Введение

Операционная система Windows 7 постоянно следит за различными достойными внимания событиями, возникающими в вашей системе. В Microsoft Windows событие (event) – это любое происшествие в операционной системе, которое записывается в журнал или требует уведомления пользователей или администраторов. Это может быть служба, которая не хочет запускаться, установка устройства или ошибка в работе приложения. События регистрируются и сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах. Вам следует регулярно следить за журналами событий и настраивать операционную систему на сохранение важных системных событий. В том случае, если вы администратор серверов Windows, то необходимо следить за безопасностью их систем, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. Если вы пользователь персонального компьютера, то вам следует убедиться в том, что вам доступны соответствующие журналы, необходимые для поддержки своей системы и устранения ошибок.

Программа «Просмотр событий» представляет собой оснастку консоли управления Microsoft (MMC) и предназначена для просмотра и управления журналами событий. Это незаменимый инструмент для наблюдения за работоспособностью системы и устранения возникших неполадок. Служба Windows, которая управляет протоколированием событий, называется «Журнал событий». В том случае, если она запущена, Windows записывает важные данные в журналы. При помощи программы «Просмотр событий» вы можете выполнять следующие действия:

• Просматривать события определенных журналов;
• Применять фильтры событий и сохранять их для последующего использования в виде настраиваемых представлений;
• Создавать подписки на события и управлять ими;
• Назначать выполнение конкретных действий на возникновение определенного события.

Запуск приложения «Просмотр событий»

Приложение «Просмотр событий» можно открыть следующими способами:

• Нажмите на кнопку «Пуск» для открытия меню, откройте «Панель управления», из списка компонентов панели управления выберите «Администрирование» и из списка административных компонентов стоит выбрать «Просмотр событий»;
• Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню«Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку«Просмотр событий» и нажмите на кнопку «Добавить». Затем нажмите на кнопку «Готово», а после этого - кнопку «ОК»;
• Воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите eventvwr.msc и нажмите на кнопку «ОК»;

Рис.1. Окно "Просмотр событий"

Журналы событий в Windows 7

В операционной системе Windows 7, так же как и в Windosw Vista, существуют две категории журналов событий: журналы Windows и журналы приложений и служб. Журналы Windows – используются операционной системой для регистрации общесистемных событий, связанных с работой приложений, системных компонентов, безопасностью и запуском. А журналы приложений и служб – используются приложениями и службами для регистрации событий, связанных с их работой. Для управления журналами событий можно использовать оснастку «Просмотр событий» или программу командной строки wevtutil, о которой будет рассказано во второй части статьи. Все типы журналов описаны ниже:

Приложение – хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Безопасность – хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Установка – в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Система – хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\System.Evtx

Пересылаемые события – если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer – в этот журнал записываются события, возникающие при настройке и работе с браузером Internet Explorer. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell – в этом журнале регистрируются события, связанные с использованием оболочки PowerShell. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

События оборудования – если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка «Просмотр событий» предоставляет простой графический интерфейс для доступа к этим возможностям.

Свойства событий

Существует несколько свойств событий оснастки «Просмотр событий», которые подробно описаны немного ниже:

Источник – это программа, зарегистрировавшая событие в журнале. Это может быть как имя программы (например, «Exchange Server»), так и название компонента системы или большого приложения (например, имя драйвера). Например, «Elnkii» означает драйвер EtherLink II.

Код события – это число, определяющее конкретный тип события. В первой строке описания обычно содержится название типа события. Например, 6005 - это идентификатор события, которое происходит при запуске службы ведения журналов событий. Соответственно, в начале описания этого события находится строка «Запущена служба журнала событий». Код события и имя источника записи могут использоваться представителями группы поддержки программного продукта для устранения неполадок.

Уровень – это уровень важности события. В журналах системы и приложений события могут иметь следующие уровни важности:

• Уведомление - обозначает изменение в приложении или компоненте, такое как возникновение информационного события, связанного с успешным действием, создание ресурса или запуск службы.
• Предупреждение - обозначает предупреждение общего характера на неполадку, способную повлиять на службу или привести к более серьезной проблеме, если оставить ее без внимания;
• Ошибка - обозначает, что возникла проблема, которая может повлиять на функции, внешние по отношению к приложению или компоненту, вызвавшим событие;
• Критическая ошибка - обозначает, что произошел сбой, после которого приложение или компонент, инициировавшие событие, не могут восстановиться автоматически;
• Аудит успехов – успешное выполнение действий, которые вы отслеживаете через аудит, например использование какой-либо привилегии;
• Аудит отказов – неудачное выполнение действий, которые вы отслеживаете через аудит, например ошибка при входе в систему.

Пользователь – определяет учетную запись пользователя, от имени которого возникло данное событие. К пользователям относятся особые сущности, например Local Service, Network Service и Anonymous Logon, а также учетные записи реальных пользователей. Это имя представляет собой идентификатор клиента, если событие фактически было вызвано серверным процессом, или основной идентификатор, если олицетворение не производится. В некоторых случаях запись журнала безопасности содержит оба идентификатора. А также в этом поле может стоять N/A (Н/Д), если в данной ситуации учетная запись неприменима. Олицетворение происходит в случаях, когда сервер позволяет одному процессу присвоить атрибуты безопасности другого процесса.

Рабочий код - содержит числовое значение, которое определяет операцию либо точку в пределах операции, при выполнении которой возникло данное событие. Например, инициализация или закрытие.

Журнал - имя журнала, в который было записано данное событие.

Категория и задачи – определяет категорию события, иногда используемую для последующего описания допустимого действия. У каждого источника событий свои категории. Например следующие категории: вход/выход, использование привилегий, изменение политики и управление учетной записью.

Ключевые слова – это набор категорий или меток, которые могут использоваться для фильтрации или поиска событий. Например: «Сеть», «Безопасность» или «Ресурс не найден».

Компьютер – идентифицирует имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но также может быть имя компьютера, переславшего событие, или имя локального компьютера до того, как оно было изменено.

Дата и время – определяет дату и время возникновения данного события в журнале.

ИД процесса – представляет идентификационный номер процесса, создавшего данное событие. Компьютерная программа представляет из себя только пассивную совокупность инструкций, в то время как процесс — это непосредственное выполнение этих инструкций

ИД потока – представляет идентификационный номер потока, создавшего данное событие. Процесс, порождённый в операционной системе, может состоять из нескольких потоков, выполняющихся «параллельно», то есть без предписанного порядка во времени. При выполнении некоторых задач такое разделение может достичь более эффективного использования ресурсов вычислительной машины

ИД процессора – представляет идентификационный номер процессора, обработавшего событие.

Код сеанса – это идентификационный номер сеанса на сервере терминалов, в котором произошло событие.

Время работы в режиме ядра – определяет время, потраченное на выполнение инструкций режима ядра, в единицах времени ЦП. Режим ядра имеет неограниченный доступ к системной памяти и внешним устройствам. Ядро системы NT называют гибридным ядром или макроядром.

Время работы в пользовательском режиме – определяет время, потраченное на выполнение инструкций пользовательского режима, в единицах времени ЦП. Режим пользователя состоит из подсистем, которые передают запросы ввода\вывода соответствующему драйверу режима ядра посредством менеджера Ввода-вывода.

Загруженность процессора – это время, потраченное на выполнение инструкций пользовательского режима, в тиках ЦП.

Код корреляции – определяет действие в процессе, для которого используется событие. Этот код используется для указания простых отношений между событиями. Корреляция — статистическая взаимосвязь двух или нескольких случайных величин (либо величин, которые можно с некоторой допустимой степенью точности считать таковыми). При этом, изменения одной или нескольких из этих величин приводят к систематическому изменению другой или других величин.

ИД относительной корреляции – определяет относительное действие в процессе, для которого используется событие

Работа с журналами событий

Просмотр событий

На следующем скриншоте можно увидеть журнал «Приложения», в котором можно узнать сведения о событиях, недавних представлениях и доступных действиях. Для того чтобы просмотреть события журнала приложений, выполните следующие действия:

1. В дереве консоли выберите «Журналы Windows»;
2. Выберите журнал «Приложения».

Желательно почаще просматривать журналы событий «Приложение» и «Система» и изучать существующие проблемы и предупреждения, которые могут предвещать о проблемах в будещем. При выборе журнала в среднем окне отображаются доступные события, включая дату события, время и источник, уровень события и другие данные.

Панель «Область просмотра» показывает основные данные о событиях на вкладке «Общие», а дополнительные специфические данные – на вкладке «Подробности». Включить и выключить эту панель можно, выбрав меню «Вид», а затем команду «Область просмотра».

Для критических систем рекомендуется хранить журналы за последние несколько месяцев. Все время назначать журналам такой размер, чтобы в них умещалась вся информация, как правило, неудобно, решить эту задачу можно по-другому. Можно экспортировать журналы в файлы, распложенные в заданной папке. Для того чтобы сохранить выбранный журнал выполните следующие действия:

1. В дереве консоли выберите журнал событий, который нужно сохранить;
2. Выберите команду «Сохранить события как» из меню «Действие» или из контекстного меню журнала выберите команду «Сохранить все события как»;
3. В появившемся диалоге «Сохранить как» выберите папку, в которую должен быть сохранен файл. Если требуется сохранить файл в новой папке, то ее можно создать непосредственно из этого диалога, используя контекстное меню или кнопку «Новая папка» на панели действий. В поле «Тип файла» нужно выбрать желаемый формат файла из доступных: файлы событий - *.evtx, xml-файл - *.xml, текст с разделением табуляции - *.txt, csv с разделением запятыми - *.csv. В поле «Имя файла» введите имя и нажмите на кнопку «Сохранить». Для отмены сохранения нажмите на кнопку «Отмена»;
4. В том случае, если журнал событий не предназначен для просмотра на другом компьютере, в диалоговом окне «Отображать сведения» оставьте заданный по умолчанию вариант «Не отображать сведения», а если журнал предназначается для просмотра на другом компьютере, то в диалоговом окне «Отображать сведения» выберите вариант «Отображать сведения для следующих языков» и нажмите на кнопку «ОК».

Очистка журнала событий

Иногда приходится очищать заполненные журналы событий для обеспечения эффективного анализа предупреждений и критических ошибок операционной системы. Для того чтобы очистить выбранный журнал выполните следующие действия:

1. В дереве консоли выберите журнал событий, который требуется очистить;
2. Очистите журнал одним из следующих способов:
   • В меню «Действие» выберите команду «Очистить журнал»;
   • На выбранном журнале нажмите правой кнопкой для открытия контекстного меню. В контекстном меню выберите команду «Очистить журнал»;
   
3. Далее можно либо очистить журнал, либо заархивировать его в том случае, если это не было сделано ранее:
   • Чтобы очистить журнал событий без сохранения нажмите нажать на кнопку «Очистить»;
   • Чтобы очистить журнал событий после его сохранения нажмите на кнопку «Сохранить и очистить». В появившемся диалоге «Сохранить как» выберите папку, в которую должен быть сохранен файл. Если требуется сохранить файл в новой папке, то ее можно создать непосредственно из этого диалога используя контекстное меню или кнопку «Новая папка» на панели действий. В поле «Имя файла» введите имя и нажмите на кнопку «Сохранить». Для отмены сохранения нужно нажать на кнопку «Отмена».

Установка максимального размера журнала

Как было сказано выше, журналы событий хранятся в виде файлов в папке %SystemRoot%\System32\Winevt\Logs\. По умолчанию максимальный размер этих файлов ограничен, но его можно изменить следующим способом:

1. В дереве консоли выберите журнал событий, для которого следует изменить размер;
2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного журнала;

 



 

3. В поле «Максимальный размер журнала (КБ)» установите требуемое значение при помощи счетчика или установите вручную без использования счетчика. В этом случае значение будет округлено до ближайшего числа, кратного 64 КБ так как размер файла журнала должен быть кратен 64 КБ и не может быть меньше 1024 КБ.

События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов. Доступны следующие политики сохранения журнала:

Переписывать события при необходимости (сначала старые файлы) – в этом случае новые записи продолжают заноситься в журнал после его заполнения. Каждое новое событие заменяет в журнале наиболее старое;

Архивировать журнал при заполнении; не переписывать события – в этом случае файл журнала автоматически архивируется при необходимости. Перезапись устаревших событий не выполняется.

Не переписывать события (очистить журнал вручную) – в этом случае журнал очищается вручную, а не автоматически.

Для того чтобы выбрать нужную политику сохранения журналов выполните следующие действия:

1. В дереве консоли выберите журнал событий, для которого следует изменить размер;
2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного журнала;
3. На вкладке «Общие», в разделе «При достижении максимального размера» выберите требуемый параметр и нажмите на кнопку «ОК».

Активация аналитического и отладочного журнала

Аналитический и отладочный журналы по умолчанию неактивны. После активации они быстро заполняются большим количеством событий. По этой причине желательно активировать указанные журналы на ограниченный период времени для того, чтобы собрать необходимые для поиска и устранения неполадок данные, а затем снова их отключить. Активацию журналов можно выполнить следующим образом:

1. В дереве консоли найдите и выберите аналитический или отладочный журнал, который необходимо активировать;
2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного аналитического или отладочного журнала;
3. На вкладке «Общие» установите флажок на опции «Включить ведение журнала»

Открытие и закрытие сохраненного журнала

При помощи оснастки «Просмотр событий» можно открывать и просматривать сохраненные ранее журналы. Одновременно можно открыть несколько сохраненных журналов и обращаться к ним в любое время в дереве консоли. Журнал, открытый в «Просмотре событий», может быть закрыт без удаления содержащихся в нем сведений. Для открытия сохраненного журнала выполните следующие действия:

1. Выберите команду «Открыть сохраненный журнал» в меню «Действие» или из контекстного меню в дереве консоли;
2. В диалоговом окне «Открыть сохраненный журнал», передвигаясь по дереву каталогов, откройте папку, содержащую нужный файл. По умолчанию в диалоговом окне будут выведены все файлы журналов событий. Также при открытии можно выбрать тип файлов, которые нужно отображать в диалоге открытия. Доступные типы файлов: файлы журнала событий (*.evtx, *.evt, *.etl), а также файлы событий (*.evtx), старые файлы событий (*.evt) или файлы журнала трассировки (*.etl). После того, как нужный файл журнала будет найден, выделите его, щелкнув на нем левой кнопкой мыши, что поместит его имя в строку для ввода имени файла и нажмите на кнопку «Открыть».

 



 

3. В диалоге «Открыть сохраненный журнал», в поле «Имя» введите новое имя, которое будет использоваться для журнала в дереве консоли. Оно используется только для представления журнала в дереве консоли и имя файла журнала при этом не изменяется Можно также использовать существующее имя файла журнала. В поле «Описание» введите описание журнала. Оно будет отображаться в центральной области при выделении родительской папки журнала в дереве консоли;
4. Для создания папки, в которой будет расположен сохраненный журнал, нажмите на кнопку «Создать папку». В поле «Имя» введите имя папки, в которой будет находиться открытый журнал, а затем нажмите кнопку «ОК». Если родительская папка не выбрана, новая папка будет расположена в папке «Сохраненные журналы».

 



 

5. Для того чтобы открытый журнал событий стал недоступным для других пользователей компьютера, вы можете снять флажок «Все пользователи». В том случае, если этот флажок останется активным, открытый журнал будет доступен всем пользователям, но для его удаления из дерева консоли потребуются права администратора;
6. Для открытия журнала, нажмите на кнопку «ОК».

Для того чтобы удалить открытый журнал их дерева событий, выполните следующие действия:

1. В дереве консоли выберите журнал, который следует удалить;
2. Выберите команду «Удалить» из меню «Действие» или из контекстного меню выбранного журнала;

 



 

3. В диалоге «Просмотр событий» нажмите на кнопку «Да».

Заключение

В этой части статьи, посвященной оснастке «Просмотр событий», рассказывается о самой оснастке и подробно описаны простейшие операции, связанные с мониторингом и обслуживанием системы при помощи «Просмотра событий». Следующая часть статьи будет рассчитана для опытных пользователей Windows. В ней будут описаны задачи с настраиваемыми представлениями, фильтрация, группировка/сортировка событий и управление подписками.

Введение

Операционная система Windows 7 постоянно следит за различными достойными внимания событиями, возникающими в вашей системе. В Microsoft Windows событие (event) – это любое происшествие в операционной системе, которое записывается в журнал или требует уведомления пользователей или администраторов. Это может быть служба, которая не хочет запускаться, установка устройства или ошибка в работе приложения. События регистрируются и сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах. Вам следует регулярно следить за журналами событий и настраивать операционную систему на сохранение важных системных событий. В том случае, если вы администратор серверов Windows, то необходимо следить за безопасностью их систем, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. Если вы пользователь персонального компьютера, то вам следует убедиться в том, что вам доступны соответствующие журналы, необходимые для поддержки своей системы и устранения ошибок.

Программа «Просмотр событий» представляет собой оснастку консоли управления Microsoft (MMC) и предназначена для просмотра и управления журналами событий. Это незаменимый инструмент для наблюдения за работоспособностью системы и устранения возникших неполадок. Служба Windows, которая управляет протоколированием событий, называется «Журнал событий». В том случае, если она запущена, Windows записывает важные данные в журналы. При помощи программы «Просмотр событий» вы можете выполнять следующие действия:

• Просматривать события определенных журналов;
• Применять фильтры событий и сохранять их для последующего использования в виде настраиваемых представлений;
• Создавать подписки на события и управлять ими;
• Назначать выполнение конкретных действий на возникновение определенного события.

Запуск приложения «Просмотр событий»

Приложение «Просмотр событий» можно открыть следующими способами:

• Нажмите на кнопку «Пуск» для открытия меню, откройте «Панель управления», из списка компонентов панели управления выберите «Администрирование» и из списка административных компонентов стоит выбрать «Просмотр событий»;
• Откройте «Консоль управления MMC». Для этого нажмите на кнопку «Пуск», в поле поиска введите mmc, а затем нажмите на кнопку «Enter». Откроется пустая консоль MMC. В меню «Консоль» выберите команду «Добавить или удалить оснастку» или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге «Добавление и удаление оснасток» выберите оснастку «Просмотр событий» и нажмите на кнопку «Добавить». Затем нажмите на кнопку «Готово», а после этого - кнопку «ОК»;
• Воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите eventvwr.msc и нажмите на кнопку «ОК»;

Журналы событий в Windows 7

В операционной системе Windows 7, так же как и в Windosw Vista, существуют две категории журналов событий: журналы Windows и журналы приложений и служб. Журналы Windows – используются операционной системой для регистрации общесистемных событий, связанных с работой приложений, системных компонентов, безопасностью и запуском. А журналы приложений и служб – используются приложениями и службами для регистрации событий, связанных с их работой. Для управления журналами событий можно использовать оснастку «Просмотр событий» или программу командной строки wevtutil, о которой будет рассказано во второй части статьи. Все типы журналов описаны ниже:

Приложение – хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Безопасность – хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Установка – в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Система – хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\System.Evtx

Пересылаемые события – если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer – в этот журнал записываются события, возникающие при настройке и работе с браузером Internet Explorer. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell – в этом журнале регистрируются события, связанные с использованием оболочки PowerShell. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

События оборудования – если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка «Просмотр событий» предоставляет простой графический интерфейс для доступа к этим возможностям.

Свойства событий

Существует несколько свойств событий оснастки «Просмотр событий», которые подробно описаны немного ниже:

Источник – это программа, зарегистрировавшая событие в журнале. Это может быть как имя программы (например, «Exchange Server»), так и название компонента системы или большого приложения (например, имя драйвера). Например, «Elnkii» означает драйвер EtherLink II.

Код события – это число, определяющее конкретный тип события. В первой строке описания обычно содержится название типа события. Например, 6005 - это идентификатор события, которое происходит при запуске службы ведения журналов событий. Соответственно, в начале описания этого события находится строка «Запущена служба журнала событий». Код события и имя источника записи могут использоваться представителями группы поддержки программного продукта для устранения неполадок.

Уровень – это уровень важности события. В журналах системы и приложений события могут иметь следующие уровни важности:

• Уведомление - обозначает изменение в приложении или компоненте, такое как возникновение информационного события, связанного с успешным действием, создание ресурса или запуск службы.
• Предупреждение - обозначает предупреждение общего характера на неполадку, способную повлиять на службу или привести к более серьезной проблеме, если оставить ее без внимания;
• Ошибка - обозначает, что возникла проблема, которая может повлиять на функции, внешние по отношению к приложению или компоненту, вызвавшим событие;
• Критическая ошибка - обозначает, что произошел сбой, после которого приложение или компонент, инициировавшие событие, не могут восстановиться автоматически;
• Аудит успехов – успешное выполнение действий, которые вы отслеживаете через аудит, например использование какой-либо привилегии;
• Аудит отказов – неудачное выполнение действий, которые вы отслеживаете через аудит, например ошибка при входе в систему.

Пользователь – определяет учетную запись пользователя, от имени которого возникло данное событие. К пользователям относятся особые сущности, например Local Service, Network Service и Anonymous Logon, а также учетные записи реальных пользователей. Это имя представляет собой идентификатор клиента, если событие фактически было вызвано серверным процессом, или основной идентификатор, если олицетворение не производится. В некоторых случаях запись журнала безопасности содержит оба идентификатора. А также в этом поле может стоять N/A (Н/Д), если в данной ситуации учетная запись неприменима. Олицетворение происходит в случаях, когда сервер позволяет одному процессу присвоить атрибуты безопасности другого процесса.

Рабочий код - содержит числовое значение, которое определяет операцию либо точку в пределах операции, при выполнении которой возникло данное событие. Например, инициализация или закрытие.

Журнал - имя журнала, в который было записано данное событие.

Категория и задачи – определяет категорию события, иногда используемую для последующего описания допустимого действия. У каждого источника событий свои категории. Например следующие категории: вход/выход, использование привилегий, изменение политики и управление учетной записью.

Ключевые слова – это набор категорий или меток, которые могут использоваться для фильтрации или поиска событий. Например: «Сеть», «Безопасность» или «Ресурс не найден».

Компьютер – идентифицирует имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но также может быть имя компьютера, переславшего событие, или имя локального компьютера до того, как оно было изменено.

Дата и время – определяет дату и время возникновения данного события в журнале.

ИД процесса – представляет идентификационный номер процесса, создавшего данное событие. Компьютерная программа представляет из себя только пассивную совокупность инструкций, в то время как процесс — это непосредственное выполнение этих инструкций

ИД потока – представляет идентификационный номер потока, создавшего данное событие. Процесс, порождённый в операционной системе, может состоять из нескольких потоков, выполняющихся «параллельно», то есть без предписанного порядка во времени. При выполнении некоторых задач такое разделение может достичь более эффективного использования ресурсов вычислительной машины

ИД процессора – представляет идентификационный номер процессора, обработавшего событие.

Код сеанса – это идентификационный номер сеанса на сервере терминалов, в котором произошло событие.

Время работы в режиме ядра – определяет время, потраченное на выполнение инструкций режима ядра, в единицах времени ЦП. Режим ядра имеет неограниченный доступ к системной памяти и внешним устройствам. Ядро системы NT называют гибридным ядром или макроядром.

Время работы в пользовательском режиме – определяет время, потраченное на выполнение инструкций пользовательского режима, в единицах времени ЦП. Режим пользователя состоит из подсистем, которые передают запросы ввода\вывода соответствующему драйверу режима ядра посредством менеджера Ввода-вывода.

Загруженность процессора – это время, потраченное на выполнение инструкций пользовательского режима, в тиках ЦП.

Код корреляции – определяет действие в процессе, для которого используется событие. Этот код используется для указания простых отношений между событиями. Корреляция — статистическая взаимосвязь двух или нескольких случайных величин (либо величин, которые можно с некоторой допустимой степенью точности считать таковыми). При этом, изменения одной или нескольких из этих величин приводят к систематическому изменению другой или других величин.

ИД относительной корреляции – определяет относительное действие в процессе, для которого используется событие

Работа с журналами событий

Просмотр событий

На следующем скриншоте можно увидеть журнал «Приложения», в котором можно узнать сведения о событиях, недавних представлениях и доступных действиях. Для того чтобы просмотреть события журнала приложений, выполните следующие действия:

1. В дереве консоли выберите «Журналы Windows»;
2. Выберите журнал «Приложения».

Желательно почаще просматривать журналы событий «Приложение» и «Система» и изучать существующие проблемы и предупреждения, которые могут предвещать о проблемах в будущем. При выборе журнала в среднем окне отображаются доступные события, включая дату события, время и источник, уровень события и другие данные.

Панель «Область просмотра» показывает основные данные о событиях на вкладке «Общие», а дополнительные специфические данные – на вкладке «Подробности». Включить и выключить эту панель можно, выбрав меню «Вид», а затем команду «Область просмотра».

Для критических систем рекомендуется хранить журналы за последние несколько месяцев. Все время назначать журналам такой размер, чтобы в них умещалась вся информация, как правило, неудобно, решить эту задачу можно по-другому. Можно экспортировать журналы в файлы, распложенные в заданной папке. Для того чтобы сохранить выбранный журнал выполните следующие действия:

1. В дереве консоли выберите журнал событий, который нужно сохранить;
2. Выберите команду «Сохранить события как» из меню «Действие» или из контекстного меню журнала выберите команду «Сохранить все события как»;
3. В появившемся диалоге «Сохранить как» выберите папку, в которую должен быть сохранен файл. Если требуется сохранить файл в новой папке, то ее можно создать непосредственно из этого диалога, используя контекстное меню или кнопку «Новая папка» на панели действий. В поле «Тип файла» нужно выбрать желаемый формат файла из доступных: файлы событий - *.evtx, xml-файл - *.xml, текст с разделением табуляции - *.txt, csv с разделением запятыми - *.csv. В поле «Имя файла» введите имя и нажмите на кнопку «Сохранить». Для отмены сохранения нажмите на кнопку «Отмена»;
4. В том случае, если журнал событий не предназначен для просмотра на другом компьютере, в диалоговом окне «Отображать сведения» оставьте заданный по умолчанию вариант «Не отображать сведения», а если журнал предназначается для просмотра на другом компьютере, то в диалоговом окне «Отображать сведения» выберите вариант «Отображать сведения для следующих языков» и нажмите на кнопку «ОК».

Очистка журнала событий

Иногда приходится очищать заполненные журналы событий для обеспечения эффективного анализа предупреждений и критических ошибок операционной системы. Для того чтобы очистить выбранный журнал выполните следующие действия:

1. В дереве консоли выберите журнал событий, который требуется очистить;
2. Очистите журнал одним из следующих способов:
   • В меню «Действие» выберите команду «Очистить журнал»;
   • На выбранном журнале нажмите правой кнопкой для открытия контекстного меню. В контекстном меню выберите команду «Очистить журнал»;



3. Далее можно либо очистить журнал, либо заархивировать его в том случае, если это не было сделано ранее:
   • Чтобы очистить журнал событий без сохранения нажмите нажать на кнопку «Очистить»;
   • Чтобы очистить журнал событий после его сохранения нажмите на кнопку «Сохранить и очистить». В появившемся диалоге «Сохранить как» выберите папку, в которую должен быть сохранен файл. Если требуется сохранить файл в новой папке, то ее можно создать непосредственно из этого диалога используя контекстное меню или кнопку «Новая папка» на панели действий. В поле «Имя файла» введите имя и нажмите на кнопку «Сохранить». Для отмены сохранения нужно нажать на кнопку «Отмена».

Установка максимального размера журнала

Как было сказано выше, журналы событий хранятся в виде файлов в папке %SystemRoot%\System32\Winevt\Logs\. По умолчанию максимальный размер этих файлов ограничен, но его можно изменить следующим способом:

1. В дереве консоли выберите журнал событий, для которого следует изменить размер;
2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного журнала;



3. В поле «Максимальный размер журнала (КБ)» установите требуемое значение при помощи счетчика или установите вручную без использования счетчика. В этом случае значение будет округлено до ближайшего числа, кратного 64 КБ так как размер файла журнала должен быть кратен 64 КБ и не может быть меньше 1024 КБ.

События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов. Доступны следующие политики сохранения журнала:

Переписывать события при необходимости (сначала старые файлы) – в этом случае новые записи продолжают заноситься в журнал после его заполнения. Каждое новое событие заменяет в журнале наиболее старое;

Архивировать журнал при заполнении; не переписывать события – в этом случае файл журнала автоматически архивируется при необходимости. Перезапись устаревших событий не выполняется.

Не переписывать события (очистить журнал вручную) – в этом случае журнал очищается вручную, а не автоматически.

Для того чтобы выбрать нужную политику сохранения журналов выполните следующие действия:

1. В дереве консоли выберите журнал событий, для которого следует изменить размер;
2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного журнала;
3. На вкладке «Общие», в разделе «При достижении максимального размера» выберите требуемый параметр и нажмите на кнопку «ОК».

Активация аналитического и отладочного журнала

Аналитический и отладочный журналы по умолчанию неактивны. После активации они быстро заполняются большим количеством событий. По этой причине желательно активировать указанные журналы на ограниченный период времени для того, чтобы собрать необходимые для поиска и устранения неполадок данные, а затем снова их отключить. Активацию журналов можно выполнить следующим образом:

1. В дереве консоли найдите и выберите аналитический или отладочный журнал, который необходимо активировать;
2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного аналитического или отладочного журнала;
3. На вкладке «Общие» установите флажок на опции «Включить ведение журнала»

Открытие и закрытие сохраненного журнала

При помощи оснастки «Просмотр событий» можно открывать и просматривать сохраненные ранее журналы. Одновременно можно открыть несколько сохраненных журналов и обращаться к ним в любое время в дереве консоли. Журнал, открытый в «Просмотре событий», может быть закрыт без удаления содержащихся в нем сведений. Для открытия сохраненного журнала выполните следующие действия:

1. Выберите команду «Открыть сохраненный журнал» в меню «Действие» или из контекстного меню в дереве консоли;
2. 3. В диалоговом окне «Открыть сохраненный журнал», передвигаясь по дереву каталогов, откройте папку, содержащую нужный файл. По умолчанию в диалоговом окне будут выведены все файлы журналов событий. Также при открытии можно выбрать тип файлов, которые нужно отображать в диалоге открытия. Доступные типы файлов: файлы журнала событий (*.evtx, *.evt, *.etl), а также файлы событий (*.evtx), старые файлы событий (*.evt) или файлы журнала трассировки (*.etl). После того, как нужный файл журнала будет найден, выделите его, щелкнув на нем левой кнопкой мыши, что поместит его имя в строку для ввода имени файла и нажмите на кнопку «Открыть».



3. В диалоге «Открыть сохраненный журнал», в поле «Имя» введите новое имя, которое будет использоваться для журнала в дереве консоли. Оно используется только для представления журнала в дереве консоли и имя файла журнала при этом не изменяется Можно также использовать существующее имя файла журнала. В поле «Описание» введите описание журнала. Оно будет отображаться в центральной области при выделении родительской папки журнала в дереве консоли;
4. Для создания папки, в которой будет расположен сохраненный журнал, нажмите на кнопку «Создать папку». В поле «Имя» введите имя папки, в которой будет находиться открытый журнал, а затем нажмите кнопку «ОК». Если родительская папка не выбрана, новая папка будет расположена в папке «Сохраненные журналы».



5. Для того чтобы открытый журнал событий стал недоступным для других пользователей компьютера, вы можете снять флажок «Все пользователи». В том случае, если этот флажок останется активным, открытый журнал будет доступен всем пользователям, но для его удаления из дерева консоли потребуются права администратора;
6. Для открытия журнала, нажмите на кнопку «ОК».

Для того чтобы удалить открытый журнал их дерева событий, выполните следующие действия:

1. В дереве консоли выберите журнал, который следует удалить;
2. Выберите команду «Удалить» из меню «Действие» или из контекстного меню выбранного журнала;



3. В диалоге «Просмотр событий» нажмите на кнопку «Да».

Заключение

В этой части статьи, посвященной оснастке «Просмотр событий», рассказывается о самой оснастке и подробно описаны простейшие операции, связанные с мониторингом и обслуживанием системы при помощи «Просмотра событий». Следующая часть статьи будет рассчитана для опытных пользователей Windows. В ней будут описаны задачи с настраиваемыми представлениями, фильтрация, группировка/сортировка событий и управление подписками.

Автор: Dmitry Bulanov

Введение

В предыдущей части статьи рассказывалось о базовых концепциях программы Windows 7 «Просмотр событий». В этой статье речь пойдет о настраиваемых представлениях, сортировке, группировке, фильтрации, а также о подписках на события.

В предыдущих версиях системных утилит «Просмотр событий» уже имелась возможность фильтрации событий непосредственно в журнале событий, для создания которой требовалось указывать определенное количество правил. Они в свою очередь определяли всего-навсего отображение или скрытие правил в журнале событий. Начиная с операционной системы Windows Vista, фильтрация событий стала одним из преимуществ в функционале данной утилиты, которая позволяет фильтровать события для исключения или включения их в набор результатов. Вы можете создать набор правил, который будут использоваться при отборе событий из указанных источников, и отображении только тех событий, свойства которых удовлетворяют указанным правилам. В свою очередь, сортировка по типу упрощает отделение сообщений о критических ошибках от предупреждений и прочих сообщений, сортировка по источнику – отслеживание событий из определенных источников, а сортировка по коду – выявление повторяющихся событий.

Использование фильтров в большинстве случаев существенно экономит время при поиске неисправностей и отладке системных ошибок. Сохранять проделанную работу и созданные фильтры позволяют настраиваемые представления. Сохраненный фильтр называется настраиваемым представлением, который создан на основе XPath-запросов. XPath – это язык запросов, позволяющий обращаться к определенным частям XML-документов. В просмотре событий XPath-выражения используются для поиска и выборки элементов журналов событий в отфильтрованное представление.

Чтобы создать настраиваемое или отфильтрованное представление в просмотре событий, скопируйте XPath-запрос и сохраните его в файле пользовательского представления просмотра событий. Запустив этот запрос снова, можно воссоздать соответствующее настраиваемое представление или фильтр на любом компьютере с новыми операционными системами.

При помощи программы «Просмотр событий» можно использовать централизованную регистрацию событий с использованием механизма пересылки событий и копирования журналов, которые ведутся на разных компьютерах, в централизованное хранилище, где можно анализировать сразу все журналы. Данный механизм, который практически не изменился со времен создания операционной системы Windows Vista, позволяет вам пересылать сведения о событиях на любой компьютер, который выполняет протоколирование событий. В связи с этим, можно проводить анализ в реальном времени для обнаружения попыток несанкционированного проникновения на компьютеры организации, а также домашней локальной сети.

Если говорить вкратце, то сама настройка централизованной регистрации событий выполняется в несколько этапов. Сначала нужно настроить сбор и пересылку событий, а затем назначается сервер сбора событий и на нем определяются подписки, для каждого компьютера с указанными журналами и типами событий. После создания и активации подписки начинается процесс получения событий, которые можно просматривать и обрабатывать точно таким же образом, как и любые локальные события. Поскольку протокол пересылки событий использует стандартные протоколы HTTP и HTTPS, то вполне возможна пересылка событий через любые брандмауэры при условии, что на них открыты TCP-порты 80 и 443. А за сам процесс передачи и сбора информации отвечают служба удаленного управления Windows (WinRM) и служба сбора событий Windows (Wecsvc).

Все события, которые записываются в журнал событий, содержат ссылку на веб-сайт корпорации Microsoft или тот веб-сайт, который вы указываете при создании своего собственного события. Во время просмотра любого события вы можете перейти по ссылке «Веб-справка журнала» для перехода на веб-страницу с информацией о данном событии. Если требуется связать со ссылкой «Веб-справка журнала» URL-адрес веб-сайта, отличного от сайта Microsoft, то можно либо указать нужный URL-адрес в системном реестре, либо указать URL-адрес в манифесте инструментария для издателя.

Настраиваемые представления

Как говорилось выше, некоторые фильтры, которые сохраняются под определенными именами, называются настраиваемыми представлениями. После того как будут созданы и сохранены настраиваемые представления, их можно использовать в дальнейшем без повторного создания соответствующего фильтра. Просмотр событий автоматически создает фильтр представления журналов и помещает его в узел «Настраиваемые представления». Выбрав тот же созданный по умолчанию фильтр «События управления», у вас есть возможность получить полный список ошибок и предупреждений, собранных из всех журналов. При открытии настраиваемого представления для отображения событий используется фильтр, который применялся при создании указанного представления. Настраиваемые представления можно импортировать и экспортировать, а также разрешить использовать их другим пользователям и на других компьютерах. Далее рассматриваются основные операции, которые можно выполнить с настраиваемыми представлениями.

Файл настраиваемого представления содержит XPath-запрос, который отображается на вкладке «XML». У членов группы «Читатели журнала событий», администраторам и другим пользователям, обладающими соответствующими разрешениями, есть доступ на выполнение запросов и просмотр событий на удаленном компьютере.

Создание настраиваемого представления

Для того чтобы создать настраиваемое представление, выполните следующие действия:

1. Откройте «Просмотр событий»;
2. Перейдите в узел «Настраиваемые представления» и выберите команду «Создать настраиваемое представление» из меню действий или из контекстного меню узла;



3. В диалоговом окне «Создание настраиваемого представления» с помощью раскрывающегося списка «Дата» задайте период времени, который вас интересует. Доступны следующие варианты: «В любое время», «За последний час», «За последние 12 часов», «За последние 24 часа», «За последние 7 дней» и «За последние 30 дней». При отсутствии требуемых параметров из рыскрывающегося списка выберите «Настраиваемый диапазон». В диалоговом окне «Настраиваемый диапазон» укажите дату и время начала и окончания периода, в котором были зарегистрированы искомые события и нажмите кнопку ОК;



4. При помощи флажков «Уровень события» вы можете указать тот уровень события, который вам нужен для анализа, а с помощью параметра «Подробности» можно получить дополнительную информацию;
5. Свое настраиваемое представление можно создавать для указанного набора журналов или набора источников событий, а именно:
   • Список «Журналы событий» позволяет выбрать журналы для включения в представление. Чтобы выбрать несколько журналов, установите соответствующие флажки. Все неотмеченные журналы событий будут игнорироваться.
   • Список «Источник событий» позволяет указывать непосредственно источники. События из этих источников будут включаться в представление. Для того чтобы выбрать несколько источников, установите соответствующие флажки. Все неотмеченные источники будут игнорироваться.
6. В поле «Коды событий» введите те коды событий, которые будут отображаться в представлении. Для того чтобы ввести несколько кодов одновременно, используйте запятую. Чтобы включить целый диапазон кодов, например от 2185 до 2697, введите 2185-2697. Если требуется, чтобы из списка были исключены события с определенными кодами, введите коды этих событий со знаком минус. Например, для отображения событий с кодами от 2185 до 2697 за исключением кода 2392, введите 2185-2697,-2392;
7. В раскрывающемся списке «Категория задачи» установите флажки, соответствующие категориям задач, которые необходимо включить в представление;
8. В раскрывающемся списке «Ключевые слова» установите флажки, соответствующие ключевым словам, которые необходимо включить в представление;
9. Поля «Пользователь» и «Компьютеры» позволяют выбрать пользователей и компьютеры, для которых применяется текущее представление. Если эти параметры не заданы, то анализируются те события, которые генерируются всеми пользователями и компьютерами;
10. Нажмите на кнопку «ОК», чтобы закрыть диалоговое окно «Создание настраиваемого представления». Отобразится следующее диалоговое окно – «Сохранение фильтра и настраиваемое представление», в котором нужно указать место для сохранения настраиваемого представления. В поле «Описание» вы можете добавить описание для своего настраиваемого представления. По умолчанию настраиваемые представления помещаются в узел «Настраиваемые представления». Для создания папки, в которой будет расположено представление, нажмите на кнопку «Создать папку». В поле «Имя» введите имя папки, в которой будет располагаться ваше представление, а затем нажмите на кнопку «ОК». Для того чтобы открытый журнал событий стал недоступным для других пользователей компьютера, вы можете снять флажок «Все пользователи». В том случае, если этот флажок останется активным, открытый журнал будет доступен всем пользователям, но для его удаления из дерева консоли потребуются права администратора;

Отображение настраиваемых XML-представлений

Как говорилось выше, настраиваемые представления – это именованные фильтры, созданные на основе XPath-запросов. Соответственно, настраиваемые представления, как и другие фильтры в журнале событий, основаны на использовании XML. После создания настраиваемого представления в программе «Просмотр событий» можно просмотреть XML-код, использующийся для создания запроса. Для отображения настраиваемых XML-представлений выполните следующие действия:

1. В дереве консоли выберите нужное настраиваемое представление;
2. Выберите команду «Свойства» из меню «Действие» или из контекстного меню выбранного представления;
3. В диалоге «Название_представления - свойства» нажмите на кнопку «Изменить фильтр»;
4. Перейдите на вкладку XML, где в представленном текстовом поле отображается XPath-запрос, на основе которого создано само представление.

Импорт настраиваемых представлений

При помощи утилиты «Просмотр событий», представления в виде XML-файлов можно импортировать в связи с тем, что настраиваемые представления являются XML-файлами со стандартным разрешением XML. С помощью этой функции представления можно сделать доступными для других пользователей и компьютеров. Для того чтобы импортировать настраиваемые представления, выполните следующие действия:

1. В дереве консоли перейдите на узел «Настраиваемые представления»;
2. Выберите команду «Импорт настраиваемого представления» из меню «Действие» или из контекстного меню;
3. В окне «Импорт настраиваемого представления», передвигаясь по дереву каталогов, откройте папку, содержащую нужный файл. В диалоговом окне будут выведены XML-файлы. После того, как нужный файл журнала будет найден, выделите его, щелкнув на нем левой кнопкой мыши, что поместит его имя в строку для ввода имени файла и нажмите на кнопку «Открыть»;
4. Если требуется обеспечить доступ всех пользователей, которые работают на компьютере, к какому-либо настраиваемому представлению, установите флажок «Все пользователи» и нажмите на кнопку «ОК».

Экспорт настраиваемых представлений

Для последующего импорта настраиваемых представлений для других пользователей и компьютеров в программе «Просмотр событий» можно экспортировать созданные представления в XML-файлы. Для того чтобы экспортировать настраиваемые представления, выполните следующие действия:

1. В дереве консоли перейдите на узел «Настраиваемые представления» и выберите нужное для экспорта представление;
2. Выберите команду «Экспортировать настраиваемое представление» из меню «Действие» или из контекстного меню представления;
3. В появившемся диалоге «Сохранить как» выберите папку, в которую должен быть сохранен файл. Если требуется сохранить файл в новой папке, то ее можно создать непосредственно из этого диалога, используя контекстное меню или кнопку «Новая папка» на панели действий. В поле «Имя файла» введите имя и нажмите на кнопку «Сохранить». Для отмены сохранения нажмите на кнопку «Отмена»;

Фильтрация и сортировка

Одной из ключевых особенностей использования программы «Просмотр событий» является способность фильтровать, сортировать, группировать и изменять порядок следования событий. Это можно назвать организацией презентаций событий для исключения или включения их в набор результатов. Сортировка событий значительно упрощает отделение сообщений о критических ошибках от прочих сообщений, отслеживает события из определенных источников, а также выявляет повторяющиеся события. Фильтрация в основном предназначена для анализа конкретных событий, которые можно отбирать по заданным критериям. При помощи группировки можно отображать все события, которые были созданы, например, одним и тем же источником. Об этом функционале рассказывается в этом разделе данного руководства.

Фильтрация событий

Для облегчения просмотра событий в выбранном журнале, программа «Просмотр событий» позволяет использовать гибкий механизм фильтрации. К сожалению, фильтры предназначены только для временного просмотра и при последующем просмотре журнала, для которого применялся фильтр, он будет сброшен. Для того чтобы фильтр можно было применять в последующие разы, можно создавать настраиваемые представления, о которых говорилось выше. Для фильтрации отображаемых событий выполните следующие действия:

1. В дереве консоли перейдите на журнал, который нужно отфильтровать;
2. Выберите команду «Фильтр текущего журнала» из меню «Действие» или из контекстного меню журнала;
3. Далее фильтр настраивается точно так же, как и для настраиваемых представлений, что описывалось выше;
4. Нажмите на кнопку «ОК» для того чтобы закрыть диалоговое окно «Фильтровать текущий журнал».

Для того чтобы отменить действия фильтра, выберите команду «Очистить фильтр» из меню «Действие» или из контекстного меню журнала.

Сортировка событий

Сортировка – это алгоритм для упорядочения элементов в списке. В случае, когда элемент списка имеет несколько полей, поле, служащее критерием порядка, называется ключом сортировки. В программе «Просмотр событий» в качестве ключа выступают столбцы, которые отображены в главном окне программы. В зависимости от того, какие столбцы свойств событий программы «Просмотр событий» вы выбрали для отображения просматриваемых событий, данные можно отсортировать следующим образом:

1. В дереве консоли перейдите на журнал, сохраненный журнал или настраиваемое представление, которое нужно отсортировать;
2. Для выполнения сортировки, нажмите левой кнопкой мыши на заголовке любого журнала. Для сортировки событий в обратном порядке, нажмите левой кнопкой мыши повторно на том же заголовке.

К сожалению, после сохранения журнала в файл, порядок сортировки сохранен не будет.

Группировка событий

При группировке элементов управления они объединяются так, чтобы с ними можно было работать как с одним элементом управления. Например, можно изменять размеры всех элементов управления в группе или перемещать их как одно целое. Несмотря на все хорошие качества сортировки событий, результаты сортировки могут содержать огромные, что значительно усложняет работу с событиями. В связи с этим была разработана такая функция, как группировка событий, которая собирает указанные события в группы, что значительно упрощает поиск нужных данных. Для того чтобы сгруппировать события по определенному свойству, сделайте следующее:

1. В дереве консоли перейдите на журнал, сохраненный журнал или настраиваемое представление, которое нужно сгруппировать;
2. Щелкните правой кнопкой мыши для вызова контекстного меню и выберите команду «Группировать события по этому столбцу». Для того чтобы отменить группировку, нажмите на правую кнопку мыши на любом заголовке столбцов и выберите команду «Удалить группировку событий».

К сожалению, «Просмотр событий» позволяет группировать данные только по одному столбцу, то есть поддерживает один уровень группировки.

Порядок следования свойств событий

В первой части текущего руководства я рассказывал о том, какие существуют свойства событий и как их можно выбирать. Здесь я объясню, как можно изменять порядок следования свойств событий для их отображения в программе. Изменить их порядок можно следующим образом:

1. В дереве консоли перейдите на журнал, сохраненный журнал или настраиваемое представление;
2. Щелкните правой кнопкой мыши для вызова контекстного меню и выберите команду «Добавить или удалить столбцы»;
3. В диалоговом окне «Добавление и удаление столбцов» в списке «Доступные столбцы» отображены те столбцы, которые можно добавить при помощи кнопки «Добавить ->», а удалять ненужные столбцы можно из поля «Отображаемые столбцы» при помощи кнопки «<- Удалить». Нужное положение столбцов можно задавать при помощи кнопок «Вверх» или «Вниз».

Порядок столбцов сохранится даже после перезапуска программы.

Подписка на события

Как говорилось выше, программа «Просмотр событий» позволяет просматривать события всех компьютеров локальной сети на любом компьютере, даже удаленном. Система может получать копии событий, зарегистрированных на различных удаленных компьютерах, и сохранять их локально. Для реализации этих действий нужно создавать пересылки и сбор событий, а также создавать подписки.

Для пересылки событий необходимо включить и настроить ее на компьютерах, а затем определить подписки. Для того чтобы настроить пересылку и сбор пересылаемых событий, выполните следующие действия:

1. Войдите в систему всех компьютеров-сборщиков и компьютеров-источников событий. Для этого желательно использовать учетную запись домена с правами администратора.
2. Настройте автоматический запуск с задержкой для службы «Удаленное управление Windows», далее WinRM;
3. Запустите службу WinRM;
4. Создайте прослушиватель WinRM;
5. Добавьте учетную запись компьютера-сборщика данных к локальной группе «Администраторы» на каждом компьютере-источнике событий;
6. Разрешите исключение брандмауэра WinRM, если в системе включен брандмауэр.

Подробно о настройке компьютеров для пересылки и сбора событий средствами командной строки будет рассказано в третей части статьи.

Создание подписок

После настройки пересылки и сбора событий на компьютерах для того чтобы можно было получать пересылаемые события, создайте одну или несколько подписок на события. Для того чтобы создать подписку на события, выполните следующие действия:

1. На компьютере, который будет выполнять сбор событий, войдите в систему с правами администратора и откройте оснастку «Просмотр событий». Затем или нажмите правой кнопкой мыши на узле «Просмотр событий» для вызова контекстного меню и выберите команду «Подключиться к другому компьютеру», или в диалоговом окне «Выбор компьютера» введите имя, IP-адрес или полное доменное имя нужного компьютера в поле «Другой компьютер» и нажмите на кнопку «ОК»;



2. Нажмите правой кнопкой мыши на узле «Подписки» и из контекстного меню выберите команду «Создать подписку»;



3. В окне «Свойства подписки» введите имя подписки в поле «Название подписки». При желании в поле «Описание» можете ввести описание для созданной подписки;
4. В диалоге создания подписок по умолчанию конечным журналом является «Пересылаемые события». Имя журнала можно изменить в том случае, если это необходимо.
5. Для указания компьютера, пересылающего события на сервер, нажмите на кнопку «Выберите компьютеры» и в появившемся диалоговом окне выберите «Добавить доменный компьютер». В этом окне выберите нужный компьютер, после чего нажать на кнопку «ОК»;



6. Нажмите на кнопку «Выбрать события» и выберите команду «Изменить» для открытия «Фильтра запроса».
7. Выберите уровень событий при помощи флажков «Уровень событий». Для того чтобы отфильтровать один или несколько журналов, поставьте переключатель на опцию «По журналу» и в списке «Журналы событий» выберите нужные для вас журналы. В том случае, если вам будет нужно отфильтровывать журналы по источнику событий, то вы можете выбрать источники из списка «Источники событий». Параметр «По источнику» лучше оставить включенным.
8. Изначально служба сборщика событий использует для чтения исходных журналов учетную запись компьютера-сборщика событий. Для того чтобы указать другие учетные данные, нажмите на кнопку «Дополнительно». В диалоговом окне «Дополнительные параметры подписки» установите переключатель на учетную запись пользователя - «Определенный пользователь», а затем нажмите на кнопку «Пользователь и пароль», где нужно будет ввести учетные данные. Нажмите на кнопку «ОК».



9. Нажмите на кнопку «ОК». Подписка будет создана и добавлена в узел «Подписки» и, если операция была успешной, подписка будет иметь состояние «Активный».

Управление подписками

После того как будет создана подписка, копьютеры-источники будут пересылать события, которые располагаются в заданных журналах. Для просмотра подписок в программе «Просмотр событий» выберите узел «Подписки». Из перечня подписок выберите нужную для вас и выберите команду из меню «Действие» или из контекстного меню подписки. Доступны следующие команды:

• Свойства – открывает диалог настройки свойств подписки. Здесь можно изменить все свойства выбранной подписки, кроме имени и типа.
• Отключить – отключает выбранную подписку, прекращая пересылку и сбор событий.
• Включить – включает отключенную подписку, после чего возобновляется пересылка и сбор событий.
• Состояние выполнения – выводит состояние выполнения подписки.
• Удалить – удаляет выбранную подписку.

Веб-справка журнала

Как было сказано выше, все события, которые записываются в журнал событий, содержат ссылку на веб-сайт корпорации Microsoft или то веб-сайт, который указал пользователь при создании своего собственного события. Для того чтобы связать «Веб-справку журнала» с URL-адресом веб-сайта, отличного от веб-сайта корпорации Майкрософт, можно либо изменить определенные параметры в системном реестре, либо указать нужный URL-адрес в манифесте инструментария для издателя. В том случае, если URL-адреса были изменены и в системном реестре, и в манифестах инструментария, то URL-адрес, указанный в реестре будет переопределять все другие адреса.

Указание URL-адреса в реестре

В системном реестре, за URL-адрес, связанный со ссылкой «Веб-справка журнала» отвечает раздел HKLM\Software\Microsoft\Windows NT\CurrentVersion\EventViewer\. В этом разделе реестра можно найти следующие три параметра:

• MicrosoftRedirectionProgram - Указывает программу для отображения сведений, возвращенных с веб-сайта, который связан со ссылкой «Веб-справка журнала» журнала событий.
• MicrosoftRedirectionProgramCommandLineParameters - Указывает параметры, передаваемые программе, которая указана в параметре MicrosoftRedirectionProgram.
• MicrosoftRedirectionURL - Указывает URL-адрес, связанный со ссылкой «Веб-справка журнала». Значение по умолчанию: http://go.microsoft.com/fwlink/events.asp.

Указание URL-адреса в манифесте инструментария

URL-адрес для ссылки «Веб-справка журнала» событий можно также указывать и в манифесте инструментария, о подробном создании которого будет рассказано в одной из следующих статей. Для этого необходимо добавить в элемент provider атрибут helpLink. В следующем примере показан атрибут helpLink, заданный для элемента provider.

Заключение

В этой части статьи, посвященной программе «Просмотр событий» подробно рассмотрены операции, которые можно выполнять с настраиваемыми представлениями, фильтрацией, сортировкой и группровкой, управление подписками и пересылками событий, а также изменение URL-адреса веб-справки журнала. В следующей, заключительной части я расскажу о том, как можно выполнять различные операции, связанные с управлением событиями при помощи командной строки и Windows PowerShell.

Автор: Dmitry_Bulanov