включить журнал на большой группе ПК, то можно воспользоваться следующим способом:

1. Подготовить текстовый файл со списком имен компьютеров. Например, d:\temp\computers.txt
2. Запустить следующую команду от имени пользователя с правами администратора домена: For /F %i in (d:\temp\computers.txt) do wevtutil sl Microsoft-Windows-PrintService/Operational /e:true /r:%i

Update: Также, как верно заметил NeSvist, можно установить ключ реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\Microsoft-Windows-PrintService/Operational — Enabled равным 1. Данный параметр можно раздать в групповой политике, которую мы создали выше. Для справки: О работе с реестром в GPO

Создание подписки на события

После подготовки инфраструктуры можно переходить непосредственно к настройке подписки на события на сервере-коллекторе.

1. Идем в оснастку «Просмотр событий – Подписки».
2. Выбираем справа в меню «Создать подписку…»
3. Вводим имя подписки, например, «Test Subscription». Добавляем понятное описание.
4. Далее выбираем журнал, в который будут попадать принимаемые события. Рекомендую оставить все по умолчанию – «Перенаправленные события». Тут стоит заметить, что найти способ помещать события в журнал, созданный вручную, мне не удалось. Так что вариант по-умолчанию остается почти единственным.
5. Далее щелкаем на кнопке «Выбрать компьютеры…». В открывшемся окне кнопкой «Добавить» добавляем необходимые компьютеры-источники. Кнопкой «Проверить» можно проверить доступность целевых машин по протоколу удаленного управления, результат покажут в информационном окне.
6. Выбираем события, которые будем собирать с источников. Нас интересует уровень событий «Сведения» из журнала «Microsoft-Windows-PrintService/Работает» с кодом событий 307. Все остальные настройки оставляем по умолчанию.
7. Щелкаем по кнопке «Дополнительно», в открывшемся окне выбираем пункт «определенный пользователь» и указываем созданного нами пользователя и его пароль. Настройки оптимизации доставки событий оставляем в положение «Обычная».
8. Щелкаем «ОК» и подписка создана. При появлении событий в логе компьютеров-источников, они в течение 15 минут будут загружены на сервер-коллектор в журнал «Перенаправленные события».

Скрипт обработки собранных событий

Собранные события можно выгрузить в формате CSV средствами оснастки «Просмотр событий», но полученные данные будут не очень информативны и не позволят на их основе получить интересную статистику, которую можно показать руководству. Поэтому я предлагаю вариант обработки полученных событий средствами Powershell для удобства их дальнейшего использования. Поиском на просторах Интернета был найден скрипт анализа журналов печати для Windows Server 2003. (http://trevorsullivan.net/2009/11/06/windows-2003-print-log-parsing-script-powershell/) Так как есть определенные различия в командлетах Powershell новых версий, и способ получения событий отличается от предложенного в статье, то скрипт был мной переработан. Общую структуру скрипта я менять не стал, он разбит по функциям, которые легко модифицировать (в случае локализации, например). Логика работы скрипта следующая:

1. Получаем список событий из журнала
2. Парсим свойство Message каждого события и записываем поля в объект PrintJob
3. Сохраняем полученный список объектов в формате CSV

Получаем список событий из журнала «Перенаправленные события» по коду 307 (на случай, если в указанный журнал пересылаются еще какие-либо события).

Function GetPrintEntriesFromLog() { $PrintEntries = get-winevent -FilterHashTable @{LogName='ForwardedEvents'; ID=307;} return $PrintEntries } Создаем новый объект PrintJob. Добавляем в него требуемые поля.Скрытый текстFunction CreatePrintJob() { $PrintJob = New-Object PsObject Add-Member -Force -InputObject $PrintJob -MemberType NoteProperty -Name PageCount -Value $null Add-Member -Force -InputObject $PrintJob -MemberType NoteProperty -Name UserName -Value $null Add-Member -Force -InputObject $PrintJob -MemberType NoteProperty -Name DocumentName -Value $null Add-Member -Force -InputObject $PrintJob -MemberType NoteProperty -Name Size -Value $null Add-Member -Force -InputObject $PrintJob -MemberType NoteProperty -Name Printer -Value $null Add-Member -Force -InputObject $PrintJob -MemberType NoteProperty -Name Time -Value $null return $PrintJob } Получаем из свойства Message события поля Имя пользователя, Имя принтера, Количество напечатанных страниц в документе, Имя документа. Вытаскиваем это все из строки регулярными выражениями. При англоязычном журнале меняем строки в регулярных выражениях на другие, соответственно.Скрытый текст#Парсим параметры объекта Function ParsePrintEntry($PrintEntry) { $NewPrintJob = CreatePrintJob $NewPrintJob.PageCount = GetPageCount $PrintEntry.Message $NewPrintJob.UserName = GetUserName $PrintEntry.Message $NewPrintJob.DocumentName = GetDocumentName $PrintEntry.Message $NewPrintJob.Size = GetPrintSize $PrintEntry.Message $NewPrintJob.Printer = GetPrinterName $PrintEntry.Message $NewPrintJob.Time = $PrintEntry.TimeCreated.ToString() return $NewPrintJob } #Получаем имя пользователя Function GetUserName($PrintEntry) { If ($PrintEntry -eq "" -or $PrintEntry -eq $null) { return $null } $rxUserName = [regex]"которым владеет ([0-9a-zA-Z.]{1,})" $rxMatches = $rxUserName.Match($PrintEntry) return $rxMatches.Groups[1].Value } #Получаем имя принтера Function GetPrinterName($PrintEntry) { If ($PrintEntry -eq "" -or $PrintEntry -eq $null) { return $null } $rxPrinterName = [regex]"распечатан на (.{1,}) через" $rxMatches = $rxPrinterName.Match($PrintEntry) return $rxMatches.Groups[1].Value } #Получаем размер распечатки в байтах Function GetPrintSize($PrintEntry) { If ($PrintEntry -eq "" -or $PrintEntry -eq $null) { return $null } $rxPrintSize = [regex]"Размер в байтах: ([0-9]+)." $rxMatches = $rxPrintSize.Match($PrintEntry) return $rxMatches.Groups[1].Value } #Получаем количество страниц (самый важный параметр) Function GetPageCount($PrintEntry) { If ($PrintEntry -eq "" -or $PrintEntry -eq $null) { return $null } $rxPageCount = [regex]"Страниц напечатано: ([0-9]+)" $rxMatches = $rxPageCount.Match($PrintEntry) return $rxMatches.Groups[1].Value } #Получаем имя документа Function GetDocumentName($PrintEntry) { If ($PrintEntry -eq "" -or $PrintEntry -eq $null) { return $null } $rxDocumentName = [regex]", (.{1,}) которым владеет" $rxMatches = $rxDocumentName.Match($PrintEntry) return $rxMatches.Groups[1].Value } Основная функция. Получаем список событий и в цикле превращаем его в объект PrintJob. Потом делаем экспорт полученного списка объектов в указанный файл. Ставим кодировку UTF8 для корректного отображения кириллицы и разделитель «;» для читаемого открытия файла в Excel. Каждые 100 событий пишем лог, это удобно при отладке.Function Main() { $PrintEntries = GetPrintEntriesFromLog $Global:ParsedEntries = @{}; $i = 0 ForEach ($PrintEntry in $PrintEntries) { $ParsedEntries.Add($i, $(ParsePrintEntry $PrintEntry)) $i++ if ($i % 100 -eq 0) { Write-Host "Processed $i records" } } $ParsedEntries.Values | Export-Csv "D:\PrintReports\PrintUsageReport.csv" -NoTypeInformation -Encoding UTF8 -Delimiter ';' } #Запускаем главную функцию. Main При подготовке регулярных выражений для скрипта использовался сайт Regex101.com. Сайт понятный, с краткой документацией, подсветкой результата поиска в исходной строке, расшифровкой смысла регулярного выражения на лету. Очень информативно и удобно, рекомендуется к употреблению. Полученный скрипт можно применять по требованию, запуская в командной оболочке PowerShell, а можно назначить в качестве задания в Планировщике заданий. Для этого необходимо:

1. Открыть Планировщик заданий (Пуск – Администрирование – Планировщик заданий)
2. Выбрать пункт «Создать простую задачу…»
3. Ввести имя задачи, описание, выбрать интервал выполнения
4. Выбрать действие «запустить программу». В качестве программы выбрать «C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe», а в качестве аргумента – путь к скрипту.
5. Открыть свойства задачи и выставить переключатель «Выполнять вне зависимости от регистрации пользователя», выбрать пользователя, от имени которого должна выполняться задача и ввести пароль от него.

Таким образом, в указанном при создании скрипта каталоге будет с заданным интервалом обновляться файл со списков напечатанных документов.

Решение проблем

1. Если при запуске скрипта возникает ошибка вида:Невозможно загрузить файл D:\PrintReports\PrintInfo.ps1, так как выполнение сценариев отключено в этой системе. Для получения дополнительных сведений см. about_Execution_Policies по адресу go.microsoft.com/fwlink/?LinkID=135170. + CategoryInfo: Ошибка безопасности: (:) [], ParentContainsErrorRecordException + FullyQualifiedErrorId: UnauthorizedAccessэто означает, что политика безопасности для исполняемых скриптов Powershell не позволяет запустить программу. Для запуска созданного скрипта необходимо понизить уровень безопасности до «Remote Signed», то есть будет разрешено выполнение любых сценариев, созданных локально, а сценарии, созданные на удаленных системах, выполняются только в том случае, если подписаны доверенным издателем. Для этого в консоли Powershell, запущенной от имени администратора, необходимо выполнить команду Set-ExecutionPolicy RemoteSigned.
2. Для тестирования пересылки и сбора событий можно использовать инструмент командной строки eventcreate.exe. Эта утилита позволяет создавать события вручную в определенном журнале. К примеру, можно создать событие с ID 100 в логе Приложение при помощи следующей команды: eventcreate /t error /id 100 /l application /d «Custom event». Если все настроено правильно и есть сбор событий из указанного журнала, то событие окажется на сервере-коллекторе в течение минуты. Если событие не попало на сервер-коллектор, необходимо проверить следующее:
   • Если параметры задавались групповой политикой, то проверить, что политика применяется. При необходимости, можно принудительно применить групповую политику командой gpupdate /force
   • Статус службы Windows Remote Management (WinRM) (Служба удаленного управления Windows). Служба должна быть запущена и настроена на автоматический запуск. При необходимости на клиентском компьютере можно сконфигурировать данную службу командой winrm quickconfig. Эта команда конфигурирует службу WinRM, создает прослушиватель winrm и создает правило исключения брандмауэра. Для проверки, что сервер-коллектор может соединиться с компьютером-источником с помощью WinRM можно воспользоваться следующей командой: winrm id -remote:<Имя целевого компьютера> -u:<Имя пользователя> -p:<Пароль>. Указываются учетная запись и пароль пользователя, имеющего возможность подключения по winrm.
   • Пользователь EventCollectorUser входит в состав группы Читатели журнала событий. Только члены этой группы могут читать события на конкретном компьютере.

Что можно улучшить

Предложенный скрипт обработки не является универсальным решением и может быть улучшен в различных направлениях, например,

• Выборка событий по времени (за день, неделю, месяц) и запись их в соответствующие отдельные листы электронной таблицы или выходные CSV-файлы. Можно предусмотреть задание диапазона дат при помощи входных параметров скрипта.
• Добавление графического представления данных с использованием сводных таблиц по пользователям и печатающим устройствам и графиков. Такой отчет можно сразу класть на стол руководителю.
• Настроить архивирование и ротацию журнала «Перенаправленные события», добавить функцию анализа соответствующих архивных файлов. Это будет разумно при работе с достаточно большим числом компьютеров (более 50).

Итак, в этой статье я постарался показать принцип централизованного сбора событий с журналов Windows и их дальнейшей обработки средствами Powershell. Данный способ подходит для решения задачи в небольших организациях. Разумеется, специализированное программное обеспечение справляется с поставленными целями более эффективно, но оно дорого, более громоздко, его установка приносит IT-специалисту меньше новых знаний и навыков, понимания работы обслуживаемого им программного обеспечения.

При подготовке данной статьи были использованы следующие материалы и источники:

1. mcp.su/windows-server-2008/event-collector-in-windows-server-2008
2. windowsnotes.ru/powershell-2/nastrojka-udalennogo-vzaimodejstviya-v-powershell-chast-1
3. social.technet.microsoft.com/Forums/en-US/8e7399f6-ffdc-48d6-927b-f0beebd4c7f0/enabling-print-history-through-group-policy?forum=winserverprint
4. mywinsysadm.wordpress.com/2012/07/16/powershell-audit-printer-event-logs
5. www.winblog.ru/admin/1147767392-29031101.html
6. windowsitpro.com/security/q-what-are-some-simple-tips-testing-and-troubleshooting-windows-event-forwarding-and-collec

Update: Как заметили NeSvist и selenite, привязка к конкретной локализации и разбор ее регулярными выражениями — не самое эффективное решение. В связи с этим, привожу вариант обработки собранных событий с использованием их представления в XML. Решение получилось более аккуратным и понятным.

Заголовок спойлера# Получаем события из лога $Events = Get-Winevent -FilterHashTable @{LogName='ForwardedEvents'; ID=307;} # Массив заданий печати $Jobs = @() ForEach ($Event in $Events) { # Конвертируем событие XML $eventXML = [xml]$Event.ToXml() # Создаем новый объект задания печати и заполняем поля из XML-представления события $PrintJob = New-Object PsObject Add-Member -Force -InputObject $PrintJob -MemberType NoteProperty -Name PageCount -Value $eventXML.Event.UserData.DocumentPrinted.Param8 Add-Member -Force -InputObject $PrintJob -MemberType NoteProperty -Name UserName -Value $eventXML.Event.UserData.DocumentPrinted.Param3 Add-Member -Force -InputObject $PrintJob -MemberType NoteProperty -Name DocumentName -Value $eventXML.Event.UserData.DocumentPrinted.Param2 Add-Member -Force -InputObject $PrintJob -MemberType NoteProperty -Name Size -Value $eventXML.Event.UserData.DocumentPrinted.Param7 Add-Member -Force -InputObject $PrintJob -MemberType NoteProperty -Name Printer -Value $eventXML.Event.UserData.DocumentPrinted.Param5 # Приводим дату из формата SystemTime к обычному представлению. $date = Get-Date $eventXML.Event.System.TimeCreated.SystemTime Add-Member -Force -InputObject $PrintJob -MemberType NoteProperty -Name Time -Value $date # Добавляем задание печати к массиву $Jobs += $PrintJob } # Выводим список полученных заданий печати в CSV $Jobs | Export-Csv D:\PrintReports\events.csv -NoTypeInformation -Encoding UTF8 -Delimiter ';'

habr.com

---

• 
  Ани лорак фотосессии в журналах
• 
  9 журнал ордер в бюджете
• 
  9 журнал ордер в бюджете
• 
  Қазақ тілі мен әдебиеті журналы
• 
  Қазақ тілі мен әдебиеті журналы
• Составить предложение со словом журнал
• Составить предложение со словом журнал
• 
  Ориентир журнал мо рф конспект
• 
  Киа сид за рулем журнал
• 
  Ориентир журнал мо рф конспект
• 
  Киа сид журнал за рулем