Qu'est-ce que l'Observateur d'événements sous Windows et comment pouvez-vous l'utiliser. Comment utiliser l'Observateur d'événements Windows pour résoudre des problèmes informatiques Afficher les journaux à distance

Je pense que chaque utilisateur travaillant avec un ordinateur a rencontré des problèmes et des erreurs. Il est temps pour vous d'apprendre à lire le journal des événements Windows, qui affiche les messages des applications et du système lui-même : erreurs, messages d'information, avertissements. Celui-ci contient des informations sur les événements que le système a envisagé d'enregistrer pour l'administrateur. Juste comme ça, juste au cas où vous seriez pompier.

Dans un système d'exploitation normal, l'utilisateur ne connaît pas le chemin à suivre - ce n'est tout simplement pas nécessaire. Cependant, lorsque des erreurs (retards) apparaissent dans Windows, il existe de nombreuses raisons de regarder ici, heureusement, il y a quelque chose à apprendre d'ici.

Où se trouve le journal des événements ?

Le moyen le plus rapide d'y accéder est de taper dans la barre de recherche après avoir appuyé sur la touche GAGNER les mots « journaux d'événements ». Et cliquez sur le lien approprié :

Ou tapez Démarrer - commande eventvwr.msc. Défaut, Observateur d'événements ouvrira des onglets, y compris un résumé des événements administratifs, qui répertorie les informations par importance pour l'administrateur. Le plus important d'entre eux Critique type d'événement. Promenez-vous dans la section Journaux Windows, répertoires clés Applications Et Système.

Tout ce qui se passe dans le système est enregistré dans plusieurs documents. Et très probablement, vous y trouverez plusieurs erreurs. Cela ne veut encore rien dire. Si le système est stable, ces erreurs ne sont pas critiques et ne vous dérangeront jamais. À propos, vous pouvez y regarder de plus près - les erreurs sont enregistrées pour les programmes qui ne sont pas sur l'ordinateur depuis longtemps.

Le jeu a été fermé à l'aide des touches Alt + F4 - maman, apparemment, est entrée dans la pièce.

Théoriquement, d'autres programmes sont également invités à enregistrer des événements importants et moins importants dans le Journal, mais, autant que je me souvienne, ils le font à peine.

Il se peut déjà que le lecteur ait l’impression qu’il n’est pas nécessaire de prêter attention au Journal.

Le journal aidera un utilisateur attentif et réfléchi en cas de dysfonctionnements graves, par exemple lorsque le système apparaît ou redémarre de manière inattendue. Ainsi, un conducteur « mort » peut facilement être détecté dans le Log. Il vous suffit de regarder attentivement les icônes rouges qui apparaissent avec l'inscription Niveau critique et supprimez le pilote spécifié, ou pensez peut-être à remplacer le périphérique.

rien de grave n'est encore arrivé

et là tout est déjà sérieux : l'ordinateur s'est éteint

Nous recherchons les événements nécessaires : processus et journaux de résultats

Par exemple, après un certain temps de travail, nous avons remarqué que la souris était bloquée, que certains dossiers manquaient et que les chemins ne fonctionnaient pas : premier signe d'apparition sur le disque. Pour travailler avec eux, vous devez exécuter séquentiellement l'utilitaire de vérification de l'état du disque chkdsk /f, qui commencera à fonctionner après un redémarrage, puis nous vérifierons l'intégrité du système de fichiers de Windows lui-même sfc/scannow. Ainsi, vous pouvez consulter les résultats du travail de ces services publics et d'autres dans le même magazine :

Étant donné que l'un de ces utilitaires est lancé par le système uniquement avant le démarrage (pour le volume contenant ce système), il est logique de rechercher les résultats à l'aide du drapeau Wininit(depuis Gagner dows Initialisation ialisation).

Comment apprendre à lire le journal des événements Windows ?

Cependant, vous n'êtes pas obligé de deviner. Microsoft dispose d'une page d'assistance officielle pour les messages système. Si vous êtes intéressé par un événement spécifique, vous pouvez visiter la page web :

Cependant, à mon avis, un très bon service qui vous aidera à lire le journal des événements Windows est le service

Il n'a pas d'analogue en Russie, mais pour ceux qui parlent anglais et sont simplement curieux, je vais vous montrer comment l'utiliser. Ainsi, pour l'exemple pris ci-dessus, sur la page du service, saisissez le code d'erreur et le service qui l'a provoqué dans les champs :

Il ne reste plus qu'à saisir nos termes dans la recherche en cliquant sur le bouton Rechercher et les résultats apparaîtront sur la page expliquant l'erreur. Formellement, elles ne seront pas beaucoup plus détaillées que les explications données par le Journal lui-même, cependant, si vous faites défiler la page des résultats, alors dans la description en anglais, vous verrez un lien vers une sorte de forum avec des solutions toutes faites pour le problème ou les raisons que les utilisateurs ont déjà rencontrées lorsque l'erreur du même nom se produit. Tout est en anglais. J'ai dû étudier... Et, pour être honnête, votre humble serviteur va rarement plus loin que ce site : quelque chose de similaire s'est déjà produit quelque part.

Comme toujours, consulter le journal des événements n’est pas une panacée. Cependant, cela peut éviter à l'utilisateur des suppositions inutiles en gagnant beaucoup de temps dans la recherche du problème.

Journal des événements Windows – comment l’effacer ?

Nous avons donc réglé les problèmes, le système est stable. Alors débarrassons-nous des entrées inutiles dans le Journal : si vous avez visité le Journal, vous avez peut-être observé un certain désordre en termes de nombre d'entrées qu'il contient.

Il existe plusieurs méthodes de nettoyage. Vous pouvez le faire via PowerShell Windows :

Wevtutil el | Foreach-Object (Write-Host "Clearing $_" ; wevtutil cl "$_")

Vous pouvez via la console :

Pour /f %x dans ("wevtutil el"), faites wevtutil cl "%x"

Je vais vous proposer un petit script que vous pourrez placer dans un document texte et enregistrer avec l'extension .chauve souris. J'ai appelé le mien Cleaning Logs (exécutez le fichier final avec les droits d'administrateur) :

Voici le script :

@echo off FOR /F "tokens=1,2*" %%V IN ("bcdedit") DO SET adminTest=%%V IF (%adminTest%)==(Access) goto noAdmin pour /F "tokens=* " %%G dans ("wevtutil.exe el") DO (call:do_clear "%%G") echo. echo goto theEnd:do_clear echo clearing %1 wevtutil.exe cl %1 goto:eof:noAdmin exit

Attendez la fin du script, la fenêtre de la console se fermera :

Le système d'exploitation Windows Vista surveille attentivement et sans relâche tout ce qui lui arrive. Absolument toutes les actions, appelées « événements », sont constamment enregistrées et réparties en diverses catégories. Le programme Event Viewer (qui, au cas où vous vous poseriez la question, est un outil de MMC) peut être considéré comme un journal tenu par une vieille dame scrupuleuse et méticuleuse sur un banc à l'entrée. Il enregistre qui entre et sort de la maison, quelles conversations ont lieu entre les résidents, qui a divorcé de qui et s'est battu. En d’autres termes, il donne une image complète de la façon dont vit la maison.

Une fonction d'espionnage similaire est assurée par le programme Event Viewer qui, contrairement à la curiosité de la vieille dame, est conçu pour diagnostiquer et identifier les problèmes de fonctionnement du système d'exploitation dont l'utilisateur n'avait aucune idée.

Tous les événements survenant dans le système sont enregistrés dans des journaux système spéciaux. L'Observateur d'événements vous permet d'afficher le contenu de ces journaux, de les archiver et de les supprimer. Comment pouvez-vous exactement utiliser ce programme ? L'objectif principal est d'identifier les problèmes survenus et la cause de leur apparition. Si l'appareil fonctionne mal, si le disque dur est plein, si un programme se bloque constamment ou si un autre événement désagréable se produit, les informations sur ce qui s'est passé seront enregistrées dans le journal système correspondant. Ensuite, lancez simplement l'Observateur d'événements et obtenez des informations complètes et claires à partir du journal système.

Vous pouvez démarrer l'Observateur d'événements de l'une des manières suivantes.

  • Sélectionnez une équipe Démarrer>Panneau de configuration, Clique sur le lien Système et sa maintenance, puis sur le lien Administration et enfin sur le lien Observateur d'événements.
  • La deuxième méthode pour les impatients : saisir la commande dans la ligne de commande événementvwr.

Rappelons qu'en plus de cliquer sur le bouton Commencer, vous pouvez ouvrir la fenêtre de ligne de commande en appuyant sur la combinaison de touches . N'oubliez pas également qu'un accès administratif est requis pour utiliser toutes les fonctionnalités de l'outil Observateur d'événements.

Dans tous les cas, la fenêtre ci-dessous s'ouvrira.

  • Affichez les événements de plusieurs journaux système.
  • Créez des filtres d'événements sous forme de vues personnalisées.
  • La possibilité de créer une tâche qui s'exécute automatiquement avec un événement spécifique.

Regardons de plus près la fenêtre ci-dessus. La fenêtre est divisée en trois panneaux. Sur le panneau de gauche Observateur d'événements Il existe plusieurs dossiers contenant des vues personnalisées, des histoires et des abonnements. Le panneau central contient plusieurs sous-menus, tels que Et Nœuds récemment consultés. Enfin, sur le panneau de droite Actions Vous pouvez choisir des actions spécifiques, comme créer une vue personnalisée ou vous connecter à un autre ordinateur.

Panneau vous permet d'identifier rapidement tous les événements importants enregistrés au cours de la dernière heure, jour ou semaine. Chaque type d'événement peut être développé pour révéler des informations détaillées sur l'événement. Le panneau donne une image générale de ce qui se passe dans le système et pour obtenir des informations spécifiques, vous devez vous rendre à un événement spécifique.

Étant donné que l'Observateur d'événements est utilisé pour afficher les journaux système, cliquez sur les icônes des dossiers Et Journaux d'applications et de services dans le panneau de gauche pour développer la liste des revues disponibles. Regardons cela plus en détail. Dans le dossier Les magazines suivants sont présentés.

  • Application. Les événements de ce journal sont générés par les applications, y compris les programmes installés fournis avec Windows Vista et les services du système d'exploitation. Les événements exacts qui sont enregistrés dans ce journal dépendent du programme spécifique.
  • Sécurité. Ce journal répertorie les tentatives de connexion des utilisateurs (réussies et infructueuses), ainsi que les actions liées aux ressources partagées, telles que les actions de création, de modification ou de suppression de fichiers ou de dossiers.
  • Paramètres. Les événements de ce journal sont créés lors de l'installation des programmes.
  • Système. Les événements système sont générés par Windows lui-même et par les composants installés tels que les pilotes de périphériques. Le journal est utile pour identifier les pilotes qui n'ont pas pu se charger au démarrage de Windows.
  • Événements transférés. Ce journal contient les événements collectés sur d'autres ordinateurs du réseau.

Dans le dossier Journaux d'applications et de services vous pouvez trouver des entrées pour des applications et des services individuels. Alors que d'autres journaux fournissent des entrées générales, ce journal fournit des informations sur le fonctionnement de programmes spécifiques. Notez le sous-dossier Microsoft, qui contient à son tour un sous-dossier Windows. Ce dossier contient des entrées pour une grande variété de composants Windows Vista, présentés dans des dossiers séparés.

Windows est un système d'exploitation plutôt complexe et le suivi de tous les processus, y compris les erreurs, est difficile pour un utilisateur inexpérimenté.

À ces fins dans le système d'exploitation lui-même journalisation fournie tout ce qui se passe et toutes les actions dans le système. Vous pouvez afficher et visualiser ce journal à l'aide de l'Observateur d'événements Windows.

Affichage de l'Observateur d'événements Windows

Vous pouvez afficher des informations sur le fonctionnement du système d'exploitation de deux manières :

  • En utilisant cmd ( ligne de commande);
  • En utilisant panneaux de contrôle.

Pour appeler la ligne cmd, vous pouvez utiliser raccourci clavier Win+R ou passez par la chaîne bien connue : Démarrer - Tous les programmes - Accessoires - Ligne de commande.

Dans la fenêtre qui s'ouvre, saisissez la séquence eventvwr.msc

Ou, via Démarrer - Panneau de configuration - Système et maintenance - Administration.

La fenêtre principale de l'utilitaire s'affichera sur le bureau. Sélectionnez l'élément "".

Ne vous inquiétez pas s'il y a des erreurs dans la liste. Même dans un système fonctionnant parfaitement, des messages similaires peuvent apparaître. Dans la plupart des cas, ils sont isolés et causés par des problèmes mineurs d’application.

Très probablement, les descriptions d'erreurs ne diront rien à l'utilisateur moyen. L'affichage des journaux peut aider un administrateur système ou un utilisateur « avancé » à comprendre les pannes système qui se produisent.

Comment utiliser la vue

Quelles informations peut-on tirer du magazine ? Si votre ordinateur produit systématiquement des erreurs, redémarre de manière aléatoire ou affiche un « écran bleu de la mort », alors tous les événements ayant conduit à un dysfonctionnement sont enregistrés par le système. Lors de la visualisation des informations tu peux découvrirà quelle heure quel service, pilote ou composant matériel a provoqué une erreur particulière. Sur la base de ces informations, les mesures nécessaires peuvent être prises pour éliminer les violations.

Outre les informations sur les erreurs, le journal peut être utilisé à d'autres fins. Vous pouvez créer un lien vers n'importe quel événement se produisant dans le système effectuer une tâche spécifique. Cela permettra à l'avenir, si une situation similaire se présente, de remplir automatiquement la condition définie.

Pour ce faire, il suffit de n'importe quel élément de la liste menu contextuel d'appel faites un clic droit et sélectionnez " Lier une tâche».

Effacer le journal des événements

Supprimer toutes les informations du journal n'est pas non plus difficile. Pour ce faire, dans le bloc de gauche de la fenêtre du journal, sélectionnez l'élément de l'arborescence du menu qui doit être effacé, faites un clic droit pour appeler le menu contextuel - " Effacer le journal»

Le système d'exploitation Windows 7 surveille en permanence divers événements remarquables qui se produisent sur votre système. Sous Microsoft Windows événement désigne tout incident dans le système d'exploitation qui est enregistré ou nécessite une notification aux utilisateurs ou aux administrateurs. Il peut s'agir d'un service qui ne veut pas démarrer, d'une installation de périphérique ou d'une erreur d'application. Les événements sont enregistrés et stockés dans les journaux d'événements Windows et fournissent des informations historiques importantes qui vous aident à surveiller votre système, à maintenir la sécurité du système, à résoudre les erreurs et à effectuer des diagnostics. Les informations contenues dans ces journaux doivent être révisées régulièrement. Vous devez surveiller régulièrement les journaux d'événements et configurer votre système d'exploitation pour enregistrer les événements système importants. Si vous êtes administrateur de serveurs Windows, vous devez surveiller la sécurité de leurs systèmes, le fonctionnement normal des applications et des services, et également rechercher sur le serveur les erreurs susceptibles de nuire aux performances. Si vous utilisez un ordinateur personnel, vous devez vous assurer que vous avez accès aux journaux appropriés dont vous avez besoin pour prendre en charge votre système et résoudre les erreurs.

Programme "Observateur d'événements" est un composant logiciel enfichable Microsoft Management Console (MMC) permettant d'afficher et de gérer les journaux d'événements. Il s'agit d'un outil indispensable pour surveiller les performances du système et résoudre les problèmes. Le service Windows qui gère la journalisation des événements s'appelle "Le journal des événements". S'il est en cours d'exécution, Windows écrit les données importantes dans les journaux. Utiliser le programme "Observateur d'événements" vous pouvez faire ce qui suit :

  • Afficher les événements de journaux spécifiques ;
  • Appliquez des filtres d'événements et enregistrez-les pour une utilisation ultérieure en tant que vues personnalisées ;
  • Créer et gérer les abonnements aux événements ;
  • Attribuez des actions spécifiques à effectuer lorsqu’un événement spécifique se produit.

Lancement de l'Observateur d'événements

Application "Observateur d'événements" peut être ouvert des manières suivantes :

Journaux d'événements dans Windows 7

Dans le système d'exploitation Windows 7, ainsi que dans Windows Vista, il existe deux catégories de journaux d'événements : Journaux Windows Et journaux d'applications et de services. Journaux Windows- utilisé par le système d'exploitation pour enregistrer les événements à l'échelle du système liés au fonctionnement des applications, des composants du système, de la sécurité et du démarrage. UN journaux d'applications et de services- utilisé par les applications et les services pour enregistrer les événements liés à leur fonctionnement. Vous pouvez utiliser le composant logiciel enfichable pour gérer les journaux d'événements "Observateur d'événements" ou un programme en ligne de commande wevtutil, qui sera abordé dans la deuxième partie de l’article. Tous les types de journaux sont décrits ci-dessous :

Application- stocke les événements importants liés à une application spécifique. Par exemple, Exchange Server stocke les événements liés au transfert de courrier, notamment les événements relatifs à la banque d'informations, aux boîtes aux lettres et aux services en cours d'exécution. Par défaut, il est placé dans %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Sécurité- stocke les événements liés à la sécurité tels que la connexion/déconnexion du système, l'utilisation des privilèges et les accès aux ressources. Par défaut, il se trouve dans %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Installation- Ce journal enregistre les événements qui se produisent lors de l'installation et de la configuration du système d'exploitation et de ses composants. Par défaut, il se trouve dans %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Système- stocke les événements du système d'exploitation ou de ses composants, tels que les échecs de démarrage des services ou d'initialisation des pilotes, les messages à l'échelle du système et d'autres messages liés au système dans son ensemble. Par défaut, il se trouve dans %SystemRoot%\System32\Winevt\Logs\System.Evtx

Événements transférés- si la redirection d'événements est configurée, ce journal inclut les événements transmis depuis d'autres serveurs. Par défaut, il est placé dans %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- ce journal enregistre les événements qui se produisent lors de la configuration et de l'utilisation du navigateur Internet Explorer. Par défaut, il se trouve dans %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- Ce journal enregistre les événements liés à l'utilisation de PowerShell. Par défaut, il se trouve dans %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Événements d'équipement- si la journalisation des événements matériels est configurée, les événements générés par les appareils sont enregistrés dans ce journal. Par défaut, il est placé dans %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

Sous Windows 7, l'infrastructure qui fournit la journalisation des événements est basée sur XML, tout comme dans Windows Vista. Chaque donnée d'événement correspond à un schéma XML, vous permettant d'accéder au code XML de n'importe quel événement. Vous pouvez également créer des requêtes XML pour récupérer les données des journaux. Aucune connaissance de XML n'est requise pour utiliser ces nouvelles fonctionnalités. Équipement "Observateur d'événements" fournit une interface graphique simple pour accéder à ces fonctionnalités.

Propriétés de l'événement

Il existe plusieurs propriétés d'événement snap-in "Observateur d'événements", qui sont décrits en détail ci-dessous :

Source est le programme qui a enregistré l'événement. Il peut s'agir soit du nom d'un programme (par exemple, « Exchange Server »), soit du nom d'un composant système ou d'une grande application (par exemple, le nom d'un pilote). Par exemple, « Elnkii » signifie pilote EtherLink II.

Code événement est un numéro qui identifie un type spécifique d'événement. La première ligne de la description contient généralement le nom du type d'événement. Par exemple, 6005 est l'ID de l'événement qui se produit au démarrage du service de journalisation des événements. En conséquence, au début de la description de cet événement se trouve la ligne « Le service de journal des événements a été démarré ». Le code d'événement et le nom de la source d'enregistrement peuvent être utilisés par l'équipe d'assistance produit logiciel pour résoudre les problèmes.

Niveau- c'est le niveau d'importance de l'événement. Dans les journaux système et des applications, les événements peuvent avoir les niveaux de gravité suivants :

  • Notification- désigne un changement dans une application ou un composant, comme l'apparition d'un événement d'information associé à une action réussie, la création d'une ressource ou le démarrage d'un service.
  • Avertissement- indique un avertissement général concernant un problème qui pourrait affecter le service ou conduire à un problème plus grave s'il est laissé sans surveillance ;
  • Erreur- indique qu'un problème est survenu pouvant affecter des fonctions externes à l'application ou au composant à l'origine de l'événement ;
  • Erreur critique- indique qu'une panne s'est produite et que l'application ou le composant qui a initié l'événement ne peut pas récupérer automatiquement ;
  • Audit des réussites- l'exécution réussie des actions que vous surveillez via un audit, comme l'utilisation d'un privilège ;
  • Audit d'échec- échec d'exécution des actions que vous surveillez via un audit, comme une erreur de connexion au système.

Utilisateur- définit le compte utilisateur pour le compte duquel cet événement s'est produit. Les utilisateurs incluent des entités spéciales telles que le service local, le service réseau et la connexion anonyme, ainsi que de vrais comptes d'utilisateurs. Ce nom est l'identifiant du client si l'événement a été réellement déclenché par un processus serveur, ou l'identifiant principal si aucune usurpation d'identité n'est effectuée. Dans certains cas, l'entrée du journal de sécurité contient les deux ID. Ce champ peut également contenir N/A si le compte n'est pas applicable dans cette situation. L'usurpation d'identité se produit dans les cas où un serveur permet à un processus d'assumer les attributs de sécurité d'un autre processus.

Code de travail- contient une valeur numérique qui identifie l'opération ou le point de l'opération au cours duquel cet événement s'est produit. Par exemple, initialisation ou fermeture.

Revue- le nom du journal dans lequel cet événement a été enregistré.

Catégorie et tâches- définit une catégorie d'événement, parfois utilisée pour décrire ultérieurement une action valide. Chaque source d'événement possède ses propres catégories. Par exemple, les catégories suivantes : connexion/déconnexion, privilèges d'utilisation, politiques de modification et gestion des comptes.

Mots clés est un ensemble de catégories ou de balises qui peuvent être utilisées pour filtrer ou rechercher des événements. Par exemple : « Réseau », « Sécurité » ou « Ressource introuvable ».

Ordinateur- identifie le nom de l'ordinateur sur lequel l'événement s'est produit. Il s'agit généralement du nom de l'ordinateur local, mais il peut également s'agir du nom de l'ordinateur qui a transmis l'événement ou du nom de l'ordinateur local avant sa modification.

date et l'heure- détermine la date et l'heure d'apparition de cet événement dans le journal.

ID de processus- représente le numéro d'identification du processus qui a généré l'événement. Un programme informatique n'est qu'un ensemble passif d'instructions, tandis qu'un processus est l'exécution directe de ces instructions.

ID de flux- représente le numéro d'identification du thread qui a généré l'événement. Un processus généré dans un système d’exploitation peut être constitué de plusieurs threads exécutés « en parallèle », c’est-à-dire sans ordre temporel prescrit. Lors de l'exécution de certaines tâches, une telle division peut permettre une utilisation plus efficace des ressources informatiques

ID du processeur- représente le numéro d'identification du processeur qui a traité l'événement.

Code de séance est le numéro d'identification de session sur le serveur de terminaux dans lequel l'événement s'est produit.

Temps de fonctionnement en mode noyau- définit le temps passé à exécuter les instructions en mode noyau, en unités de temps CPU. Le mode noyau offre un accès illimité à la mémoire système et aux périphériques externes. Le noyau du système NT est appelé noyau hybride ou macro-noyau.

Temps de fonctionnement en mode utilisateur- définit le temps passé à exécuter les instructions du mode utilisateur, en unités de temps CPU. Le mode utilisateur se compose de sous-systèmes qui transmettent les requêtes d'E/S au pilote en mode noyau approprié via le gestionnaire d'E/S.

Charge du processeur est le temps passé à exécuter les instructions du mode utilisateur, en ticks CPU.

Code de corrélation- définit l'action dans le processus pour laquelle l'événement est utilisé. Ce code est utilisé pour spécifier des relations simples entre les événements. La corrélation est une relation statistique entre deux ou plusieurs variables aléatoires (ou valeurs qui peuvent être considérées comme telles avec un certain degré de précision acceptable). De plus, les changements dans une ou plusieurs de ces quantités entraînent un changement systématique dans une ou plusieurs autres quantités.

ID de corrélation relative- définit une action relative dans le processus pour lequel l'événement est utilisé

Travailler avec les journaux d'événements

Observateur d'événements

Dans la capture d'écran suivante, vous pouvez voir le journal "Applications", où vous pouvez trouver des informations sur les événements, les vues récentes et les actions disponibles. Pour afficher les événements du journal des applications, procédez comme suit :

  1. Dans l'arborescence de la console, sélectionnez "Journaux Windows";
  2. Sélectionnez un magazine "Applications".

Il est conseillé de consulter les journaux d'événements plus souvent "Application" Et "Système" et examiner les problèmes existants et les avertissements qui peuvent présager des problèmes futurs. Lorsque vous sélectionnez un journal, la fenêtre du milieu affiche les événements disponibles, notamment la date, l'heure et la source de l'événement, le niveau de l'événement et d'autres détails.

Panneau "Porte d'affichage" affiche les données d'événement de base sur l'onglet "Sont communs", et des données spécifiques supplémentaires se trouvent sur l'onglet "Détails". Vous pouvez activer et désactiver ce panneau en sélectionnant le menu "Voir" puis la commande "Porte d'affichage".

Pour les systèmes critiques, il est recommandé de conserver des journaux remontant à plusieurs mois. En règle générale, il n'est pas pratique d'attribuer à tout moment une taille aux magazines afin que toutes les informations y tiennent, ce problème peut être résolu d'une autre manière ; Vous pouvez exporter les journaux vers des fichiers situés dans un dossier spécifié. Pour enregistrer le journal sélectionné, procédez comme suit :

  1. Dans l'arborescence de la console, sélectionnez le journal des événements que vous souhaitez enregistrer ;
  2. Sélectionnez une équipe "Enregistrer les événements sous" du menu "Action" ou depuis le menu contextuel du journal, sélectionnez la commande "Enregistrer tous les événements sous";
  3. Dans la boîte de dialogue qui apparaît "Enregistrer sous" sélectionnez le dossier dans lequel le fichier doit être enregistré. Si vous devez enregistrer le fichier dans un nouveau dossier, vous pouvez le créer directement depuis cette boîte de dialogue en utilisant le menu contextuel ou le bouton "Nouveau dossier" sur la barre d'action. Sur le terrain "Type de fichier" vous devez sélectionner le format de fichier souhaité parmi ceux disponibles : fichiers d'événements - *.evtx, fichier xml - *.xml, texte délimité par des tabulations - *.txt, csv séparé par des virgules - *.csv. Sur le terrain "Nom de fichier" "Sauvegarder". Pour annuler l'enregistrement, cliquez sur le bouton "Annuler";
  4. Dans le cas où le journal des événements n'est pas destiné à être consulté sur un autre ordinateur, dans la boîte de dialogue "Afficher les détails" laisser l'option par défaut "Ne pas afficher les informations", et si le journal est destiné à être consulté sur un autre ordinateur, alors dans la boîte de dialogue "Afficher les détails" choisir une option "Afficher les informations pour les langues suivantes" et cliquez sur le bouton "D'ACCORD".

Effacer le journal des événements

Il est parfois nécessaire d'effacer l'intégralité des journaux d'événements pour garantir une analyse efficace des avertissements et des erreurs critiques du système d'exploitation. Pour effacer le journal sélectionné, procédez comme suit :

  1. Dans l'arborescence de la console, sélectionnez le journal des événements que vous souhaitez effacer ;
  2. Effacez le journal en utilisant l'une des méthodes suivantes :
    • au menu "Action" choisis une équipe "Effacer le journal";
    • Faites un clic droit sur le journal sélectionné pour ouvrir le menu contextuel. Dans le menu contextuel, sélectionnez la commande "Effacer le journal";
  3. Ensuite, vous pouvez soit effacer le journal, soit l'archiver si cela n'a pas été fait auparavant :
    • Pour effacer le journal des événements sans enregistrer, cliquez sur le bouton "Clair";
    • Pour effacer le journal des événements après l'avoir enregistré, cliquez sur le bouton "Enregistrer et effacer". Dans la boîte de dialogue qui apparaît "Enregistrer sous" sélectionnez le dossier dans lequel le fichier doit être enregistré. Si vous devez enregistrer le fichier dans un nouveau dossier, vous pouvez le créer directement à partir de cette boîte de dialogue en utilisant le menu contextuel ou le bouton "Nouveau dossier" sur la barre d'action. Sur le terrain "Nom de fichier" entrez un nom et cliquez sur le bouton "Sauvegarder". Pour annuler la sauvegarde, cliquez sur le bouton "Annuler".

Définition de la taille maximale du journal

Comme mentionné ci-dessus, les journaux d'événements sont stockés sous forme de fichiers dans le dossier %SystemRoot%\System32\Winevt\Logs\. Par défaut, la taille maximale de ces fichiers est limitée, mais vous pouvez la modifier de la manière suivante :

  1. Sélectionnez une équipe "Propriétés" du menu "Action"
  2. Sur le terrain "Taille maximale du journal (Ko)" définissez la valeur requise à l'aide d'un compteur ou réglez-la manuellement sans utiliser de compteur. Dans ce cas, la valeur sera arrondie au multiple de 64 Ko le plus proche car la taille du fichier journal doit être un multiple de 64 Ko et ne peut pas être inférieure à 1 024 Ko.

Les événements sont stockés dans un fichier journal qui ne peut atteindre qu'une taille maximale spécifiée. Une fois que le fichier atteint sa taille maximale, le traitement des événements entrants sera déterminé par la politique de conservation des journaux. Les stratégies de conservation des journaux suivantes sont disponibles :

Réécrivez les événements si nécessaire (les fichiers les plus anciens en premier)- dans ce cas, les nouvelles écritures continuent d'être inscrites dans le journal après son remplissage. Chaque nouvel événement remplace le plus ancien du journal ;

Archivez le journal une fois rempli ; ne pas réécrire les événements- dans ce cas, le fichier journal est automatiquement archivé si nécessaire. Les événements obsolètes ne sont pas écrasés.

Ne pas écraser les événements (effacer le journal manuellement)- dans ce cas, le journal est effacé manuellement et non automatiquement.

Pour sélectionner la stratégie de conservation des journaux souhaitée, procédez comme suit :

  1. Dans l'arborescence de la console, sélectionnez le journal des événements que vous souhaitez redimensionner ;
  2. Sélectionnez une équipe "Propriétés" du menu "Action" soit depuis le menu contextuel de la revue sélectionnée ;
  3. Sur l'onglet "Sont communs", Au chapitre "Lorsque la taille maximale est atteinte" sélectionnez le paramètre requis et cliquez sur le bouton "D'ACCORD".

Activation du journal d'analyse et de débogage

Les journaux d'analyse et de débogage sont inactifs par défaut. Une fois activés, ils se remplissent rapidement d’un grand nombre d’événements. Pour cette raison, il est conseillé d'activer ces journaux pendant une période limitée pour collecter les données nécessaires au dépannage, puis de les désactiver à nouveau. Vous pouvez activer les journaux comme suit :

  1. Dans l'arborescence de la console, recherchez et sélectionnez le journal d'analyse ou de débogage que vous souhaitez activer ;
  2. Sélectionnez une équipe "Propriétés" du menu "Action" ou depuis le menu contextuel du journal d'analyse ou de débogage sélectionné ;
  3. Sur l'onglet "Sont communs" cochez la case d'option "Activer la journalisation"

Ouverture et fermeture d'un journal enregistré

Utiliser l'équipement "Observateur d'événements" Vous pouvez ouvrir et afficher les journaux précédemment enregistrés. Vous pouvez ouvrir plusieurs journaux enregistrés en même temps et y accéder à tout moment dans l'arborescence de la console. Magazine ouvert en "Observateur d'événements", peut être fermé sans supprimer les informations qu'il contient. Pour ouvrir un journal enregistré, procédez comme suit :

  1. Sélectionnez une équipe "Ouvrir le journal enregistré" au menu "Action" ou depuis le menu contextuel de l'arborescence de la console ;
  2. 3. Dans la boîte de dialogue "Ouvrir le journal enregistré", en vous déplaçant dans l'arborescence des répertoires, ouvrez le dossier contenant le fichier souhaité. Par défaut, la boîte de dialogue affichera tous les fichiers journaux d'événements. De plus, lors de l'ouverture, vous pouvez sélectionner le type de fichiers que vous souhaitez afficher dans la boîte de dialogue d'ouverture. Les types de fichiers disponibles sont les fichiers journaux d'événements (*.evtx, *.evt, *.etl), ainsi que les fichiers d'événements (*.evtx), les fichiers d'événements hérités (*.evt) ou les fichiers journaux de trace (*.etl). . Une fois le fichier journal souhaité trouvé, sélectionnez-le en faisant un clic gauche dessus, ce qui placera son nom dans la ligne du nom du fichier et cliquez sur le bouton "Ouvrir".
  3. En dialogue "Ouvrir le journal enregistré", dans le champ "Nom" Entrez un nouveau nom à utiliser pour le journal dans l'arborescence de la console. Il est utilisé uniquement pour afficher le journal dans l'arborescence de la console et ne modifie pas le nom du fichier journal. Vous pouvez également utiliser un nom de fichier journal existant. Sur le terrain "Description" entrez une description pour le journal. Il sera affiché dans la zone centrale lorsque le dossier du journal parent est sélectionné dans l'arborescence de la console ;
  4. Pour créer un dossier dans lequel se trouvera le journal enregistré, cliquez sur le bouton "Créer un dossier". Sur le terrain "Nom" entrez le nom du dossier dans lequel se trouvera le journal ouvert, puis cliquez sur "D'ACCORD". Si aucun dossier parent n'est sélectionné, le nouveau dossier sera situé dans le dossier "Journaux enregistrés".
  5. Pour rendre le journal des événements ouvert inaccessible aux autres utilisateurs de l'ordinateur, vous pouvez décocher la case "Tous les utilisateurs". Si cette case reste active, le journal ouvert sera disponible pour tous les utilisateurs, mais des droits d'administrateur seront nécessaires pour le supprimer de l'arborescence de la console ;
  6. Pour ouvrir le magazine, cliquez sur le bouton "D'ACCORD".

Pour supprimer un journal ouvert de l'arborescence des événements, procédez comme suit :

  1. Dans l'arborescence de la console, sélectionnez le journal à supprimer ;
  2. Sélectionnez une équipe "Supprimer" du menu "Action" soit depuis le menu contextuel de la revue sélectionnée ;
  3. En dialogue "Observateur d'événements" cliquez sur le bouton "Oui".

Conclusion

Cette partie de l'article, dédiée au composant logiciel enfichable Observateur d'événements, parle du composant logiciel enfichable lui-même et décrit en détail les opérations les plus simples associées à la surveillance et à la maintenance du système à l'aide de l'Observateur d'événements. La prochaine partie de l'article sera conçue pour les utilisateurs Windows expérimentés. Il couvrira les tâches avec des vues personnalisées, le filtrage, le regroupement/tri des événements et la gestion des abonnements.

Bonjour à tous, le sujet est de savoir comment afficher les journaux Windows. Je pense que tout le monde sait ce que sont les journaux, mais si vous êtes soudainement un débutant, les journaux sont des événements système se produisant dans le système d'exploitation Windows et Linux, qui aident à suivre quoi, où et quand s'est produit et qui l'a fait. Tout administrateur système doit être capable de lire les journaux Windows.

Un exemple tiré de la vie réelle est la situation dans laquelle un disque tombe en panne sur l'un des serveurs IBM et, pour le support technique, j'ai collecté les journaux du serveur afin qu'ils puissent diagnostiquer le problème. Le service Observateur d'événements est responsable de la collecte et de l'enregistrement des journaux dans Windows. L'Observateur d'événements est un outil pratique pour obtenir les journaux système.

Comment ouvrir dans l'Observateur d'événements

Vous pouvez accéder très simplement au composant logiciel enfichable Observateur d’événements ; il convient à n’importe quelle version de Windows. Appuyez sur les boutons magiques

Win+R et entrez eventvwr.msc

Une fenêtre de l'Observateur d'événements Windows s'ouvrira dans laquelle vous devrez développer l'élément Journaux Windows. Passons en revue chacun des magazines.

Log Application contient des enregistrements liés aux programmes sur votre ordinateur. Le journal est écrit lors du lancement du programme, s'il a été lancé avec une erreur, cela sera également reflété ici.

Un journal d’audit est nécessaire pour comprendre qui a fait quoi et quand. Par exemple, connecté ou déconnecté, essayé d'accéder. Tous les audits de réussite ou d’échec sont rédigés ici.

L'élément Installation enregistre les journaux Windows sur ce qui a été installé et quand, par exemple, les programmes ou les mises à jour.

Le magazine le plus important est le système. Toutes les choses les plus nécessaires et les plus importantes sont écrites ici. Par exemple, vous aviez un bsod sur écran bleu, et ces messages enregistrés ici vous aideront à déterminer sa cause.

Il existe également des journaux Windows pour des services plus spécifiques, tels que DHCP ou DNS. L'Observateur d'événements coupe tout :).

Supposons que vous ayez plus d'un million d'événements dans le journal de sécurité, vous vous poserez probablement immédiatement la question de savoir s'il y a un filtrage, car les visualiser tous est du masochisme. Ceci est prévu dans l'observateur d'événements ; les journaux Windows peuvent être facilement filtrés, ne laissant que ce qui est nécessaire. À droite dans la zone Actions se trouve un bouton Filtrer le journal actuel.

Il vous sera demandé de préciser le niveau de l'événement :

  • Critique
  • Erreur
  • Avertissement
  • Intelligence
  • Détails

Tout dépend de la tâche de recherche ; si vous recherchez des erreurs, d'autres types de messages ne servent à rien. Ensuite, afin de restreindre la portée de votre recherche d'affichage d'événements, vous pouvez spécifier la source et le code de l'événement souhaité.

Ainsi, comme vous pouvez le constater, l'analyse des journaux Windows est très simple, nous recherchons, trouvons, résolvons. Un effacement rapide des journaux Windows peut également être utile :

Afficher les journaux Windows PowerShell

Ce serait étrange si PowerShell ne pouvait pas faire cela ; pour afficher les fichiers journaux, ouvrez PowerShell et entrez la commande suivante.

Get-EventLog -Logname "Système"

En conséquence, vous recevrez une liste des journaux système

La même chose peut être faite pour d'autres magazines, par exemple Applications

Get-EventLog -Logname "Application"

petite liste d'abréviations

  • Code d'événement - ID d'événement
  • Ordinateur - Nom de la machine
  • Numéro de séquence d'événement - Données, Index
  • Catégorie de tâches - Catégorie
  • Code de catégorie - CategoryNumber
  • Niveau - Type d'entrée
  • Message d'événement - Message
  • Source - Source
  • Date de génération de l'événement – ReplacementString, InstanceID, TimeGenerated
  • Date d'enregistrement de l'événement - TimeWritten
  • Utilisateur - Nom d'utilisateur
  • Site web
  • Division - Conteneur

Par exemple, afin d'afficher les événements dans le shell de commande uniquement avec les colonnes « Niveau », « Date d'enregistrement de l'événement », « Source », « Code d'événement », « Catégorie » et « Message d'événement » pour le journal « Système », exécutez la commande :

Get-EventLog –LogName 'Système' | Format-Table EntryType, TimeWritten, Source, EventID, Catégorie, Message

Si vous avez besoin d'afficher plus en détail, remplacez Format-Table par Format-List

Get-EventLog –LogName 'Système' | Format-List EntryType, TimeWritten, Source, EventID, Catégorie, Message

Comme vous pouvez le constater, le format est déjà plus lisible.

Vous pouvez également filtrer les journaux, par exemple afficher les 20 derniers messages

Get-EventLog – Nom du journal « Système » – 20 les plus récents

Produits supplémentaires

Vous pouvez également automatiser la collecte d'événements à l'aide d'outils tels que :

  • Complexe de surveillance Zabbix
  • En envoyant des événements via Windows au serveur collecteur
  • Grâce à la suite d'audit Netwrix
  • Si vous disposez de SCOM, il peut regrouper tous les journaux de la plate-forme Windows.
  • Tous les systèmes DLP

Ainsi, que vous choisissiez d'utiliser l'Observateur d'événements ou PowerShell pour afficher les événements Windows, c'est à vous de décider. Matériel du site

Visualisation à distance des journaux

  • Première méthode

Il n'y a pas si longtemps, le système d'exploitation Windows Server 2019 a introduit le composant d'administration à distance Windows Admin Center. Il permet de contrôler à distance un ordinateur ou un serveur ; j'en ai déjà parlé plus en détail. Ici, je veux montrer qu'en l'installant sur votre poste de travail, vous pouvez vous connecter depuis un navigateur à d'autres ordinateurs et visualiser facilement leurs journaux d'événements, étudiant ainsi les journaux Windows. Dans mon exemple, il y aura un serveur SVT2019S01, Nous le trouvons dans la liste des disponibles et nous nous connectons (je vous rappelle que c'est ainsi que nous avons configuré le réseau à distance sous Windows).

Ensuite, vous sélectionnez l'onglet « Événements », sélectionnez le journal souhaité ; dans mon exemple, je veux voir tous les journaux du système. De mon point de vue, tout visualiser ici est bien plus pratique que visualiser des événements. L’avantage est que vous pouvez le faire depuis n’importe quel téléphone ou tablette. Il y a un formulaire de recherche pratique dans le coin droit

Si vous devez filtrer les journaux plus précisément, vous pouvez utiliser le bouton de filtrage.

Ici, vous pouvez également sélectionner le niveau de l'événement, par exemple en ne laissant que les critiques et les erreurs, définir la plage de temps, le code de l'événement et la source.

Voici un exemple de filtrage par événement 19.

Il est très pratique d'exporter l'intégralité du journal au format evxt, qui peut ensuite être facilement ouvert via le journal des événements. Ainsi, Windows Admin Center est un outil puissant pour afficher les journaux.

  • Deuxième méthode

La deuxième façon d'afficher à distance les journaux Windows consiste à utiliser le composant logiciel enfichable Gestion de l'ordinateur ou le même « Observateur d'événements ». Pour afficher les journaux Windows sur un autre ordinateur ou serveur, dans le composant logiciel enfichable, cliquez avec le bouton droit sur l'élément supérieur et sélectionnez "" dans le menu contextuel.

On indique le nom d'un autre ordinateur, dans mon exemple ce sera SVT2019S01

Si tout va bien et qu'il n'y a aucun blocage du pare-feu ou de l'antivirus, vous serez redirigé vers la visualisation des événements à distance. S'il y a des blocages, vous recevrez un message indiquant que le trafic COM+ ne circule pas.

Je tiens également à noter qu'il existe des systèmes complets d'agrégation de journaux, tels que Zabbix ou SCOM, mais il s'agit d'un niveau de tâches différent.