Windows'ta Olay Görüntüleyici nedir ve onu nasıl kullanabilirsiniz? Bilgisayar sorunlarını çözmek için Windows Olay Görüntüleyicisi nasıl kullanılır Günlükleri uzaktan görüntüleme

Bilgisayarla çalışan her kullanıcının sorunlarla ve hatalarla karşılaştığını düşünüyorum. Uygulamalardan ve sistemin kendisinden gelen mesajları görüntüleyen Windows olay günlüğünü nasıl okuyacağınızı öğrenmenin zamanı geldi: hatalar, bilgi mesajları, uyarılar. Bu, sistemin yönetici için kaydetmeyi düşündüğü olaylarla ilgili bilgileri içerir. Aynen böyle, eğer itfaiyeciyseniz.

Normal çalışan bir sistemde, kullanıcı buradaki yolu bilmiyor - buna gerek yok. Ancak Windows'ta hatalar (gecikmeler) ortaya çıktığında buraya bakmak için birçok neden var, neyse ki buradan öğrenilecek bir şeyler var.

Olay Günlüğü nerede?

Buna ulaşmanın en hızlı yolu, tuşuna bastıktan sonra arama çubuğuna yazmaktır. KAZANÇ"olay günlükleri" kelimeleri. Ve uygun bağlantıya tıklayın:

Veya Başlat - komutunu yazın eventvwr.msc. Varsayılan, Etkinlik göstericisi bilgileri yönetici için önemine göre listeleyen, yönetim olaylarının özeti de dahil olmak üzere sekmeler açılacaktır. Bunlardan en önemlisi Kritik etkinlik tipi. Bölümün etrafında dolaşın Windows günlükleri, anahtar dizinler Uygulamalar Ve Sistem.

Sistemde olup biten her şey çeşitli belgelere kaydedilir. Ve büyük olasılıkla orada birkaç hata bulacaksınız. Bu henüz bir şey ifade etmiyor. Eğer sistem stabil ise bu hatalar kritik değildir ve sizi asla rahatsız etmez. Bu arada, daha yakından bakabilirsiniz - bilgisayarda uzun süredir bulunmayan programlarda hatalar kaydedilir.

Oyun Alt + F4 tuşları kullanılarak kapatıldı - görünüşe göre anne odaya girdi.

Teorik olarak, diğer programların da önemli ve çok önemli olmayan olayları Journal'a kaydetmeleri söyleniyor, ancak hatırladığım kadarıyla bunu pek yapmıyorlar.

Okuyucuya zaten Dergiye dikkat edilmesi gerekmediği anlaşılıyor.

Günlük, ciddi arıza durumlarında, örneğin sistem göründüğünde veya beklenmedik bir şekilde yeniden başlatıldığında, dikkatli ve düşünceli bir kullanıcıya yardımcı olacaktır. Böylece Log'da "ölü" bir sürücü kolaylıkla tespit edilebilir. Yazıyla birlikte görünen kırmızı simgelere dikkatlice bakmanız yeterli. Kritik seviye ve belirtilen sürücüyü kaldırın veya aygıtı değiştirmeyi düşünebilirsiniz.

henüz kötü bir şey olmadı

ve burada her şey zaten ciddi: bilgisayar kapandı

Gerekli olayları arıyoruz: süreçler ve sonuç günlükleri

Örneğin, bir süre çalıştıktan sonra farenin sıkıştığını, bazı klasörlerin eksik olduğunu ve yolların çalışmadığını fark ettik: diskteki görünümün ilk işareti. Onlarla çalışmak için disk durumu kontrol yardımcı programını sırayla çalıştırmanız gerekir. chkdsk /f yeniden başlatmanın ardından çalışmaya başlayacak ve ardından Windows dosya sisteminin bütünlüğünü kontrol edeceğiz. sfc /scannow. Böylece, hem bu hem de diğer kamu hizmetlerinin çalışmalarının sonuçlarına aynı dergide bakabilirsiniz:

Bu yardımcı programlardan biri sistem tarafından yalnızca önyüklemeden önce başlatıldığından (bu sistemi içeren birim için), bayrağı kullanarak sonuçları aramak mantıklıdır. Wininit(itibaren Kazanç Dows İçinde Ializasyon).

Windows olay günlüğünü okumayı nasıl öğrenebilirim?

Ancak tahmin etmenize gerek yok. Microsoft'un sistem mesajları için resmi bir destek sayfası vardır. Belirli bir etkinlikle ilgileniyorsanız, web sayfasını ziyaret edebilirsiniz:

Ancak bana göre Windows olay günlüğünü okumanıza yardımcı olacak çok iyi bir hizmet, hizmettir.

Rusya'da analogları yok, ancak İngilizce konuşan ve merak edenler için size nasıl kullanılacağını göstereceğim. Dolayısıyla, yukarıda alınan örnek için, hizmet sayfasında hata kodunu ve buna neden olan hizmeti alanlara girin:

Geriye kalan tek şey, Ara butonuna tıklayarak terimlerimizi aramaya girmektir ve sonuçlar, hatayı açıklayan sayfada görünecektir. Resmi olarak, Derginin kendisi tarafından verilen açıklamalardan çok daha ayrıntılı olmayacaklar, ancak sonuçlar sayfasını aşağı kaydırırsanız, o zaman İngilizce açıklamada, hazır çözümlerin bulunduğu bir tür forumun bağlantısını göreceksiniz. aynı isimli hata oluştuğunda kullanıcıların daha önce karşılaştıkları sorun veya nedenleri. Her şey İngilizcedir. Çalışmam gerekiyordu... Ve dürüst olmak gerekirse, mütevazı hizmetkarınız nadiren bu sitenin ötesine geçiyor: benzer bir şey zaten bir yerlerde oldu.

Her zaman olduğu gibi, olay günlüğünü görüntülemek her derde deva değildir. Ancak sorunu ararken çok fazla zaman kazandırarak kullanıcıyı anlamsız tahminlerde bulunmaktan kurtarabilir.

Windows Olay Günlüğü - nasıl temizlenir?

Yani sorunları hallettik, sistem stabil. O halde Günlük'teki gereksiz girişlerden kurtulalım: Dergi'yi ziyaret ettiyseniz, içindeki giriş sayısı açısından bir miktar karışıklık gözlemlemiş olabilirsiniz.

Birkaç temizleme yöntemi vardır. Bunu Windows PowerShell aracılığıyla yapabilirsiniz:

Wettutil el | Foreach-Object(Write-Host "$_ Temizleniyor"; wevtutil cl "$_")

Konsol aracılığıyla şunları yapabilirsiniz:

/f %x in ("wevtutil el") için wevtutil cl "%x" yapın

Size bir metin belgesine yerleştirip uzantısıyla kaydedebileceğiniz küçük bir script sunacağım .bat. Benimki Temizleme Günlüklerini aradım (son dosyayı yönetici haklarıyla çalıştırın):

İşte senaryo:

@echo off FOR /F "tokens=1,2*" %%V IN ("bcdedit") AYARLAYIN adminTest=%%V IF (%adminTest%)==(Erişim) /F "tokens=* için noAdmin'e gidin " %%G in ("wevtutil.exe el") DO (call:do_clear "%%G") echo. echo theEnd'e gidin:do_clear echo %1 temizleniyor wevtutil.exe cl %1 goto:eof:noAdmin çıkışı

Komut dosyası bitene kadar bekleyin, konsol penceresi kendi kendine kapanacaktır:

Windows Vista işletim sistemi, başına gelen her şeyi dikkatle ve yorulmadan izler. Kesinlikle "olaylar" olarak adlandırılan tüm eylemler sürekli olarak kaydedilir ve çeşitli kategorilere dağıtılır. Event Viewer programı (merak ediyorsanız MMC'nin bir aracıdır) girişteki bankta titiz ve titiz bir yaşlı kadının tuttuğu bir günlük gibi düşünülebilir. Eve kimin girip çıktığını, ev sakinleri arasında ne tür konuşmalar yapıldığını, kimin kimden boşandığını, kavga ettiğini kaydediyor. Başka bir deyişle evin nasıl yaşadığının tam bir resmine sahiptir.

Benzer bir casus işlevi, yaşlı kadının merakından farklı olarak, işletim sisteminin işleyişinde kullanıcının hakkında hiçbir fikrinin olmadığı sorunları teşhis etmek ve tanımlamak için tasarlanan Olay Görüntüleyicisi programı tarafından gerçekleştirilir.

Sistemde meydana gelen tüm olaylar özel sistem loglarına kayıt edilir. Olay Görüntüleyici, bu günlüklerin içeriğini görüntülemenize, arşivlemenize ve silmenize olanak tanır. Bu programı tam olarak nasıl kullanabilirsiniz? Temel amaç, ortaya çıkan sorunları ve ortaya çıkma nedenlerini belirlemektir. Cihaz arızalanırsa, sabit sürücü dolarsa, bazı programlar sürekli donarsa veya başka hoş olmayan bir olay meydana gelirse, olanlarla ilgili bilgiler ilgili sistem günlüğüne kaydedilecektir. Daha sonra, Olay Görüntüleyiciyi başlatın ve sistem günlüğünden eksiksiz ve net bilgiler alın.

Olay Görüntüleyiciyi aşağıdaki yollardan biriyle başlatabilirsiniz.

  • Bir takım seçin Başlat>Denetim Masası, linki tıkla Sistem ve bakımı, ardından bağlantıda Yönetim ve son olarak bağlantıda Etkinlik göstericisi.
  • Sabırsızlar için ikinci yöntem: komutu komut satırına girin olayvwr.

Düğmeye tıklamanın yanı sıra bunu hatırlayın Başlangıç tuş kombinasyonuna basarak komut satırı penceresini açabilirsiniz. . Ayrıca Olay Görüntüleyici aracının tüm yeteneklerini kullanmak için yönetici erişiminin gerekli olduğunu unutmayın.

Her durumda, aşağıda gösterilen pencere açılacaktır.

  • Birden çok sistem günlüğündeki olayları görüntüleyin.
  • Özel görünümler olarak olay filtreleri oluşturun.
  • Belirli bir etkinlikle otomatik olarak çalıştırılan bir görev oluşturma yeteneği.

Yukarıda gösterilen pencereye daha yakından bakalım. Pencere üç panele ayrılmıştır. Sol panelde Etkinlik göstericisiÖzel görünümler, hikayeler ve abonelikler içeren çeşitli klasörler vardır. Merkezi panelde aşağıdakiler gibi çeşitli alt menüler bulunur: Ve Son Görüntülenen Düğümler. Son olarak sağ panelde HareketlerÖzel bir görünüm oluşturmak veya başka bir bilgisayara bağlanmak gibi belirli eylemleri seçebilirsiniz.

Panel Geçtiğimiz saat, gün veya hafta içinde kaydedilen tüm önemli olayları hızlı bir şekilde tanımlamanıza olanak tanır. Her etkinlik türü, etkinlikle ilgili ayrıntılı bilgileri ortaya çıkaracak şekilde genişletilebilir. Panel, sistemde olup bitenlerin genel bir resmini verir ve belirli bilgileri elde etmek için belirli bir etkinliğe gitmeniz gerekir.

Olay Görüntüleyici sistem günlüklerini görüntülemek için kullanıldığından, klasör simgelerine tıklayın. Ve Uygulama ve hizmet günlükleri Mevcut dergilerin listesini genişletmek için sol paneldeki simgesine tıklayın. Gelin buna daha detaylı bakalım. Klasörde Aşağıdaki dergiler sunulmaktadır.

  • Başvuru. Bu günlükteki olaylar, Windows Vista ile birlikte gelen yüklü programlar ve işletim sistemi hizmetleri de dahil olmak üzere uygulamalar tarafından oluşturulur. Bu günlüğe tam olarak hangi olayların kaydedildiği belirli programa bağlıdır.
  • Emniyet. Bu günlük, kullanıcı oturum açma denemelerinin (başarılı ve başarısız) yanı sıra dosya veya klasör oluşturma, değiştirme veya silme eylemleri gibi genel kaynaklarla ilgili eylemleri listeler.
  • Ayarlar. Bu günlükteki olaylar, programlar yüklendiğinde oluşturulur.
  • Sistem. Sistem olayları Windows'un kendisi ve aygıt sürücüleri gibi yüklü bileşenler tarafından oluşturulur. Günlük, Windows başlatıldığında yüklenemeyen sürücüleri tanımlamak için kullanışlıdır.
  • İletilen etkinlikler. Bu günlük, ağdaki diğer bilgisayarlardan toplanan olayları içerir.

Klasörde Uygulama ve hizmet günlükleri bireysel uygulamalar ve hizmetler için girişler bulabilirsiniz. Diğer günlükler genel girişler sağlarken, bu günlük belirli programların işleyişi hakkında bilgi sağlar. Bir Windows alt klasörü içeren Microsoft alt klasörüne dikkat edin. Bu klasörde, ayrı klasörlerde sunulan çok çeşitli Windows Vista bileşenlerinin girişlerini bulabilirsiniz.

Windows oldukça karmaşık bir işletim sistemidir ve deneyimsiz bir kullanıcı için hatalar dahil tüm süreçleri izlemek zordur.

Bu amaçlar için işletim sisteminin kendisinde günlük kaydı sağlandı Sistemde olup biten her şey ve tüm eylemler. Bu günlüğü Windows Olay Görüntüleyicisi'ni kullanarak görüntüleyebilir ve görüntüleyebilirsiniz.

Windows Olay Görüntüleyicisini Görüntüleme

İşletim sisteminin çalışmasıyla ilgili bilgileri iki şekilde görüntüleyebilirsiniz:

  • Cmd'yi kullanma ( Komut satırı);
  • Kullanarak Kontrol panelleri.

Cmd hattını aramak için kullanabilirsiniz klavye kısayolu Win+R veya iyi bilinen zincirden geçin: Başlat - Tüm programlar - Donatılar - Komut satırı.

Açılan pencerede sırayı girin eventvwr.msc

Veya Başlat - Denetim Masası - Sistem ve Bakım - aracılığıyla Yönetim.

Yardımcı programın ana penceresi masaüstünde görüntülenecektir. "" öğesini seçin.

Listede hatalar varsa paniğe kapılmayın. Mükemmel çalışan bir sistemde bile benzer mesajlar ortaya çıkabilir. Çoğu durumda bunlar izoledir ve küçük uygulama hatalarından kaynaklanır.

Büyük olasılıkla hata açıklamaları ortalama bir kullanıcı için hiçbir şey ifade etmeyecektir. Günlükleri görüntülemek, sistem yöneticisinin veya "ileri düzey" kullanıcının meydana gelen sistem arızalarını anlamasına yardımcı olabilir.

Görünüm nasıl kullanılır?

Dergiden hangi bilgiler öğrenilebilir? Bilgisayarınız sistematik olarak hatalar üretiyorsa, rastgele yeniden başlatılıyorsa veya "mavi ölüm ekranı" görüntülüyorsa, arızaya yol açan tüm olaylar sistem tarafından günlüğe kaydedilir. Bilgileri görüntülerken öğrenebilirsin hangi hizmetin, sürücünün veya donanım bileşeninin belirli bir hataya ne zaman neden olduğu. Bu bilgilere dayanarak ihlallerin ortadan kaldırılması için gerekli önlemler alınabilir.

Günlük, hata bilgilerinin yanı sıra başka amaçlar için de kullanılabilir. Sistemde meydana gelen herhangi bir olaya bağlantı verebilirsiniz. belirli bir görevi gerçekleştirmek. Bu, gelecekte benzer bir durumun ortaya çıkması durumunda belirlenen koşulun otomatik olarak yerine getirilmesine olanak sağlayacaktır.

Bunu yapmak için listedeki herhangi bir öğenin yeterli olması yeterlidir çağrı bağlam menüsü sağ tıklayın ve " seçeneğini seçin Bir görevi bağlama».

Olay günlüğünü temizleme

Günlükten tüm bilgilerin kaldırılması da zor değildir. Bunu yapmak için, günlük penceresinin sol bloğunda temizlenmesi gereken menü ağacı öğesini seçin, içerik menüsünü çağırmak için sağ tıklayın - " Günlüğü temizle»

Windows 7 işletim sistemi, sisteminizde meydana gelen çeşitli önemli olayları sürekli olarak izler. Microsoft Windows'ta etkinlik işletim sisteminde günlüğe kaydedilen veya kullanıcılara veya yöneticilere bildirimde bulunulmasını gerektiren herhangi bir olaydır. Bu, başlamak istemeyen bir hizmet, cihaz kurulumu veya uygulama hatası olabilir. Olaylar Windows olay günlüklerine kaydedilir ve saklanır ve sisteminizi izlemenize, sistem güvenliğini korumanıza, hataları gidermenize ve tanılama gerçekleştirmenize yardımcı olan önemli geçmiş bilgileri sağlar. Bu günlüklerde yer alan bilgiler düzenli olarak gözden geçirilmelidir. Olay günlüklerini düzenli olarak izlemeli ve işletim sisteminizi önemli sistem olaylarını kaydedecek şekilde yapılandırmalısınız. Windows sunucularının yöneticisiyseniz, sistemlerinin güvenliğini, uygulamaların ve hizmetlerin normal çalışmasını izlemeniz ve ayrıca sunucuyu performansı olumsuz etkileyebilecek hatalara karşı kontrol etmeniz gerekir. Kişisel bilgisayar kullanıcısıysanız, sisteminizi desteklemek ve hataları gidermek için ihtiyaç duyduğunuz uygun günlüklere erişiminiz olduğundan emin olmalısınız.

programı "Etkinlik göstericisi" olay günlüklerini görüntülemek ve yönetmek için kullanılan bir Microsoft Yönetim Konsolu (MMC) ek bileşenidir. Bu, sistem performansını izlemek ve sorunları gidermek için vazgeçilmez bir araçtır. Olay günlüğünü yöneten Windows hizmetine denir "Olay günlüğü". Çalışıyorsa, Windows önemli verileri günlüklere yazar. Programı kullanma "Etkinlik göstericisi" aşağıdakileri yapabilirsiniz:

  • Belirli günlüklerdeki etkinlikleri görüntüleyin;
  • Etkinlik filtreleri uygulayın ve bunları daha sonra özel görünümler olarak kullanmak üzere kaydedin;
  • Etkinlik abonelikleri oluşturun ve yönetin;
  • Belirli bir olay meydana geldiğinde gerçekleştirilecek belirli eylemleri atayın.

Olay Görüntüleyiciyi Başlatma

Başvuru "Etkinlik göstericisi" aşağıdaki şekillerde açılabilir:

Windows 7'deki olay günlükleri

Windows 7 işletim sisteminde ve Windows Vista'da iki olay günlüğü kategorisi vardır: Windows günlükleri Ve uygulama ve hizmet günlükleri. Windows günlükleri- uygulamaların, sistem bileşenlerinin, güvenliğin ve başlatmanın çalışmasıyla ilgili sistem çapındaki olayları kaydetmek için işletim sistemi tarafından kullanılır. A uygulama ve hizmet günlükleri- uygulamalar ve hizmetler tarafından, işlemleriyle ilgili olayları kaydetmek için kullanılır. Olay günlüklerini yönetmek için ek bileşeni kullanabilirsiniz "Etkinlik göstericisi" veya komut satırı programı wevtutil Makalenin ikinci bölümünde ele alınacak. Tüm günlük türleri aşağıda açıklanmıştır:

Başvuru- belirli bir uygulamayla ilgili önemli olayları saklar. Örneğin, Exchange Server, bilgi deposu, posta kutuları ve çalışan hizmetlerle ilgili olaylar da dahil olmak üzere, posta iletmeyle ilgili olayları depolar. Varsayılan olarak %SystemRoot%\System32\Winevt\Logs\Application.Evtx dizinine yerleştirilir.

Emniyet- Sisteme giriş/çıkış, ayrıcalık kullanımı ve kaynak erişimleri gibi güvenlikle ilgili olayları saklar. Varsayılan olarak %SystemRoot%\System32\Winevt\Logs\Security.Evtx konumunda bulunur.

Kurulum- Bu günlük, işletim sistemi ve bileşenlerinin kurulumu ve yapılandırılması sırasında meydana gelen olayları kaydeder. Varsayılan olarak %SystemRoot%\System32\Winevt\Logs\Setup.Evtx konumunda bulunur.

Sistem- hizmetleri başlatma veya sürücüleri başlatma hataları, sistem çapındaki mesajlar ve bir bütün olarak sistemle ilgili diğer mesajlar gibi işletim sistemi veya bileşenlerinin olaylarını saklar. Varsayılan olarak %SystemRoot%\System32\Winevt\Logs\System.Evtx konumunda bulunur

İletilen Etkinlikler- olay iletme yapılandırılmışsa bu günlük, diğer sunuculardan iletilen olayları içerir. Varsayılan olarak %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx dizinine yerleştirilir.

İnternet Explorer- bu günlük, Internet Explorer tarayıcısını kurarken ve onunla çalışırken meydana gelen olayları kaydeder. Varsayılan olarak %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx konumunda bulunur.

Windows PowerShell- Bu günlük, PowerShell kullanımıyla ilgili olayları kaydeder. Varsayılan olarak %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx konumunda bulunur.

Ekipman Etkinlikleri- donanım olayı günlüğü yapılandırılmışsa, cihazlar tarafından oluşturulan olaylar bu günlüğe kaydedilir. Varsayılan olarak %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx dizinine yerleştirilir.

Windows 7'de olay günlüğünü sağlayan altyapı tıpkı Windows Vista'da olduğu gibi XML tabanlıdır. Her olay verisi bir XML şemasına karşılık gelir ve herhangi bir olayın XML koduna erişmenizi sağlar. Günlüklerden veri almak için XML tabanlı sorgular da oluşturabilirsiniz. Bu yeni özellikleri kullanmak için XML bilgisine gerek yoktur. Teçhizat "Etkinlik göstericisi" bu özelliklere erişim için basit bir grafik arayüz sağlar.

Etkinlik Özellikleri

Birkaç ek bileşen olayı özelliği vardır "Etkinlik göstericisi" Aşağıda ayrıntılı olarak açıklananlar:

Kaynak olayı günlüğe kaydeden programdır. Bu, bir programın adı (örneğin, "Exchange Sunucusu") veya bir sistem bileşeninin veya büyük uygulamanın adı (örneğin, bir sürücünün adı) olabilir. Örneğin "Elnkii", EtherLink II sürücüsü anlamına gelir.

Etkinlik kodu belirli bir olay türünü tanımlayan bir sayıdır. Açıklamanın ilk satırı genellikle olay türünün adını içerir. Örneğin 6005, Olay Günlüğü hizmeti başlatıldığında meydana gelen olayın kimliğidir. Buna göre bu olayın açıklamasının başında “Olay günlüğü hizmeti başlatıldı” satırı bulunmaktadır. Olay kodu ve kayıt kaynağı adı, yazılım ürün destek ekibi tarafından sorunları gidermek için kullanılabilir.

Seviye- bu olayın önem düzeyidir. Sistem ve uygulama günlüklerinde olaylar aşağıdaki önem derecelerine sahip olabilir:

  • Bildiri- başarılı bir eylemle ilişkili bir bilgi olayının ortaya çıkması, bir kaynağın oluşturulması veya bir hizmetin başlatılması gibi bir uygulama veya bileşendeki değişikliği belirtir.
  • Uyarı- hizmeti etkileyebilecek veya dikkat edilmediği takdirde daha ciddi bir soruna yol açabilecek bir sorun hakkında genel bir uyarıyı belirtir;
  • Hata- olaya neden olan uygulama veya bileşenin dışındaki işlevleri etkileyebilecek bir sorunun oluştuğunu belirtir;
  • Kritik hata- olayı başlatan uygulama veya bileşenin otomatik olarak kurtarılamayacağı bir hatanın oluştuğunu belirtir;
  • Başarıların denetimi- ayrıcalık kullanımı gibi, denetim yoluyla izlediğiniz eylemlerin başarılı bir şekilde yürütülmesi;
  • Arıza denetimi- sisteme giriş yaparken hata oluşması gibi, denetim yoluyla izlediğiniz eylemlerin gerçekleştirilememesi.

Kullanıcı- adına bu olayın gerçekleştiği kullanıcı hesabını tanımlar. Kullanıcılar arasında Yerel Hizmet, Ağ Hizmeti ve Anonim Oturum Açma gibi özel varlıkların yanı sıra gerçek kullanıcı hesapları da bulunur. Bu ad, eğer olay gerçekten bir sunucu işlemi tarafından oluşturulduysa istemci tanımlayıcısıdır veya herhangi bir kimliğe bürünme gerçekleştirilmemişse birincil tanımlayıcıdır. Bazı durumlarda güvenlik günlüğü girişi her iki kimliği de içerir. Hesap bu durumda geçerli değilse bu alan aynı zamanda N/A'yı da içerebilir. Kimliğe bürünme, bir sunucunun bir işlemin başka bir işlemin güvenlik özelliklerini üstlenmesine izin verdiği durumlarda meydana gelir.

Çalışma kodu- Bu olayın meydana geldiği işlemi veya işlem içindeki noktayı tanımlayan sayısal bir değer içerir. Örneğin başlatma veya kapatma.

Dergi- bu olayın kaydedildiği günlüğün adı.

Kategori ve görevler- bazen geçerli bir eylemi sonradan tanımlamak için kullanılan bir olay kategorisini tanımlar. Her olay kaynağının kendi kategorileri vardır. Örneğin şu kategoriler: oturum açma/oturum kapatma, ayrıcalıkları kullanma, politikaları değiştirme ve hesap yönetimi.

Anahtar Kelimeler olayları filtrelemek veya aramak için kullanılabilecek bir dizi kategori veya etikettir. Örneğin: “Ağ”, ​​“Güvenlik” veya “Kaynak bulunamadı”.

Bilgisayar- olayın meydana geldiği bilgisayarın adını tanımlar. Bu genellikle yerel bilgisayarın adıdır ancak olayı ileten bilgisayarın adı veya değiştirilmeden önceki yerel bilgisayarın adı da olabilir.

tarih ve saat- günlükte bu olayın meydana geldiği tarih ve saati belirler.

İşlem Kimliği- olayı oluşturan sürecin kimlik numarasını temsil eder. Bir bilgisayar programı yalnızca pasif bir talimatlar dizisidir; süreç ise bu talimatların doğrudan yürütülmesidir.

Akış kimliği- olayı oluşturan iş parçacığının kimlik numarasını temsil eder. Bir işletim sisteminde oluşturulan bir süreç, "paralel" olarak çalışan, yani zaman içinde önceden belirlenmiş bir sıra olmaksızın çalışan birkaç iş parçacığından oluşabilir. Bazı görevleri yerine getirirken, bu tür bir bölünme bilgisayar kaynaklarının daha verimli kullanılmasını sağlayabilir

İşlemci Kimliği- olayı işleyen işlemcinin kimlik numarasını temsil eder.

Oturum kodu olayın meydana geldiği terminal sunucusundaki oturum kimlik numarasıdır.

Çekirdek modu çalışma süresi- CPU zaman birimleri cinsinden çekirdek modu talimatlarını yürütmek için harcanan zamanı tanımlar. Çekirdek modunun sistem belleğine ve harici cihazlara sınırsız erişimi vardır. NT sistem çekirdeğine hibrit çekirdek veya makro çekirdek adı verilir.

Kullanıcı modunda çalışma süresi- kullanıcı modu talimatlarını yürütmek için harcanan süreyi CPU zamanı birimi cinsinden tanımlar. Kullanıcı modu, G/Ç isteklerini G/Ç yöneticisi aracılığıyla uygun çekirdek modu sürücüsüne ileten alt sistemlerden oluşur.

CPU yükü CPU işaretlerinde kullanıcı modu talimatlarını yürütmek için harcanan zamandır.

Korelasyon kodu- olayın kullanıldığı süreçteki eylemi tanımlar. Bu kod olaylar arasındaki basit ilişkileri belirtmek için kullanılır. Korelasyon, iki veya daha fazla rastgele değişken (veya kabul edilebilir bir doğruluk derecesine sahip olarak kabul edilebilecek değerler) arasındaki istatistiksel bir ilişkidir. Üstelik bu niceliklerin bir veya birkaçındaki değişiklik, diğer veya başka niceliklerde sistematik bir değişikliğe yol açar.

Göreli Korelasyon Kimliği- olayın kullanıldığı süreçteki göreceli bir eylemi tanımlar

Olay günlükleriyle çalışma

Etkinlik göstericisi

Bir sonraki ekran görüntüsünde günlüğü görebilirsiniz "Uygulamalar" Etkinlikler, son görünümler ve mevcut işlemler hakkında bilgi bulabileceğiniz yer. Uygulama günlüğü olaylarını görüntülemek için şu adımları izleyin:

  1. Konsol ağacında şunu seçin: "Windows Günlükleri";
  2. Bir dergi seçin "Uygulamalar".

Olay günlüklerinin daha sık gözden geçirilmesi tavsiye edilir "Başvuru" Ve "Sistem" mevcut sorunları ve gelecekteki sorunların habercisi olabilecek uyarıları inceleyin. Bir günlüğü seçtiğinizde orta pencere, olay tarihi, saati ve kaynağı, olay düzeyi ve diğer ayrıntılar dahil olmak üzere mevcut olayları görüntüler.

Panel "Görünüm alanı" sekmede temel olay verilerini gösterir "Yaygındır" ve sekmede ek spesifik veriler bulunur "Detaylar". Menüyü seçerek bu paneli açıp kapatabilirsiniz. "Görüş" ve ardından komut "Görünüm alanı".

Kritik sistemler için günlüklerin birkaç ay geriye gitmesi önerilir. Kural olarak, dergilere her zaman tüm bilgilerin sığması için bir boyut atamak sakıncalıdır, bu sorun başka bir şekilde çözülebilir. Günlükleri belirli bir klasörde bulunan dosyalara aktarabilirsiniz. Seçilen günlüğü kaydetmek için şu adımları izleyin:

  1. Konsol ağacında kaydetmek istediğiniz olay günlüğünü seçin;
  2. Bir takım seçin "Etkinlikleri Farklı Kaydet" menüden "Aksiyon" veya günlük içerik menüsünden komutu seçin "Tüm etkinlikleri farklı kaydet";
  3. Görüntülenen iletişim kutusunda "Farklı kaydet" dosyanın kaydedileceği klasörü seçin. Dosyayı yeni bir klasöre kaydetmeniz gerekiyorsa, bağlam menüsünü veya düğmesini kullanarak dosyayı doğrudan bu iletişim kutusundan oluşturabilirsiniz. "Yeni dosya" eylem çubuğunda. Tarlada "Dosya tipi" mevcut olanlardan istediğiniz dosya biçimini seçmeniz gerekir: olay dosyaları - *.evtx, xml dosyası - *.xml, sekmeyle ayrılmış metin - *.txt, virgülle ayrılmış csv - *.csv. Tarlada "Dosya adı" "Kaydetmek". Kaydetmeyi iptal etmek için düğmeye tıklayın "İptal etmek";
  4. Olay günlüğünün başka bir bilgisayarda görüntülenmesi amaçlanmadığı takdirde iletişim kutusunda "Ayrıntıları göster" varsayılan seçeneği bırak "Bilgi gösterme" ve günlüğün başka bir bilgisayarda görüntülenmesi amaçlanıyorsa iletişim kutusunda "Ayrıntıları göster" bir seçenek seçin "Aşağıdaki dillere ilişkin bilgileri görüntüle" ve düğmeye tıklayın "TAMAM".

Olay günlüğünü temizleme

Bazen uyarıların ve kritik işletim sistemi hatalarının etkili analizini sağlamak için olay günlüklerinin tamamını temizlemek gerekebilir. Seçilen günlüğü temizlemek için şu adımları izleyin:

  1. Konsol ağacında temizlemek istediğiniz olay günlüğünü seçin;
  2. Aşağıdaki yöntemlerden birini kullanarak günlüğü temizleyin:
    • Menüde "Aksiyon" takımı seç "Günlüğü temizle";
    • İçerik menüsünü açmak için seçilen günlüğe sağ tıklayın. Bağlam menüsünde komutu seçin "Günlüğü temizle";
  3. Daha sonra günlüğü temizleyebilir veya daha önce yapılmadıysa arşivleyebilirsiniz:
    • Olay günlüğünü kaydetmeden temizlemek için butonuna tıklayın. "Temizlemek";
    • Olay günlüğünü kaydettikten sonra temizlemek için düğmesine tıklayın. "Kaydet ve Temizle". Görüntülenen iletişim kutusunda "Farklı kaydet" dosyanın kaydedileceği klasörü seçin. Dosyayı yeni bir klasöre kaydetmeniz gerekiyorsa, bağlam menüsünü veya düğmesini kullanarak dosyayı doğrudan bu iletişim kutusundan oluşturabilirsiniz. "Yeni dosya" eylem çubuğunda. Tarlada "Dosya adı" bir ad girin ve düğmeye tıklayın "Kaydetmek". Kaydetmeyi iptal etmek için düğmeye tıklayın "İptal etmek".

Maksimum günlük boyutunu ayarlama

Yukarıda belirtildiği gibi olay günlükleri, %SystemRoot%\System32\Winevt\Logs\ klasöründe dosyalar olarak depolanır. Varsayılan olarak bu dosyaların maksimum boyutu sınırlıdır, ancak bunu aşağıdaki şekilde değiştirebilirsiniz:

  1. Bir takım seçin "Özellikler" menüden "Aksiyon"
  2. Tarlada "Maksimum günlük boyutu (KB)" gerekli değeri bir sayaç kullanarak ayarlayın veya sayaç kullanmadan manuel olarak ayarlayın. Bu durumda, günlük dosyası boyutunun 64 KB'nin katı olması ve 1024 KB'tan küçük olmaması gerektiğinden, değer 64 KB'nin en yakın katına yuvarlanacaktır.

Olaylar, yalnızca belirli bir maksimum boyuta kadar büyüyebilen bir günlük dosyasında saklanır. Dosya maksimum boyutuna ulaştığında, gelen olayların işlenmesi günlük saklama politikasına göre belirlenecektir. Aşağıdaki günlük saklama politikaları mevcuttur:

Gerekirse olayları yeniden yazın (önce en eski dosyalar)- bu durumda günlüğe doldurulduktan sonra yeni girişler yapılmaya devam edilir. Her yeni olay, günlükteki en eski olayın yerini alır;

Doldurulduğunda günlüğü arşivleyin; olayları yeniden yazmayın- bu durumda, gerekirse günlük dosyası otomatik olarak arşivlenir. Eski olayların üzerine yazılmaz.

Olayların üzerine yazmayın (günlüğü manuel olarak temizleyin)- bu durumda günlük otomatik olarak değil manuel olarak temizlenir.

İstediğiniz günlük saklama ilkesini seçmek için şu adımları izleyin:

  1. Konsol ağacında yeniden boyutlandırmak istediğiniz olay günlüğünü seçin;
  2. Bir takım seçin "Özellikler" menüden "Aksiyon" veya seçilen derginin içerik menüsünden;
  3. Sekmede "Yaygındır", Bölümde "Maksimum boyuta ulaşıldığında" gerekli parametreyi seçin ve düğmeye tıklayın "TAMAM".

Analitik ve hata ayıklama günlüğünü etkinleştirme

Analitik ve hata ayıklama günlükleri varsayılan olarak etkin değildir. Etkinleştirildikten sonra hızla çok sayıda etkinlikle dolarlar. Bu nedenle, sorun giderme için gereken verileri toplamak amacıyla bu günlüklerin sınırlı bir süre etkinleştirilmesi ve ardından tekrar devre dışı bırakılması önerilir. Günlükleri aşağıdaki şekilde etkinleştirebilirsiniz:

  1. Konsol ağacında etkinleştirmek istediğiniz analitik veya hata ayıklama günlüğünü bulun ve seçin;
  2. Bir takım seçin "Özellikler" menüden "Aksiyon" veya seçilen analitik veya hata ayıklama günlüğünün içerik menüsünden;
  3. Sekmede "Yaygındır" seçenek kutusunu işaretleyin "Günlük kaydı etkinleştir"

Kayıtlı bir günlüğü açma ve kapatma

Ekipman kullanma "Etkinlik göstericisi" Daha önce kaydedilmiş günlükleri açabilir ve görüntüleyebilirsiniz. Kaydedilmiş birden fazla günlüğü aynı anda açabilir ve bunlara istediğiniz zaman konsol ağacından erişebilirsiniz. Dergi açıldı "Etkinlik göstericisi", içerdiği bilgiler silinmeden kapatılabilir. Kaydedilmiş bir günlüğü açmak için şu adımları izleyin:

  1. Bir takım seçin "Kayıtlı günlüğü aç" menüde "Aksiyon" veya konsol ağacındaki içerik menüsünden;
  2. 3. İletişim kutusunda "Kayıtlı günlüğü aç", dizin ağacında ilerleyerek istediğiniz dosyayı içeren klasörü açın. Varsayılan olarak iletişim kutusu tüm olay günlüğü dosyalarını görüntüler. Ayrıca, açarken, açılış iletişim kutusunda görüntülemek istediğiniz dosya türlerini de seçebilirsiniz. Kullanılabilir dosya türleri olay günlüğü dosyalarının (*.evtx, *.evt, *.etl) yanı sıra olay dosyalarını (*.evtx), eski olay dosyalarını (*.evt) veya izleme günlüğü dosyalarını (*.etl) içerir. . İstediğiniz günlük dosyası bulunduğunda, adını dosya adı satırına yerleştirecek olan sol tıklayarak dosyayı seçin ve düğmesine tıklayın. "Açık".
  3. Diyalog halinde "Kayıtlı günlüğü aç", sahada "İsim" Konsol ağacındaki günlük için kullanılacak yeni bir ad girin. Yalnızca konsol ağacındaki günlüğü görüntülemek için kullanılır ve günlük dosyası adını değiştirmez. Ayrıca mevcut bir günlük dosyası adını da kullanabilirsiniz. Tarlada "Tanım" günlük için bir açıklama girin. Konsol ağacında ana günlük klasörü seçildiğinde merkezi alanda görüntülenecektir;
  4. Kaydedilen günlüğün bulunacağı bir klasör oluşturmak için düğmeye tıklayın. "Bir klasör oluştur". Tarlada "İsim" açık günlüğün bulunacağı klasörün adını girin ve ardından "TAMAM". Bir ana klasör seçilmemişse yeni klasör, klasörün içinde yer alacaktır. "Kayıtlı Günlükler".
  5. Açık olay günlüğünü diğer bilgisayar kullanıcılarının erişemeyeceği hale getirmek için, "Tüm kullanıcılar". Bu onay kutusu etkin kalırsa, açık günlük tüm kullanıcılara açık olacaktır ancak onu konsol ağacından silmek için yönetici haklarına ihtiyaç duyulacaktır;
  6. Dergiyi açmak için düğmeye tıklayın "TAMAM".

Açık bir günlüğü olay ağacından silmek için şu adımları izleyin:

  1. Konsol ağacında silinecek günlüğü seçin;
  2. Bir takım seçin "Silmek" menüden "Aksiyon" veya seçilen derginin içerik menüsünden;
  3. Diyalog halinde "Etkinlik göstericisi" düğmeye tıklayın "Evet".

Çözüm

Makalenin Olay Görüntüleyicisi ek bileşenine ayrılan bu bölümü, ek bileşenin kendisinden bahseder ve Olay Görüntüleyicisi kullanılarak sistemin izlenmesi ve bakımıyla ilgili en basit işlemleri ayrıntılı olarak açıklar. Yazının bundan sonraki kısmı deneyimli Windows kullanıcıları için tasarlanacaktır. Özel görünümler, filtreleme, etkinlikleri gruplama/sıralama ve abonelikleri yönetme gibi görevleri kapsayacaktır.

Herkese merhaba, konumuz windows loglarının nasıl görüntüleneceği. Sanırım herkes günlüklerin ne olduğunu biliyor, ancak birdenbire yeni başlayan biriyseniz, günlükler hem Windows hem de Linux işletim sisteminde meydana gelen ve neyin, nerede, ne zaman gerçekleştiğini ve bunu kimin yaptığını izlemeye yardımcı olan sistem olaylarıdır. Herhangi bir sistem yöneticisinin Windows günlüklerini okuyabilmesi gerekir.

Gerçek hayattan bir örnek, IBM sunucularından birinde bir diskin arızalanması durumudur ve teknik destek için, sorunu teşhis edebilmeleri için sunucu günlüklerini topladım. Olay Görüntüleyicisi hizmeti, Windows'ta günlüklerin toplanmasından ve kaydedilmesinden sorumludur. Olay Görüntüleyici, sistem günlüklerini elde etmek için kullanışlı bir araçtır.

Olay Görüntüleyicide nasıl açılır

Windows'un herhangi bir sürümüne uygun olan Olay Görüntüleyicisi ek bileşenine çok basit bir şekilde girebilirsiniz. Sihirli düğmelere basın

Win+R'ye basın ve eventvwr.msc'ye girin

Windows Günlükleri öğesini genişletmeniz gereken bir Windows Olay Görüntüleyici penceresi açılacaktır. Hadi her dergiyi inceleyelim.

Log Uygulaması bilgisayarınızdaki programlarla ilgili kayıtları içerir. Log, program başlatıldığında yazılır, eğer hatayla başlatıldıysa bu da buraya yansıyacaktır.

Kimin neyi, ne zaman yaptığını anlamak için bir denetim günlüğüne ihtiyaç vardır. Örneğin, oturum açmış veya oturumu kapatmış, erişim sağlamaya çalışmıştır. Tüm başarı veya başarısızlık denetimleri burada yazılır.

Kurulum öğesi, neyin ve ne zaman yüklendiğine (örneğin programlar veya güncellemeler) ilişkin Windows günlüklerini kaydeder.

En önemli dergi sistemdir. En gerekli ve önemli şeylerin tümü burada yazılmıştır. Örneğin, mavi ekran bsod'unuz var ve burada kaydedilen bu mesajlar, bunun nedenini belirlemenize yardımcı olacaktır.

DHCP veya DNS gibi daha spesifik hizmetler için Windows günlükleri de vardır. Olay Görüntüleyici her şeyi keser :).

Güvenlik günlüğünde bir milyondan fazla olay olduğunu varsayalım, hepsini görüntülemek mazoşizm olduğundan, muhtemelen hemen filtreleme olup olmadığı sorusunu soracaksınız. Bu, olay görüntüleyicide sağlanmıştır; Windows günlükleri, yalnızca ihtiyaç duyulanları bırakarak uygun şekilde filtrelenebilir. Eylemler alanının sağında Geçerli günlüğü filtrele düğmesi bulunur.

Etkinlik düzeyini belirtmeniz istenecektir:

  • Kritik
  • Hata
  • Uyarı
  • İstihbarat
  • Detaylar

Her şey arama görevine bağlıdır; eğer hata arıyorsanız, diğer mesaj türlerinin bir anlamı yoktur. Daha sonra, etkinlik görüntüleme aramanızın kapsamını daraltmak için istediğiniz etkinlik kaynağını ve kodunu belirtebilirsiniz.

Yani gördüğünüz gibi Windows loglarını ayrıştırmak çok basit; ararız, buluruz, çözeriz. Windows günlüklerinin hızlı bir şekilde temizlenmesi de yararlı olabilir:

Windows PowerShell günlüklerini görüntüleme

PowerShell'in bunu yapamaması garip olurdu; günlük dosyalarını görüntülemek için PowerShell'i açın ve aşağıdaki komutu girin

Get-EventLog -Logname "Sistem"

Sonuç olarak, Sistem günlüklerinin bir listesini alacaksınız

Aynı şey diğer dergiler için de yapılabilir; örneğin Uygulamalar

Get-EventLog -Logname "Uygulama"

Kısaltmaların küçük listesi

  • Olay kodu - Olay Kimliği
  • Bilgisayar - MakineAdı
  • Olay sıra numarası - Veri, Dizin
  • Görev kategorisi - Kategori
  • Kategori kodu - KategoriNumber
  • Seviye - Giriş Türü
  • Olay mesajı - Mesaj
  • Kaynak - Kaynak
  • Olay oluşturma tarihi - replacementString, InstanceID, TimeGeneated
  • Olay kayıt tarihi - TimeWritten
  • Kullanıcı - KullanıcıAdı
  • İnternet sitesi
  • Bölüm - Konteyner

Örneğin, komut kabuğundaki olayları yalnızca “Sistem” günlüğü için “Seviye”, “Olay Kayıt Tarihi”, “Kaynak”, “Olay Kodu”, “Kategori” ve “Olay Mesajı” sütunlarıyla görüntülemek için, şu komutu çalıştırın:

Get-EventLog –LogName 'Sistem' | Format-Tablo Giriş Türü, TimeWritten, Kaynak, EventID, Kategori, Mesaj

Daha ayrıntılı görüntülemeniz gerekiyorsa Format-Tablosunu Format-List ile değiştirin.

Get-EventLog –LogName 'Sistem' | Format-Liste Giriş Türü, TimeWritten, Kaynak, EventID, Kategori, Mesaj

Gördüğünüz gibi format zaten daha okunaklı.

Günlükleri de filtreleyebilirsiniz, örneğin son 20 mesajı gösterebilirsiniz

Get-EventLog –Günlük adı ‘Sistem’ –En Yeni 20

Ek Ürünler

Ayrıca aşağıdaki gibi araçları kullanarak etkinliklerin toplanmasını otomatikleştirebilirsiniz:

  • Zabbix izleme kompleksi
  • Olayları Windows kullanarak toplayıcı sunucuya göndererek
  • Netwrix denetim paketi aracılığıyla
  • SCOM'unuz varsa, tüm Windows platformu günlüklerini toplayabilir
  • Herhangi bir DLP sistemi

Windows olaylarını görüntülemek için olay görüntüleyiciyi mi yoksa PowerShell'i mi kullanmayı tercih edeceğiniz size bağlıdır. Site materyali

Günlüklerin uzaktan görüntülenmesi

  • İlk yöntem

Kısa bir süre önce Windows Server 2019 işletim sistemi, Windows Admin Center uzaktan yönetim bileşenini tanıttı. Bir bilgisayarı veya sunucuyu uzaktan kontrol etmenize olanak tanır, bundan daha ayrıntılı olarak bahsetmiştim. Burada, iş istasyonunuza kurarak bir tarayıcıdan diğer bilgisayarlara bağlanıp olay günlüklerini kolayca görüntüleyebileceğinizi, böylece Windows günlüklerini inceleyebileceğinizi göstermek istiyorum. Örneğimde bir sunucu olacak SVT2019S01, Mevcut olanlar listesinden bulup bağlanıyoruz (Windows'ta uzak ağ kurulumunu bu şekilde yaptığımızı hatırlatayım).

Daha sonra “Olaylar” sekmesini seçip istediğiniz günlüğü seçiyorsunuz; benim örneğimde sistemin tüm günlüklerini görmek istiyorum. Benim açımdan burada her şeyi izlemek, olayları izlemekten çok daha kullanışlı. Avantajı, bunu herhangi bir telefon veya tabletten yapabilmenizdir. Sağ köşede kullanışlı bir arama formu var

Günlükleri daha hassas bir şekilde filtrelemeniz gerekiyorsa filtre butonunu kullanabilirsiniz.

Burada ayrıca olay düzeyini de seçebilir, örneğin yalnızca kritik hataları ve hataları bırakabilir, zaman aralığını, olay kodunu ve kaynağını ayarlayabilirsiniz.

İşte olay 19'a göre filtrelemenin bir örneği.

Günlüğün tamamını evxt formatına aktarmak çok uygundur; bu daha sonra olay günlüğü aracılığıyla kolayca açılabilir. Dolayısıyla Windows Admin Center, günlükleri görüntülemek için güçlü bir araçtır.

  • İkinci yöntem

Windows günlüklerini uzaktan görüntülemenin ikinci yolu, Bilgisayar Yönetimi ek bileşenini veya aynı "Olay Görüntüleyiciyi" kullanmaktır. Windows günlüklerini başka bir bilgisayar veya sunucuda görüntülemek için ek bileşende üstteki öğeye sağ tıklayın ve içerik menüsünden "" seçeneğini seçin.

Başka bir bilgisayarın adını belirtiyoruz, benim örneğimde SVT2019S01 olacak

Her şey yolundaysa ve güvenlik duvarı veya antivirüsten kaynaklanan herhangi bir engelleme yoksa, uzaktan olay görüntülemeye yönlendirileceksiniz, tıkanıklıklar varsa COM+ trafiğinin akmadığına dair bir mesaj alacaksınız.

Ayrıca Zabbix veya SCOM gibi tüm günlük toplama sistemlerinin bulunduğunu da belirtmek isterim, ancak bu farklı düzeyde bir görevdir.