Огляд перегляду подій операційної системи windows 7

Відео: Журнал подій: Як переглянути інформацію про помилки, виправити помилки в Windows 10, 8 або 7

Огляд "Перегляду подій" операційної системи Windows 7 (Частина 1)

* Вступ
* Запуск програми «Перегляд подій»
* Журнали подій в Windows 7
* Властивості подій
* Робота з журналами подій
o Перегляд подій
o Очищення журналу подій
o Установка максимального розміру журналу
o Активація аналітичного і налагоджувального журналу
o Відкриття і закриття збереженого журналу
* Висновок

Вступ

Операційна система Windows 7 постійно стежить за різними гідними уваги подіями, що виникають у вашій системі. У Microsoft Windows подія (event) - це будь-яка подія в операційній системі, яке записується в журнал або вимагає повідомлення користувачів або адміністраторів. Це може бути служба, яка не хоче запускатися, установка пристрою або помилка в роботі програми. Події реєструються і зберігаються в журналах подій Windows і надають важливі хронологічні відомості, що допомагають вести моніторинг системи, підтримувати її безпеку, усувати помилки і виконувати діагностику. Необхідно регулярно аналізувати інформацію, що міститься в цих журналах. Вам слід регулярно стежити за журналами подій і налаштовувати операційну систему на збереження важливих системних подій. У тому випадку, якщо ви адміністратор серверів Windows, то необхідно стежити за безпекою їх систем, нормальною роботою додатків і сервісів, а також перевіряти сервер на наявність помилок, здатних погіршити продуктивність. Якщо ви користувач персонального комп`ютера, то вам слід переконатися в тому, що вам доступні відповідні журнали, необхідні для підтримки своєї системи і усунення помилок.

Програма «Перегляд подій» є оснащення консолі управління Microsoft (MMC) і призначена для перегляду і управління журналами подій. Це незамінний інструмент для спостереження за працездатністю системи та усунення виниклих неполадок. Служба Windows, яка управляє протоколированием подій, називається «Журнал подій». У тому випадку, якщо вона запущена, Windows записує важливі дані в журнали. За допомогою програми «Перегляд подій» ви можете виконувати наступні дії:

* Переглядати події певних журналів;
* Застосовувати фільтри подій і зберігати їх для подальшого використання у вигляді настроюються уявлень;
* Створювати підписки на події та керувати ними;
* Призначати виконання конкретних дій на виникнення певної події.

Запуск програми «Перегляд подій»

Додаток «Перегляд подій» можна відкрити наступними способами:

* Натисніть на кнопку «Пуск» для відкриття меню, відкрийте «Панель управління», зі списку компонентів панелі управління виберіть «Адміністрування» і зі списку адміністративних компонентів варто вибрати «Перегляд подій»;
* Відкрийте «Консоль управління MMC». Для цього натисніть на кнопку «Пуск», в поле пошуку введіть mmc, а потім натисніть на кнопку «Enter». Відкриється порожня консоль MMC. В меню «Консоль» виберіть команду «Додати або видалити оснастку» або за допомогою комбінації клавіш Ctrl + M. У діалозі «Додавання і видалення оснасток» виберіть оснастку «Перегляд подій» і натисніть на кнопку «Додати». Потім натисніть на кнопку «Готово», а після цього - кнопку «ОК»;
* Скористатися комбінацією клавіш * + R для відкриття діалогу «Виконати». У діалоговому вікні «Виконати», в полі «Відкрити» введіть eventvwr.msc і натисніть на кнопку «ОК»;

Огляд Перегляду подій операційної системи Windows 7

Журнали подій в Windows 7

В операційній системі Windows 7, так само як і в Windosw Vista, існують дві категорії журналів подій: журнали Windows і журнали додатків і служб. Журнали Windows - використовуються операційною системою для реєстрації загальносистемних подій, пов`язаних з роботою додатків, системних компонентів, безпекою і запуском. А журнали додатків і служб - використовуються додатками і службами для реєстрації подій, пов`язаних з їх роботою. Для управління журналами подій можна використовувати оснастку «Перегляд подій» або програму командного рядка wevtutil, про яку буде розказано в другій частині статті. Всі типи журналів описані нижче:

Огляд Перегляду подій операційної системи Windows 7

додаток - зберігає важливі події, пов`язані з конкретним додатком. Наприклад, Exchange Server зберігає події, пов`язані з пересилання пошти, в тому числі події інформаційного сховища, поштових скриньок і запущених служб. За замовчуванням поміщається в% SystemRoot% System32WinevtLogsApplication.Evtx.

Безпека - зберігає події, пов`язані з безпекою, такі як вхід / вихід з системи, використання привілеїв і звернення до ресурсів. За замовчуванням поміщається в% SystemRoot% System32WinevtLogsSecurity.Evtx

установка - в цей журнал записуються події, що виникають при установці і настройці операційної системи і її компонентів. За замовчуванням розміщується в% SystemRoot% System32WinevtLogsSetup.Evtx.

система - зберігає події операційної системи або її компонентів, наприклад невдачі при запусках служб або ініціалізації драйверів, загальносистемні повідомлення та інші повідомлення, що відносяться до системи в цілому. За замовчуванням поміщається в% SystemRoot% System32WinevtLogsSystem.Evtx

пересилаються події - якщо налаштована пересилання подій, в цей журнал потрапляють події, що надсилаються з інших серверів. За замовчуванням поміщається в% SystemRoot% System32WinevtLogsForwardedEvents.Evtx

Internet Explorer - в цей журнал записуються події, що виникають при налаштуванні і роботі з браузером Internet Explorer. За замовчуванням поміщається в% SystemRoot% System32WinevtLogsInternetExplorer.Evtx

Windows PowerShell - в цьому журналі реєструються події, пов`язані з використанням оболонки PowerShell. За замовчуванням розміщується в% SystemRoot% System32WinevtLogsWindowsPowerShwll.Evtx

події обладнання - якщо налаштована реєстрація подій обладнання, в цей журнал записуються події, які генеруються пристроями. За замовчуванням поміщається в% SystemRoot% System32WinevtLogsHardwareEvent.Evtx

У Windows 7 інфраструктура, що забезпечує реєстрацію подій, заснована також як і в Windows Vista на XML. Дані про кожну подію відповідають XML-схемою, що дозволяє отримати доступ до XML-коду будь-якої події. Крім того, можна створювати засновані на XML запити для отримання даних з журналів. Для використання цих нових можливостей не потрібні знання про XML. Оснащення «Перегляд подій» надає простий графічний інтерфейс для доступу до цих можливостей.
властивості подій

Існує кілька властивостей подій оснащення «Перегляд подій», які детально описані трохи нижче:

джерело - це програма, яка зареєструвала подія в журналі. Це може бути як ім`я програми (наприклад, «Exchange Server»), так і назва компонента системи або великого додатки (наприклад, ім`я драйвера). Наприклад, «Elnkii» означає драйвер EtherLink II.

код події - це число, що визначає конкретний тип події. У першому рядку опису зазвичай міститься назва типу події. Наприклад, 6005 - це ідентифікатор події, яке відбувається при запуску служби ведення журналів подій. Відповідно, на початку опису цієї події перебуває рядок «Запущена служба журналу подій». Код події і ім`я джерела записи можуть використовуватися представниками групи підтримки програмного продукту для усунення неполадок.

рівень - це рівень важливості події. У журналах системи і додатків події можуть мати такі рівні важливості:

* Повідомлення - позначає зміна в додатку або компоненті, таке як виникнення інформаційного події, пов`язаного з успішним дією, створення ресурсу або запуск служби.

* Попередження - позначає попередження загального характеру на неполадку, здатну вплинути на службу або привести до більш серйозної проблеми, якщо залишити її без уваги;
* Помилка - позначає, що виникла проблема, яка може вплинути на функції, зовнішні по відношенню до додатка або компоненту, що викликав подія;
* Критична помилка - позначає, що стався збій, після якого додаток або компонент, які ініціювали подія, не можуть відновитися автоматично;
* Аудит успіхів - успішне виконання дій, які ви відстежуєте через аудит, наприклад використання будь-якої привілеї;
* Аудит відмов - невдале виконання дій, які ви відстежуєте через аудит, наприклад помилка при вході в систему.

Користувач - визначає обліковий запис користувача, від імені якого виникло дана подія. До користувачів ставляться особливі сутності, наприклад Local Service, Network Service і Anonymous Logon, а також облікові записи реальних користувачів. Це ім`я являє собою ідентифікатор клієнта, якщо подія фактично було викликано серверним процесом, або основний ідентифікатор, якщо уособлення не проводиться. У деяких випадках запис журналу безпеки містить обидва ідентифікатора. А також в цьому полі може стояти N / A (Н / Д), якщо в даній ситуації обліковий запис не застосовується. Уособлення відбувається у випадках, коли сервер дозволяє одному процесу привласнити атрибути безпеки іншого процесу.

Робочий код - містить числове значення, яке визначає операцію або точку в межах операції, при виконанні якої виникло дана подія. Наприклад, ініціалізації або закриття.

Журнал - ім`я журналу, в який було записано дана подія.

Категорія і завдання - визначає категорію події, іноді використовується для подальшого опису допустимого дії. У кожного джерела подій свої категорії. Наприклад такі категорії: вхід / вихід, використання привілеїв, зміна політики і управління обліковим записом.

Ключові слова - це набір категорій або міток, які можуть використовуватися для фільтрації або пошуку подій. Наприклад: «Мережа», «Безпека» або «Ресурс не найден».

комп`ютер - ідентифікує ім`я комп`ютера, на якому відбулася подія. Зазвичай це ім`я локального комп`ютера, але також може бути ім`я комп`ютера, який переслав подія, або ім`я локального комп`ютера до того, як воно було змінено.

дата та час - визначає дату і час виникнення даної події в журналі.

ВД процесу - представляє ідентифікаційний номер процесу, який створив цю подію. Комп`ютерна програма представляє з себе тільки пасивну сукупність інструкцій, в той час як процес - це безпосереднє виконання цих інструкцій

ВД потоку - представляє ідентифікаційний номер потоку, який створив цю подію. Процес, породжений в операційній системі, може складатися з декількох потоків, що виконуються «паралельно», тобто без запропонованого порядку в часі. При виконанні деяких завдань такий поділ може досягти більш ефективного використання ресурсів обчислювальної машини

ВД процесора - представляє ідентифікаційний номер процесора, що обробив подія.

код сеансу - це ідентифікаційний номер сеансу на сервері терміналів, в якому відбулася подія.

Час роботи в режимі ядра - визначає час, витрачений на виконання інструкцій режиму ядра, в одиницях часу ЦП. Режим ядра має необмежений доступ до системної пам`яті і зовнішніх пристроїв. Ядро системи NT називають гібридним ядром або макроядра.

Час роботи в режимі користувача - визначає час, витрачений на виконання інструкцій для користувача режиму, в одиницях часу ЦП. Режим користувача складається з підсистем, які передають запити вводу-виводу відповідного драйверу режиму ядра за допомогою менеджера Введення-виведення.

завантаженість процесора - це час, витрачений на виконання інструкцій для користувача режиму, в тиках ЦП.

код кореляції - визначає дію в процесі, для якого використовується подія. Цей код використовується для вказівки простих відносин між подіями. Кореляція - статистичний взаємозв`язок двох або кількох випадкових величин (або величин, які можна з деякою допустимої ступенем точності вважати такими). При цьому, зміни однієї або декількох з цих величин призводять до систематичного зміни іншої або інших величин.

ВД відносної кореляції - визначає відносне дію в процесі, для якого використовується подія
Робота з журналами подій
Перегляд подій

На наступному скріншоті можна побачити журнал «Додатки», в якому можна дізнатися відомості про події, недавніх уявленнях і доступних діях. Для того щоб переглянути події журналу додатків, виконайте наступні дії:

1. У дереві консолі виберіть «Журнали Windows»;
2. Виберіть журнал «Додатки».

Огляд Перегляду подій операційної системи Windows 7

Бажано частіше переглядати журнали подій «Додаток» і «Система» і вивчати існуючі проблеми та попередження, які можуть провіщати про проблеми в майбутньому. При виборі журналу в середньому вікні відображається доступна події, включаючи дату події, час і джерело, рівень події та інші дані.

Панель «Область перегляду» показує основні дані про події на вкладці «Загальні», а додаткові специфічні дані - на вкладці «Подробиці». Включити і вимкнути цю панель можна, вибравши меню «Вид», а потім команду «Область перегляду».

Для критичних систем рекомендується зберігати журнали за останні кілька місяців. Весь час призначати журналам такий розмір, щоб в них вміщувалася вся інформація, як правило, незручно, вирішити це завдання можна по-іншому. Можна експортувати журнали в файли, розплоджені в заданій папці. Для того щоб зберегти обраний журнал виконайте наступні дії:

1. У дереві консолі виберіть журнал подій, який потрібно зберегти;
2. Виберіть команду «Зберегти події як" з меню «Дія» або з контекстного меню журналу виберіть команду «Зберегти всі події як";
3. У діалозі «Зберегти як» виберіть папку, в яку необхідно зберегти файл. Якщо потрібно зберегти файл в новій папці, то її можна створити безпосередньо з цього діалогу, використовуючи контекстне меню або кнопку «Нова папка» на панелі дій. В поле «Тип файлу» потрібно вибрати бажаний формат файлу з доступних: файли подій - * .evtx, xml-файл - * .xml, текст з поділом табуляції - * .txt, csv з поділом запитом - * .csv. В поле «Ім`я файлу» введіть ім`я та натисніть на кнопку «Зберегти». Для скасування збереження натисніть на кнопку «Скасування»;
4. У тому випадку, якщо журнал подій не призначений для перегляду на іншому комп`ютері, в діалоговому вікні «Відображати відомості» залиште заданий за замовчуванням варіант «Не відображати відомості», а якщо журнал призначається для перегляду на іншому комп`ютері, то в діалоговому вікні « Відображати відомості »виберіть варіант« Відображати відомості для наступних мов »та натисніть на кнопку« ОК ».

Огляд Перегляду подій операційної системи Windows 7

Очищення журналу подій

Іноді доводиться очищати заповнені журнали подій для забезпечення ефективного аналізу попереджень і критичних помилок операційної системи. Для того щоб очистити обраний журнал виконайте наступні дії:

1. У дереві консолі виберіть журнал подій, який потрібно очистити;
2. Очистіть журнал одним із таких способів:
* У меню «Дія» виберіть команду «Очистити журнал»;
* На обраному журналі натисніть правою кнопкою для відкриття контекстного меню. У контекстному меню виберіть команду «Очистити журнал»;

Огляд Перегляду подій операційної системи Windows 7

3. Далі можна або очистити журнал, або заархівувати його в тому випадку, якщо це не було зроблено раніше:
* Щоб очистити журнал подій без збереження натисніть натиснути на кнопку «Очистити»;
* Щоб очистити журнал подій після його збереження натисніть на кнопку «Зберегти і очистити». У діалозі «Зберегти як» виберіть папку, в яку необхідно зберегти файл. Якщо потрібно зберегти файл в новій папці, то її можна створити безпосередньо з цього діалогу використовуючи контекстне меню або кнопку «Нова папка» на панелі дій. В поле «Ім`я файлу» введіть ім`я та натисніть на кнопку «Зберегти». Щоб скасувати реєстрацію потрібно натиснути на кнопку «Скасування».

Установка максимального розміру журналу

Як було сказано вище, журнали подій зберігаються у вигляді файлів в папці% SystemRoot% System32WinevtLogs. За замовчуванням максимальний розмір цих файлів обмежений, але його можна змінити в такий спосіб:

1. У дереві консолі виберіть журнал подій, для якого слід змінити розмір;
2. Виберіть команду «Властивості» з меню «Дія» або з контекстного меню вибраного журналу;

Огляд Перегляду подій операційної системи Windows 7

3. В поле «Максимальний розмір журналу (КБ)» встановіть необхідне значення за допомогою лічильника або встановіть вручну без використання лічильника. У цьому випадку значення буде округлено до найближчого числа, кратного 64 КБ так як розмір файлу журналу повинен бути кратний 64 КБ і не може бути менше 1024 КБ.

Події зберігаються в файлі журналу, розмір якого може збільшуватися тільки до заданого максимального значення. Після досягнення файлом максимального розміру, обробка вступників подій буде визначатися політикою зберігання журналів. В наявності є таке політики збереження журналу:

Переписувати події при необхідності (спочатку старі файли) - в цьому випадку нові записи продовжують заноситися в журнал після його заповнення. Кожне нове подія замінює в журналі найбільш старе;

Архівувати журнал при заполненіі- НЕ переписувати події - в цьому випадку файл журналу автоматично архівується при необхідності. Перезапис застарілих подій не виконується.

Чи не переписувати події (очистити журнал вручну) - в цьому випадку журнал очищається вручну, а не автоматично.

Для того щоб вибрати потрібну політику збереження журналів виконайте наступні дії:

1. У дереві консолі виберіть журнал подій, для якого слід змінити розмір;
2. Виберіть команду «Властивості» з меню «Дія» або з контекстного меню вибраного журналу;
3. На вкладці «Загальні», в розділі «При досягненні максимального розміру» виберіть необхідний параметр і натисніть на кнопку «ОК».

Огляд Перегляду подій операційної системи Windows 7

Активація аналітичного і налагоджувального журналу

Аналітичний і оцінний журнали за замовчуванням неактивні. Після активації вони швидко заповнюються великою кількістю подій. З цієї причини бажано активувати зазначені журнали на обмежений період часу для того, щоб зібрати необхідні для пошуку і усунення неполадок дані, а потім знову їх відключити. Активацію журналів можна виконати наступним чином:

1. У дереві консолі знайдіть і виберіть аналітичний або оцінний журнал, який необхідно активувати;
2. Виберіть команду «Властивості» з меню «Дія» або з контекстного меню вибраного аналітичного або отладочного журналу;
3. На вкладці «Загальні» встановіть прапорець на опції «Включити ведення журналу»

Відкриття та закриття збереженого журналу

За допомогою оснастки «Перегляд подій» можна відкривати і переглядати збережені раніше журнали. Одночасно можна відкрити декілька збережених журналів і звертатися до них в будь-який час в дереві консолі. Журнал, відкритий в «Перегляді подій», може бути закритий без видалення містяться в ньому відомостей. Для відкриття збереженого журналу виконайте наступні дії:

1. Виберіть команду «Відкрити збережений журнал» в меню «Дія» або з контекстного меню в дереві консолі;
2. 3. У діалоговому вікні «Відкрити збережений журнал», пересуваючись по дереву каталогів, відкрийте папку, яка містить потрібний файл. За замовчуванням в діалоговому вікні будуть виведені всі файли журналів подій. Також при відкритті можна вибрати тип файлів, які потрібно відображати в діалозі відкриття. Доступні типи файлів: файли журналу подій (* .evtx, * .evt, * .etl), а також файли подій (* .evtx), старі файли подій (* .evt) або файли журналу трасування (* .etl). Після того, як потрібний файл журналу буде знайдений, виділіть його, клацнувши на ньому лівою кнопкою миші, що помістить його ім`я в рядок для введення імені файлу і натисніть на кнопку «Відкрити».

Огляд Перегляду подій операційної системи Windows 7

3. У діалозі «Відкрити збережений журнал», в поле «Ім`я» введіть нове ім`я, яке буде використовуватися для журналу в дереві консолі. Воно використовується тільки для подання журналу в дереві консолі і ім`я файлу журналу при цьому не змінюється Можна також використовувати існуюче ім`я файлу журналу. В поле «Опис» введіть опис журналу. Воно буде відображатися в центральній області при виділенні батьківської папки журналу в дереві консолі;
4. Для створення папки, в якій буде розташований збережений журнал, натисніть на кнопку «Створити папку». В поле «Ім`я» введіть ім`я папки, в якій буде перебувати відкритий журнал, а потім натисніть кнопку «ОК». Якщо батьківська папка не вибрана, нова папка буде розташована в папці «Збережені журнали».

Огляд Перегляду подій операційної системи Windows 7

5. Для того щоб відкритий журнал подій став недоступним для інших користувачів комп`ютера, ви можете зняти прапорець «Показати усіх користувачів». У тому випадку, якщо цей прапорець залишиться активним, відкритий журнал буде доступний всім користувачам, але для його видалення з дерева консолі будуть потрібні права адміністратора;
6. Для відкриття журналу, натисніть на кнопку «ОК».

Для того щоб видалити відкритий журнал їх дерева подій, виконайте такі дії:

1. У дереві консолі виберіть журнал, який слід видалити;
2. Виберіть команду «Видалити» з меню «Дія» або з контекстного меню вибраного журналу;

Огляд Перегляду подій операційної системи Windows 7

3. У діалозі «Перегляд подій» натисніть на кнопку «Так».

висновок

У цій частині статті, присвяченій оснащенні «Перегляд подій», розповідається про саму оснащенні і детально описані найпростіші операції, пов`язані з моніторингом та обслуговуванням системи за допомогою «Перегляду подій». Наступна частина статті буде розрахована для досвідчених користувачів Windows. У ній будуть описані завдання з налаштованим уявленнями, фільтрація, угруповання / сортування подій і управління підписками.
Далі буде.

Стаття опублікована з дозволу автора. Оригінальний стиль автора збережено.

Поділися в соціальних мережах:

Схожі