Kas ir notikumu skatītājs operētājsistēmā Windows un kā to izmantot. Kā izmantot Windows notikumu skatītāju, lai atrisinātu datora problēmas. Attālināti skatīt žurnālus

Es domāju, ka katrs lietotājs, kurš strādā ar datoru, ir saskāries ar problēmām un kļūdām. Ir pienācis laiks iemācīties lasīt Windows notikumu žurnālu, kurā tiek parādīti ziņojumi no lietojumprogrammām un pašas sistēmas: kļūdas, informatīvi ziņojumi, brīdinājumi. Tajā ir informācija par notikumiem, kurus sistēma uzskatīja ierakstīt administratoram. Tieši tāpat, ja jūs esat ugunsdzēsējs.

Parastā operētājsistēmā lietotājs nezina ceļu šeit - vienkārši nav vajadzības. Tomēr, kad operētājsistēmā Windows parādās kļūdas (aizkavēšanās), šeit ir daudz iemeslu meklēt, par laimi, no šejienes ir ko mācīties.

Kur atrodas notikumu žurnāls?

Ātrākais veids, kā to nokļūt, ir pēc taustiņa nospiešanas ierakstot meklēšanas joslā UZVARĒT vārdus "notikumu žurnāli". Un noklikšķiniet uz atbilstošās saites:

Vai arī ierakstiet Sākt - komanda eventvwr.msc. Noklusējums, Notikumu skatītājs atvērs cilnes, tostarp administratīvo notikumu kopsavilkumu, kurā norādīta informācija pēc svarīguma administratoram. Vissvarīgākais no tiem Kritisks notikuma veids. Pastaigājieties pa posmu Windows žurnāli, atslēgu katalogi Lietojumprogrammas Un Sistēma.

Viss, kas notiek sistēmā, tiek ierakstīts vairākos dokumentos. Un, visticamāk, tur atradīsit vairākas kļūdas. Tas vēl neko nenozīmē. Ja sistēma ir stabila, šīs kļūdas nav kritiskas un jūs nekad netraucēs. Starp citu, var paskatīties tuvāk – tiek saglabātas kļūdas programmām, kuras datorā ilgu laiku nav bijušas.

Spēle tika aizvērta, izmantojot taustiņus Alt + F4 - mamma, acīmredzot, ienāca istabā.

Teorētiski arī citos raidījumos tiek likts Žurnālā ierakstīt svarīgus un ne tik svarīgus notikumus, taču, cik atceros, viņi to diez vai dara.

Lasītājam jau var šķist, ka Žurnālam nav jāpievērš uzmanība.

Žurnāls palīdzēs uzmanīgam un pārdomātam lietotājam nopietnu darbības traucējumu gadījumos, piemēram, kad sistēma parādās vai negaidīti atsāknējas. Tādējādi žurnālā var viegli noteikt “mirušo” draiveri. Jums vienkārši rūpīgi jāaplūko sarkanās ikonas, kas parādās kopā ar uzrakstu Kritiskais līmenis un noņemiet norādīto draiveri vai varbūt padomājiet par ierīces nomaiņu.

nekas slikts vēl nav noticis

un šeit jau viss ir nopietni: dators izslēgts

Mēs meklējam nepieciešamos notikumus: procesus un rezultātu žurnālus

Piemēram, pēc kāda laika mēs pamanījām, ka pele ir iestrēgusi, trūkst dažu mapju un ceļi nedarbojas: pirmā parādīšanās pazīme diskā. Lai strādātu ar tiem, secīgi jāpalaiž diska statusa pārbaudes utilīta chkdsk /f, kas sāks darboties pēc pārstartēšanas, un tad mēs pārbaudīsim pašas Windows failu sistēmas integritāti sfc /scannow. Tātad, jūs varat apskatīt gan šo, gan citu utilītu darba rezultātus vienā žurnālā:

Tā kā vienu no šīm utilītprogrammām sistēma palaiž tikai pirms sāknēšanas (sējumam, kurā ir šī sistēma), ir lietderīgi meklēt rezultātus, izmantojot karogu Wininit(no Uzvarēt dows Tajā ializācija).

Kā iemācīties lasīt Windows notikumu žurnālu?

Tomēr jums nav jāmin. Microsoft ir oficiāla atbalsta lapa sistēmas ziņojumiem. Ja jūs interesē kāds konkrēts pasākums, varat apmeklēt tīmekļa lapu:

Tomēr, manuprāt, ļoti labs pakalpojums, kas palīdzēs lasīt Windows notikumu žurnālu, ir pakalpojums

Tam nav analogu Krievijā, bet tiem, kas runā angliski un ir vienkārši ziņkārīgi, es jums parādīšu, kā to izmantot. Tātad iepriekš minētajā piemērā pakalpojuma lapā ievadiet kļūdas kodu un pakalpojumu, kas to izraisīja, laukos:

Atliek tikai ievadīt mūsu vārdus meklēšanā, noklikšķinot uz pogas Meklēt, un rezultāti tiks parādīti lapā, kas izskaidro kļūdu. Formāli tie nebūs daudz detalizētāki par paša Žurnāla sniegtajiem skaidrojumiem, tomēr, ja ritināsi uz leju rezultātu lapu, tad aprakstā angļu valodā redzēsi saiti uz sava veida forumu ar jau gataviem risinājumiem problēma vai iemesli, ar kuriem lietotāji jau ir saskārušies, kad rodas tāda paša nosaukuma kļūda. Viss ir angļu valodā. Man bija jāmācās... Un, godīgi sakot, jūsu pazemīgais kalps reti kad tiek tālāk par šo vietni: kaut kas līdzīgs jau ir noticis.

Kā vienmēr, notikumu žurnāla skatīšana nav panaceja. Tomēr tas var glābt lietotāju no bezjēdzīgiem minējumiem, ietaupot daudz laika problēmas meklēšanai.

Windows notikumu žurnāls — kā to notīrīt?

Tātad ar problēmām esam tikuši galā, sistēma ir stabila. Tad atbrīvosimies no nevajadzīgiem žurnāla ierakstiem: ja apmeklējāt Žurnālu, iespējams, esat novērojis nekārtību attiecībā uz tajā esošo ierakstu skaitu.

Ir vairākas tīrīšanas metodes. To var izdarīt, izmantojot Windows PowerShell:

Wevtutil el | Foreach-Object (Write-Host "Notiek $_ notīrīšana"; wevtutil cl "$_")

Izmantojot konsoli, varat:

Vietnei /f %x in ("wevtutil el") veiciet wevtutil cl "%x"

Piedāvāšu jums nelielu skriptu, kuru varat ievietot teksta dokumentā un saglabāt ar paplašinājumu .sikspārnis. Es izsaucu savus tīrīšanas žurnālus (palaidiet galīgo failu ar administratora tiesībām):

Lūk, skripts:

@echo off FOR /F "tokens=1,2*" %%V IN ("bcdedit") IESTATĪT adminTest=%%V IF (%adminTest%)==(Piekļuve) goto noAdmin for /F "tokens=* " %%G in ("wevtutil.exe el") DO (call:do_clear "%%G") atbalss. echo goto theEnd:do_clear echo clearing % 1 wevtutil.exe cl % 1 goto:eof:noAdmin iziet

Pagaidiet, līdz skripts beidzas, konsoles logs tiks aizvērts pats:

Operētājsistēma Windows Vista rūpīgi un nenogurstoši uzrauga visu, kas ar to notiek. Pilnīgi visas darbības, ko sauc par "notikumiem", tiek pastāvīgi reģistrētas un sadalītas dažādās kategorijās. Programmu Event Viewer (kas, ja jūs domājat, ir MMC rīks) var uzskatīt par žurnālu, ko glabā skrupuloza un rūpīga veca kundze uz soliņa pie ieejas. Tajā fiksēts, kas ieiet un iziet no mājas, kādas sarunas notiek starp iedzīvotājiem, kurš no kā šķīries un kautiņojies. Citiem vārdiem sakot, tajā ir pilnīgs priekšstats par to, kā māja dzīvo.

Līdzīgu spiegošanas funkciju veic programma Event Viewer, kas atšķirībā no vecās kundzes zinātkāres ir paredzēta, lai diagnosticētu un identificētu OS darbības problēmas, par kurām lietotājam nebija ne jausmas.

Visi sistēmā notiekošie notikumi tiek ierakstīti īpašos sistēmas žurnālos. Notikumu skatītājs ļauj skatīt šo žurnālu saturu, arhivēt tos un dzēst. Kā tieši jūs varat izmantot šo programmu? Galvenais mērķis ir identificēt radušās problēmas un to rašanās cēloni. Ja ierīce nedarbojas pareizi, cietais disks ir pilns, kāda programma pastāvīgi sasalst vai notiek kāds cits nepatīkams notikums, informācija par notikušo tiks ierakstīta attiecīgajā sistēmas žurnālā. Pēc tam vienkārši palaidiet notikumu skatītāju un saņemiet pilnīgu un skaidru informāciju no sistēmas žurnāla.

Varat palaist notikumu skatītāju vienā no šiem veidiem.

  • Izvēlieties komandu Sākt> Vadības panelis, noklikšķiniet uz saites Sistēma un tās apkope, tad uz saites Administrācija un visbeidzot par saiti Notikumu skatītājs.
  • Otrā metode nepacietīgajiem: komandrindā ievadiet komandu eventvwr.

Atgādiniet to, papildus noklikšķinot uz pogas Sākt, varat atvērt komandrindas logu, nospiežot taustiņu kombināciju . Atcerieties arī, ka ir nepieciešama administratīvā piekļuve, lai izmantotu visas Event Viewer rīka iespējas.

Jebkurā gadījumā tiks atvērts zemāk redzamais logs.

  • Skatiet notikumus no vairākiem sistēmas žurnāliem.
  • Izveidojiet notikumu filtrus kā pielāgotus skatus.
  • Iespēja izveidot uzdevumu, kas tiek izpildīts automātiski ar noteiktu notikumu.

Apskatīsim tuvāk iepriekš redzamo logu. Logs ir sadalīts trīs paneļos. Kreisajā panelī Notikumu skatītājs Ir vairākas mapes, kurās ir pielāgoti skati, stāsti un abonementi. Centrālajā panelī ir vairākas apakšizvēlnes, piemēram, Un Nesen skatītie mezgli. Visbeidzot, labajā panelī Darbības Varat izvēlēties noteiktas darbības, piemēram, izveidot pielāgotu skatu vai izveidot savienojumu ar citu datoru.

Panelis ļauj ātri identificēt visus svarīgos notikumus, kas reģistrēti pēdējās stundas, dienas vai nedēļas laikā. Katru pasākuma veidu var izvērst, lai atklātu detalizētu informāciju par notikumu. Panelis sniedz vispārēju priekšstatu par to, kas notiek sistēmā, un, lai iegūtu konkrētu informāciju, jums jāiet uz konkrētu notikumu.

Tā kā notikumu skatītājs tiek izmantots, lai skatītu sistēmas žurnālus, noklikšķiniet uz mapju ikonām Un Lietojumprogrammu un pakalpojumu žurnāli kreisajā panelī, lai paplašinātu pieejamo žurnālu sarakstu. Apskatīsim to sīkāk. Mapē Tiek prezentēti šādi žurnāli.

  • Pieteikums. Notikumus šajā žurnālā ģenerē lietojumprogrammas, tostarp instalētās programmas, kas nāk ar Windows Vista un operētājsistēmas pakalpojumiem. Tieši kādi notikumi tiek ierakstīti šajā žurnālā, ir atkarīgs no konkrētās programmas.
  • Drošība. Šajā žurnālā ir uzskaitīti lietotāju pieteikšanās mēģinājumi (veiksmīgi un neveiksmīgi), kā arī darbības, kas saistītas ar publiskajiem resursiem, piemēram, darbības, lai izveidotu, modificētu vai dzēstu failus vai mapes.
  • Iestatījumi. Notikumi šajā žurnālā tiek izveidoti, kad programmas ir instalētas.
  • Sistēma. Sistēmas notikumus ģenerē pati Windows un instalētie komponenti, piemēram, ierīču draiveri. Žurnāls ir noderīgs, lai identificētu draiverus, kurus neizdevās ielādēt, startējot sistēmu Windows.
  • Pārsūtīti notikumi. Šajā žurnālā ir no citiem tīkla datoriem savāktie notikumi.

Mapē Lietojumprogrammu un pakalpojumu žurnāli var atrast ierakstus atsevišķām lietojumprogrammām un pakalpojumiem. Kamēr citi žurnāli nodrošina vispārīgus ierakstus, šis žurnāls sniedz informāciju par konkrētu programmu darbību. Ievērojiet Microsoft apakšmapi, kas savukārt satur Windows apakšmapi. Šajā mapē varat atrast ierakstus par dažādiem Windows Vista komponentiem, kas atrodas atsevišķās mapēs.

Windows ir diezgan sarežģīta operētājsistēma, un nepieredzējušam lietotājam ir grūti izsekot visiem procesiem, tostarp kļūdām.

Šiem nolūkiem pašā OS nodrošināta mežizstrāde viss, kas notiek un visas darbības sistēmā. Šo žurnālu var parādīt un skatīt, izmantojot Windows notikumu skatītāju.

Tiek parādīts Windows notikumu skatītājs

Informāciju par OS darbību var apskatīt divos veidos:

  • Izmantojot cmd ( komandrinda);
  • Izmantojot vadības paneļi.

Lai izsauktu cmd līniju, varat izmantot īsinājumtaustiņš Win+R vai ejiet cauri labi zināmajai ķēdei: Sākt - Visas programmas - Piederumi - Komandrinda.

Atvērtajā logā ievadiet secību eventvwr.msc

Vai arī caur Sākt - Vadības panelis - Sistēma un apkope - Administrācija.

Uz darbvirsmas tiks parādīts utilītas galvenais logs. Atlasiet vienumu "".

Neuztraucieties, ja sarakstā ir kļūdas. Pat nevainojami strādājošā sistēmā var parādīties līdzīgi ziņojumi. Vairumā gadījumu tās ir izolētas un izraisa nelielas lietojumprogrammas kļūmes.

Visticamāk, kļūdu apraksti vidusmēra lietotājam neko neizteiks. Žurnālu skatīšana var palīdzēt sistēmas administratoram vai “pieredzējušam” lietotājam izprast radušās sistēmas kļūmes.

Kā lietot skatu

Kādu informāciju var uzzināt no žurnāla? Ja jūsu dators sistemātiski rada kļūdas, nejauši atsāknējas vai parāda “zilo nāves ekrānu”, sistēma reģistrē visus notikumus, kas izraisīja darbības traucējumus. Apskatot informāciju jūs varat uzzināt kurā laikā pakalpojums, draiveris vai aparatūras komponents izraisīja konkrētu kļūdu. Pamatojoties uz šo informāciju, var veikt nepieciešamos pasākumus pārkāpumu novēršanai.

Papildus informācijai par kļūdu žurnālu var izmantot citiem mērķiem. Varat izveidot saiti uz jebkuru notikumu, kas notiek sistēmā veicot konkrētu uzdevumu. Tas ļaus nākotnē, ja radīsies līdzīga situācija, automātiski izpildīt izvirzīto nosacījumu.

Lai to izdarītu, pietiek ar jebkuru elementu no saraksta izsaukt konteksta izvēlni ar peles labo pogu noklikšķiniet un atlasiet " Saistiet uzdevumu».

Notikumu žurnāla notīrīšana

Arī visas informācijas noņemšana no žurnāla nav grūta. Lai to izdarītu, žurnāla loga kreisajā blokā atlasiet izvēlnes koka elementu, kas ir jānotīra, ar peles labo pogu noklikšķiniet, lai izsauktu konteksta izvēlni - " Notīrīt žurnālu»

Operētājsistēma Windows 7 pastāvīgi uzrauga dažādus vērā ņemamus notikumus, kas notiek jūsu sistēmā. Operētājsistēmā Microsoft Windows notikumu ir jebkurš incidents operētājsistēmā, kas tiek reģistrēts vai par kuru ir jāpaziņo lietotājiem vai administratoriem. Tas var būt pakalpojums, kas nevēlas startēt, ierīces instalēšana vai lietojumprogrammas kļūda. Notikumi tiek reģistrēti un saglabāti Windows notikumu žurnālos un sniedz svarīgu vēsturisku informāciju, kas palīdz pārraudzīt sistēmu, uzturēt sistēmas drošību, novērst kļūdas un veikt diagnostiku. Šajos žurnālos ietvertā informācija ir regulāri jāpārskata. Jums regulāri jāpārrauga notikumu žurnāli un jākonfigurē operētājsistēma, lai saglabātu svarīgus sistēmas notikumus. Ja esat Windows serveru administrators, jums ir jāuzrauga to sistēmu drošība, lietojumprogrammu un pakalpojumu normāla darbība, kā arī jāpārbauda, ​​vai serverī nav kļūdu, kas var pasliktināt veiktspēju. Ja esat personālā datora lietotājs, jums ir jāpārliecinās, ka jums ir piekļuve atbilstošiem žurnāliem, kas nepieciešami sistēmas atbalstam un kļūdu novēršanai.

Programma "Notikumu skatītājs" ir Microsoft pārvaldības konsoles (MMC) papildprogramma notikumu žurnālu apskatei un pārvaldībai. Tas ir neaizstājams rīks sistēmas veiktspējas uzraudzībai un problēmu novēršanai. Tiek izsaukts Windows pakalpojums, kas pārvalda notikumu reģistrēšanu "Notikumu žurnāls". Ja tā darbojas, sistēma Windows ieraksta svarīgus datus žurnālos. Izmantojot programmu "Notikumu skatītājs" varat veikt šādas darbības:

  • Skatīt notikumus no konkrētiem žurnāliem;
  • Lietojiet notikumu filtrus un saglabājiet tos vēlākai lietošanai kā pielāgotus skatus;
  • Izveidot un pārvaldīt pasākumu abonementus;
  • Piešķiriet konkrētas darbības, kas jāveic, kad notiek konkrēts notikums.

Notikumu skatītāja palaišana

Pieteikums "Notikumu skatītājs" var atvērt šādos veidos:

Notikumu žurnāli operētājsistēmā Windows 7

Operētājsistēmā Windows 7, kā arī Windows Vista ir divas notikumu žurnālu kategorijas: Windows žurnāli Un lietojumprogrammu un pakalpojumu žurnāli. Windows žurnāli- izmanto operētājsistēma, lai reģistrētu visas sistēmas notikumus, kas saistīti ar lietojumprogrammu darbību, sistēmas komponentiem, drošību un palaišanu. A lietojumprogrammu un pakalpojumu žurnāli- izmanto lietojumprogrammas un pakalpojumi, lai reģistrētu notikumus, kas saistīti ar to darbību. Varat izmantot papildprogrammu, lai pārvaldītu notikumu žurnālus "Notikumu skatītājs" vai komandrindas programma wevtutil, kas tiks apspriests raksta otrajā daļā. Visi žurnālu veidi ir aprakstīti zemāk:

Pieteikums- saglabā svarīgus notikumus, kas saistīti ar konkrētu lietojumprogrammu. Piemēram, Exchange Server glabā notikumus, kas saistīti ar pasta pārsūtīšanu, tostarp notikumus informācijas krātuvei, pastkastēm un darbības pakalpojumiem. Pēc noklusējuma tas tiek ievietots mapē %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Drošība- saglabā ar drošību saistītus notikumus, piemēram, sistēmas pieteikšanos/atteikšanos, privilēģiju izmantošanu un piekļuvi resursiem. Pēc noklusējuma tas atrodas mapē %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Uzstādīšana- Šajā žurnālā tiek reģistrēti notikumi, kas notiek operētājsistēmas un tās komponentu instalēšanas un konfigurēšanas laikā. Pēc noklusējuma tas atrodas mapē %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Sistēma- saglabā operētājsistēmas vai tās komponentu notikumus, piemēram, pakalpojumu palaišanas vai draiveru inicializācijas kļūmes, sistēmas mēroga ziņojumus un citus ziņojumus, kas saistīti ar sistēmu kopumā. Pēc noklusējuma tas atrodas mapē %SystemRoot%\System32\Winevt\Logs\System.Evtx

Pārsūtītie notikumi- ja ir konfigurēta notikumu pārsūtīšana, šajā žurnālā ir iekļauti notikumi, kas pārsūtīti no citiem serveriem. Pēc noklusējuma tas tiek ievietots mapē %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- šajā žurnālā tiek reģistrēti notikumi, kas notiek, iestatot un strādājot ar pārlūkprogrammu Internet Explorer. Pēc noklusējuma tas atrodas mapē %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- Šajā žurnālā tiek reģistrēti notikumi, kas saistīti ar PowerShell lietošanu. Pēc noklusējuma tas atrodas mapē %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Aprīkojuma pasākumi- ja ir konfigurēta aparatūras notikumu reģistrēšana, ierīču ģenerētie notikumi tiek ierakstīti šajā žurnālā. Pēc noklusējuma tas tiek ievietots mapē %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

Operētājsistēmā Windows 7 infrastruktūra, kas nodrošina notikumu reģistrēšanu, ir balstīta uz XML, tāpat kā operētājsistēmā Windows Vista. Katrs notikuma dati atbilst XML shēmai, kas ļauj piekļūt jebkura notikuma XML kodam. Varat arī izveidot uz XML balstītus vaicājumus, lai izgūtu datus no žurnāliem. Lai izmantotu šos jaunos līdzekļus, XML zināšanas nav nepieciešamas. Aprīkojums "Notikumu skatītājs" nodrošina vienkāršu grafisko saskarni, lai piekļūtu šīm funkcijām.

Pasākuma rekvizīti

Ir vairāki pievienojamo notikumu rekvizīti "Notikumu skatītājs", kas ir detalizēti aprakstīti zemāk:

Avots ir programma, kas reģistrēja notikumu. Tas var būt programmas nosaukums (piemēram, “Exchange Server”) vai sistēmas komponenta vai lielas lietojumprogrammas nosaukums (piemēram, draivera nosaukums). Piemēram, "Elnkii" nozīmē EtherLink II draiveri.

Pasākuma kods ir skaitlis, kas identificē noteiktu notikuma veidu. Apraksta pirmajā rindā parasti ir norādīts notikuma veida nosaukums. Piemēram, 6005 ir notikuma ID, kas notiek, kad tiek startēts notikumu reģistrēšanas pakalpojums. Attiecīgi šī notikuma apraksta sākumā ir rinda “Notikumu žurnāla pakalpojums ir palaists”. Programmatūras produkta atbalsta komanda var izmantot notikuma kodu un ieraksta avota nosaukumu, lai novērstu problēmas.

Līmenis- tāds ir pasākuma svarīguma līmenis. Sistēmas un lietojumprogrammu žurnālos notikumiem var būt šādi smaguma līmeņi:

  • Paziņojums- apzīmē izmaiņas lietojumprogrammā vai komponentā, piemēram, informācijas notikuma rašanos, kas saistīts ar veiksmīgu darbību, resursa izveidi vai pakalpojuma palaišanu.
  • Brīdinājums- norāda uz vispārīgu brīdinājumu par problēmu, kas var ietekmēt pakalpojumu vai radīt nopietnāku problēmu, ja to atstātu bez uzraudzības;
  • Kļūda- norāda, ka ir radusies problēma, kas var ietekmēt funkcijas ārpus lietojumprogrammas vai komponenta, kas izraisīja notikumu;
  • Kritiska kļūda- norāda, ka ir radusies kļūme, no kuras nevar automātiski atjaunoties lietojumprogramma vai komponents, kas ierosināja notikumu;
  • Panākumu audits- veiksmīga darbību veikšana, kuras uzraugāt, izmantojot auditu, piemēram, privilēģiju izmantošana;
  • Neveiksmju audits- nespēja veikt darbības, kuras uzraugāt, izmantojot auditu, piemēram, kļūda, piesakoties sistēmā.

Lietotājs- definē lietotāja kontu, kura vārdā notika šis notikums. Lietotāji ietver īpašas entītijas, piemēram, vietējais pakalpojums, tīkla pakalpojums un anonīma pieteikšanās, kā arī reāli lietotāju konti. Šis nosaukums ir klienta identifikators, ja notikumu faktiski izraisīja servera process, vai primārais identifikators, ja netiek veikta uzdošanās. Dažos gadījumos drošības žurnāla ieraksts satur abus ID. Šajā laukā var būt arī N/A, ja konts šajā situācijā nav piemērojams. Uzdošanās notiek gadījumos, kad serveris ļauj vienam procesam pieņemt cita procesa drošības atribūtus.

Darba kods- satur skaitlisku vērtību, kas identificē darbību vai punktu operācijā, kuras laikā notika šis notikums. Piemēram, inicializācija vai aizvēršana.

Žurnāls- žurnāla nosaukums, kurā šis notikums tika reģistrēts.

Kategorija un uzdevumi- definē notikuma kategoriju, ko dažkārt izmanto, lai vēlāk aprakstītu derīgu darbību. Katram notikumu avotam ir savas kategorijas. Piemēram, šādas kategorijas: pieteikšanās/atteikšanās, lietošanas privilēģijas, politikas maiņa un konta pārvaldība.

Atslēgvārdi ir kategoriju vai tagu kopa, ko var izmantot notikumu filtrēšanai vai meklēšanai. Piemēram: “Tīkls”, “Drošība” vai “Resurss nav atrasts”.

Dators- identificē tā datora nosaukumu, kurā notika notikums. Parasti tas ir lokālā datora nosaukums, taču tas var būt arī tā datora nosaukums, kas pārsūtīja notikumu, vai lokālā datora nosaukums pirms tā modificēšanas.

datums un laiks- nosaka šī notikuma rašanās datumu un laiku žurnālā.

Procesa ID- apzīmē tā procesa identifikācijas numuru, kas ģenerēja notikumu. Datorprogramma ir tikai pasīva instrukciju kopa, savukārt process ir šo instrukciju tieša izpilde

Pavediena ID- apzīmē notikumu ģenerējošā pavediena identifikācijas numuru. Process, kas izveidots operētājsistēmā, var sastāvēt no vairākiem pavedieniem, kas darbojas “paralēli”, tas ir, bez noteiktas secības laikā. Veicot dažus uzdevumus, šāds sadalījums var panākt efektīvāku datora resursu izmantošanu

Procesora ID- apzīmē notikumu apstrādājušā procesora identifikācijas numuru.

Sesijas kods ir sesijas identifikācijas numurs termināļa serverī, kurā notika notikums.

Kodola režīma darbības laiks- nosaka laiku, kas pavadīts kodola režīma instrukciju izpildei, CPU laika vienībās. Kodola režīmam ir neierobežota piekļuve sistēmas atmiņai un ārējām ierīcēm. NT sistēmas kodolu sauc par hibrīda kodolu vai makrokodolu.

Darbības laiks lietotāja režīmā- definē laiku, kas pavadīts lietotāja režīma instrukciju izpildei, CPU laika vienībās. Lietotāja režīms sastāv no apakšsistēmām, kas caur I/O pārvaldnieku nosūta I/O pieprasījumus atbilstošajam kodola režīma draiverim.

CPU slodze ir laiks, kas pavadīts, izpildot lietotāja režīma instrukcijas, CPU atzīmēs.

Korelācijas kods- definē darbību procesā, kuram notikums tiek izmantots. Šo kodu izmanto, lai norādītu vienkāršas attiecības starp notikumiem. Korelācija ir statistiska sakarība starp diviem vai vairākiem nejaušiem mainīgajiem (vai vērtībām, kuras var uzskatīt par tādām ar zināmu pieņemamu precizitātes pakāpi). Turklāt izmaiņas vienā vai vairākos no šiem daudzumiem izraisa sistemātiskas izmaiņas citos vai citos daudzumos.

Relatīvās korelācijas ID- definē relatīvu darbību procesā, kuram notikums tiek izmantots

Darbs ar notikumu žurnāliem

Notikumu skatītājs

Nākamajā ekrānuzņēmumā varat redzēt žurnālu "Lietojumprogrammas", kur varat atrast informāciju par notikumiem, nesenajiem skatiem un pieejamajām darbībām. Lai skatītu lietojumprogrammu žurnāla notikumus, veiciet šīs darbības:

  1. Konsoles kokā atlasiet "Windows žurnāli";
  2. Izvēlieties žurnālu "Lietojumprogrammas".

Vēlams biežāk pārskatīt notikumu žurnālus "Pieteikums" Un "Sistēma" un izpētīt esošās problēmas un brīdinājumus, kas var paredzēt nākotnes problēmas. Atlasot žurnālu, vidējā logā tiek parādīti pieejamie notikumi, tostarp notikuma datums, laiks un avots, notikuma līmenis un cita informācija.

Panelis "Viewport" cilnē parāda notikumu pamatdatus "Ir izplatīti", un cilnē ir pieejami papildu konkrēti dati "Detaļas". Šo paneli var ieslēgt un izslēgt, atlasot izvēlni "Skatīt" un tad komanda "Viewport".

Svarīgām sistēmām žurnālus ieteicams saglabāt vairākus mēnešus atpakaļ. Parasti žurnāliem ir neērti visu laiku piešķirt izmēru, lai tajos ietilptu visa informācija, šo problēmu var atrisināt citā veidā. Jūs varat eksportēt žurnālus uz failiem, kas atrodas noteiktā mapē. Lai saglabātu atlasīto žurnālu, veiciet šīs darbības:

  1. Konsoles kokā atlasiet notikumu žurnālu, kuru vēlaties saglabāt;
  2. Izvēlieties komandu "Saglabāt notikumus kā" no izvēlnes "Darbība" vai žurnāla konteksta izvēlnē atlasiet komandu "Saglabāt visus notikumus kā";
  3. Parādītajā dialoglodziņā "Saglabāt kā" atlasiet mapi, kurā jāsaglabā fails. Ja fails ir jāsaglabā jaunā mapē, varat to izveidot tieši šajā dialoglodziņā, izmantojot konteksta izvēlni vai pogu "Jauna mape" darbību joslā. Laukā "Faila tips" jums ir jāizvēlas vēlamais faila formāts no pieejamajiem: notikumu faili - *.evtx, xml fails - *.xml, ar tabulēšanu atdalīts teksts - *.txt, ar komatu atdalīts csv - *.csv. Laukā "Faila nosaukums" "Saglabāt". Lai atceltu saglabāšanu, noklikšķiniet uz pogas "Atcelt";
  4. Gadījumā, ja notikumu žurnālu nav paredzēts skatīt citā datorā, dialoglodziņā "Rādīt informāciju" atstājiet noklusējuma opciju "Nerādīt informāciju", un, ja žurnālu paredzēts skatīt citā datorā, tad dialoglodziņā "Rādīt informāciju" atlasiet opciju "Rādīt informāciju šādās valodās" un noklikšķiniet uz pogas "LABI".

Notikumu žurnāla notīrīšana

Dažreiz ir nepieciešams notīrīt visus notikumu žurnālus, lai nodrošinātu efektīvu brīdinājumu un kritisko operētājsistēmas kļūdu analīzi. Lai notīrītu atlasīto žurnālu, veiciet šīs darbības:

  1. Konsoles kokā atlasiet notikumu žurnālu, kuru vēlaties notīrīt;
  2. Notīriet žurnālu, izmantojot kādu no šīm metodēm:
    • Izvēlnē "Darbība" izvēlieties komandu "Notīrīt žurnālu";
    • Ar peles labo pogu noklikšķiniet uz atlasītā žurnāla, lai atvērtu konteksta izvēlni. Konteksta izvēlnē atlasiet komandu "Notīrīt žurnālu";
  3. Pēc tam varat notīrīt žurnālu vai arhivēt to, ja tas iepriekš nav izdarīts:
    • Lai notīrītu notikumu žurnālu bez saglabāšanas, noklikšķiniet uz pogas "Notīrīt";
    • Lai notīrītu notikumu žurnālu pēc tā saglabāšanas, noklikšķiniet uz pogas "Saglabāt un notīrīt". Parādītajā dialoglodziņā "Saglabāt kā" atlasiet mapi, kurā jāsaglabā fails. Ja fails ir jāsaglabā jaunā mapē, varat to izveidot tieši šajā dialoglodziņā, izmantojot konteksta izvēlni vai pogu "Jauna mape" darbību joslā. Laukā "Faila nosaukums" ievadiet vārdu un noklikšķiniet uz pogas "Saglabāt". Lai atceltu saglabāšanu, noklikšķiniet uz pogas "Atcelt".

Maksimālā žurnāla izmēra iestatīšana

Kā minēts iepriekš, notikumu žurnāli tiek saglabāti kā faili mapē %SystemRoot%\System32\Winevt\Logs\. Pēc noklusējuma šo failu maksimālais lielums ir ierobežots, taču to var mainīt šādi:

  1. Izvēlieties komandu "Īpašības" no izvēlnes "Darbība"
  2. Laukā "Maksimālais žurnāla izmērs (KB)" iestatiet vajadzīgo vērtību, izmantojot skaitītāju, vai iestatiet manuāli, neizmantojot skaitītāju. Šajā gadījumā vērtība tiks noapaļota līdz tuvākajam 64 KB reizinājumam, jo ​​žurnālfaila lielumam ir jābūt 64 KB reizinājumam, un tas nedrīkst būt mazāks par 1024 KB.

Notikumi tiek glabāti žurnālfailā, kas var pieaugt tikai līdz noteiktam maksimālajam izmēram. Kad fails sasniedz maksimālo lielumu, ienākošo notikumu apstrādi nosaka žurnāla saglabāšanas politika. Ir pieejamas šādas žurnālu saglabāšanas politikas:

Ja nepieciešams, pārrakstīt notikumus (vispirms vecākie faili)- šajā gadījumā jaunus ierakstus turpina ievadīt žurnālā pēc tā aizpildīšanas. Katrs jauns notikums aizstāj vecāko žurnālā;

Arhivējiet žurnālu, kad tas ir aizpildīts; nepārraksti notikumus- šajā gadījumā žurnāla fails tiek automātiski arhivēts, ja nepieciešams. Novecojušie notikumi netiek pārrakstīti.

Nepārrakstīt notikumus (notīrīt žurnālu manuāli)- šajā gadījumā žurnāls tiek dzēsts manuāli, nevis automātiski.

Lai atlasītu vajadzīgo žurnālu saglabāšanas politiku, rīkojieties šādi:

  1. Konsoles kokā atlasiet notikumu žurnālu, kura lielumu vēlaties mainīt;
  2. Izvēlieties komandu "Īpašības" no izvēlnes "Darbība" vai no atlasītā žurnāla konteksta izvēlnes;
  3. Uz cilnes "Ir izplatīti", Nodaļā "Sasniedzot maksimālo izmēru" atlasiet vajadzīgo parametru un noklikšķiniet uz pogas "LABI".

Analītiskā un atkļūdošanas žurnāla aktivizēšana

Analītiskie un atkļūdošanas žurnāli pēc noklusējuma ir neaktīvi. Kad tie ir aktivizēti, tie ātri piepildās ar lielu skaitu notikumu. Šī iemesla dēļ ir ieteicams uz ierobežotu laiku iespējot šos žurnālus, lai apkopotu problēmu novēršanai nepieciešamos datus, un pēc tam tos vēlreiz atspējot. Žurnālus var aktivizēt šādi:

  1. Konsoles kokā atrodiet un atlasiet analītisko vai atkļūdošanas žurnālu, kuru vēlaties aktivizēt;
  2. Izvēlieties komandu "Īpašības" no izvēlnes "Darbība" vai no atlasītā analītiskā vai atkļūdošanas žurnāla konteksta izvēlnes;
  3. Uz cilnes "Ir izplatīti" atzīmējiet izvēles rūtiņu "Iespējot reģistrēšanu"

Saglabāta žurnāla atvēršana un aizvēršana

Izmantojot aprīkojumu "Notikumu skatītājs" Varat atvērt un skatīt iepriekš saglabātos žurnālus. Varat vienlaikus atvērt vairākus saglabātos žurnālus un jebkurā laikā tiem piekļūt konsoles kokā. Žurnāls tika atvērts "Notikumu skatītājs", var aizvērt, neizdzēšot tajā esošo informāciju. Lai atvērtu saglabātu žurnālu, veiciet šīs darbības:

  1. Izvēlieties komandu "Atvērt saglabāto žurnālu" izvēlnē "Darbība" vai no konteksta izvēlnes konsoles kokā;
  2. 3. Dialoglodziņā "Atvērt saglabāto žurnālu", pārvietojoties pa direktoriju koku, atveriet mapi, kurā ir vēlamais fails. Pēc noklusējuma dialoglodziņā tiks parādīti visi notikumu žurnāla faili. Tāpat, atverot, varat atlasīt failu veidus, kurus vēlaties parādīt atvēršanas dialoglodziņā. Pieejamie failu veidi ir notikumu žurnāla faili (*.evtx, *.evt, *.etl), kā arī notikumu faili (*.evtx), mantotie notikumu faili (*.evt) vai izsekošanas žurnālu faili (*.etl). . Kad vēlamais žurnālfails ir atrasts, atlasiet to, noklikšķinot uz tā ar peles kreiso taustiņu, kas ievietos tā nosaukumu faila nosaukuma rindā un noklikšķiniet uz pogas "Atvērt".
  3. Dialogā "Atvērt saglabāto žurnālu", laukā "Vārds" Konsoles kokā ievadiet jaunu žurnāla nosaukumu. To izmanto tikai, lai parādītu žurnālu konsoles kokā, un tas nemaina žurnālfaila nosaukumu. Varat arī izmantot esošu žurnālfaila nosaukumu. Laukā "Apraksts" ievadiet žurnāla aprakstu. Tas tiks parādīts centrālajā apgabalā, kad konsoles kokā ir atlasīta vecākmape;
  4. Lai izveidotu mapi, kurā atradīsies saglabātais žurnāls, noklikšķiniet uz pogas "Izveidot mapi". Laukā "Vārds" ievadiet tās mapes nosaukumu, kurā atradīsies atvērtais žurnāls, un pēc tam noklikšķiniet uz "LABI". Ja vecākmape nav atlasīta, jaunā mape atradīsies mapē "Saglabātie žurnāli".
  5. Lai padarītu atvērto notikumu žurnālu nepieejamu citiem datora lietotājiem, varat noņemt atzīmi "Visi lietotāji". Ja šī izvēles rūtiņa paliek aktīva, atvērtais žurnāls būs pieejams visiem lietotājiem, taču, lai to izdzēstu no konsoles koka, būs nepieciešamas administratora tiesības;
  6. Lai atvērtu žurnālu, noklikšķiniet uz pogas "LABI".

Lai dzēstu atvērtu žurnālu no notikumu koka, veiciet šīs darbības:

  1. Konsoles kokā atlasiet dzēšamo žurnālu;
  2. Izvēlieties komandu "Dzēst" no izvēlnes "Darbība" vai no atlasītā žurnāla konteksta izvēlnes;
  3. Dialogā "Notikumu skatītājs" noklikšķiniet uz pogas "Jā".

Secinājums

Šī raksta daļa, kas veltīta notikumu skatītāja papildprogrammai, runā par pašu papildprogrammu un detalizēti apraksta vienkāršākās darbības, kas saistītas ar sistēmas uzraudzību un uzturēšanu, izmantojot notikumu skatītāju. Nākamā raksta daļa būs paredzēta pieredzējušiem Windows lietotājiem. Tas aptvers uzdevumus ar pielāgotiem skatiem, filtrēšanu, notikumu grupēšanu/šķirošanu un abonementu pārvaldību.

Sveiki visiem, tēma ir par to, kā apskatīt Windows žurnālus. Es domāju, ka visi zina, kas ir žurnāli, bet, ja pēkšņi esat iesācējs, tad žurnāli ir sistēmas notikumi, kas notiek gan Windows, gan Linux operētājsistēmā, kas palīdz izsekot, kas, kur un kad notika un kas to izdarīja. Jebkuram sistēmas administratoram ir jāspēj nolasīt Windows žurnālus.

Piemērs no reālās dzīves ir situācija, kad disks neizdevās vienā no IBM serveriem, un tehniskajam atbalstam es savācu servera žurnālus, lai viņi varētu diagnosticēt problēmu. Pakalpojums Event Viewer ir atbildīgs par žurnālu apkopošanu un ierakstīšanu sistēmā Windows. Event Viewer ir ērts rīks sistēmas žurnālu iegūšanai.

Kā atvērt notikumu skatītājā

Notikumu skatītāja papildprogrammu var atvērt ļoti vienkārši, kas ir piemērota jebkurai Windows versijai. Nospiediet burvju pogas

Win+R un ievadiet eventvwr.msc

Tiks atvērts Windows notikumu skatītāja logs, kurā jāizvērš Windows žurnālu vienums. Pārskatīsim katru no žurnāliem.

Žurnāla lietojumprogramma satur ierakstus, kas saistīti ar programmām jūsu datorā. Žurnāls tiek rakstīts programmas palaišanas laikā, ja tas tika palaists ar kļūdu, tas tiks atspoguļots arī šeit.

Audita žurnāls ir nepieciešams, lai saprastu, kurš ko un kad izdarīja. Piemēram, pieteicies vai atteicies, mēģinājis piekļūt. Šeit ir rakstīti visi panākumu vai neveiksmju auditi.

Instalēšanas vienums ieraksta Windows žurnālus par to, kas tika instalēts un kad, piemēram, programmas vai atjauninājumi.

Vissvarīgākais žurnāls ir sistēma. Šeit ir pierakstītas visas nepieciešamākās un svarīgākās lietas. Piemēram, jums bija zilā ekrāna bsod, un šie šeit ierakstītie ziņojumi palīdzēs noteikt tā cēloni.

Ir arī Windows žurnāli konkrētākiem pakalpojumiem, piemēram, DHCP vai DNS. Event Viewer sagriež visu :).

Pieņemsim, ka drošības žurnālā ir vairāk nekā miljons notikumu, jūs, iespējams, uzreiz uzdosit jautājumu, vai ir filtrēšana, jo to visu skatīšana ir mazohisms. Tas ir paredzēts notikumu skatītājā, logu žurnālus var ērti izfiltrēt, atstājot tikai nepieciešamo. Labajā pusē darbību apgabalā ir poga Filtrēt pašreizējo žurnālu.

Jums tiks lūgts norādīt notikuma līmeni:

  • Kritisks
  • Kļūda
  • Brīdinājums
  • Intelekts
  • Sīkāka informācija

Tas viss ir atkarīgs no meklēšanas uzdevuma; ja meklējat kļūdas, tad cita veida ziņojumiem nav jēgas. Tālāk, lai sašaurinātu notikumu skatīšanas meklēšanas jomu, varat norādīt vēlamo notikuma avotu un kodu.

Tātad, kā redzat, Windows žurnālu parsēšana ir ļoti vienkārša, mēs meklējam, atrodam, risinām. Var būt noderīga arī ātra Windows žurnālu dzēšana:

Skatiet Windows PowerShell žurnālus

Būtu dīvaini, ja PowerShell to nevarētu izdarīt; lai parādītu žurnālfailus, atveriet PowerShell un ievadiet šādu komandu

Get-EventLog - pieteikumvārds "Sistēma"

Rezultātā jūs saņemsit sistēmas žurnālu sarakstu

To pašu var izdarīt ar citiem žurnāliem, piemēram, Programmas

Get-EventLog — pieteikumvārds "Lietojumprogramma"

neliels saīsinājumu saraksts

  • Pasākuma kods - EventID
  • Dators — MachineName
  • Notikuma kārtas numurs - Dati, Indekss
  • Uzdevumu kategorija - Kategorija
  • Kategorijas kods - CategoryNumber
  • Līmenis — ieraksta veids
  • Notikuma ziņojums - Ziņa
  • Avots - Avots
  • Notikuma ģenerēšanas datums — ReplacementString, InstanceID, TimeGenerated
  • Pasākuma ierakstīšanas datums - TimeWritten
  • Lietotājs — lietotājvārds
  • Tīmekļa vietne
  • Nodaļa – konteiners

Piemēram, lai parādītu notikumus komandu apvalkā tikai ar kolonnām “Līmenis”, “Notikuma ieraksta datums”, “Avots”, “Notikuma kods”, “Kategorija” un “Notikuma ziņojums” žurnālam “Sistēma”, palaist komandu:

Get-EventLog – LogName ‘Sistēma’ | Format-Table EntryType, TimeWritten, Avots, EventID, Kategorija, Ziņojums

Ja nepieciešams parādīt sīkāk, aizstājiet Format-Table ar Format-List

Get-EventLog – LogName ‘Sistēma’ | Format-List EntryType, TimeWritten, Avots, EventID, Kategorija, Ziņojums

Kā redzat, formāts jau ir lasāmāks.

Varat arī filtrēt žurnālus, piemēram, parādīt pēdējos 20 ziņojumus

Get-EventLog — pieteikumvārds “Sistēma” — jaunākais 20

Papildu produkti

Varat arī automatizēt notikumu vākšanu, izmantojot tādus rīkus kā:

  • Zabbix monitoringa komplekss
  • Nosūtot notikumus savākšanas serverim, izmantojot Windows
  • Izmantojot Netwrix audita komplektu
  • Ja jums ir SCOM, tas var apkopot visus Windows platformas žurnālus
  • Jebkuras DLP sistēmas

Tātad, vai izvēlaties izmantot notikumu skatītāju vai PowerShell, lai skatītu Windows notikumus, tas ir atkarīgs no jums. Vietnes materiāls

Attālināta baļķu apskate

  • Pirmā metode

Pirms neilga laika operētājsistēmā Windows Server 2019 tika ieviests Windows administrēšanas centra attālās administrēšanas komponents. Tas ļauj attālināti vadīt datoru vai serveri, es par to jau runāju sīkāk. Šeit es vēlos parādīt, ka, instalējot to savā darbstacijā, varat izveidot savienojumu no pārlūkprogrammas ar citiem datoriem un viegli skatīt to notikumu žurnālus, tādējādi pētot Windows žurnālus. Manā piemērā būs serveris SVT2019S01, Mēs to atrodam pieejamo sarakstā un izveidojam savienojumu (atgādināšu, ka šādi mēs veicām attālo tīkla iestatīšanu sistēmā Windows).

Pēc tam atlasiet cilni “Notikumi”, atlasiet vajadzīgo žurnālu; manā piemērā es vēlos redzēt visus sistēmas žurnālus. Manā skatījumā šeit visu apskatīt ir daudz ērtāk nekā notikumus. Priekšrocība ir tāda, ka to var izdarīt no jebkura tālruņa vai planšetdatora. Labajā stūrī ir ērta meklēšanas forma

Ja nepieciešams precīzāk filtrēt žurnālus, varat izmantot filtra pogu.

Šeit varat arī atlasīt notikuma līmeni, piemēram, atstājot tikai kritiskās un kļūdas, iestatīt laika diapazonu, notikuma kodu un avotu.

Šeit ir piemērs filtrēšanai pēc 19. notikuma.

Ir ļoti ērti eksportēt visu žurnālu evxt formātā, ko pēc tam var viegli atvērt, izmantojot notikumu žurnālu. Tātad, Windows administrēšanas centrs ir spēcīgs rīks žurnālu skatīšanai.

  • Otrā metode

Otrs veids, kā attālināti skatīt Windows žurnālus, ir izmantot datora pārvaldības papildprogrammu vai to pašu notikumu skatītāju. Lai skatītu Windows žurnālus citā datorā vai serverī, papildprogrammā ar peles labo pogu noklikšķiniet uz augšējā vienuma un konteksta izvēlnē atlasiet "".

Mēs norādām cita datora nosaukumu, manā piemērā tas būs SVT2019S01

Ja viss ir kārtībā un nav aizsprostojumu no ugunsmūra vai antivīrusa, tad tiksiet novirzīts uz attālo notikumu apskati.Ja ir aizsprostojumi, saņemsiet ziņojumu, ka COM+ trafika neplūst cauri.

Es arī vēlos atzīmēt, ka ir visas žurnālu apkopošanas sistēmas, piemēram, Zabbix vai SCOM, taču tas ir atšķirīgs uzdevumu līmenis.