Где найти журнал событий в системе Windows 7. Где в windows 7 журнал событий
Как открыть журнал событий Windows 7
Любая современная ОС с графическим интерфейсом основана на событиях. То же самое касается и программного обеспечения, для таких ОС разработанного. Событие – краеугольный камень этой инфраструктуры. Под событиями понимаются не только интерактивные действия пользователя, но и результаты разнообразных системных процессов, скрытых от глаз нажимающего на кнопки и щелкающего по клавишам оператора системы.
События бывают встроенные, то есть такие, что предопределены архитектурой, и создаваемые администратором или разработчиком. В нашей статье мы рассмотрим классификацию событий в Windows, средства их журналирования и просмотра, а также методы работы с ними.
Интерфейс для просмотра произошедших в системе событий носит название «системного журнала». Записи в журнале создаются в результате некоторых действий программ или пользователей, зарезервированных ОС в качестве событий. Разумеется, не каждое действие фиксируется в журнале. Для этого их слишком много.
Например, передвижение мыши хотя бы на один пиксель, уже порождает программное исключение и потенциально может обрабатываться «операционкой», что, в сущности, и происходит – такие действия в журнал не попадают. А вот предупреждения системы безопасности – протоколируются, так как составляют критически важные сведения.
Windows допускает тонкую настройку перечня критически важных системных исключений. До некоторой степени вы сами вольны решать, что именно протоколировать, а без какой информации можно и обойтись. Чтобы дать вам представления об этом, перечислим некоторые из стандартных операций с журналом:
- Просмотр перечня событий.
- Фильтрация перечня по определенным критериям.
- Создание «триггеров» реакций на процессы в системе – так называемая «подписка».
- Назначение типа реакции на то или иное событие.
Как осуществить просмотр?
Чтобы осуществлять просмотр содержимого журнала, нужно запустить соответствующее приложение. Делается это так:
- Переходим в меню «Пуск» => «Панель управления».
- Выбираем раздел «Администрирование».
- В этом разделе щелкаем по имени компоненты «Просмотр событий».
- Запустится программа с окном характерного вида – так называемая «оснастка». Эта оснастка и есть визуальный интерфейс для нашего протокола.
Того же самого можно добиться, если в окошке «Выполнить» (вызывается из того же меню «Пуск») набрать команду mmc. Эта команда запустит общий интерфейс для всех оснасток, в котором нужно будет перейти в меню «Консоль» => «Добавить или удалить оснастку» и из перечня всех оснасток вызвать нужную. В седьмой версии Windows все это проделывается так же, как и в предыдущей. Окошко «Выполнить» можно вызвать и при помощи клавиатурной комбинации «Win» + «R» — результат будет тем же. По итогу наших манипуляций появится окно такого вида:
Классификация событий ОС
Далее мы приведем классификацию записей в журнале по их значению для пользователя. События делятся на те, что генерируются самой операционной системой, и те, что исходят от приложений и служб. Однако такая классификация не учитывает смысла фиксируемых явлений. Более подробная их группировка выглядит следующим образом:
- Группа «Приложение» включает реакции системы на некоторые результаты работы приложений. Например, почтовый сервер может оставлять в журнале записи об отправке и получении электронной почты. Соответствующие данные хранятся в файле %SystemRoot%\System32\Winevt\Logs\Application.Evtx.
- Группа «Безопасность» не нуждается в комментариях – сюда складируется все, что так или иначе затрагивает подсистему защиты от незаконных вторжений. Например, отмечаются удачные и неудачные попытки пользователя войти в систему. Адрес файла: %SystemRoot%\System32\Winevt\Logs\Security.Evtx.
- Группа «Установка» — здесь журнал событий Windows 7 логирует успешные и неуспешные попытки инсталлировать те или иные компоненты в процессе установки ОС. Так что если установка не увенчалась успехом или привела к нестабильной работе поставленной системы – анализ этого лога может помочь выявить источник проблемы. Файл хранится тут: %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.
- Группа «Система» — самая обширная сюда помещаются результаты инициализации драйверов, запуска служб и прочие критически важные для ОС сообщения. Файл %SystemRoot%\System32\Winevt\Logs\System.Evtx – место хранения этих сведений.
- Группа «Пересылаемые события» — это собрание информации о пересылках данных между серверами. Все результаты таких пересылок накапливаются в файле %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx.
- Хранилище «Internet Explorer» (%SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx) содержит логи работы браузера.
- Просмотреть логи взаимодействия пользователя с обновленным интерфейсом командной строки «Power Shell» можно тут: %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx.
- Регистрация неадекватного поведения оборудования ведется в файле %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx.
Все данные хранятся в популярном формате XML, поэтому для их чтения и обработки необходима оболочка наподобие журнала событий. Непосредственный просмотр событий в системе Windows 7 в файлах хотя и возможен, но крайне затруднителен. Однако заниматься этим нет нужды, так как журнал событий Windows 7 делает это за нас.
Параметры записей
Каждая запись в журнале ОС Windows имеет единообразный набор параметров, характеризующих ее свойства: указатель на источник происхождения, специальный идентифицирующий код, степень критичности и многие другие.
Некоторые параметры имеют смысл для любых событий, другие же относятся только к определенным их типам. Журнал имеет меню с множеством опций, упрощающих работу пользователя с его записями:
Теперь вы знаете, как в Windows 7 открыть журнал событий и что он собой представляет.
Похожие записи:
windowstune.ru
где посмотреть журнал ошибок windows 7
Структура статьи
- Запуск и обзор утилиты Просмотр событий
- Свойства событий
- Журналы событий
- Работа с журналами событий Windows 7
Заключение
1. Запуск и обзор утилиты Просмотр событий
Чтобы операционная система успешно заполняла журналы событий необходима чтобы работала служба Журнал событий Windows за это отвечающая. Проверим запущена ли эта служба. В поле поиска главного меню Пуск ищем Службы
Находим службу Журнал событий Windows и проверяем Состояние — Работает и Тип запуска — Автоматически
Если у вас эта служба не запущена — дважды кликаете на ней левой мышкой и в свойствах в разделе Тип запуска выбираете Автоматически. Затем нажимаете Запустить и ОК
Служба запущена и журналы событий начнут заполняться.
Запускаем утилиту Просмотр событий воспользовавшись поиском из меняю Пуск
Утилита по умолчанию имеет следующий вид
Многое здесь можно настроить под себя. Например с помощью кнопок под областью меню можно скрыть или отобразить Дерево консоли слева и панель Действия справа
Область по центру внизу называется Областью просмотра. В ней показываются сведения о выбранном событии. Ее можно убрать сняв соответствующую галочку в меню Вид или нажав на крестик в правом верхнем углу области просмотра
Главное поле находится по центру вверху и представляет из себя таблицу с событиями журнала который вы выбрали в Дереве консоли. По умолчанию отображаются не все столбцы. Можно добавить и поменять их порядок отображения. Для этого по шапке любого столбца жмем правой мышкой и выбираем Добавить или удалить столбцы…
В открывшемся окошке в колонку Отображаемые столбцы добавляете необходимые столбики из левого поля
Для изменения порядка отображения столбцов в правом поле выделяем нужный столбец и с помощью кнопок Вверх и Вниз меняем месторасположение.
2. Свойства событий
Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов здесь. Приведу скриншот. Для увеличения нажмите на него.
Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства
На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.
3. Журналы событий
В операционной системе Windows 7 журналы делятся на две категории:
- Журналы Windows
- Журналы приложений и служб
В журналы Windows попадает информация связанная только с операционной системой. В журналы приложений и служб соответственно о всех службах и отдельно-установленных приложениях.
Все журналы располагаются по адресу
%SystemRoot%\System32\Winevt\Logs\ = C:\Windows\System32\winevt\Logs\
Рассмотрим основные из них
Приложение — записываются события о утилитах которые устанавливаются с операционной системой
Безопасность — записываются события о входе и выходе из Windows и фиксирование доступа к ресурсам. То есть, если пользователь не туда полез это скорее всего запишется в событии
Установка — записываются события о установке и удалении компонентов Windows. У меня этот журнал пуст наверное потому что не изменял никаких компонентов системы
Система — записываются системные события. Например сетевые оповещения или сообщения обновления антивируса Microsoft Antimalware
Перенаправленные события — записываются события перенаправленные с других компьютеров. То есть на одном компьютере администратора сети можно отслеживать события о других компьютерах в сети если сделать перенаправление
ACEEventLog — эта служба появилась сегодня после обновления драйверов от AMD. До этого момента ее не было. Если у вас компьютер на базе процессора AMD или укомплектован видеокартой AMD, то скорее всего у вас она также будет
Internet Explorer — записываются все события связанные со встроенным браузером в Windows
Key Management Service — записываются события службы управления ключами. Разработана для управления активациями корпоративных версий операционных систем. Журнал пуст так как на домашнем компьютера можно обойтись без нее.
Media Center, Windows PowerShell и События оборудования — эти три журнала у меня пусты. Соответственно если в системе возникают какие-либо события относящиеся к этим компонентам они будут записаны. Журнал События оборудования необходимо как-то включить (кто знает просьба поделиться в комментариях).
У журналов так же есть свои Свойства. Чтобы их посмотреть жмем правой кнопкой мышки на журнале и в контекстном меню выбираем Свойства
В открывшихся свойствах вы видите Полное имя журнала, Путь к файлу журнала его размер и даты создания, изменения и когда он был открыт
Так же установлена галочку Включить ведение журнала. Она не активна и убрать ее не получится. Посмотрел эту опцию в свойствах других журналов, там она так же включена и неактивна. Для журнала События оборудования она точно в таком же положении и журнал не ведется.
В свойствах можно задать Максимальный размер журнала (КБ) и выбрать действие при достижения максимального размера. Для серверов и других важных рабочих станций скорее всего делают размер журналов по больше и выбирают Архивировать журнал при заполнении, чтобы можно было в случае нештатной ситуации отследить когда началась неисправность.
4. Работа с журналами событий Windows 7
Работа заключается в сортировке, группировке, очистке журналов и создании настраиваемых представлений для удобства нахождения тех или иных событий.
Сортировка событий
Выбираем любой журнал. Например Приложение и в таблице по центру кликаем по шапке любого столбца левой кнопкой мышки. Произойдет сортировка событий по этому столбцу
Если вы еще раз нажмете то получите сортировку в обратном направлении. Принципы сортировки такие же как и для проводника Windows. Ограничения в невозможности выполнить сортировку более чем по одному столбцу.
Группировка событий
Для группировки событий по определенному столбцу кликаем по его шапке правой кнопкой мышки и выбираем Группировать события по этому столбцу. В примере события сгруппированы по столбцу Уровень
В этом случае удобна работать с определенной группой событий. Например с Ошибками. После группировки событий у вас появится возможность сворачивать и разворачивать группы. Это можно делать и в самой таблице событий дважды щелкнув по названию группы. Например по Уровень: Предупреждение (74).
Для удаления группировки необходимо снова кликнуть по шапке столбца правой кнопкой мышки и выбрать Удалить группировку событий.
Очистка журнала
Если вы исправили ошибки в системе приводившие к записи событий в журнале, то вероятно вы захотите очистить журнал, чтобы старые записи не мешали диагностировать новые состояния компьютера. Для этого нажимаем правой кнопкой на журнале который нужно очистить и выбираем Очистить журнал…
В открывшемся окошке мы можем просто очистить журнал и можем Сохранить его в файл перед очищением
Сохранить и очистить предпочтительно, так как удалить всегда успеем.
Настраиваемые представления
Настроенные сортировки и группировки пропадают при закрытии окошка Просмотр событий. Если вам приходится часто работать с событиями то можно создать настраиваемые представления. Это определенные фильтры которые сохраняются в соответствующем разделе дерева консоли и никуда не пропадают при закрытии Просмотра событий.
Для создания настраиваемого представления нажимаем на любом журнале правой кнопкой мышки и выбираем Создать настраиваемое представление…
В открывшемся окошке в разделе Дата выбираем из выпадающего списка диапазон времени за который нам нужно выбирать события
В разделе Уровень события ставим галочки для выбора важности событий.
Мы можем сделать выборку по определенному журналу или журналам или по источнику. Переключаем радиобокс в нужное положение и из выпадающего списка устанавливаем необходимые галочки
Можно выбрать определенные коды событий чтобы они показывались или не показывалась в созданном вами представлении.
Когда все параметры представления выбрали жмем ОК
В появившемся окошке задаем имя и описание настраиваемого представления и жмем ОК
Для примера создал настраиваемое представление для Ошибок и критических событий из журналов Приложение и Безопасность
Это представление в последствии можно редактировать и оно никуда не пропадет при закрытии утилиты Просмотр событий. Для редактирования нажимаем на представлении правой кнопкой мышки и выбираем Фильтр текущего настраиваемого представления…
В открывшемся окошке делаем дополнительные настройки в представлении.
Можно провести аналогию Настраиваемого представления с сохраненными условиями поиска в проводнике Windows 7.
Заключение
В этой статье мы рассмотрели журнал событий Windows 7. Рассказали про практически все основные операции с ним для удобства нахождения событий об ошибках и критических событий. И тут возникает закономерный вопрос — «А как же исправлять эти ошибки в системе». Здесь все сильно сложнее. В сети информации мало и поэтому возможно придется затратить уйму времени на поиск информации. Поэтому, если работа компьютера в целом вас устраивает, то можно этим не заниматься. Если же вы хотите попробовать поправить смотрите видео ниже.
Так же с помощью журнала событий можно провести диагностику медленной загрузки Windows 7.
Буду рад любым комментариям и предложениям.
Благодарю, что поделились статьей в социальных сетях. Всего Вам Доброго!
С уважением, Антон Дьяченко
winerror.ru
ВведениеОперационная система Windows 7 постоянно следит за различными достойными внимания событиями, возникающими в вашей системе. В Microsoft Windows событие (event) – это любое происшествие в операционной системе, которое записывается в журнал или требует уведомления пользователей или администраторов. Это может быть служба, которая не хочет запускаться, установка устройства или ошибка в работе приложения. События регистрируются и сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах. Вам следует регулярно следить за журналами событий и настраивать операционную систему на сохранение важных системных событий. В том случае, если вы администратор серверов Windows, то необходимо следить за безопасностью их систем, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. Если вы пользователь персонального компьютера, то вам следует убедиться в том, что вам доступны соответствующие журналы, необходимые для поддержки своей системы и устранения ошибок. Программа «Просмотр событий» представляет собой оснастку консоли управления Microsoft (MMC) и предназначена для просмотра и управления журналами событий. Это незаменимый инструмент для наблюдения за работоспособностью системы и устранения возникших неполадок. Служба Windows, которая управляет протоколированием событий, называется «Журнал событий». В том случае, если она запущена, Windows записывает важные данные в журналы. При помощи программы «Просмотр событий» вы можете выполнять следующие действия:
Запуск приложения «Просмотр событий»Приложение «Просмотр событий» можно открыть следующими способами:
Рис.1. Окно "Просмотр событий" Журналы событий в Windows 7В операционной системе Windows 7, так же как и в Windosw Vista, существуют две категории журналов событий: журналы Windows и журналы приложений и служб. Журналы Windows – используются операционной системой для регистрации общесистемных событий, связанных с работой приложений, системных компонентов, безопасностью и запуском. А журналы приложений и служб – используются приложениями и службами для регистрации событий, связанных с их работой. Для управления журналами событий можно использовать оснастку «Просмотр событий» или программу командной строки wevtutil, о которой будет рассказано во второй части статьи. Все типы журналов описаны ниже: Приложение – хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Application.Evtx. Безопасность – хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx Установка – в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx. Система – хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\System.Evtx Пересылаемые события – если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx Internet Explorer – в этот журнал записываются события, возникающие при настройке и работе с браузером Internet Explorer. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx Windows PowerShell – в этом журнале регистрируются события, связанные с использованием оболочки PowerShell. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx События оборудования – если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка «Просмотр событий» предоставляет простой графический интерфейс для доступа к этим возможностям. Свойства событийСуществует несколько свойств событий оснастки «Просмотр событий», которые подробно описаны немного ниже: Источник – это программа, зарегистрировавшая событие в журнале. Это может быть как имя программы (например, «Exchange Server»), так и название компонента системы или большого приложения (например, имя драйвера). Например, «Elnkii» означает драйвер EtherLink II. Код события – это число, определяющее конкретный тип события. В первой строке описания обычно содержится название типа события. Например, 6005 - это идентификатор события, которое происходит при запуске службы ведения журналов событий. Соответственно, в начале описания этого события находится строка «Запущена служба журнала событий». Код события и имя источника записи могут использоваться представителями группы поддержки программного продукта для устранения неполадок. Уровень – это уровень важности события. В журналах системы и приложений события могут иметь следующие уровни важности:
Пользователь – определяет учетную запись пользователя, от имени которого возникло данное событие. К пользователям относятся особые сущности, например Local Service, Network Service и Anonymous Logon, а также учетные записи реальных пользователей. Это имя представляет собой идентификатор клиента, если событие фактически было вызвано серверным процессом, или основной идентификатор, если олицетворение не производится. В некоторых случаях запись журнала безопасности содержит оба идентификатора. А также в этом поле может стоять N/A (Н/Д), если в данной ситуации учетная запись неприменима. Олицетворение происходит в случаях, когда сервер позволяет одному процессу присвоить атрибуты безопасности другого процесса. Рабочий код - содержит числовое значение, которое определяет операцию либо точку в пределах операции, при выполнении которой возникло данное событие. Например, инициализация или закрытие. Журнал - имя журнала, в который было записано данное событие. Категория и задачи – определяет категорию события, иногда используемую для последующего описания допустимого действия. У каждого источника событий свои категории. Например следующие категории: вход/выход, использование привилегий, изменение политики и управление учетной записью. Ключевые слова – это набор категорий или меток, которые могут использоваться для фильтрации или поиска событий. Например: «Сеть», «Безопасность» или «Ресурс не найден». Компьютер – идентифицирует имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но также может быть имя компьютера, переславшего событие, или имя локального компьютера до того, как оно было изменено. Дата и время – определяет дату и время возникновения данного события в журнале. ИД процесса – представляет идентификационный номер процесса, создавшего данное событие. Компьютерная программа представляет из себя только пассивную совокупность инструкций, в то время как процесс — это непосредственное выполнение этих инструкций ИД потока – представляет идентификационный номер потока, создавшего данное событие. Процесс, порождённый в операционной системе, может состоять из нескольких потоков, выполняющихся «параллельно», то есть без предписанного порядка во времени. При выполнении некоторых задач такое разделение может достичь более эффективного использования ресурсов вычислительной машины ИД процессора – представляет идентификационный номер процессора, обработавшего событие. Код сеанса – это идентификационный номер сеанса на сервере терминалов, в котором произошло событие. Время работы в режиме ядра – определяет время, потраченное на выполнение инструкций режима ядра, в единицах времени ЦП. Режим ядра имеет неограниченный доступ к системной памяти и внешним устройствам. Ядро системы NT называют гибридным ядром или макроядром. Время работы в пользовательском режиме – определяет время, потраченное на выполнение инструкций пользовательского режима, в единицах времени ЦП. Режим пользователя состоит из подсистем, которые передают запросы ввода\вывода соответствующему драйверу режима ядра посредством менеджера Ввода-вывода. Загруженность процессора – это время, потраченное на выполнение инструкций пользовательского режима, в тиках ЦП. Код корреляции – определяет действие в процессе, для которого используется событие. Этот код используется для указания простых отношений между событиями. Корреляция — статистическая взаимосвязь двух или нескольких случайных величин (либо величин, которые можно с некоторой допустимой степенью точности считать таковыми). При этом, изменения одной или нескольких из этих величин приводят к систематическому изменению другой или других величин. ИД относительной корреляции – определяет относительное действие в процессе, для которого используется событие Работа с журналами событийПросмотр событийНа следующем скриншоте можно увидеть журнал «Приложения», в котором можно узнать сведения о событиях, недавних представлениях и доступных действиях. Для того чтобы просмотреть события журнала приложений, выполните следующие действия:
Желательно почаще просматривать журналы событий «Приложение» и «Система» и изучать существующие проблемы и предупреждения, которые могут предвещать о проблемах в будещем. При выборе журнала в среднем окне отображаются доступные события, включая дату события, время и источник, уровень события и другие данные. Панель «Область просмотра» показывает основные данные о событиях на вкладке «Общие», а дополнительные специфические данные – на вкладке «Подробности». Включить и выключить эту панель можно, выбрав меню «Вид», а затем команду «Область просмотра». Для критических систем рекомендуется хранить журналы за последние несколько месяцев. Все время назначать журналам такой размер, чтобы в них умещалась вся информация, как правило, неудобно, решить эту задачу можно по-другому. Можно экспортировать журналы в файлы, распложенные в заданной папке. Для того чтобы сохранить выбранный журнал выполните следующие действия:
Очистка журнала событийИногда приходится очищать заполненные журналы событий для обеспечения эффективного анализа предупреждений и критических ошибок операционной системы. Для того чтобы очистить выбранный журнал выполните следующие действия:
Установка максимального размера журналаКак было сказано выше, журналы событий хранятся в виде файлов в папке %SystemRoot%\System32\Winevt\Logs\. По умолчанию максимальный размер этих файлов ограничен, но его можно изменить следующим способом:
События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов. Доступны следующие политики сохранения журнала: Переписывать события при необходимости (сначала старые файлы) – в этом случае новые записи продолжают заноситься в журнал после его заполнения. Каждое новое событие заменяет в журнале наиболее старое; Архивировать журнал при заполнении; не переписывать события – в этом случае файл журнала автоматически архивируется при необходимости. Перезапись устаревших событий не выполняется. Не переписывать события (очистить журнал вручную) – в этом случае журнал очищается вручную, а не автоматически. Для того чтобы выбрать нужную политику сохранения журналов выполните следующие действия:
Активация аналитического и отладочного журналаАналитический и отладочный журналы по умолчанию неактивны. После активации они быстро заполняются большим количеством событий. По этой причине желательно активировать указанные журналы на ограниченный период времени для того, чтобы собрать необходимые для поиска и устранения неполадок данные, а затем снова их отключить. Активацию журналов можно выполнить следующим образом:
Открытие и закрытие сохраненного журналаПри помощи оснастки «Просмотр событий» можно открывать и просматривать сохраненные ранее журналы. Одновременно можно открыть несколько сохраненных журналов и обращаться к ним в любое время в дереве консоли. Журнал, открытый в «Просмотре событий», может быть закрыт без удаления содержащихся в нем сведений. Для открытия сохраненного журнала выполните следующие действия:
Для того чтобы удалить открытый журнал их дерева событий, выполните следующие действия:
ЗаключениеВ этой части статьи, посвященной оснастке «Просмотр событий», рассказывается о самой оснастке и подробно описаны простейшие операции, связанные с мониторингом и обслуживанием системы при помощи «Просмотра событий». Следующая часть статьи будет рассчитана для опытных пользователей Windows. В ней будут описаны задачи с настраиваемыми представлениями, фильтрация, группировка/сортировка событий и управление подписками. |
artem.moy.su
Журнал событий windows
Windows 7 и Windows 10 постоянно следит за появлением в системе любых необычных или заслуживающих внимания ситуаций, наподобие не запущенной службы, установки устройства или ошибки в приложении. Все эти ситуации называются событиями и регистрируются в нескольких различных журналах.
Например, в журнале Приложение сохраняются события, связанные с работой приложений, причем как программ самой Windows 7, так и приложений сторонних производителей, а в журнале Система — события, генерируемые системой Windows 7, 10 и компонентами типа драйверов устройств и системных служб.
Как открыть журнал событий windows
Чтобы открыть журнал событий в windows, щелкните на кнопку Пуск, введя в поле поиска строку просмотр событий и нажав клавишу <Enter>. На рисунке ниже показано, как выглядит домашняя страница этой оснастки, на которой отображается журнал событий windows, перечень недавно просматривавшихся узлов и разнообразные доступные действия.
Просмотр журнала событий Windows
В панели справа предлагается три раздела: Настраиваемые представления, Журналы Windows и Журналы приложений и служб.
В разделе Настраиваемые представления перечислены все определенные в текущей системе виды событий (которых более подробно рассматриваются чуть позже). В случае выполнения фильтрации в каком-то из журналов событий или создания нового представления событий, новое представление сохраняется именно в этом разделе.
В разделе Журналы Windows отображается несколько подразделов, четыре из которых представляют основные журналы, которые ведет сама система.
В журналы событий Приложение и Система следует заглядывать регулярно для своевременного выявления любых существующих проблем и предупреждений о том, что какие-то проблемы могут появиться в будущем. Журнал Безопасность не является важным для каждодневной процедуры обслуживания. В него нужно заглядывать только при наличии подозрений в нарушении безопасности компьютера, например, для выяснения того, кто входит в систему.
В журнале Система фиксируются ошибки драйверов устройств, но в Windows 7 доступны и другие инструменты, позволяющие более простым образом изучать проблемы с устройствами. Например, диспетчер устройств, который, отображает значок для тех устройств, с которыми возникли проблемы, и позволяет просматривать описание этих проблем, открывая ведомости свойств устройств. Также есть утилита Сведения о системе (Msinfo32.exe), которая отражает сведения обо всех неполадках с оборудованием в разделах Сведения о системе > Аппаратные ресурсы > Конфликты и совместное использование и Сведения о системе > Компоненты > Устройства с неполадками.
При выборе того или иного журнала в центральном окне появляется список всех доступных в данном журнале событий вместе с информацией о дате и времени, когда произошло каждое событие, его источнике, типе (Сведения, Предупреждение или Ошибка) и другими подобными сведениями. Ниже перечислены основные интерфейсные изменения и новые функциональные возможности, которые появились в оснастке Просмотр событий в Windows.
- В панели Область просмотра основные данные о событиях теперь отображаются на вкладке Общие, а дополнительные более конкретные — на вкладке Подробности. Эту панель можно включать и выключать, выбирая в меню Вид пункт Область просмотра.
- Данные о событиях теперь хранятся в формате XML. Просматривать их схему можно, выбирая переключатель Режим XML на вкладке Подробности внутри панели Область просмотра.
- Команда Фильтр теперь позволяет генерировать запросы в формате XML.
- Щелчок на ссылке Создать настраиваемое представление теперь позволяет создавать новое представление на основании того или иного журнала событий, конкретного типа событий, идентификатора события и т.д.
- К событиям теперь можно привязывать задачи, выполняя щелчок сначала на интересующем событии, а потом на ссылке Привязать задачу к событию и затем создавая с помощью соответствующего мастера нужную задачу, которая предусматривает либо запуск какой-то программы или сценария, либо отправку электронного сообщения при каждом возникновении данного события.
- Избранные события теперь можно сохранять в файле формата Event File (.elf).
Наиболее распространенные сферы деятельности, специально для которых созданы профильные программные продукты. 1с 8 онлайн - это регламентированный учёт, торговый и складской учёт, управленческий учёт и комплексные решения
В разделе Журналы приложений и служб перечисляются программы, компоненты и службы, для которых поддерживается стандартный формат регистрации событий, что является новинкой в Windows 7. Раньше журналы всех элементов в этом разделе сохранялись в отдельных текстовых файлах, к которым нельзя было получать доступ в более старых версиях оснастки Просмотр событий кроме как путем специального открытия журнального файла.
mysitem.ru
- Оглавление - "Просмотр событий" в Windows 7 (Часть 1 - Оснастка)"Просмотр событий" в Windows 7 (Часть 2 - Администрирование)"Просмотр событий" в Windows 7 (Часть 3 - PowerShell)"Просмотр событий" в Windows 7 (Часть 3 - PowerShell) продолжение ВведениеОперационная система Windows 7 постоянно следит за различными достойными внимания событиями, возникающими в вашей системе. В Microsoft Windows событие (event) – это любое происшествие в операционной системе, которое записывается в журнал или требует уведомления пользователей или администраторов. Это может быть служба, которая не хочет запускаться, установка устройства или ошибка в работе приложения. События регистрируются и сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах. Вам следует регулярно следить за журналами событий и настраивать операционную систему на сохранение важных системных событий. В том случае, если вы администратор серверов Windows, то необходимо следить за безопасностью их систем, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. Если вы пользователь персонального компьютера, то вам следует убедиться в том, что вам доступны соответствующие журналы, необходимые для поддержки своей системы и устранения ошибок. Программа «Просмотр событий» представляет собой оснастку консоли управления Microsoft (MMC) и предназначена для просмотра и управления журналами событий. Это незаменимый инструмент для наблюдения за работоспособностью системы и устранения возникших неполадок. Служба Windows, которая управляет протоколированием событий, называется «Журнал событий». В том случае, если она запущена, Windows записывает важные данные в журналы. При помощи программы «Просмотр событий» вы можете выполнять следующие действия:
Запуск приложения «Просмотр событий»Приложение «Просмотр событий» можно открыть следующими способами:
Журналы событий в Windows 7В операционной системе Windows 7, так же как и в Windosw Vista, существуют две категории журналов событий: журналы Windows и журналы приложений и служб. Журналы Windows – используются операционной системой для регистрации общесистемных событий, связанных с работой приложений, системных компонентов, безопасностью и запуском. А журналы приложений и служб – используются приложениями и службами для регистрации событий, связанных с их работой. Для управления журналами событий можно использовать оснастку «Просмотр событий» или программу командной строки wevtutil, о которой будет рассказано во второй части статьи. Все типы журналов описаны ниже: Приложение – хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Application.Evtx. Безопасность – хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx Установка – в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx. Система – хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\System.Evtx Пересылаемые события – если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx Internet Explorer – в этот журнал записываются события, возникающие при настройке и работе с браузером Internet Explorer. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx Windows PowerShell – в этом журнале регистрируются события, связанные с использованием оболочки PowerShell. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx События оборудования – если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка «Просмотр событий» предоставляет простой графический интерфейс для доступа к этим возможностям. Свойства событийСуществует несколько свойств событий оснастки «Просмотр событий», которые подробно описаны немного ниже: Источник – это программа, зарегистрировавшая событие в журнале. Это может быть как имя программы (например, «Exchange Server»), так и название компонента системы или большого приложения (например, имя драйвера). Например, «Elnkii» означает драйвер EtherLink II. Код события – это число, определяющее конкретный тип события. В первой строке описания обычно содержится название типа события. Например, 6005 - это идентификатор события, которое происходит при запуске службы ведения журналов событий. Соответственно, в начале описания этого события находится строка «Запущена служба журнала событий». Код события и имя источника записи могут использоваться представителями группы поддержки программного продукта для устранения неполадок. Уровень – это уровень важности события. В журналах системы и приложений события могут иметь следующие уровни важности:
Пользователь – определяет учетную запись пользователя, от имени которого возникло данное событие. К пользователям относятся особые сущности, например Local Service, Network Service и Anonymous Logon, а также учетные записи реальных пользователей. Это имя представляет собой идентификатор клиента, если событие фактически было вызвано серверным процессом, или основной идентификатор, если олицетворение не производится. В некоторых случаях запись журнала безопасности содержит оба идентификатора. А также в этом поле может стоять N/A (Н/Д), если в данной ситуации учетная запись неприменима. Олицетворение происходит в случаях, когда сервер позволяет одному процессу присвоить атрибуты безопасности другого процесса. Рабочий код - содержит числовое значение, которое определяет операцию либо точку в пределах операции, при выполнении которой возникло данное событие. Например, инициализация или закрытие. Журнал - имя журнала, в который было записано данное событие. Категория и задачи – определяет категорию события, иногда используемую для последующего описания допустимого действия. У каждого источника событий свои категории. Например следующие категории: вход/выход, использование привилегий, изменение политики и управление учетной записью. Ключевые слова – это набор категорий или меток, которые могут использоваться для фильтрации или поиска событий. Например: «Сеть», «Безопасность» или «Ресурс не найден». Компьютер – идентифицирует имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но также может быть имя компьютера, переславшего событие, или имя локального компьютера до того, как оно было изменено. Дата и время – определяет дату и время возникновения данного события в журнале. ИД процесса – представляет идентификационный номер процесса, создавшего данное событие. Компьютерная программа представляет из себя только пассивную совокупность инструкций, в то время как процесс — это непосредственное выполнение этих инструкций ИД потока – представляет идентификационный номер потока, создавшего данное событие. Процесс, порождённый в операционной системе, может состоять из нескольких потоков, выполняющихся «параллельно», то есть без предписанного порядка во времени. При выполнении некоторых задач такое разделение может достичь более эффективного использования ресурсов вычислительной машины ИД процессора – представляет идентификационный номер процессора, обработавшего событие. Код сеанса – это идентификационный номер сеанса на сервере терминалов, в котором произошло событие. Время работы в режиме ядра – определяет время, потраченное на выполнение инструкций режима ядра, в единицах времени ЦП. Режим ядра имеет неограниченный доступ к системной памяти и внешним устройствам. Ядро системы NT называют гибридным ядром или макроядром. Время работы в пользовательском режиме – определяет время, потраченное на выполнение инструкций пользовательского режима, в единицах времени ЦП. Режим пользователя состоит из подсистем, которые передают запросы ввода\вывода соответствующему драйверу режима ядра посредством менеджера Ввода-вывода. Загруженность процессора – это время, потраченное на выполнение инструкций пользовательского режима, в тиках ЦП. Код корреляции – определяет действие в процессе, для которого используется событие. Этот код используется для указания простых отношений между событиями. Корреляция — статистическая взаимосвязь двух или нескольких случайных величин (либо величин, которые можно с некоторой допустимой степенью точности считать таковыми). При этом, изменения одной или нескольких из этих величин приводят к систематическому изменению другой или других величин. ИД относительной корреляции – определяет относительное действие в процессе, для которого используется событие Работа с журналами событийПросмотр событийНа следующем скриншоте можно увидеть журнал «Приложения», в котором можно узнать сведения о событиях, недавних представлениях и доступных действиях. Для того чтобы просмотреть события журнала приложений, выполните следующие действия:
Желательно почаще просматривать журналы событий «Приложение» и «Система» и изучать существующие проблемы и предупреждения, которые могут предвещать о проблемах в будущем. При выборе журнала в среднем окне отображаются доступные события, включая дату события, время и источник, уровень события и другие данные. Панель «Область просмотра» показывает основные данные о событиях на вкладке «Общие», а дополнительные специфические данные – на вкладке «Подробности». Включить и выключить эту панель можно, выбрав меню «Вид», а затем команду «Область просмотра». Для критических систем рекомендуется хранить журналы за последние несколько месяцев. Все время назначать журналам такой размер, чтобы в них умещалась вся информация, как правило, неудобно, решить эту задачу можно по-другому. Можно экспортировать журналы в файлы, распложенные в заданной папке. Для того чтобы сохранить выбранный журнал выполните следующие действия:
Очистка журнала событийИногда приходится очищать заполненные журналы событий для обеспечения эффективного анализа предупреждений и критических ошибок операционной системы. Для того чтобы очистить выбранный журнал выполните следующие действия:
Установка максимального размера журналаКак было сказано выше, журналы событий хранятся в виде файлов в папке %SystemRoot%\System32\Winevt\Logs\. По умолчанию максимальный размер этих файлов ограничен, но его можно изменить следующим способом:
События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов. Доступны следующие политики сохранения журнала: Переписывать события при необходимости (сначала старые файлы) – в этом случае новые записи продолжают заноситься в журнал после его заполнения. Каждое новое событие заменяет в журнале наиболее старое; Архивировать журнал при заполнении; не переписывать события – в этом случае файл журнала автоматически архивируется при необходимости. Перезапись устаревших событий не выполняется. Не переписывать события (очистить журнал вручную) – в этом случае журнал очищается вручную, а не автоматически. Для того чтобы выбрать нужную политику сохранения журналов выполните следующие действия:
Активация аналитического и отладочного журналаАналитический и отладочный журналы по умолчанию неактивны. После активации они быстро заполняются большим количеством событий. По этой причине желательно активировать указанные журналы на ограниченный период времени для того, чтобы собрать необходимые для поиска и устранения неполадок данные, а затем снова их отключить. Активацию журналов можно выполнить следующим образом:
Открытие и закрытие сохраненного журналаПри помощи оснастки «Просмотр событий» можно открывать и просматривать сохраненные ранее журналы. Одновременно можно открыть несколько сохраненных журналов и обращаться к ним в любое время в дереве консоли. Журнал, открытый в «Просмотре событий», может быть закрыт без удаления содержащихся в нем сведений. Для открытия сохраненного журнала выполните следующие действия:
Для того чтобы удалить открытый журнал их дерева событий, выполните следующие действия:
ЗаключениеВ этой части статьи, посвященной оснастке «Просмотр событий», рассказывается о самой оснастке и подробно описаны простейшие операции, связанные с мониторингом и обслуживанием системы при помощи «Просмотра событий». Следующая часть статьи будет рассчитана для опытных пользователей Windows. В ней будут описаны задачи с настраиваемыми представлениями, фильтрация, группировка/сортировка событий и управление подписками. - Оглавление - "Просмотр событий" в Windows 7 (Часть 1 - Оснастка)"Просмотр событий" в Windows 7 (Часть 2 - Администрирование)"Просмотр событий" в Windows 7 (Часть 3 - PowerShell)"Просмотр событий" в Windows 7 (Часть 3 - PowerShell) продолжение Автор: Dmitry Bulanov |
apocalypse.moy.su
- Оглавление - "Просмотр событий" в Windows 7 (Часть 1 - Оснастка)"Просмотр событий" в Windows 7 (Часть 2 - Администрирование)"Просмотр событий" в Windows 7 (Часть 3 - PowerShell)"Просмотр событий" в Windows 7 (Часть 3 - PowerShell) продолжение ВведениеВ предыдущей части статьи рассказывалось о базовых концепциях программы Windows 7 «Просмотр событий». В этой статье речь пойдет о настраиваемых представлениях, сортировке, группировке, фильтрации, а также о подписках на события. В предыдущих версиях системных утилит «Просмотр событий» уже имелась возможность фильтрации событий непосредственно в журнале событий, для создания которой требовалось указывать определенное количество правил. Они в свою очередь определяли всего-навсего отображение или скрытие правил в журнале событий. Начиная с операционной системы Windows Vista, фильтрация событий стала одним из преимуществ в функционале данной утилиты, которая позволяет фильтровать события для исключения или включения их в набор результатов. Вы можете создать набор правил, который будут использоваться при отборе событий из указанных источников, и отображении только тех событий, свойства которых удовлетворяют указанным правилам. В свою очередь, сортировка по типу упрощает отделение сообщений о критических ошибках от предупреждений и прочих сообщений, сортировка по источнику – отслеживание событий из определенных источников, а сортировка по коду – выявление повторяющихся событий. Использование фильтров в большинстве случаев существенно экономит время при поиске неисправностей и отладке системных ошибок. Сохранять проделанную работу и созданные фильтры позволяют настраиваемые представления. Сохраненный фильтр называется настраиваемым представлением, который создан на основе XPath-запросов. XPath – это язык запросов, позволяющий обращаться к определенным частям XML-документов. В просмотре событий XPath-выражения используются для поиска и выборки элементов журналов событий в отфильтрованное представление. Чтобы создать настраиваемое или отфильтрованное представление в просмотре событий, скопируйте XPath-запрос и сохраните его в файле пользовательского представления просмотра событий. Запустив этот запрос снова, можно воссоздать соответствующее настраиваемое представление или фильтр на любом компьютере с новыми операционными системами. При помощи программы «Просмотр событий» можно использовать централизованную регистрацию событий с использованием механизма пересылки событий и копирования журналов, которые ведутся на разных компьютерах, в централизованное хранилище, где можно анализировать сразу все журналы. Данный механизм, который практически не изменился со времен создания операционной системы Windows Vista, позволяет вам пересылать сведения о событиях на любой компьютер, который выполняет протоколирование событий. В связи с этим, можно проводить анализ в реальном времени для обнаружения попыток несанкционированного проникновения на компьютеры организации, а также домашней локальной сети. Если говорить вкратце, то сама настройка централизованной регистрации событий выполняется в несколько этапов. Сначала нужно настроить сбор и пересылку событий, а затем назначается сервер сбора событий и на нем определяются подписки, для каждого компьютера с указанными журналами и типами событий. После создания и активации подписки начинается процесс получения событий, которые можно просматривать и обрабатывать точно таким же образом, как и любые локальные события. Поскольку протокол пересылки событий использует стандартные протоколы HTTP и HTTPS, то вполне возможна пересылка событий через любые брандмауэры при условии, что на них открыты TCP-порты 80 и 443. А за сам процесс передачи и сбора информации отвечают служба удаленного управления Windows (WinRM) и служба сбора событий Windows (Wecsvc). Все события, которые записываются в журнал событий, содержат ссылку на веб-сайт корпорации Microsoft или тот веб-сайт, который вы указываете при создании своего собственного события. Во время просмотра любого события вы можете перейти по ссылке «Веб-справка журнала» для перехода на веб-страницу с информацией о данном событии. Если требуется связать со ссылкой «Веб-справка журнала» URL-адрес веб-сайта, отличного от сайта Microsoft, то можно либо указать нужный URL-адрес в системном реестре, либо указать URL-адрес в манифесте инструментария для издателя. Настраиваемые представленияКак говорилось выше, некоторые фильтры, которые сохраняются под определенными именами, называются настраиваемыми представлениями. После того как будут созданы и сохранены настраиваемые представления, их можно использовать в дальнейшем без повторного создания соответствующего фильтра. Просмотр событий автоматически создает фильтр представления журналов и помещает его в узел «Настраиваемые представления». Выбрав тот же созданный по умолчанию фильтр «События управления», у вас есть возможность получить полный список ошибок и предупреждений, собранных из всех журналов. При открытии настраиваемого представления для отображения событий используется фильтр, который применялся при создании указанного представления. Настраиваемые представления можно импортировать и экспортировать, а также разрешить использовать их другим пользователям и на других компьютерах. Далее рассматриваются основные операции, которые можно выполнить с настраиваемыми представлениями. Файл настраиваемого представления содержит XPath-запрос, который отображается на вкладке «XML». У членов группы «Читатели журнала событий», администраторам и другим пользователям, обладающими соответствующими разрешениями, есть доступ на выполнение запросов и просмотр событий на удаленном компьютере. Создание настраиваемого представленияДля того чтобы создать настраиваемое представление, выполните следующие действия:
Отображение настраиваемых XML-представленийКак говорилось выше, настраиваемые представления – это именованные фильтры, созданные на основе XPath-запросов. Соответственно, настраиваемые представления, как и другие фильтры в журнале событий, основаны на использовании XML. После создания настраиваемого представления в программе «Просмотр событий» можно просмотреть XML-код, использующийся для создания запроса. Для отображения настраиваемых XML-представлений выполните следующие действия:
Импорт настраиваемых представленийПри помощи утилиты «Просмотр событий», представления в виде XML-файлов можно импортировать в связи с тем, что настраиваемые представления являются XML-файлами со стандартным разрешением XML. С помощью этой функции представления можно сделать доступными для других пользователей и компьютеров. Для того чтобы импортировать настраиваемые представления, выполните следующие действия:
Экспорт настраиваемых представленийДля последующего импорта настраиваемых представлений для других пользователей и компьютеров в программе «Просмотр событий» можно экспортировать созданные представления в XML-файлы. Для того чтобы экспортировать настраиваемые представления, выполните следующие действия:
Фильтрация и сортировкаОдной из ключевых особенностей использования программы «Просмотр событий» является способность фильтровать, сортировать, группировать и изменять порядок следования событий. Это можно назвать организацией презентаций событий для исключения или включения их в набор результатов. Сортировка событий значительно упрощает отделение сообщений о критических ошибках от прочих сообщений, отслеживает события из определенных источников, а также выявляет повторяющиеся события. Фильтрация в основном предназначена для анализа конкретных событий, которые можно отбирать по заданным критериям. При помощи группировки можно отображать все события, которые были созданы, например, одним и тем же источником. Об этом функционале рассказывается в этом разделе данного руководства. Фильтрация событийДля облегчения просмотра событий в выбранном журнале, программа «Просмотр событий» позволяет использовать гибкий механизм фильтрации. К сожалению, фильтры предназначены только для временного просмотра и при последующем просмотре журнала, для которого применялся фильтр, он будет сброшен. Для того чтобы фильтр можно было применять в последующие разы, можно создавать настраиваемые представления, о которых говорилось выше. Для фильтрации отображаемых событий выполните следующие действия:
Для того чтобы отменить действия фильтра, выберите команду «Очистить фильтр» из меню «Действие» или из контекстного меню журнала. Сортировка событийСортировка – это алгоритм для упорядочения элементов в списке. В случае, когда элемент списка имеет несколько полей, поле, служащее критерием порядка, называется ключом сортировки. В программе «Просмотр событий» в качестве ключа выступают столбцы, которые отображены в главном окне программы. В зависимости от того, какие столбцы свойств событий программы «Просмотр событий» вы выбрали для отображения просматриваемых событий, данные можно отсортировать следующим образом:
К сожалению, после сохранения журнала в файл, порядок сортировки сохранен не будет. Группировка событийПри группировке элементов управления они объединяются так, чтобы с ними можно было работать как с одним элементом управления. Например, можно изменять размеры всех элементов управления в группе или перемещать их как одно целое. Несмотря на все хорошие качества сортировки событий, результаты сортировки могут содержать огромные, что значительно усложняет работу с событиями. В связи с этим была разработана такая функция, как группировка событий, которая собирает указанные события в группы, что значительно упрощает поиск нужных данных. Для того чтобы сгруппировать события по определенному свойству, сделайте следующее:
К сожалению, «Просмотр событий» позволяет группировать данные только по одному столбцу, то есть поддерживает один уровень группировки. Порядок следования свойств событийВ первой части текущего руководства я рассказывал о том, какие существуют свойства событий и как их можно выбирать. Здесь я объясню, как можно изменять порядок следования свойств событий для их отображения в программе. Изменить их порядок можно следующим образом:
Порядок столбцов сохранится даже после перезапуска программы. Подписка на событияКак говорилось выше, программа «Просмотр событий» позволяет просматривать события всех компьютеров локальной сети на любом компьютере, даже удаленном. Система может получать копии событий, зарегистрированных на различных удаленных компьютерах, и сохранять их локально. Для реализации этих действий нужно создавать пересылки и сбор событий, а также создавать подписки. Для пересылки событий необходимо включить и настроить ее на компьютерах, а затем определить подписки. Для того чтобы настроить пересылку и сбор пересылаемых событий, выполните следующие действия:
Подробно о настройке компьютеров для пересылки и сбора событий средствами командной строки будет рассказано в третей части статьи. Создание подписокПосле настройки пересылки и сбора событий на компьютерах для того чтобы можно было получать пересылаемые события, создайте одну или несколько подписок на события. Для того чтобы создать подписку на события, выполните следующие действия:
Управление подпискамиПосле того как будет создана подписка, копьютеры-источники будут пересылать события, которые располагаются в заданных журналах. Для просмотра подписок в программе «Просмотр событий» выберите узел «Подписки». Из перечня подписок выберите нужную для вас и выберите команду из меню «Действие» или из контекстного меню подписки. Доступны следующие команды:
Веб-справка журналаКак было сказано выше, все события, которые записываются в журнал событий, содержат ссылку на веб-сайт корпорации Microsoft или то веб-сайт, который указал пользователь при создании своего собственного события. Для того чтобы связать «Веб-справку журнала» с URL-адресом веб-сайта, отличного от веб-сайта корпорации Майкрософт, можно либо изменить определенные параметры в системном реестре, либо указать нужный URL-адрес в манифесте инструментария для издателя. В том случае, если URL-адреса были изменены и в системном реестре, и в манифестах инструментария, то URL-адрес, указанный в реестре будет переопределять все другие адреса. Указание URL-адреса в реестреВ системном реестре, за URL-адрес, связанный со ссылкой «Веб-справка журнала» отвечает раздел HKLM\Software\Microsoft\Windows NT\CurrentVersion\EventViewer\. В этом разделе реестра можно найти следующие три параметра:
Указание URL-адреса в манифесте инструментарияURL-адрес для ссылки «Веб-справка журнала» событий можно также указывать и в манифесте инструментария, о подробном создании которого будет рассказано в одной из следующих статей. Для этого необходимо добавить в элемент provider атрибут helpLink. В следующем примере показан атрибут helpLink, заданный для элемента provider. <provider name="Microsoft-Windows-EventLogSamplePublisher" guid="{1db28f2e-8f80-4027-8c5a-a11f7f10f62d}" symbol="MICROSOFT_SAMPLE_PUBLISHER" resourceFileName="C:\temp\Publisher.exe" messageFileName="C:\temp\Publisher.exe" helpLink="http://mydomain.com">ЗаключениеВ этой части статьи, посвященной программе «Просмотр событий» подробно рассмотрены операции, которые можно выполнять с настраиваемыми представлениями, фильтрацией, сортировкой и группровкой, управление подписками и пересылками событий, а также изменение URL-адреса веб-справки журнала. В следующей, заключительной части я расскажу о том, как можно выполнять различные операции, связанные с управлением событиями при помощи командной строки и Windows PowerShell. - Оглавление - "Просмотр событий" в Windows 7 (Часть 1 - Оснастка)"Просмотр событий" в Windows 7 (Часть 2 - Администрирование)"Просмотр событий" в Windows 7 (Часть 3 - PowerShell)"Просмотр событий" в Windows 7 (Часть 3 - PowerShell) продолжение Автор: Dmitry_Bulanov |
apocalypse.moy.su
Что такое просмотр событий в Windows и как его можно использовать
24.07.2013  windows | система
Просмотр событий в Windows отображает историю (журнал) системных сообщений и событий, генерируемых программами — ошибок, информационных сообщений и предупреждений. Кстати, мошенники иногда могут использовать просмотр событий для обмана пользователей — даже на нормально функционирующем компьютере в журнале всегда будут сообщения об ошибках.
Запуск просмотра событий
Для того, чтобы запустить просмотр событий Windows, наберите это самое словосочетание в поиске или же зайдите в «Панель управления» — «Администрирование» — «Просмотр событий»
События распределены по различным категориям. Например, журнал приложений содержит сообщения установленных программ, а журнал Windows — системных событий операционной системы.
Вы гарантированно обнаружите ошибки и предупреждения в просмотре событий, даже если с Вашим компьютером все в полном порядке. Просмотр событий Windows разработан для того, чтобы помочь системным администраторам следить за состоянием компьютеров и выяснять причины возникновения ошибок. Если с Вашим компьютеров нет видимых проблем, то скорее всего, отображаемые ошибки не являются важными. Например, часто можно увидеть ошибки о сбое определенных программ, которые произошли недели назад при однократном их запуске.
Системные предупреждения также обычно не являются важными для рядового пользователя. Если Вы решаете проблемы, связанные с настройкой сервера, то они могут оказаться полезными, в противном случае — скорее всего, нет.
Использование просмотра событий
Собственно, зачем вообще я об этом пишу, раз в просмотре событий Windows нет ничего интересного для обычного пользователя? Все-таки данная функция (или программа, утилита) Windows может быть полезной при возникновении проблем с компьютером — когда случайным образом появляется синий экран смерти Windows, или происходит произвольная перезагрузка — в просмотре событий можно отыскать причину данных событий. К примеру, ошибка в журнале системы может дать информацию о том, драйвер какого именно оборудования вызвал сбой для последующих действий по исправлению ситуации. Просто найдите ошибку, которая возникла в то время, когда компьютер перезагрузился, завис или отобразил синий экран смерти — ошибка будет отмечена как критическая.
Есть и другие применения просмотра событий. Например, Windows записывает время полной загрузки операционной системы. Или, если на вашем компьютере располагается сервер, Вы можете включить запись событий выключения и перезагрузки — всякий раз, когда кто-то будет выключать ПК, ему потребуется ввести причину этого, а вы сможете позже просмотреть все выключения и перезагрузки и введенную причину события.
Кроме этого, можно использовать просмотр событий совместно с планировщиком задач — кликните правой кнопкой мыши по любому событию и выберите «Привязать задачу к событию». Всякий раз, когда будет происходить данное событие, Windows будет запускать соответствующую задачу.
Пока все. Если Вы пропустили статью про еще один интересный (и более полезный, чем описанный), то очень рекомендую прочесть: использование монитора стабильности системы Windows.
А вдруг и это будет интересно:
remontka.pro