Какво е Event Viewer в Windows и как можете да го използвате. Как да използвате Windows Event Viewer за решаване на компютърни проблеми Отдалечен преглед на регистрационни файлове

Мисля, че всеки потребител, който работи с компютър, се е сблъсквал с проблеми и грешки. Време е да научите как да четете регистъра на събитията на Windows, който показва съобщения от приложенията и самата система: грешки, информационни съобщения, предупреждения. Това съдържа информация за събития, които системата счита за запис за администратора. Просто така, просто в случай, че сте пожарникар.

В нормално работеща система потребителят не знае пътя тук - просто няма нужда. Въпреки това, когато се появят грешки (лагове) в Windows, има много причини да погледнете тук, за щастие има какво да научите от тук.

Къде е регистърът на събитията?

Най-бързият начин да стигнете до него е да въведете в лентата за търсене след натискане на клавиша ПЕЧЕЛЯдумите "дневници на събития". И кликнете върху съответната връзка:

Или въведете Старт - команда eventvwr.msc. По подразбиране, Преглед на събитияще отвори раздели, включително резюме на административни събития, което изброява информацията по важност за администратора. Най-важният от тях Критичентип събитие. Разходете се из участъка Регистри на Windows, ключови директории ПриложенияИ Система.

Всичко, което се случва в системата, се записва в няколко документа. И най-вероятно там ще намерите няколко грешки. Това още нищо не означава. Ако системата е стабилна, тези грешки не са критични и никога няма да ви притесняват. Между другото, можете да погледнете по-отблизо - грешките се запазват за програми, които не са били на компютъра от дълго време.

Играта беше затворена с помощта на клавишите Alt + F4 - мама, очевидно, влезе в стаята.

Теоретично, на други програми също е казано да записват важни и не толкова важни събития в Журнала, но доколкото си спомням, те почти не го правят.

На читателя вече може да му се стори, че не е необходимо да се обръща внимание на списанието.

Дневникът ще помогне на внимателен и внимателен потребител в случаи на сериозни неизправности, например, когато системата се появи или неочаквано се рестартира. По този начин „мъртъв“ драйвер може лесно да бъде открит в дневника. Просто трябва да погледнете внимателно червените икони, които се появяват с надписа Критично нивои премахнете посочения драйвер или може би помислете за подмяна на устройството.

още нищо лошо не се е случило

и тук всичко вече е сериозно: компютърът е изключен

Търсим необходимите събития: процеси и регистрационни файлове с резултати

Например, след известно време на работа забелязахме, че мишката е заседнала, някои папки липсват и пътеките не работят: първият знак за поява на диска. За да работите с тях, трябва последователно да стартирате помощната програма за проверка на състоянието на диска chkdsk /f, който ще започне да работи след рестартиране, след което ще проверим целостта на файловата система на самия Windows sfc /сканиране. Така че можете да разгледате резултатите от работата на тези и други помощни програми в едно и също списание:

Тъй като една от тези помощни програми се стартира от системата само преди зареждане (за тома, който съдържа тази система), има смисъл да търсите резултати с помощта на флага Wininit(от Печеля Dows В негоиализация).

Как да се науча да чета регистъра на събитията на Windows?

Не е нужно обаче да гадаете. Microsoft има официална страница за поддръжка за системни съобщения. Ако се интересувате от конкретно събитие, можете да посетите уеб страницата:

Въпреки това, по мое мнение, услугата е много добра услуга, която ще ви помогне да прочетете регистъра на събитията в Windows

Няма аналози в Русия, но за тези, които говорят английски и са просто любопитни, ще ви покажа как да го използвате. И така, за примера, взет по-горе, на страницата на услугата въведете кода на грешката и услугата, която я е причинила, в полетата:

Всичко, което остава, е да въведете нашите условия в търсенето, като щракнете върху бутона Търсене и резултатите ще се появят на страницата, обясняваща грешката. Формално те няма да са много по-подробни от обясненията, дадени от самия журнал, но ако превъртите надолу страницата с резултатите, тогава в описанието на английски ще видите връзка към своеобразен форум с готови решения за проблемът или причините, с които потребителите вече са се сблъскали, когато възникне грешката със същото име. Всичко е на английски. Трябваше да уча... И, честно казано, вашият смирен слуга рядко стига по-далеч от този сайт: нещо подобно вече се е случило някъде.

Както винаги, прегледът на регистъра на събитията не е панацея. Въпреки това, той може да спаси потребителя от безсмислени предположения, като спести много време за търсене на проблема.

Windows Event Log - как да го изчистя?

И така, справихме се с проблемите, системата е стабилна. Тогава нека се отървем от ненужните записи в Журнала: ако сте посетили Журнала, може да сте забелязали известна бъркотия по отношение на броя на записите в него.

Има няколко метода за почистване. Можете да направите това чрез Windows PowerShell:

Wevtutil el | Foreach-Object(Write-Host "Clearing $_"; wevtutil cl "$_")

Можете през конзолата:

За /f %x в ("wevtutil el") направете wevtutil cl "%x"

Ще ви предложа малък скрипт, който можете да поставите в текстов документ и да запазите с разширението .bat. Извиках моя Cleaning Logs (изпълнете крайния файл с администраторски права):

Ето го скрипта:

@echo off FOR /F "tokens=1,2*" %%V IN ("bcdedit") DO SET adminTest=%%V IF (%adminTest%)==(Достъп) goto noAdmin за /F "tokens=* " %%G в ("wevtutil.exe el") DO (call:do_clear "%%G") ехо. ехо goto theEnd:do_clear ехо изчистване %1 wevtutil.exe cl %1 goto:eof:noAdmin изход

Изчакайте, докато скриптът приключи, прозорецът на конзолата ще се затвори сам:

Операционната система Windows Vista внимателно и неуморно следи всичко, което се случва с нея. Абсолютно всички действия, които се наричат ​​„събития“, постоянно се записват и разпределят в различни категории. Програмата Event Viewer (която, в случай че се чудите, е инструмент на MMC) може да се разглежда като дневник, воден от скрупулна и педантична стара дама на пейка на входа. Записва кой влиза и излиза от къщата, какви разговори се водят между жителите, кой с кого се е развел и се е сбил. С други думи, има пълна картина за това как живее къщата.

Подобна шпионска функция изпълнява програмата Event Viewer, която, за разлика от любопитството на старата жена, е предназначена да диагностицира и идентифицира проблеми в работата на операционната система, за които потребителят няма представа.

Всички събития, възникващи в системата, се записват в специални системни дневници. Event Viewer ви позволява да преглеждате съдържанието на тези регистрационни файлове, да ги архивирате и да ги изтривате. Как точно можете да използвате тази програма? Основната цел е да се идентифицират възникналите проблеми и причината за тяхното възникване. Ако устройството работи неизправно, твърдият диск е пълен, някоя програма постоянно замръзва или възникне друго неприятно събитие, информацията за случилото се ще бъде записана в съответния системен дневник. След това просто стартирайте Event Viewer и получете пълна и ясна информация от системния дневник.

Можете да стартирате Event Viewer по един от следните начини.

  • Изберете отбор Старт>Контролен панел, щракнете върху връзката Система и нейната поддръжка, след това на връзката Администрацияи накрая на линка Преглед на събития.
  • Вторият метод за нетърпеливите: въведете командата в командния ред eventvwr.

Спомнете си, че в допълнение към щракването върху бутона Започнете, можете да отворите прозореца на командния ред, като натиснете клавишната комбинация . Също така не забравяйте, че е необходим административен достъп, за да използвате всички възможности на инструмента за преглед на събития.

Във всеки случай ще се отвори прозорецът, показан по-долу.

  • Преглед на събития от множество системни регистрационни файлове.
  • Създайте филтри за събития като персонализирани изгледи.
  • Възможност за създаване на задача, която се изпълнява автоматично с конкретно събитие.

Нека разгледаме по-отблизо прозореца, показан по-горе. Прозорецът е разделен на три панела. На левия панел Преглед на събитияИма няколко папки, съдържащи персонализирани изгледи, истории и абонаменти. Централният панел съдържа няколко подменюта, като напр И Наскоро прегледани възли. И накрая, в десния панел ДействияМожете да изберете конкретни действия, като например създаване на персонализиран изглед или свързване с друг компютър.

Панел ви позволява бързо да идентифицирате всички важни събития, записани през последния час, ден или седмица. Всеки тип събитие може да бъде разширен, за да разкрие подробна информация за събитието. Панелът дава обща картина на случващото се в системата, а за получаване на конкретна информация трябва да отидете на конкретно събитие.

Тъй като Event Viewer се използва за преглед на системни регистрационни файлове, щракнете върху иконите на папката И Регистри на приложения и услугив левия панел, за да разширите списъка с налични списания. Нека го разгледаме по-подробно. В папка Представени са следните списания.

  • Приложение. Събитията в този журнал се генерират от приложения, включително инсталирани програми, които идват с Windows Vista и услуги на операционната система. Какви точно събития се записват в този дневник зависи от конкретната програма.
  • Безопасност. Този дневник изброява опитите за влизане на потребителите (успешни и неуспешни), както и действия, свързани с публични ресурси, като например действия за създаване, модифициране или изтриване на файлове или папки.
  • Настройки. Събитията в този дневник се създават при инсталиране на програми.
  • Система. Системните събития се генерират от самия Windows и от инсталирани компоненти като драйвери на устройства. Дневникът е полезен за идентифициране на драйвери, които не са успели да се заредят при стартиране на Windows.
  • Препратени събития. Този дневник съдържа събития, събрани от други компютри в мрежата.

В папка Регистри на приложения и услугиможете да намерите записи за отделни приложения и услуги. Докато другите регистрационни файлове предоставят общи записи, този регистрационен файл предоставя информация за работата на конкретни програми. Обърнете внимание на подпапката на Microsoft, която от своя страна съдържа подпапка на Windows. В тази папка можете да намерите записи за голямо разнообразие от компоненти на Windows Vista, представени в отделни папки.

Windows е доста сложна операционна система и проследяването на всички процеси, включително грешки, е трудно за неопитен потребител.

За тези цели в самата ОС осигурено регистрираневсичко, което се случва и всички действия в системата. Можете да показвате и преглеждате този дневник с помощта на Windows Event Viewer.

Показване на Windows Event Viewer

Можете да видите информация за работата на операционната система по два начина:

  • Използване на cmd ( командна линия);
  • Като се използва контролни панели.

За да извикате cmd линията, която можете да използвате клавишна комбинация Win+Rили преминете през добре познатата верига: Старт - Всички програми - Аксесоари - Командна линия.

В прозореца, който се отваря, въведете последователността eventvwr.msc

Или чрез Старт - Контролен панел - Система и поддръжка - Администрация.

Главният прозорец на помощната програма ще се покаже на работния плот. Изберете елемента "".

Не се тревожете, ако в списъка има грешки. Дори в перфектно работеща система могат да се появят подобни съобщения. В повечето случаи те са изолирани и причинени от незначителни проблеми в приложението.

Най-вероятно описанията на грешките няма да означават нищо за обикновения потребител. Прегледът на регистрационни файлове може да помогне на системен администратор или „напреднал“ потребител да разбере възникващите системни повреди.

Как да използвате изглед

Каква информация може да се научи от списанието? Ако вашият компютър систематично генерира грешки, произволно се рестартира или показва „син екран на смъртта“, тогава всички събития, довели до неизправност, се регистрират от системата. При преглед на информация можете да разберетепо кое време коя услуга, драйвер или хардуерен компонент е причинил определена грешка. Въз основа на тази информация могат да се предприемат необходимите мерки за отстраняване на нарушенията.

В допълнение към информацията за грешка, дневникът може да се използва и за други цели. Можете да се свържете с всяко събитие, случващо се в системата изпълнение на конкретна задача. Това ще позволи в бъдеще, ако възникне подобна ситуация, автоматично да изпълни поставеното условие.

За да направите това, достатъчно е върху всеки елемент от списъка извикайте контекстното менющракнете с десния бутон и изберете " Свържете задача».

Изчистване на регистъра на събитията

Премахването на цялата информация от дневника също не е трудно. За да направите това, в левия блок на прозореца на дневника изберете елемента на дървото на менюто, който трябва да бъде изчистен, щракнете с десния бутон, за да извикате контекстното меню - “ Изчистване на дневника»

Операционната система Windows 7 постоянно следи различни забележителни събития, които се случват във вашата система. В Microsoft Windows събитиее всеки инцидент в операционната система, който се регистрира или изисква уведомяване на потребителите или администраторите. Това може да е услуга, която не иска да стартира, инсталация на устройство или грешка в приложението. Събитията се записват и съхраняват в регистрационните файлове на Windows и предоставят важна историческа информация, която ви помага да наблюдавате вашата система, да поддържате сигурността на системата, да отстранявате грешки и да извършвате диагностика. Информацията, съдържаща се в тези регистрационни файлове, трябва да се преглежда редовно. Трябва редовно да наблюдавате регистрационните файлове на събития и да конфигурирате вашата операционна система, за да записва важни системни събития. Ако сте администратор на Windows сървъри, трябва да наблюдавате сигурността на техните системи, нормалната работа на приложенията и услугите, както и да проверявате сървъра за грешки, които могат да влошат производителността. Ако сте потребител на персонален компютър, трябва да се уверите, че имате достъп до съответните регистрационни файлове, от които се нуждаете, за да поддържате системата си и да отстранявате грешки.

програма "Преглед на събития"е модул за конзола за управление на Microsoft (MMC) за преглед и управление на регистрационни файлове за събития. Това е незаменим инструмент за наблюдение на производителността на системата и отстраняване на проблеми. Извиква се услугата на Windows, която управлява регистрирането на събития "Дневник на събитията". Ако работи, Windows записва важни данни в регистрационните файлове. Използване на програмата "Преглед на събития"можете да направите следното:

  • Преглед на събития от конкретни регистрационни файлове;
  • Прилагайте филтри за събития и ги запазвайте за по-късна употреба като персонализирани изгледи;
  • Създавайте и управлявайте абонаменти за събития;
  • Задайте конкретни действия, които да бъдат извършени при настъпване на конкретно събитие.

Стартиране на програмата за преглед на събития

Приложение "Преглед на събития"може да се отвори по следните начини:

Регистри на събития в Windows 7

В операционната система Windows 7, както и в Window Vista, има две категории регистрационни файлове на събития: Регистри на WindowsИ регистрационни файлове на приложения и услуги. Регистри на Windows- използва се от операционната система за записване на системни събития, свързани с работата на приложения, системни компоненти, сигурност и стартиране. А регистрационни файлове на приложения и услуги- използвани от приложения и услуги за запис на събития, свързани с тяхната работа. Можете да използвате конзолната добавка, за да управлявате регистрационните файлове на събития "Преглед на събития"или програма от командния ред wevtutil, които ще бъдат разгледани във втората част на статията. Всички типове регистрационни файлове са описани по-долу:

Приложение- съхранява важни събития, свързани с конкретно приложение. Например Exchange Server съхранява събития, свързани с препращането на поща, включително събития за хранилището на информация, пощенските кутии и работещите услуги. По подразбиране се поставя в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Безопасност- съхранява събития, свързани със сигурността, като влизане/излизане от системата, използване на привилегии и достъп до ресурси. По подразбиране се намира в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Инсталация- Този дневник записва събития, които се случват по време на инсталирането и конфигурирането на операционната система и нейните компоненти. По подразбиране се намира в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Система- съхранява събития на операционната система или нейните компоненти, като грешки при стартиране на услуги или инициализиране на драйвери, съобщения за цялата система и други съобщения, свързани със системата като цяло. По подразбиране се намира в %SystemRoot%\System32\Winevt\Logs\System.Evtx

Препратени събития- ако е конфигурирано препращане на събития, този журнал включва събития, препратени от други сървъри. По подразбиране се поставя в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- този дневник записва събития, които възникват при настройка и работа с браузъра Internet Explorer. По подразбиране се намира в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- Този дневник записва събития, свързани с използването на PowerShell. По подразбиране се намира в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Събития за оборудване- ако е конфигурирано регистриране на хардуерни събития, събитията, генерирани от устройствата, се записват в този журнал. По подразбиране се поставя в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

В Windows 7 инфраструктурата, която осигурява регистриране на събития, е базирана на XML, точно както в Windows Vista. Всички данни за събитие съответстват на XML схема, което ви позволява да получите достъп до XML кода на всяко събитие. Можете също така да създавате XML базирани заявки за извличане на данни от регистрационни файлове. Не са необходими познания по XML, за да използвате тези нови функции. Оборудване "Преглед на събития"предоставя прост графичен интерфейс за достъп до тези функции.

Свойства на събитието

Има няколко свойства на събитието за добавка "Преглед на събития", които са описани подробно по-долу:

Източнике програмата, регистрирала събитието. Това може да бъде или името на програма (например „Exchange Server“), или името на системен компонент или голямо приложение (например името на драйвер). Например „Elnkii“ означава драйвер за EtherLink II.

Код на събитиетое число, което идентифицира конкретен тип събитие. Първият ред на описанието обикновено съдържа името на типа събитие. Например 6005 е идентификаторът на събитието, което се случва при стартиране на услугата за регистриране на събития. Съответно в началото на описанието на това събитие има ред „Услугата за регистър на събитията е стартирана“. Кодът на събитието и името на източника на запис могат да се използват от екипа за поддръжка на софтуерни продукти за отстраняване на проблеми.

Ниво- това е нивото на важност на събитието. В регистрационните файлове на системата и приложенията събитията могат да имат следните нива на тежест:

  • уведомление- обозначава промяна в приложение или компонент, като например появата на информационно събитие, свързано с успешно действие, създаване на ресурс или стартиране на услуга.
  • Внимание- показва общо предупреждение за проблем, който може да засегне услугата или да доведе до по-сериозен проблем, ако бъде оставен без внимание;
  • Грешка- показва, че е възникнал проблем, който може да засегне функции, външни за приложението или компонента, причинили събитието;
  • Критична грешка- показва, че е възникнал срив, от който приложението или компонентът, инициирал събитието, не може да се възстанови автоматично;
  • Одит на успехите- успешно изпълнение на действия, които наблюдавате чрез одит, като например използване на привилегия;
  • Одит на отказ- невъзможност за извършване на действия, които наблюдавате чрез одит, като например грешка при влизане в системата.

Потребител- дефинира потребителския акаунт, от чието име е настъпило това събитие. Потребителите включват специални обекти като локална услуга, мрежова услуга и анонимно влизане, както и реални потребителски акаунти. Това име е идентификаторът на клиента, ако събитието действително е предизвикано от сървърен процес, или основният идентификатор, ако не е извършено имитиране. В някои случаи записът в регистрационния файл за защита съдържа и двата идентификатора. Това поле може също да съдържа N/A, ако акаунтът не е приложим в тази ситуация. Имитиране възниква в случаите, когато сървър позволява на един процес да приеме атрибутите за сигурност на друг процес.

Работен код- съдържа числова стойност, която идентифицира операцията или точката в рамките на операцията, по време на която е настъпило това събитие. Например инициализация или затваряне.

Списание- името на дневника, в който е записано това събитие.

Категория и задачи- дефинира категория събитие, понякога използвана за последващо описание на валидно действие. Всеки източник на събитие има свои собствени категории. Например следните категории: влизане/излизане, използване на привилегии, промяна на политики и управление на акаунти.

Ключови думие набор от категории или тагове, които могат да се използват за филтриране или търсене на събития. Например: „Мрежа“, „Сигурност“ или „Ресурсът не е намерен“.

компютър- идентифицира името на компютъра, на който е настъпило събитието. Това обикновено е името на локалния компютър, но може да бъде и името на компютъра, който е препратил събитието, или името на локалния компютър, преди да бъде променено.

дата и час- определя датата и часа на възникване на това събитие в дневника.

ID на процеса- представлява идентификационния номер на процеса, генерирал събитието. Компютърната програма е само пасивен набор от инструкции, докато процесът е директното изпълнение на тези инструкции

ID на потока- представлява идентификационния номер на нишката, която е генерирала събитието. Процесът, създаден в операционна система, може да се състои от няколко нишки, работещи „паралелно“, тоест без предписан ред във времето. При изпълнение на някои задачи подобно разделение може да постигне по-ефективно използване на компютърните ресурси

ID на процесора- представлява идентификационния номер на процесора, обработил събитието.

Код на сесиятае идентификационният номер на сесията на терминалния сървър, в който е настъпило събитието.

Време на работа в режим на ядрото- дефинира времето, прекарано в изпълнение на инструкции за режим на ядрото, в единици време на процесора. Режимът на ядрото има неограничен достъп до системната памет и външните устройства. Ядрото на системата NT се нарича хибридно ядро ​​или макроядро.

Време на работа в потребителски режим- определя времето, изразходвано за изпълнение на инструкции на потребителския режим, в единици процесорно време. Потребителският режим се състои от подсистеми, които предават I/O заявки към съответния драйвер за режим на ядрото чрез I/O мениджъра.

натоварване на процесорае времето, прекарано в изпълнение на инструкции за потребителски режим, в тактове на процесора.

Корелационен код- дефинира действието в процеса, за което се използва събитието. Този код се използва за указване на прости връзки между събития. Корелацията е статистическа връзка между две или повече случайни променливи (или стойности, които могат да се считат за такива с някаква приемлива степен на точност). Освен това промените в една или повече от тези величини водят до систематична промяна в друга или други величини.

ID на относителна корелация- определя относителното действие в процеса, за което се използва събитието

Работа с регистрационни файлове за събития

Преглед на събития

На следващата екранна снимка можете да видите дневника "Приложения", където можете да намерите информация за събития, скорошни прегледи и налични действия. За да видите събития в регистрационния файл на приложението, изпълнете следните стъпки:

  1. В дървото на конзолата изберете „Дневници на Windows“;
  2. Изберете списание "Приложения".

Препоръчително е да преглеждате регистрационните файлове на събитията по-често "Приложение"И "Система"и проучете съществуващи проблеми и предупреждения, които могат да предвещават бъдещи проблеми. Когато изберете дневник, средният прозорец показва наличните събития, включително дата, час и източник на събитието, ниво на събитието и други подробности.

Панел "Viewport"показва основни данни за събитие в раздела "Обичайни са", а допълнителни конкретни данни са в раздела "Подробности". Можете да включвате и изключвате този панел, като изберете менюто "Изглед"и след това командата "Viewport".

За критични системи се препоръчва да съхранявате регистрационни файлове за няколко месеца назад. Като правило е неудобно да се задава размер на списанията през цялото време, така че цялата информация да се побере в тях; този проблем може да бъде решен по друг начин. Можете да експортирате регистрационни файлове във файлове, разположени в определена папка. За да запазите избрания дневник, изпълнете следните стъпки:

  1. В дървото на конзолата изберете регистъра на събитията, който искате да запишете;
  2. Изберете отбор „Запазване на събития като“от менюто "екшън"или от контекстното меню на журнала изберете командата „Запазване на всички събития като“;
  3. В диалоговия прозорец, който се появява "Запази като"изберете папката, в която да бъде записан файлът. Ако трябва да запишете файла в нова папка, можете да го създадете директно от този диалогов прозорец, като използвате контекстното меню или бутона "Нова папка"на лентата с действия. В полето "Тип файл"трябва да изберете желания файлов формат от наличните: файлове за събития - *.evtx, xml файл - *.xml, разделен с табулатор текст - *.txt, разделен със запетая csv - *.csv. В полето "Име на файл" "Запазване". За да отмените записването, щракнете върху бутона "Отказ";
  4. В случай, че регистърът на събитията не е предназначен за преглед на друг компютър, в диалоговия прозорец „Показване на подробности“оставете опцията по подразбиране „Не показвай информация“, а ако дневникът е предназначен за преглед на друг компютър, тогава в диалоговия прозорец „Показване на подробности“изберете опция „Показване на информация за следните езици“и щракнете върху бутона "ДОБРЕ".

Изчистване на регистъра на събитията

Понякога е необходимо да изчистите пълните журнали на събития, за да осигурите ефективен анализ на предупреждения и критични грешки на операционната система. За да изчистите избрания дневник, изпълнете следните стъпки:

  1. В дървото на конзолата изберете регистъра на събитията, който искате да изчистите;
  2. Изчистете регистрационния файл, като използвате един от следните методи:
    • В менюто "екшън"изберете отбор "Изчистване на дневника";
    • Щракнете с десния бутон върху избрания журнал, за да отворите контекстното меню. В контекстното меню изберете командата "Изчистване на дневника";
  3. След това можете или да изчистите дневника, или да го архивирате, ако това не е направено преди това:
    • За да изчистите регистъра на събитията без записване, щракнете върху бутона "Ясно";
    • За да изчистите регистъра на събитията, след като го запазите, щракнете върху бутона „Запазване и изчистване“. В диалоговия прозорец, който се появява "Запази като"изберете папката, в която да бъде записан файлът. Ако трябва да запишете файла в нова папка, можете да го създадете директно от този диалогов прозорец, като използвате контекстното меню или бутона "Нова папка"на лентата с действия. В полето "Име на файл"въведете име и щракнете върху бутона "Запазване". За да отмените записването, щракнете върху бутона "Отказ".

Задаване на максималния размер на дневника

Както бе споменато по-горе, регистрационните файлове на събития се съхраняват като файлове в папката %SystemRoot%\System32\Winevt\Logs\. По подразбиране максималният размер на тези файлове е ограничен, но можете да го промените по следния начин:

  1. Изберете отбор "Имоти"от менюто "екшън"
  2. В полето „Максимален размер на регистрационния файл (KB)“задайте необходимата стойност с помощта на брояч или задайте ръчно без използване на брояч. В този случай стойността ще бъде закръглена до най-близкото кратно на 64 KB, тъй като размерът на регистрационния файл трябва да е кратно на 64 KB и не може да бъде по-малък от 1024 KB.

Събитията се съхраняват в лог файл, който може да нараства само до определен максимален размер. След като файлът достигне максималния си размер, обработката на входящите събития ще се определя от политиката за съхранение на регистрационни файлове. Налични са следните правила за съхранение на регистрационни файлове:

Пренапишете събития, ако е необходимо (първо най-старите файлове)- в този случай новите записи продължават да се въвеждат в дневника след попълването му. Всяко ново събитие замества най-старото в дневника;

Архивирайте дневника, когато е попълнен; не пренаписвайте събития- в този случай лог файлът се архивира автоматично, ако е необходимо. Остарелите събития не се презаписват.

Не презаписвайте събития (ръчно изчистете регистрационния файл)- в този случай дневникът се изчиства ръчно, а не автоматично.

За да изберете желаната политика за съхранение на регистрационни файлове, изпълнете следните стъпки:

  1. В дървото на конзолата изберете регистъра на събитията, който искате да преоразмерите;
  2. Изберете отбор "Имоти"от менюто "екшън"или от контекстното меню на избрания журнал;
  3. В раздела "Обичайни са", В глава „При достигане на максимален размер“изберете необходимия параметър и щракнете върху бутона "ДОБРЕ".

Активиране на аналитичния и регистъра за отстраняване на грешки

Аналитичните и регистрационните файлове за отстраняване на грешки са неактивни по подразбиране. Веднъж активирани, те бързо се запълват с голям брой събития. Поради тази причина е препоръчително да активирате тези регистрационни файлове за ограничен период от време, за да съберете данните, необходими за отстраняване на неизправности, и след това да ги деактивирате отново. Можете да активирате регистрационни файлове, както следва:

  1. В дървото на конзолата намерете и изберете аналитичния или регистъра за отстраняване на грешки, който искате да активирате;
  2. Изберете отбор "Имоти"от менюто "екшън"или от контекстното меню на избрания аналитичен или регистър за отстраняване на грешки;
  3. В раздела "Обичайни са"поставете отметка в квадратчето за опции „Активиране на регистриране“

Отваряне и затваряне на запазен дневник

Използване на оборудване "Преглед на събития"Можете да отваряте и преглеждате предварително запазени регистрационни файлове. Можете да отваряте няколко записани журнала едновременно и да имате достъп до тях по всяко време в дървото на конзолата. Списанието е отворено през "Преглед на събития", може да се затвори, без да се изтрива информацията, която съдържа. За да отворите запазен дневник, изпълнете следните стъпки:

  1. Изберете отбор „Отворете запазения дневник“в менюто "екшън"или от контекстното меню в дървото на конзолата;
  2. 3. В диалоговия прозорец „Отворете запазения дневник“, движейки се през дървото на директориите, отворете папката, съдържаща желания файл. По подразбиране диалоговият прозорец ще покаже всички регистрационни файлове за събития. Също така, когато отваряте, можете да изберете типа на файловете, които искате да показвате в диалоговия прозорец за отваряне. Наличните типове файлове са регистрационни файлове за събития (*.evtx, *.evt, *.etl), както и файлове за събития (*.evtx), наследени файлове за събития (*.evt) или регистрационни файлове за проследяване (*.etl) . След като желаният лог файл бъде намерен, изберете го, като щракнете с левия бутон върху него, което ще постави името му в реда за име на файл и щракнете върху бутона "Отворено".
  3. В диалог „Отворете запазения дневник“, в полето "Име"Въведете ново име, което да използвате за журнала в дървото на конзолата. Използва се само за показване на регистрационния файл в дървото на конзолата и не променя името на регистрационния файл. Можете също да използвате име на съществуващ журнален файл. В полето "Описание"въведете описание за дневника. Той ще се покаже в централната област, когато в дървото на конзолата е избрана родителската папка на журнала;
  4. За да създадете папка, в която ще се намира записаният журнал, щракнете върху бутона „Създаване на папка“. В полето "Име"въведете името на папката, в която ще се намира отвореният журнал, и след това щракнете "ДОБРЕ". Ако не е избрана родителска папка, новата папка ще се намира в папката „Запазени регистрационни файлове“.
  5. За да направите отворения регистър на събитията недостъпен за други компютърни потребители, можете да премахнете отметката от "Всички потребители". Ако това поле за отметка остане активно, отвореният журнал ще бъде достъпен за всички потребители, но ще са необходими администраторски права, за да го изтриете от дървото на конзолата;
  6. За да отворите списанието, щракнете върху бутона "ДОБРЕ".

За да изтриете отворен журнал от дървото на събитията, изпълнете следните стъпки:

  1. В дървото на конзолата изберете журнала за изтриване;
  2. Изберете отбор "Изтрий"от менюто "екшън"или от контекстното меню на избрания журнал;
  3. В диалог "Преглед на събития"щракнете върху бутона "да".

Заключение

Тази част от статията, посветена на конзолната добавка Event Viewer, говори за самата добавка и описва подробно най-простите операции, свързани с наблюдението и поддръжката на системата с помощта на Event Viewer. Следващата част от статията ще бъде предназначена за опитни потребители на Windows. Той ще обхваща задачи с персонализирани изгледи, филтриране, групиране/сортиране на събития и управление на абонаменти.

Здравейте на всички, темата е как се разглеждат регистрационните файлове на windows. Мисля, че всеки знае какво са регистрационни файлове, но ако изведнъж сте начинаещ, тогава регистрационните файлове са системни събития, възникващи в операционната система на Windows и Linux, които помагат да се проследи какво, къде и кога се е случило и кой го е направил. Всеки системен администратор трябва да може да чете регистрационни файлове на Windows.

Пример от реалния живот е ситуацията, когато диск се повреди на един от сървърите на IBM и за техническа поддръжка събрах сървърни регистрационни файлове, за да могат да диагностицират проблема. Услугата Event Viewer отговаря за събирането и записването на регистрационни файлове в Windows. Event Viewer е удобен инструмент за получаване на системни регистрационни файлове.

Как да отворите в Event Viewer

Можете да влезете в модула за преглед на събития много лесно, подходящ за всяка версия на Windows. Натиснете магическите бутони

Win+R и въведете eventvwr.msc

Ще се отвори прозорец на Windows Event Viewer, в който трябва да разгънете елемента Windows Logs. Нека прегледаме всяко от списанията.

Log Application съдържа записи, свързани с програми на вашия компютър. Дневникът се записва при стартиране на програмата, ако е стартирана с грешка, това също ще бъде отразено тук.

Необходим е одитен дневник, за да се разбере кой какво е направил и кога. Например, влезли или излезли, опитали се да получат достъп. Всички одити за успех или неуспех са написани тук.

Елементът за инсталиране записва регистрационни файлове на Windows за това какво е инсталирано и кога, например програми или актуализации.

Най-важното списание е системата. Тук са записани всички най-необходими и важни неща. Например, имахте син екран bsod и тези съобщения, които са записани тук, ще ви помогнат да определите причината за това.

Има и регистрационни файлове на Windows за по-специфични услуги, като DHCP или DNS. Event Viewer изрязва всичко :).

Да предположим, че имате повече от милион събития в дневника за сигурност, вероятно веднага ще зададете въпроса дали има филтриране, тъй като разглеждането на всички тях е мазохизъм. Това е предвидено в програмата за преглед на събития; регистрационните файлове на Windows могат да бъдат удобно филтрирани, оставяйки само това, което е необходимо. Вдясно в областта Действия има бутон Филтриране на текущия журнал.

Ще бъдете помолени да посочите нивото на събитието:

  • Критичен
  • Грешка
  • Внимание
  • Интелигентност
  • Подробности

Всичко зависи от задачата за търсене; ако търсите грешки, тогава няма смисъл от други видове съобщения. След това, за да стесните обхвата на вашето търсене за преглед на събития, можете да посочите желания източник и код на събитието.

И така, както можете да видите, анализирането на регистрационните файлове на Windows е много просто, търсим, намираме, решаваме. Бързото изчистване на регистрационните файлове на Windows също може да бъде полезно:

Преглед на регистрационните файлове на Windows PowerShell

Би било странно, ако PowerShell не може да направи това; отворете PowerShell и въведете следната команда

Get-EventLog -Logname "System"

В резултат на това ще получите списък със системни регистрационни файлове

Същото може да се направи и за други списания, например Applications

Get-EventLog -Logname "Приложение"

малък списък от съкращения

  • Код на събитието - EventID
  • Компютър - име на машина
  • Пореден номер на събитието - Данни, Индекс
  • Категория на задачите - Категория
  • Код на категория - CategoryNumber
  • Ниво - EntryType
  • Съобщение за събитие - Съобщение
  • Източник - Източник
  • Дата на генериране на събитие - ReplacementString, InstanceID, TimeGenerated
  • Дата на запис на събитието - TimeWritten
  • Потребител - потребителско име
  • уебсайт
  • Подразделение - Контейнер

Например, за да се показват събития в командната обвивка само с колоните „Ниво“, „Дата на запис на събитие“, „Източник“, „Код на събитие“, „Категория“ и „Съобщение за събитие“ за дневника „Система“, изпълнете командата:

Get-EventLog –LogName ‘Система’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

Ако трябва да покажете по-подробно, заменете Format-Table с Format-List

Get-EventLog –LogName ‘Система’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Както можете да видите, форматът вече е по-четлив.

Можете също така да филтрирате регистрационните файлове, например да покажете последните 20 съобщения

Get-EventLog – Име на вход „Система“ – Най-новите 20

Допълнителни продукти

Можете също така да автоматизирате събирането на събития с помощта на инструменти като:

  • Zabbix комплекс за наблюдение
  • Чрез изпращане на събития с помощта на Windows към сървъра за събиране
  • Чрез пакета за проверка на Netwrix
  • Ако имате SCOM, тогава той може да обобщава всички регистрационни файлове на платформата на Windows
  • Всякакви DLP системи

Така че дали ще изберете да използвате програмата за преглед на събития или PowerShell за преглед на събития в Windows, зависи от вас. Материал на сайта

Дистанционен преглед на дневници

  • Първи метод

Неотдавна операционната система Windows Server 2019 представи компонента за отдалечено администриране на Windows Admin Center. Позволява ви да управлявате дистанционно компютър или сървър; вече говорих за това по-подробно. Тук искам да покажа, че като го инсталирате на вашата работна станция, можете да се свържете от браузър с други компютри и лесно да преглеждате техните журнали на събития, като по този начин изучавате регистрационни файлове на Windows. В моя пример ще има сървър SVT2019S01,Намираме го в списъка с налични и се свързваме (Нека ви напомня, че така направихме отдалечена настройка на мрежата в Windows).

След това изберете раздела „Събития“, изберете желания дневник в моя пример, искам да видя всички дневници за системата. От моя гледна точка гледането на всичко тук е много по-удобно от гледането на събития. Предимството е, че можете да направите това от всеки телефон или таблет. В десния ъгъл има удобна форма за търсене

Ако трябва да филтрирате регистрационните файлове по-прецизно, можете да използвате бутона за филтриране.

Тук можете също да изберете нивото на събитието, например да оставите само критични и грешки, да зададете времевия диапазон, кода на събитието и източника.

Ето пример за филтриране по събитие 19.

Много е удобно да експортирате целия дневник във формат evxt, който след това може лесно да се отвори през дневника на събитията. И така, Windows Admin Center е мощен инструмент за преглед на регистрационни файлове.

  • Втори метод

Вторият начин за отдалечен преглед на регистрационните файлове на Windows е да използвате модула за управление на компютъра или същия „Преглед на събития“. За да прегледате регистрационните файлове на Windows на друг компютър или сървър, в модула щракнете с десния бутон върху горния елемент и изберете "" от контекстното меню.

Посочваме името на друг компютър, в моя пример ще бъде SVT2019S01

Ако всичко е наред и няма блокиране от защитната стена или антивирусната програма, тогава ще бъдете отведени до отдалечен преглед на събитията, ще получите съобщение, че COM+ трафикът не преминава.

Също така искам да отбележа, че има цели системи за агрегиране на журнали, като Zabbix или SCOM, но това е различно ниво на задачи.