Головна → Вирішення проблем Де знаходиться журнал віндовс 7. Де знаходиться журнал подій windows

Де знаходиться журнал віндовс 7. Де знаходиться журнал подій windows

Інструкція

Відео на тему

Досить часто користувачами операційних систем використовується журнал подій». Ця програма дозволяє відстежувати збої, помилки та неполадки в роботі системи. За допомогою цього інструменту можна проводити діагностичні перевірки на працездатність, але в деяких випадках він не потрібен, тому його доводиться видаляти як зайвий компонент.

Вам знадобиться

Робота з аплетом "Перегляд подій".

Інструкція

Про існування журнала подійв операційній системі Windowsзнають далеко не всі користувачі. Можна сказати, що потрібно поглиблено вивчати систему, щоб дістатися цього компонента. Хоча знайти його досить просто, якщо ви працюєте на Windows 7 або Windows Vista. Відкрийте меню «Пуск», активуйте рядок пошуку та введіть команду «Перегляд подій». У результатах пошуку виберіть перший рядок та натисніть на нього.

Перед вами з'явиться аплет «Перегляд подій». Також цей компонент називають оснасткою «Перегляд подій». Перш ніж видалити журнал подій», його слід спочатку відкрити або створити (у деяких випадках опція роботи журнала відключено). Для відкриття журнала натисніть Верхнє меню«Дія», зі списку меню виберіть пункт «Відкрити збережений журнал».

У вікні «Відкрити збережений журнал» знайдіть файл « журнала подій». Для швидкого пошукупотрібного файлу використовуйте бічну панельпровідника. Варто зазначити, що за промовчанням система пропонує відкрити декілька розширень, з яких не кожне відповідає журналу. У діалоговому вікні ви побачите файли наступних форматів – evtx, evt та etl. Розширення evtx – файли подій, розширення evt – застарілі файли подійрозширення etl – файли журнала трасування.

Вибравши потрібний файл, натисніть кнопку «Відкрити» в нижньому правому куті діалогового вікна. Щоб видалити відкритий недавно журнал подійнеобхідно перейти до вашого журналу. Натисніть значок трикутника поруч із папкою «Збережені журналы» у лівій частині вікна, потім «Папка зі збереженими журналамі». Усередині цієї папки будуть усі журналти, які були створені системою.

Виберіть журнал подій, навпроти якого розміщується піктограма дискети. Натисніть правою кнопкоюза вибраним елементом. З контекстного менюВиберіть «Видалити». У вікні, як підтвердження операції видалення, натисніть кнопку «Так».

Журнал подій системи, що зберігається на віддаленому або локальному комп'ютері, може бути видалений лише в тому випадку, якщо ви маєте права доступу до зміни реєстру. При подібному видаленні спочатку стирається файл із його змістом, а потім і всі джерела з реєстру.

Вам знадобиться

- комп'ютер;
- Навички системного адміністрування.

Інструкція

Увійдіть у систему з правами адміністратора. Для цього потрібно, щоб ваш поточний користувач входив до групи «Адміністратори» або отримайте відповідні повноваження шляхом проведення делегування. Якщо комп'ютер є приєднаним до , цю процедуруможуть проводити члени групи «Адміністратори домену». Для забезпечення безпеки використовуйте команду «Запуск від імені».

Перейдіть до головного меню, щоб видалити події з журналу, клацніть по кнопці «Пуск», виберіть команду «Панель управління», двічі клацніть по значку «Адміністрування». У цьому вікні виберіть значок «Перегляд подій» та клацніть по ньому двічі, або натисніть кнопку Enter.

Відкрийте вікно "Перегляд подій". У дереві цієї консолі виберіть журнал, який потрібно очистити. Перейдіть в меню "Дія", виберіть опцію "Стерти всі події". Щоб зберегти журнал перед очищенням, натисніть кнопку «Так». Якщо журнал зберігається у файлі, його неможливо буде очистити таким чином. Для очищення журналу потрібно видалити файл, у якому він зберігається.

Виконайте видалення записів в операційній системі Windows 7. Для цього перейдіть в головне меню і виберіть "Панель керування", потім виберіть з компонентів панелі опцію "Адміністрація". Далі оберіть адміністративну команду «Перегляд подій».

Далі відкрийте «Консоль управління ММС», клацніть по кнопці «Пуск», введіть у полі пошуку Mmc, натисніть Enter. У меню «Консоль» виберіть «Додати або видалити оснастку» або натисніть комбінацію клавіш Crtl+M. У діалоговому вікні виберіть "Перегляд подій", Натисніть "Додати", далі "Готово" та "ОК".

Клацніть "Пуск", "Виконати", введіть Eventvwr.msc. Далі перейдіть в меню "Дія" команду "Очистити журнал". Щоб зберегти після очищення, виберіть «Зберегти та очистити». Введіть ім'я файлу та натисніть кнопку «Зберегти».

Відео на тему

Сьогодні до складу операційних систем входять спеціальні служби, використовуючи які прикладні та системні програми можуть зберігати дані про свою роботу в спеціальні журнали. Такі журнали називаються логами. З метою безпеки або з міркувань економії місця на диску іноді потрібно почистити логи.

Вам знадобиться

- права адміністратора чи root на локальній машині.

Інструкція

Виберіть розділ логів Windows, який потрібно почистити. Клацніть на іконці «Мій комп'ютер» на робочому столі та виберіть пункт «Керування...» контекстного меню. Або активуйте ярлик «Керування комп'ютером» у папці «Адміністрування» (до неї можна перейти з вікна «Панель керування», яке відкривається за допомогою відповідного пункту розділу «Налаштування» меню «Пуск»). Запуститься консоль MMC.

У дереві «Керування комп'ютером (локальним)» послідовно розгорніть елементи « Службові програми» та «Перегляд подій». Виділяйте вкладені пункти та переглядайте логи. Визначте, які розділи потрібно очистити.

Зі мною ось що відбувається:

до мене мій користувач не приходить,

а ходять у марній метушні

різноманітні не ті…

Що таке журнал подій

Все, що відбувається на під управлінням Windows(Клік , натискання клавіші, запуск програми ...), - це події ( events). Найбільш важливі (з погляду Windows!) події (наприклад, неполадки обладнання, додатків та системи) фіксуються операційною системою в так званих журналах подій.

Як переглянути журнали подій

Windows Vista+: Пуск -> Панель управління -> Адміністрація -> Перегляд подій.

Windows XP: Пуск –> Налаштування –> Панель керування –> Адміністрація –> Перегляд подій(або Пуск -> Виконати ->у вікні Запуск програмиу текстове поле Відкритивведіть eventvwr.msc /s –> натисніть OK).

Основні види журналів:

– журнал додатків(містить дані, що стосуються роботи додатків та програм. Записи цього журналу створюються самими додатками. Події, що вносяться до журналу додатків, визначаються розробниками відповідних додатків);

– журнал безпеки(містить записи про такі події, як успішні та безуспішні спроби доступу до системи, а також про події, що стосуються використання ресурсів, наприклад, про створення, відкриття та видалення файлів та інших об'єктів. Рішення про події, відомості про які заносяться до журналу безпеки , приймає адміністратор.Наприклад, після дозволу аудиту входу в систему відомості про всі спроби входу заносяться до журналу безпеки);

– журнал системи(містить записи про події, внесені компонентами операційної системи Windows. Наприклад, у журналі системи реєструються збої під час завантаження або інших системних компонентів під час запуску системи).

У вікні "Перегляд подій" відображаються події наступних типів:

– помилка(серйозні труднощі, наприклад, втрата даних або функціональності. Якщо відбувається збій завантаження служби під час запуску, в журнал заноситься повідомлення про помилку. Записи про помилки позначаються навколо хрестика всередині);

– попередження(Події, які в момент запису в журнал не були суттєвими, але можуть призвести до складнощів у майбутньому. Наприклад, якщо на диску залишилося мало вільного місця, до журналу заноситься попередження. Попередження відзначаються трикутником зі знаком оклику);

– повідомлення(подія, що описує вдале завершення дії додатком, або службою. Наприклад, після успішного завантаження в журнал заноситься подія повідомлення. Повідомлення відзначаються навколо з "хвостиком" та літерою "i" всередині);

– аудит успіхів(подія, що відповідає успішно завершеній дії, пов'язаній з підтримкою безпеки системи. Наприклад, у разі успішного входу користувача до системи, до журналу заноситься подія з типом «Аудит успіхів»);

– аудит відмов(подія, що відповідає невдало завершеній дії, пов'язаній з підтримкою безпеки системи. Наприклад, у разі невдалої спроби доступу користувача до мережному дискудо журналу заноситься подія типу «Аудит відмов»).

Як використовувати журнали подій для усунення несправностей

Ретельний аналіз журналів подій допомагає запобігти неполадкам у роботі системи та визначити причини їх виникнення. Наприклад, якщо в журналі є попередження про те, що диск вдається вважати або записати якийсь сектор лише після кількох спроб, то, можливо, цей сектор незабаром стане непридатним для використання.

Журнали можуть також допомогти у вирішенні питань, пов'язаних із роботою додатків. Наприклад, якщо якась програма аварійно завершується, у журналі додатків, як правило, є записи про події, що призводять до цього.

Читання журналів подій – святий (щоденний!) обов'язок програмістів та системних адміністраторів. Часто і пересічному користувачеві перегляд цих журналів може сильно полегшити життя, зробивши спілкування з під управлінням Windowsбільш приємним та продуктивним!

Примітки

1. Служба журналів подій запускається автоматично під час запуску Windows.

Операційна система Windows 7 постійно стежить за різними цікавими подіями, що виникають у вашій системі. У Microsoft Windows подія (event)- це будь-яка подія в операційній системі, яка записується в журнал або потребує сповіщення користувачів або адміністраторів. Це може бути служба, яка не хоче запускатися, встановлення пристрою або помилка в роботі програми. Події реєструються та зберігаються в журналах подій Windows і надають важливі хронологічні відомості, які допомагають вести моніторинг системи, підтримувати її безпеку, усувати помилки та діагностувати. Необхідно регулярно аналізувати інформацію, що міститься у цих журналах. Вам слід регулярно стежити за журналами подій та налаштовувати операційну систему на збереження важливих системних подій. У тому випадку, якщо ви адміністратор серверів Windows, необхідно стежити за безпекою їх систем, нормальної роботою додатків і сервісів, і навіть перевіряти сервер на наявність помилок, здатних погіршити продуктивність. Якщо ви користувач персонального комп'ютера, то вам слід переконатися в тому, що вам доступні відповідні журнали, необхідні для підтримки своєї системи та усунення помилок.

Програма «Перегляд подій»є оснасткою консолі керування Microsoft (MMC) і призначена для перегляду та керування журналами подій. Це незамінний інструмент для спостереження за працездатністю системи та усунення несправностей. Служба Windows, яка керує протоколюванням подій, називається "Журнал подій". Якщо запущено, Windows записує важливі дані в журнали. За допомогою програми «Перегляд подій»ви можете виконувати такі дії:

переглядати події певних журналів;
Застосовувати фільтри подій і зберігати їх для подальшого використання у вигляді уявлень, що настроюються;
Створювати підписки на події та керувати ними;
Призначати виконання конкретних дій виникнення певного події.

Запуск програми «Перегляд подій»

додаток «Перегляд подій»можна відкрити такими способами:

Рис.1. Вікно "Перегляд подій"

Журнали подій у Windows 7

В операційній системі Windows 7, так само як і в Windows Vista, існують дві категорії журналів подій: журнали Windowsі журнали додатків та служб. Журнали Windows- використовуються операційною системою для реєстрації загальносистемних подій, пов'язаних із роботою додатків, системних компонентів, безпекою та запуском. А журнали додатків та служб- використовуються додатками та службами для реєстрації подій, пов'язаних із їх роботою. Для керування журналами подій можна використовувати оснащення «Перегляд подій»або програму командного рядка wevtutil, про яку буде розказано у другій частині статті Усі типи журналів описані нижче:

додаток- Зберігає важливі події, пов'язані з конкретним додатком. Наприклад, Exchange Server зберігає події, які стосуються пересилання пошти, у тому числі події інформаційного сховища, поштових скриньокі запущених служб. За замовчуванням міститься в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Безпека- зберігає події, пов'язані з безпекою, такі як вхід/вихід із системи, використання привілеїв та звернення до ресурсів. За замовчуванням міститься в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Встановлення- в цей журнал записуються події, що виникають під час встановлення та налаштування операційної системи та її компонентів. За замовчуванням розміщується в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Система- зберігає події операційної системи або її компонентів, наприклад, невдачі при запусках служб або ініціалізації драйверів, загальносистемні повідомлення та інші повідомлення, що стосуються системи в цілому. За замовчуванням міститься в %SystemRoot%\System32\Winevt\Logs\System.Evtx

Пересилаються події- якщо налаштовано пересилання подій, до цього журналу потрапляють події, що пересилаються з інших серверів. За замовчуванням міститься в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer - в цей журнал записуються події, що виникають при налаштуванні та роботі з браузером Internet Explorer. За замовчуванням міститься в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- В цьому журналі реєструються події, пов'язані з використанням оболонки PowerShell. За замовчуванням розміщується в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Події обладнання- якщо настроєно реєстрацію подій обладнання, цей журнал записуються події, що генеруються пристроями. За замовчуванням міститься в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

У Windows 7 інфраструктура, що забезпечує реєстрацію подій, заснована також як і Windows Vista на XML. Дані про кожну подію відповідають XML-схемі, що дозволяє отримати доступ до XML-коду будь-якої події. Крім того, можна створювати базовані на запити XML для отримання даних з журналів. Для використання цих нових можливостей не потрібні знання про XML. Оснащення «Перегляд подій»надає простий графічний інтерфейсдоступу до цих можливостей.

Властивості подій

Існує кілька властивостей подій оснастки «Перегляд подій», які докладно описані трохи нижче:

Джерело- Це програма, що зареєструвала подію в журналі. Це може бути як ім'я програми (наприклад, Exchange Server), так і назва компонента системи або великого додатку(наприклад, ім'я драйвера). Наприклад, "Elnkii" означає драйвер EtherLink II.

Код події- Це число, що визначає конкретний тип події. У першому рядку опису зазвичай міститься назва типу події. Наприклад, 6005 - це ідентифікатор події, що відбувається під час запуску служби ведення журналів подій. Відповідно, на початку опису цієї події знаходиться рядок «Запущено службу журналу подій». Код події та ім'я джерела запису можуть використовуватись представниками групи підтримки програмного продуктудля усунення несправностей.

Рівень- Це рівень важливості події. У журналах системи та додатків події можуть мати такі рівні важливості:

повідомлення- позначає зміну в додатку або компоненті, таке як виникнення інформаційної події, пов'язаної з успішною дією, створення ресурсу або запуск служби.
Попередження- позначає попередження загального характеру на неполадку, здатну вплинути на службу або призвести до серйознішої проблеми, якщо залишити її поза увагою;
Помилка- означає, що виникла проблема, яка може вплинути на функції, зовнішні стосовно додатка або компонента, що викликав подію;
Критична помилка- означає, що стався збій, після якого додаток або компонент, що ініціювали подію, не можуть відновитися автоматично;
Аудит успіхів- успішне виконання дій, які ви відстежуєте через аудит, наприклад використання будь-якого привілею;
Аудит відмов- невдале виконання дій, які ви відстежуєте через аудит, наприклад, помилка при вході в систему.

Користувач- визначає обліковий запис користувача, від імені якого виникла ця подія. До користувачів належать особливі сутності, наприклад, Local Service, Network Service та Anonymous Logon, а також облікові записи реальних користувачів. Це ім'я є ідентифікатором клієнта, якщо подія фактично була викликана серверним процесом, або основний ідентифікатор, якщо уособлення не проводиться. У деяких випадках запис журналу безпеки містить обидва ідентифікатори. А також у цьому полі може стояти N/A (Н/Д), якщо у цій ситуації обліковий записне застосовується. Уособлення відбувається у випадках, коли сервер дозволяє одному процесу присвоїти атрибути безпеки іншого процесу.

Робочий код- Містить числове значення, яке визначає операцію або точку в межах операції, при виконанні якої виникла дана подія. Наприклад, ініціалізація чи закриття.

Журнал- Ім'я журналу, в який було записано цю подію.

Категорія та завдання- визначає категорію події, що іноді використовується для подальшого опису допустимої дії. Кожен джерело подій має свої категорії. Наприклад, такі категорії: вхід/вихід, використання привілеїв, зміна політики та керування обліковим записом.

Ключові слова- це набір категорій або позначок, які можуть використовуватись для фільтрації або пошуку подій. Наприклад: Мережа, Безпека або Ресурс не знайдено.

Комп'ютер- ідентифікує ім'я комп'ютера, де сталася подія. Зазвичай це ім'я локального комп'ютера, але також може бути ім'я комп'ютера, що переслав подію, або ім'я локального комп'ютера, перш ніж вона була змінена.

дата та час- визначає дату та час виникнення цієї події в журналі.

ВД процесу- представляє ідентифікаційний номер процесу, який створив цю подію. Комп'ютерна програмапредставляє собою лише пасивну сукупність інструкцій, тоді як процес — це безпосереднє виконання цих інструкцій

ВД потоку- представляє ідентифікаційний номер потоку, який створив цю подію. Процес, породжений в операційній системі, може складатися з кількох потоків, що виконуються «паралельно», тобто без вказаного порядку в часі. За виконання деяких завдань такий поділ може досягти більш ефективного використання ресурсів обчислювальної машини.

ВД процесора- Подає ідентифікаційний номер процесора, який обробив подію.

Код сеансу- це ідентифікаційний номер сеансу на сервері терміналів, у якому сталася подія.

Час роботи у режимі ядра- визначає час, витрачений виконання інструкцій режиму ядра, в одиницях часу ЦП. Режим ядра має необмежений доступ до системної пам'ятіі зовнішнім пристроям. Ядро системи NT називають гібридним ядром чи макроядром.

Час роботи в режимі користувача- визначає час, витрачений виконання інструкцій користувальницького режиму, в одиницях часу ЦП. Режим користувача складається з підсистем, які передають запити вводу/виводу відповідному драйверу режиму ядра за допомогою менеджера Введення-виводу.

Завантаженість процесора- цей час, витрачений на виконання інструкцій режиму користувача, в тиках ЦП.

Код кореляції- Визначає дію в процесі, для якого використовується подія. Цей код використовується для вказівки простих стосунків між подіями. Кореляція — статистична взаємозв'язок двох чи кількох випадкових величин (чи величин, які можна з деякою допустимою мірою точності вважати такими). При цьому зміни однієї або декількох з цих величин призводять до систематичної зміни іншої або інших величин.

ВД відносної кореляції- визначає відносну дію у процесі, для якого використовується подія

Робота з журналами подій

Перегляд подій

На наступному скріншоті можна побачити журнал «Додатки», в якому можна дізнатися відомості про події, недавні уявлення та доступні дії. Щоб переглянути події журналу програм, виконайте такі дії:

У дереві консолі виберіть «Журнали Windows»;
Виберіть журнал «Додатки».

Бажано частіше переглядати журнали подій "Додаток"і "Система"та вивчати існуючі проблеми та попередження, які можуть віщувати про проблеми в майбутньому. Під час вибору журналу в середньому вікні відображаються доступні події, включаючи дату події, час та джерело, рівень події та інші дані.

Панель «Область перегляду»показує основні дані про події на вкладці «Загальні», а додаткові специфічні дані – на вкладці «Подробиці». Увімкнути та вимкнути цю панель можна, вибравши меню "Вид", а потім команду «Область перегляду».

Для критичних систем рекомендується зберігати журнали останні кілька місяців. Весь час призначати журналам такий розмір, щоб у них уміщалася вся інформація, як правило, незручно, вирішити це завдання можна по-іншому. Можна експортувати журнали до файлів, розміщених у заданій папці. Щоб зберегти вибраний журнал, виконайте такі дії:

У дереві консолі виберіть журнал подій, який потрібно зберегти;
Виберіть команду «Зберегти події як»з меню "Дія"або з контекстного меню журналу виберіть команду "Зберегти всі події як";
У діалозі, що з'явився "Зберегти як"виберіть папку, до якої потрібно зберегти файл. Якщо потрібно зберегти файл у новій папці, її можна створити безпосередньо з цього діалогу, використовуючи контекстне меню або кнопку "Нова папка"на панелі дій. В полі "Тип файлу"потрібно вибрати бажаний формат файлу з доступних: файли подій - *.evtx, xml-файл - *.xml, текст з поділом табуляції - *.txt, csv з розділенням комами - *.csv. В полі "Ім'я файлу"введіть ім'я та натисніть кнопку «Зберегти». Щоб скасувати збереження, натисніть кнопку "Відміна";
Якщо журнал подій не призначений для перегляду на іншому комп'ютері, у діалоговому вікні «Відображати відомості»залиште заданий за умовчанням варіант "Не відображати відомості", а якщо журнал призначається для перегляду на іншому комп'ютері, то у діалоговому вікні «Відображати відомості»виберіть варіант "Відображати відомості для наступних мов"та натисніть на кнопку "ОК".

Очищення журналу подій

Встановлення максимального розміру журналу

Як було сказано вище, журнали подій зберігаються у вигляді файлів у папці %SystemRoot%\System32\Winevt\Logs\. За замовчуванням максимальний розмір цих файлів обмежений, але його можна змінити в такий спосіб:

Події зберігаються у файлі журналу, розмір якого може збільшуватися лише до максимального значення. Після досягнення файлом максимального розміру, обробка подій буде визначатися політикою зберігання журналів. Доступні такі політики збереження журналу:

Переписувати події за потреби (спочатку старі файли)- у разі нові записи продовжують заноситись у журнал після його заповнення. Кожна нова подія замінює в журналі найстарішу;

Архівувати журнал під час заповнення; не переписувати події- у цьому випадку файл журналу автоматично архівується за потреби. Перезапис застарілих подій не виконується.

Чи не переписувати події (очистити журнал вручну)- у цьому випадку журнал очищається вручну, а не автоматично.

Щоб вибрати потрібну політику збереження журналів, виконайте такі дії:

У дереві консолі виберіть журнал подій, для якого потрібно змінити розмір;
Виберіть команду «Властивості»з меню "Дія"або з контекстного меню вибраного журналу;
На вкладці «Загальні», в розділі «При досягненні максимального розміру»виберіть потрібний параметр і натисніть кнопку "ОК".

Активація аналітичного та налагоджувального журналу

Аналітичний та налагоджувальний журнал за замовчуванням неактивні. Після активації вони швидко заповнюються великою кількістюподій. З цієї причини бажано активувати зазначені журнали на обмежений період часу для того, щоб зібрати необхідні для пошуку та усунення несправностей дані, а потім знову їх вимкнути. Активацію журналів можна виконати так:

У дереві консолі знайдіть і виберіть аналітичний або налагоджувальний журнал, який потрібно активувати;
Виберіть команду «Властивості»з меню "Дія"або з контекстного меню вибраного аналітичного або налагоджувального журналу;
На вкладці «Загальні»встановіть прапорець на опції "Включити ведення журналу"

Відкриття та закриття збереженого журналу

За допомогою оснастки «Перегляд подій»можна відкривати та переглядати збережені раніше журнали. Одночасно можна відкрити кілька збережених журналів та звертатися до них у будь-який час у дереві консолі. Журнал, відкритий у «Перегляд подій», може бути закритий без видалення відомостей, що містяться в ньому. Щоб відкрити збережений журнал, виконайте такі дії:

Щоб видалити відкритий журнал дерева подій, виконайте такі дії:

Висновок

У цій частині статті, присвяченій оснащенню «Перегляд подій», розповідається про саме оснащення та детально описані найпростіші операції, пов'язані з моніторингом та обслуговуванням системи за допомогою «Перегляду подій». Наступна частина статті буде розрахована для досвідчених користувачів Windows. У ній будуть описані завдання з настроюванням, фільтрація, угруповання/сортування подій і управління підписками.

× Увага!
Увійдіть під своїм обліковим записом сайт або Створіть його , щоб отримати повний доступ до нашого сайту. Реєстрація дасть вам можливість додавати новини, коментувати статті, спілкуватися з іншими користувачами та багато іншого.

Інші матеріали

Будь-яка сучасна ОС із графічним інтерфейсом заснована на подіях. Те саме стосується і програмного забезпеченнядля таких ОС розробленого. Подія – наріжний камінь цієї інфраструктури. Під подіями розуміються не тільки інтерактивні дії користувача, але й результати різноманітних системних процесів, прихованих від очей, що натискає на кнопки і клацає по клавішах оператора системи.

Події бувають вбудовані, тобто такі, що зумовлені архітектурою, і створювані адміністратором чи розробником. У нашій статті ми розглянемо класифікацію подій Windows, засоби їх журналювання та перегляду, а також методи роботи з ними.

Інтерфейс для перегляду подій, що відбулися в системі, носить назву «системного журналу». Записи в журналі створюються в результаті деяких дій програм або користувачів, які зарезервовані ОС як події. Зрозуміло, не кожна дія фіксується у журналі. Для цього їх забагато.

Наприклад, пересування миші хоча б на один піксель уже породжує програмний виняток і потенційно може оброблятися «операційною», що, по суті, і відбувається – такі дії в журнал не потрапляють. А ось попередження системи безпеки – протоколюються, оскільки становлять критично важливі відомості.

Windows припускає тонке налаштуванняпереліку критично важливих системних винятків. До певної міри ви самі вільні вирішувати, що саме протоколювати, а без якоїсь інформації можна й обійтися. Щоб дати вам уявлення про це, перерахуємо деякі зі стандартних операцій із журналом:

Перегляд переліку подій.
Фільтрування переліку за певними критеріями.
Створення «тригерів» реакцій на процеси у системі – так звана «підписка».
Призначення типу реакцію те чи інше подія.

Як здійснити перегляд?

Щоб переглянути вміст журналу, потрібно запустити відповідну програму. Робиться це так:

Переходимо в меню "Пуск" => "Панель управління".
Вибираємо розділ "Адміністрування".
У цьому розділі клацаємо на ім'я компоненти «Перегляд подій».
Запуститься програма з вікном характерного вигляду – так зване «оснащення». Це оснащення і є візуальним інтерфейсом для нашого протоколу.

Того ж можна домогтися, якщо у віконці «Виконати» (викликається з того ж меню «Пуск») набрати команду mmc. Ця команда запустить загальний інтерфейсдля всіх оснасток, в якому потрібно буде перейти в меню «Консоль» => «Додати або видалити оснастку» та з переліку всіх оснасток викликати потрібне. У сьомий версії Windowsвсе це робиться так само, як і в попередній. Віконце "Виконати" можна викликати і за допомогою клавіатурної комбінації "Win" + "R" - результат буде тим же. За підсумками наших маніпуляцій з'явиться таке вікно:

Класифікація подій ОС

Далі ми наведемо класифікацію записів у журналі за їх значенням для користувача. Події діляться на ті, що генеруються операційною системою, і ті, що виходять від додатків і служб. Однак така класифікація не враховує сенсу явищ, що фіксуються. Докладніше їх угруповання виглядає так:

Всі дані зберігаються в популярному формат XMLтому для їх читання та обробки необхідна оболонка на кшталт журналу подій. Безпосередній перегляд подій у системі Windows 7 у файлах хоч і можливий, але вкрай скрутний. Однак займатися цим немає потреби, оскільки журнал подій Windows 7 робить це за нас.

Параметри записів

Кожен запис у журналі ОС Windows має однаковий набір параметрів, що характеризують її властивості: покажчик на джерело походження, спеціальний код, ступінь критичності та багато інших.

Деякі параметри мають сенс для будь-яких подій, інші ж відносяться лише до певних типів. Журнал має меню з безліччю опцій, що спрощують роботу користувача з його записами:

Тепер ви знаєте, як у Windows 7 відкрити журнал подій і що він є.

Це може бути служба, яка не хоче запускатися, встановлення пристрою або помилка в роботі програми. Події реєструються та зберігаються в журналах подій Windows і надають важливі хронологічні відомості, які допомагають вести моніторинг системи, підтримувати її безпеку, усувати помилки та діагностувати. Необхідно регулярно аналізувати інформацію, що міститься у цих журналах. Вам слід регулярно стежити за журналами подій та налаштовувати операційну систему на збереження важливих системних подій. У тому випадку, якщо ви адміністратор серверів, то необхідно стежити за безпекою їх систем, нормальною роботою додатків та сервісів, а також перевіряти сервер на наявність помилок, які можуть погіршити продуктивність. Якщо ви користувач персонального комп'ютера, вам слід переконатися в тому, що вам доступні відповідні журнали, необхідні для підтримки своєї системи та усунення помилок.

Програма "Перегляд подій" є оснасткою консолі керування (MMC) і призначена для перегляду та керування журналами подій. Це незамінний інструмент для спостереження за працездатністю системи та усунення несправностей. Служба, яка керує протоколюванням подій, називається "Журнал подій". Якщо запущено, Windows записує важливі дані в журнали. За допомогою програми "Перегляд подій" можна виконувати такі дії:

переглядати події певних журналів;
Застосовувати фільтри подій і зберігати їх для подальшого використання у вигляді уявлень, що настроюються;
Створювати підписки на події та керувати ними;
Призначати виконання конкретних дій виникнення певного події.

Запуск програми "Перегляд подій"

Програму "Перегляд подій" можна відкрити такими способами:
Натисніть кнопку "Пуск" для відкриття меню, відкрийте "Панель управління", зі списку компонентів панелі управління виберіть "Адміністрування" та зі списку адміністративних компонентів варто вибрати "Перегляд подій";
Відкрийте "Консоль керування MMC". Для цього натисніть кнопку "Пуск", у полі пошуку введіть mmc, а потім натисніть кнопку "Enter". Відкриється порожня консоль MMC. У меню "Консоль" виберіть "Додати або видалити оснастку" або скористайтеся комбінацією клавіш Ctrl+M. У діалозі "Додавання та видалення оснасток" оберіть оснастку "Перегляд подій" і натисніть кнопку "Додати". Потім натисніть кнопку "Готово", а після цього - кнопку "ОК";
Скористайтеся комбінацією клавіш WIN+R для відкриття діалогу "Виконати". У діалоговому вікні "Виконати", в полі "Відкрити" введіть eventvwr.msc і натисніть на кнопку "ОК"; на панель завдань та дивіться цей журнал.

Журнали подій у Windows 7

В операційній системі , так само як і в Windows Vista, існують дві категорії журналів подій: журнали та журнали додатків і служб. Журнали - використовуються операційною системою для реєстрації загальносистемних подій, пов'язаних із роботою додатків, системних компонентів, безпекою та запуском. А журнали додатків та служб - використовуються додатками та службами для реєстрації подій, пов'язаних з їхньою роботою. Для керування журналами подій можна використовувати оснастку "Перегляд подій" або програму командного рядка wevtutil, про яку буде розказано в другій частині статті. Усі типи журналів описані нижче:
Програма - зберігає важливі події, пов'язані з конкретним додатком. Наприклад, Exchange Server зберігає події, які стосуються пересилання пошти, у тому числі події інформаційного сховища, поштових скриньок та запущених служб. За замовчуванням міститься в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Internet Explorer- у цей журнал записуються події, що виникають під час налаштування та роботи з браузером Internet Explorer. За замовчуванням міститься в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

У Windows 7 інфраструктура, що забезпечує реєстрацію подій, заснована також як і Windows Vista на XML. Дані про кожну подію відповідають XML-схемі, що дозволяє отримати доступ до XML-коду будь-якої події. Крім того, можна створювати базовані на запити XML для отримання даних з журналів. Для використання цих нових можливостей не потрібні знання про XML. Оснащення "Перегляд подій" надає простий графічний інтерфейс для доступу до цих можливостей.

Властивості подій

Існує кілька властивостей подій оснастки "Перегляд подій", які докладно описані нижче:
Джерело - це програма, що зареєструвала подію у журналі. Це може бути як ім'я програми (наприклад, Exchange Server), так і назва компонента системи або великої програми (наприклад, ім'я драйвера). Наприклад, "Elnkii" означає драйвер EtherLink II.

Код події- Це число, що визначає конкретний тип події. У першому рядку опису зазвичай міститься назва типу події. Наприклад, 6005 - це ідентифікатор події, що відбувається під час запуску служби ведення журналів подій. Відповідно, на початку опису цієї події знаходиться рядок "Запущено службу журналу подій". Код події та ім'я джерела запису можуть використовуватися представниками групи підтримки програмного продукту для усунення несправностей.

повідомлення- позначає зміну в додатку або компоненті, таке як виникнення інформаційної події, пов'язаної з успішною дією, створення ресурсу або запуск служби.
Попередження- позначає попередження загального характеру на неполадку, здатну вплинути на службу або призвести до серйознішої проблеми, якщо залишити її поза увагою;
Помилка- означає, що виникла проблема, яка може вплинути на функції, зовнішні стосовно додатка або компонента, що викликав подію;
Критична помилка- означає, що стався збій, після якого додаток або компонент, що ініціювали подію, не можуть відновитися автоматично;
Аудит успіхів- успішне виконання дій, які ви відстежуєте через аудит, наприклад використання будь-якого привілею;
Аудит відмов- невдале виконання дій, які ви відстежуєте через аудит, наприклад, помилка при вході в систему.
Користувач- визначає обліковий запис користувача, від імені якого виникла ця подія. До користувачів належать особливі сутності, наприклад, Local Service, Network Service та Anonymous Logon, а також облікові записи реальних користувачів. Це ім'я є ідентифікатором клієнта, якщо подія фактично була викликана серверним процесом, або основний ідентифікатор, якщо уособлення не проводиться. У деяких випадках запис журналу безпеки містить обидва ідентифікатори. А також у цьому полі може стояти N/A (Н/Д), якщо обліковий запис не застосовується в даній ситуації. Уособлення відбувається у випадках, коли сервер дозволяє одному процесу присвоїти атрибути безпеки іншого процесу.

Журнал- Ім'я журналу, в який було записано цю подію.

Ключові слова- це набір категорій або позначок, які можуть використовуватись для фільтрації або пошуку подій. Наприклад: "Мережа", "Безпека" або "Ресурс не знайдено".

Комп'ютер- ідентифікує ім'я комп'ютера, де сталася подія. Зазвичай це ім'я локального комп'ютера, але може бути ім'я комп'ютера, що переслав подію, або ім'я локального комп'ютера до того, як вона була змінена.

дата та час- визначає дату та час виникнення цієї події в журналі.

ВД процесу- представляє ідентифікаційний номер процесу, який створив цю подію. Комп'ютерна програма є лише пасивною сукупністю інструкцій, тоді як процес - це безпосереднє виконання цих інструкцій

ВД потоку- представляє ідентифікаційний номер потоку, який створив цю подію. Процес, породжений в операційній системі, може складатися з кількох потоків, що виконуються "паралельно", тобто без вказаного порядку в часі. За виконання деяких завдань такий поділ може досягти більш ефективного використання ресурсів обчислювальної машини.

ВД процесора- Подає ідентифікаційний номер процесора, який обробив подію.

Код сеансу- це ідентифікаційний номер сеансу на сервері терміналів, у якому сталася подія.

Час роботи у режимі ядра- визначає час, витрачений виконання інструкцій режиму ядра, в одиницях часу ЦП. Режим ядра має необмежений доступ до системної пам'яті та зовнішніх пристроїв. Ядро системи NT називають гібридним ядром чи макроядром.

Завантаженість процесора- цей час, витрачений на виконання інструкцій режиму користувача, в тиках ЦП.

Код кореляції - визначає дію у процесі, котрій використовується подія. Цей код використовується для вказівки простих стосунків між подіями. Кореляція - статистична взаємозв'язок двох чи кількох випадкових величин (чи величин, які можна з деякою допустимою мірою точності вважати такими). При цьому зміни однієї або декількох з цих величин призводять до систематичної зміни іншої або інших величин.

ВД відносної кореляції- визначає відносну дію у процесі, для якого використовується подія

Робота з журналами подій:

Перегляд подій
Щоб переглянути події журналу програм, виконайте такі дії:
У дереві консолі виберіть "Журнали Windows";
Виберіть "Програми".

Бажано частіше переглядати журнали подій "Додаток" та "Система" і вивчати існуючі проблеми та попередження, які можуть віщувати про проблеми в майбутньому. Під час вибору журналу в середньому вікні відображаються доступні події, включаючи дату події, час та джерело, рівень події та інші дані.

Панель "Область перегляду" показує основні дані про події на вкладці "Загальні", а додаткові специфічні дані - на вкладці "Подробиці". Увімкнути та вимкнути цю панель можна, вибравши меню "Вигляд", а потім "Область перегляду".

У дереві консолі виберіть журнал подій, який потрібно зберегти;
Виберіть "Зберегти події як" з меню "Дія" або з контекстного меню журналу виберіть "Зберегти всі події як";
У діалозі "Зберегти як", що з'явився, виберіть папку, в яку повинен бути збережений файл. Якщо потрібно зберегти файл у новій папці, її можна створити безпосередньо з цього діалогу, використовуючи контекстне меню або кнопку "Нова папка" на панелі дій. У полі "Тип файлу" потрібно вибрати бажаний формат файлу з доступних: файли подій - *.evtx, xml-файл - *.xml, текст з поділом табуляції - *.txt, csv з розділенням комами - *.csv. У полі "Ім'я файлу" введіть ім'я та натисніть кнопку "Зберегти". Щоб скасувати збереження, натисніть кнопку "Скасувати";
Якщо журнал подій не призначений для перегляду на іншому комп'ютері, у діалоговому вікні "Відображати відомості" залиште заданий за замовчуванням варіант "Не відображати відомості", а якщо журнал призначається для перегляду на іншому комп'ютері, то в діалоговому вікні "Відображати відомості" " виберіть "Відображати відомості для наступних мов" і натисніть кнопку "ОК".

Очищення журналу подій

Іноді доводиться очищати заповнені журнали подій для забезпечення ефективного аналізу попереджень та критичних помилок операційної системи. Щоб очистити вибраний журнал, виконайте такі дії:
У дереві консолі виберіть журнал подій, який потрібно очистити;
Очистіть журнал одним із таких способів:
У меню "Дія" виберіть "Очистити журнал".

На вибраному журналі натисніть правою кнопкою, щоб відкрити контекстне меню. У контекстному меню виберіть "Очистити журнал"
Далі можна або очистити журнал, або заархівувати його у тому випадку, якщо це не було зроблено раніше:
Щоб очистити журнал подій без збереження, натисніть кнопку "Очистити";
Щоб очистити журнал подій після його збереження, натисніть кнопку "Зберегти та очистити". У діалозі "Зберегти як", що з'явився, виберіть папку, в яку повинен бути збережений файл. Якщо потрібно зберегти файл у новій папці, її можна створити безпосередньо з цього діалогу використовуючи контекстне меню або кнопку "Нова папка" на панелі дій. У полі "Ім'я файлу" введіть ім'я та натисніть кнопку "Зберегти". Для скасування збереження потрібно натиснути кнопку "Скасувати".

Встановлення максимального розміру журналу

Виберіть "Властивості" з меню "Дія" або з контекстного меню вибраного журналу

У полі "Максимальний розмір журналу (КБ)" встановіть потрібне значення за допомогою лічильника або встановіть вручну без використання лічильника. У цьому випадку значення буде заокруглено до найближчого числа, кратного 64 КБ так як розмір файлу журналу повинен бути кратний 64 КБ і не може бути меншим за 1024 КБ.
Події зберігаються у файлі журналу, розмір якого може збільшуватися лише до максимального значення. Після досягнення файлом максимального розміру, обробка подій, що надходять, визначатиметься політикою зберігання журналів. Доступні такі політики збереження журналу:
Переписувати події за потреби (спочатку старі файли) - у разі нові записи продовжують заноситись у журнал після його заповнення. Кожна нова подія замінює в журналі найстарішу;

Архівувати журнал під час заповнення; не переписувати події - файл журналу автоматично архівується при необхідності. Перезапис застарілих подій не виконується.

Чи не переписувати події (очистити журнал вручну) - у цьому випадку журнал очищається вручну, а не автоматично.

Щоб вибрати потрібну політику збереження журналів, виконайте такі дії:

У дереві консолі виберіть журнал подій, для якого потрібно змінити розмір;
Виберіть "Властивості" з меню "Дія" або з контекстного меню вибраного журналу;
На вкладці "Загальні" у розділі "При досягненні максимального розміру" виберіть потрібний параметр і натисніть кнопку "ОК".
Активація аналітичного та налагоджувального журналу

Аналітичний та налагоджувальний журнал за замовчуванням неактивні. Після активації вони швидко заповнюються великою кількістю подій. З цієї причини бажано активувати зазначені журнали на обмежений період часу для того, щоб зібрати необхідні для пошуку та усунення несправностей дані, а потім знову їх вимкнути. Активацію журналів можна виконати так:

У дереві консолі знайдіть і виберіть аналітичний або налагоджувальний журнал, який потрібно активувати;
Виберіть команду "Властивості" з меню "Дія" або з контекстного меню вибраного аналітичного або налагоджувального журналу;
На вкладці "Загальні" встановіть прапорець на опції "Увімкнути ведення журналу"

Відкриття та закриття збереженого журналу

За допомогою оснастки "Перегляд подій" можна відкривати та переглядати збережені раніше журнали. Одночасно можна відкрити кілька збережених журналів та звертатися до них у будь-який час у дереві консолі. Журнал, відкритий у "Перегляд подій", може бути закритий без видалення відомостей, що містяться в ньому. Щоб відкрити збережений журнал, виконайте такі дії:

Виберіть "Відкрити збережений журнал" у меню "Дія" або з контекстного меню в дереві консолі;
У діалоговому вікні "Відкрити збережений журнал", пересуваючись по дереву каталогів, відкрийте папку, яка містить потрібний файл. За промовчанням у діалоговому вікні буде виведено всі файли журналів подій. Також під час відкриття можна вибрати тип файлів, які потрібно відображати у діалозі відкриття. Доступні типи файлів: файли журналу подій (*.evtx, *.evt, *.etl), а також файли подій (*.evtx), старі файли подій (*.evt) або файли журналу трасування (*.etl). Після того, як потрібний файл журналу буде знайдено, виділіть його, клацнувши на ньому лівою кнопкою миші, що помістить його ім'я в рядок для введення імені файлу та натисніть кнопку "Відкрити"

У діалоговому вікні "Відкрити збережений журнал" у полі "Ім'я" введіть нове ім'я, яке буде використовуватися для журналу в дереві консолі. Воно використовується тільки для представлення журналу в дереві консолі і ім'я файлу журналу при цьому не змінюється Можна також використовувати ім'я журналу. У полі "Опис" введіть опис журналу. Воно буде відображатись у центральній області при виділенні батьківської папки журналу у дереві консолі;
Щоб створити папку, в якій буде розміщено збережений журнал, натисніть кнопку "Створити папку". У полі "Ім'я" введіть ім'я папки, в якій буде відкритий журнал, а потім натисніть кнопку "ОК". Якщо батьківська папка не вибрано, Нова папкабуде розташована в папці "Збережені журнали"

Для того, щоб відкритий журнал подій став недоступним для інших користувачів комп'ютера, можна зняти прапорець "Всі користувачі". Якщо цей прапорець залишиться активним, відкритий журнал буде доступний всім користувачам, але для його видалення з дерева консолі потрібні права адміністратора;
Щоб відкрити журнал, натисніть кнопку "ОК".
Щоб видалити відкритий журнал дерева подій, виконайте такі дії:

У дереві консолі виберіть журнал, який потрібно видалити;
Виберіть "Видалити" з меню "Дія" або з контекстного меню вибраного журналу

У діалозі "Перегляд подій" натисніть кнопку "Так".

Висновок

У цій частині статті, присвяченій оснащенню "Перегляд подій", розповідається про саме оснащення та детально описані найпростіші операції, пов'язані з моніторингом та обслуговуванням системи за допомогою "Перегляду подій".

Це цікаво: