لائحة الطعام
مجاني
تحقق في
الرئيسية  /  الملاحين / باستخدام سجل الأحداث في ويندوز. عرض الأحداث في سجل أحداث نظام Windows Vista Windows 8.1 أين يقع

باستخدام سجل الأحداث في Windows. عرض الأحداث في سجل أحداث نظام Windows Vista Windows 8.1 أين يقع

Windows هو نظام تشغيل معقد إلى حد ما وتتبع جميع العمليات، بما في ذلك الأخطاء، من الصعب لمستخدم عديم الخبرة.

لهذه الأغراض في نظام التشغيل نفسه قدمت تسجيل الدخول إجمالي غير صحيح وجميع الإجراءات في النظام. يمكنك عرض وعرض هذا البروتوكول وعرض هذا البروتوكول باستخدام عارض الأحداث Windows.

عرض عرض عرض ويندوز

عرض معلومات حول عمليات نظام التشغيل بطريقتين:

  • مع CMD ( سطر الأوامر);
  • عبر لوحات التحكم.

يمكنك استخدام سلسلة CMD للاتصال مزيج من مفاتيح Win + R أو اجتياز السلسلة الشهيرة: ابدأ - جميع البرامج - معيار - سطر الأوامر.

في النافذة التي تفتح، أدخل التسلسل eventvwr.msc.

إما، من خلال البداية - لوحة التحكم - النظام والخدمة - الادارة.

سيتم عرض النافذة الرئيسية للأداة المساعدة على سطح المكتب. اختر العنصر "".

لا تخف إذا تم اكتشاف الأخطاء في القائمة. حتى في النظام المثالي، يمكن أن تظهر هذه الرسائل. في معظم الحالات، فهي واحدة وتسبب في فشل طفيف في تطبيق التطبيقات.

على الأرجح، لن يقل أوصاف الخطأ أي شيء لمستخدم عادي. يمكن أن تساعد سجلات المشاهدة مسؤول النظام أو المستخدم "المتقدم" لمعرفة فشل النظام الناشئ.

كيفية استخدام عرض

ما هي المعلومات التي يمكنك أن تتعلمها من المجلة؟ إذا أعطى جهاز الكمبيوتر الخاص بك بشكل منهجي أخطاء، نادرا ما يتم إعادة تشغيله أو تعطله "شاشة الموت الزرقاء"، ثم يتم تسجيل جميع الأحداث التي أدت إلى فشل في العمل في النظام. عند عرض المعلومات يمكنك أن تتعلم ما هو الوقت للخدمة أو برنامج التشغيل أو مكون المعدات المسمى خطأ واحد أو آخر. بناء على هذه المعلومات، يمكنك اتخاذ التدابير اللازمة للقضاء على الانتهاكات.

بالإضافة إلى معلومات الخطأ، يمكن أيضا استخدام السجل لأغراض أخرى. إلى أي حدث يحدث في النظام يمكن ربطه أداء مهمة محددةوبعد سيسمح ذلك في المستقبل، إذا حدوث مثل هذا الموقف لإجراء الشرط الوارد تلقائيا.

لهذا، يكفي على أي عنصر من القائمة اتصل بقائمة السياق انقر بزر الماوس الأيمن وحدد العنصر " ربط المهمة».

مسح سجل الأحداث

حذف جميع المعلومات من المجلة لن تكون أي صعوبة. للقيام بذلك، في الكتلة اليسرى من نافذة السجل، حدد عنصر شجرة القائمة المراد تنظيفه، وانقر بزر الماوس الأيمن فوق قائمة السياق - " مجلة واضحة»

مرحبا بالجميع، يجب أن يكون الموضوع كيفية رؤية سجلات Windows. ما تعتقد هذه الأشياء التي يعتقد الجميع، ولكن إذا كانت لديك فجأة مبتدئ، فستكون السجلات أحداث النظام التي تحدث في نظام التشغيل ك Windows و Linux، والذي يساعد على تتبع ما، أين ومتى حدث ذلك ومن فعل ذلك. يجب أن يكون أي مسؤول النظام قادرا على قراءة سجلات Windows.

يمكن أن يكون مثالا للحياة هو الوضع عند واحدة من خوادم IBM، واجهت القرص والدعم الفني، قمت بجمع سجلات الخادم من أجل تشخيص المشكلة. لجمع وإصلاح السجلات في Windows يستجيب عرض خدمة الأحداث. عرض الأحداث هذه أداة إضافية ملائمة للحصول على سجلات النظام.

كيفية فتح في ضوء الأحداث

انتقل إلى الأداة الإضافية للعرض للأحداث يمكن أن تكون بسيطة للغاية ومناسبة لأي إصدار من Windows. اضغط على الأزرار السحرية

Win + R وأدخل EventVwr.msc

ستجد نافذة الحدث عرض Windows الذي تحتاج إليه لنشر سجلات Windows. دعنا نركض على كل من السجلات.

يحتوي سجل التطبيق على سجلات متعلقة بالبرامج الموجودة على جهاز الكمبيوتر الخاص بك. يتم كتابة السجل عند بدء تشغيل البرنامج إذا بدأ مع الخطأ، فسيخضع ذلك أيضا.

هناك حاجة إلى مراجعة المجلة لفهم من ومتى ماذا فعل. على سبيل المثال، دخل النظام أو خرجت، حاول الوصول إلى الوصول إليها. تتم كتابة جميع عمليات التدقيق الناجحة أو الرفض هنا.

عنصر التثبيت، يسجل سجلات Windows أنه وعندما تم تثبيت البرنامج أو التحديث أو التحديث.

المجلة الأكثر أهمية هي نظام. هو مكتوب هنا كل ما هو ضروري وغير مهم. على سبيل المثال، كان لديك شاشة أزرق BSOD، وهذه الرسائل التي يتم إدخالها لمساعدتك في تحديد سببها.

هناك أيضا سجلات Windows للحصول على خدمات أكثر تحديدا، مثل DHCP أو DNS. مشاهدة الأحداث ستعبر كل شيء :).

لنفترض أن لديك أمن أكثر من مليون حدث في مجلتك، بالتأكيد سطرح سؤالا على الفور ما إذا كان هناك ترشيح، كما تنظر من خلال كل من هذه الماسوشية. في عرض الأحداث، تم توفيره، يمكن ترك سجلات Windows مريحا فقط. على اليمين في منطقة العمل، يوجد زر تصفية زر.

سيطلب منك تحديد مستوى الأحداث:

  • حرج
  • خطأ
  • تحذير
  • ذكاء
  • تفاصيل

كل هذا يتوقف على مهمة البحث إذا كنت تبحث عن أخطاء، فلا يوجد أي معنى في أنواع أخرى من الرسائل. يمكن ل NEXT من أجل تضييق موقع عرض الأحداث لتعيين المصدر المرغوب للأحداث والرمز.

لذلك، كما ترون تفكيك سجلات النوافذ ببساطة، نحن نبحث عنه، نجد ذلك، نقرر. يمكن أن يكون أيضا تنظيف سريع مفيد لسجلات Windows:

عرض سجلات Windows PowerShell

سيكون من الغريب إذا تعذر على PowerShell القيام بذلك، لعرض ملفات السجل، وفتح PowerShell وأدخل هذا الأمر

Get-EventLog -Logname "النظام"

نتيجة لذلك، ستتلقى سجل سجل سجلات سجل.

نفس الشيء يمكن القيام به لمجلات أخرى على سبيل المثال التطبيق

Get-EventLog -Logname "التطبيق"

قائمة صغيرة من expreitature

  • معرف الحدث - EventID
  • الكمبيوتر - Machinename.
  • رقم الحدث التسلسلي - البيانات، فهرس
  • فئة المهمة - الفئة
  • كود الفئة - فئة
  • المستوى - EntryType.
  • رسالة الحدث - رسالة
  • المصدر - المصدر
  • تاريخ توليد الأحداث - المبتدئيات، InstoShidid
  • تاريخ تسجيل الأحداث - محول
  • المستخدم - اسم المستخدم.
  • الموقع - الموقع.
  • القسم - كونينر.

على سبيل المثال، من أجل عرض الحدث فقط مع أعمدة "المستوى"، "تاريخ سجل الأحداث"، "رمز الحدث"، "رمز الحدث"، "فئة" و "رسالة الحدث" لسجل النظام، ستنفذ:

Get-EventLog -Logname "النظام" | Format-Table Ententtype، محددة، المصدر، EventID، فئة، رسالة

إذا كنت بحاجة إلى الانسحاب بمزيد من التفصيل، سأحل محل جدول التنسيق في قائمة التنسيق

Get-EventLog -Logname "النظام" | Format- قائمة Enttype، محددة، المصدر، EventID، فئة، رسالة

كما ترون التنسيق أكثر قابلية للقراءة.

يمكنك أيضا تصفية السجلات على سبيل المثال إظهار آخر 20 رسالة

Get-EventLog -Logname "النظام" -Newest 20

منتجات إضافية

يمكنك أيضا أتمتة مجموعة الأحداث، من خلال هذه الأدوات مثل:

  • مجمع مراقبة Zabbix.
  • من خلال نقل الأحداث مع Windows إلى خادم جامع
  • من خلال مجمع تدقيق Netwrix
  • إذا كان لديك SCOM، فيمكنها إجمال أي سجلات من منصات Windows
  • أي نظام DLP.

لذلك اخترت لك عرض الأحداث أو PowerShell لعرض أحداث Windows، هذا هو عملك. مواد الموقع

سجلات عرض عن بعد

  • الطريقة الأولى

منذ وقت ليس ببعيد، في نظام التشغيل Windows Server 2019 الذي يظهر، ظهر مكون من الإدارة عن بعد مركز إدارة Windows. يسمح لك بإجراء جهاز التحكم عن بعد لجهاز الكمبيوتر أو الخادم، لقد أخبرته بالفعل بمزيد من التفاصيل. هنا أريد أن أظهر أن وضعه في محطة العمل الخاصة بي، يمكنك الاتصال من المتصفح إلى أجهزة كمبيوتر أخرى وعرض سجلات الأحداث بسهولة، وبالتالي تعلم سجلات Windows. في المثال الخاص بي سيكون هناك خادم svt2019s01، نجدها في القائمة المتاحة والاتصال (نذكرك بإنشاء تكوين شبكة عن بعد في Windows).

بعد ذلك، يمكنك تحديد علامة التبويب "الأحداث"، واختر السجل المطلوب، في مثالي أريد أن أرى كل سجلات على النظام. من وجهة نظري، يبحث كل شيء على كل شيء أكثر ملاءمة من الأحداث المشاهدة. ستكون ميزة ما يمكنك القيام به من أي هاتف أو جهاز لوحي. في الزاوية اليمنى يوجد شكل مناسب من البحث

إذا كنت بحاجة إلى إنتاج تصفية أكثر دقة من السجلات، فيمكنك استخدام زر المرشح.

هنا يمكنك أيضا اختيار مستوى الحدث، على سبيل المثال، ترك فقط حرجة وأخطاء، تعيين نطاق زمني ورمز الحدث والمصدر.

فيما يلي مثال على التصفية في حدث 19.

من المريح للغاية تصدير تسجيل الدخول بالكامل بتنسيق EVXT، والذي من السهل فتحه من خلال سجل الأحداث. بحيث يكون مركز إدارة Windows أداة قوية لعرض سجلات.

  • الطريقة الثانية

الطريقة الثانية مناظر عن بعد من سجلات Windows هي استخدام كمبيوتر التحكم في الوصول أو نفس "عرض الأحداث". لعرض سجلات Windows على كمبيوتر أو خادم آخر، في النقر الأيمن الأيمن وحدد من قائمة السياق "".

حدد اسم كمبيوتر آخر، في مثالي سيكون SVT2019S01

إذا كان كل شيء جيدا ولا توجد أقفال من جدار الحماية أو مكافحة الفيروسات، فسوف تحصل على المشاهدة عن بعد للأحداث. إذا كانت هناك أقفال، فستتلقى رسالة حسب النوع الذي لا يطير حركة المرور COM + حركة المرور.

أود أيضا أن أشير إلى أن هناك سجلات كاملة من مجمع السجل، مثل Zabbix أو SCOM، ولكن هذا هو مستوى آخر من المهام ..

تم تنفيذ حالة عرض الحدث الكلاسيكي ككائن ACTIX في ملف C: \\ Windows \\ System32 \\ Els.dll. إذا قمت بالتسجيل، فستحصل على المفاجئة عارض الأحداث. لنظام Microsoft Management Console (MMC). اتبع الإرشادات أدناه لمعرفة كيف يمكن القيام به.

  1. افتح نافذة سطر الأوامر (اضغط على WIN + X على مفتاح لوحة المفاتيح وحدد - "موجه الأوامر (المسؤول).
  2. أدخل الأمر التالي regsvr32 els.dll

    سوف تتلقى رسالة "dllregisterserver في els.dll لقد نجحت." انقر فوق الزر "موافق" لإغلاقه.

  3. العودة إلى نافذة الأوامر وأدخل mMC.ثم اضغط على زر ENTER. سيكون تطبيق Microsoft Management Console مفتوحا. اختر عنصر القائمة ملف - إضافة / إزالة المفاجئة أو اضغط على مجموعة المفاتيح CTRL + M. على لوحة المفاتيح.
    في القائمة الموجودة على اليسار، حدد وانقر فوق الزر "إضافة". في مربع الحوار "حدد الكمبيوتر"، ما عليك سوى النقر فوق "إنهاء".

في مربع الحوار "إضافة أو إزالة Snap-Ins"، انقر فوق "موافق". أصبحت عنصر "الملفات" ... ". هنا يمكنك تغيير رمز الاسم و Console أيقونة قبل حفظه إلى ملف. أنصحك بتغيير وضع وحدة التحكم إلى "وضع المستخدم - الوصول الكامل" وتحقق من المربع الموجود على الخيار "لا تقم بحفظ التغييرات لهذه وحدة التحكم"، تأكيد خلاف ذلك "حفظ التغييرات» في كل مرة سوف تزعجك عند استخدامها.

انقر فوق الزر "موافق" لإغلاق هذه النافذة. في عنصر القائمة، حدد "ملف" - "حفظ" وإعطائه أي اسم ملف (مثل Ceventvwr.msc) وحفظه في مثل هذا المكان مثل C: \\ Windows أو C: Windows \\ System32. يمكنك حفظ الأمر في أي مكان على سطح المكتب الخاص بك، ولكن حفظ ملف في الدليل أعلاه سيسمح لك باستخدامه بسرعة يدخل الاسم في مربع الحوار البدء وليس لديك حتى إدخال المسار الكامل إليه في كل مرة تستخدمه . يمكنك استخدام الملف الذي تم إنشاؤه خصيصا لهذه الوظيفة ويندوز 8..

عرض الأحداث في Windows يعرض التاريخ (سجل) من رسائل النظام والأحداث الناتجة عن أخطاء البرنامج ورسائل المعلومات والتحذيرات. بالمناسبة، يمكن للمحتالين في بعض الأحيان استخدام عرض الأحداث لخداع المستخدمين - حتى على الكمبيوتر الذي يعمل بشكل طبيعي في السجل سيكون هناك دائما رسائل خطأ.

بدء الحدث المشاهدة

من أجل بدء عرض أحداث Windows، اكتب هذه هي أحدث عبارات في البحث أو الانتقال إلى "لوحة التحكم" - "الإدارة" - "عرض الأحداث"

في الواقع، لماذا أكتب عن هذا، مرة واحدة في عرض أحداث Windows، لا يوجد شيء مثير للاهتمام للمستخدم العادي؟ ومع ذلك، يمكن أن تكون هذه الميزة (أو البرنامج، الأداة المساعدة) من Windows مفيدة عندما تكون هناك مشاكل مع جهاز كمبيوتر - عندما تظهر الشاشة الزرقاء من موت Windows عشوائيا، أو يحدث إعادة تشغيل تعسفي - في الحدث، يمكنك العثور على سبب الأحداث وبعد على سبيل المثال، يمكن أن يوفر الخطأ في سجل النظام معلومات حول ما إذا كان برنامج التشغيل قد تسبب في فشل الإجراءات اللاحقة لتصحيح الموقف. فقط ابحث عن الخطأ الذي نشأ في وقت واحد عند إعادة تشغيل الكمبيوتر أو معلقة أو عرض الشاشة الزرقاء للموت - سيتم تمييز الخطأ بأنه حرج.

هناك تطبيقات أخرى للعرض الأحداث. على سبيل المثال، يقوم Windows بسجل الحمل الكامل لنظام التشغيل. أو، إذا كان الخادم موجودا على جهاز الكمبيوتر الخاص بك، فيمكنك تمكين سجل الأحداث الإيقاف وإعادة تشغيل إعادة التشغيل - كلما سيؤدي شخص ما إلى إيقاف تشغيل الكمبيوتر، وستحتاج إلى إدخال سبب هذا، ويمكنك عرض جميع إيقاف التشغيل وإعادة التشغيل لاحقا أسباب الحدث.

بالإضافة إلى ذلك، يمكنك استخدام الحدث عرض معا مع جدولة المهام - انقر بزر الماوس الأيمن على أي حدث وحدد "إحضار مهمة إلى حدث". كلما حدث هذا الحدث، سيقوم Windows بتشغيل المهمة المناسبة.

يتم مراقبة نظام التشغيل Windows 7 باستمرار بواسطة أحداث الاهتمام اللائق المختلفة الناشئة في نظامك. في Microsoft Windows. الحدث (الحدث) - هذا هو أي حادث في نظام التشغيل، الذي يتم تسجيله في السجل أو يتطلب إعلام المستخدمين أو المسؤولين. يمكن أن يكون هذا خدمة لا تريد أن تبدأ أو تثبيت جهاز أو خطأ في التطبيق. يتم تسجيل الأحداث وحفظها في سجلات أحداث Windows وتوفير معلومات زمنية مهمة للمساعدة في إجراء مراقبة النظام، والحفاظ على سلامتها، والقضاء على الأخطاء وإجراء التشخيص. من الضروري تحليل المعلومات الواردة بانتظام في هذه المجلات. يجب عليك مراقبة سجلات الأحداث بانتظام وتخصيص نظام التشغيل لحفظ أحداث النظام الهامة. في حالة وجود مسؤول Windows Server، فأنت بحاجة إلى اتباع أمان أنظمتها، التشغيل العادي للتطبيقات والخدمات، بالإضافة إلى التحقق من الخادم للحصول على الأخطاء التي يمكن أن تفاقم الأداء. إذا كنت مستخدما لجهاز كمبيوتر شخصي، فيجب عليك التأكد من أنك متوفر للسجلات المناسبة اللازمة لدعم نظامك والقضاء على الأخطاء.

برنامج "عرض الأحداث" يقوم بتدوين وحدة التحكم بالإدارة ل Microsoft (MMC) ومدة عرض سجلات الأحداث وإدارتها. هذه أداة لا غنى عنها لرصد أداء النظام والقضاء على المشاكل. يتم استدعاء خدمة Windows التي تدير تسجيل الأحداث "سجل الأحداث"وبعد في حالة تشغيله، يكتب Windows بيانات مهمة في سجلات. باستخدام البرنامج "عرض الأحداث" يمكنك تنفيذ الإجراءات التالية:

  • عرض أحداث بعض المجلات؛
  • تطبيق مرشحات الأحداث وحفظها للاستخدام اللاحق في شكل تمثيلات مخصصة؛
  • إنشاء اشتراكات للأحداث وإدارةها؛
  • تعيين إجراءات محددة لحدوث حدث معين.

تشغيل تطبيق "عرض الأحداث"

طلب "عرض الأحداث" يمكنك فتح بالطرق التالية:

سجلات الأحداث في نظام التشغيل Windows 7

في نظام التشغيل Windows 7، وكذلك في WINDOSW Vista، هناك فئتان من سجلات الأحداث: سجلات ويندوز و سجلات التطبيق والخدمات. سجلات ويندوز - يستخدم من قبل نظام التشغيل لتسجيل الأحداث على مستوى النظام المرتبط بتشغيل التطبيقات ومكونات النظام والأمان والإطلاق. لكن سجلات التطبيق والخدمات - التطبيقات والخدمات المستخدمة لتسجيل الأحداث المتعلقة بعملهم. لإدارة سجلات الأحداث، يمكنك استخدام المفاجئة "عرض الأحداث" أو برنامج سطر الأوامر wevtutil.والتي سيتم إخبارها في الجزء الثاني من المقال. يتم وصف جميع أنواع السجلات أدناه:

طلب - تخزن الأحداث المهمة المتعلقة بتطبيق معين. على سبيل المثال، يحفظ Exchange Server الأحداث المتعلقة بإعادة توجيه البريد، بما في ذلك أحداث تخزين الأحداث وصناديق البريد وخدمات التشغيل. بشكل افتراضي، يتم وضعه في٪ SystemRoot٪ \\ System32 \\ WINEVT \\ LOGS \\ Application.Evtx.

أمان - تخزن الأحداث المتعلقة بالأمن، مثل في / خارج النظام، واستخدام الامتيازات والوصول إلى الموارد. يتم وضع الافتراضي في٪ SystemRoot٪ \\ System32 \\ WINEVT \\ LOGS \\ Security.evtx

التركيب - سجل سجل الأحداث التي تحدث عند تثبيت نظام التشغيل وتكوين ومكوناتها. يوجد الافتراضي في٪ SystemRoot٪ \\ System32 \\ WINEVT \\ LOGS \\ SETUP.EVTX.

نظام - يخزن أحداث نظام التشغيل أو مكوناتها، مثل الفشل عند بدء تشغيل الخدمات أو تهيئة برامج التشغيل والرسائل على مستوى النظام والرسائل الأخرى المتعلقة بالنظام ككل. يتم وضع الافتراضي في٪ SystemRoot٪ \\ System32 \\ WINEVT \\ LOGS \\ SYSTEM.EVTX

الأحداث المحجوزة - إذا تم تكوين الأحداث، يتم إرسال الأحداث المرسلة من خوادم أخرى إلى هذا السجل. يتم وضع الافتراضي في٪ SystemRoot٪ \\ System32 \\ WINEVT \\ LOGS \\ FIREDDEVENT.EVTX

متصفح الانترنت. - سجل سجل الأحداث التي تحدث عند الإعداد والعمل مع متصفح Internet Explorer. يتم وضع الافتراضي في٪ systemroot٪ \\ System32 \\ WINEVT \\ LOGS \\ InternetExplorer.evtx

ويندوز بوبرشيل. - في هذه المجلة، يتم تسجيل الأحداث المتعلقة باستخدام قذيفة PowerShell. بشكل افتراضي، يقع في٪ SystemRoot٪ \\ System32 \\ Wintvt \\ Logs \\ WindowsPowershwll.evtx

أحداث الحدث - إذا تم تسجيل حدث المعدات، فسيتم تسجيل الأحداث الناتجة عن الأجهزة في هذا السجل. يتم وضع الافتراضي في٪ systemroot٪ \\ System32 \\ WINEVT \\ LOGS \\ hardwareevent.evtx

في نظام التشغيل Windows 7، تستند البنية التحتية التي تضمن تسجيل الأحداث كما في نظام التشغيل Windows Vista على XML. يتوافق البيانات الموجودة على كل حدث مع مخطط XML، والذي يسمح لك بالوصول إلى رمز XML لأي حال من الأحداث. بالإضافة إلى ذلك، يمكنك إنشاء طلبات تستند إلى XML للحصول على بيانات من السجلات. لاستخدام هذه الميزات الجديدة، لا توجد معرفة XML مطلوبة. فرقعة "عرض الأحداث" يوفر واجهة رسومية بسيطة للوصول إلى هذه الميزات.

خصائص الأحداث

هناك العديد من الخصائص للأحداث الأداة الإضافية "عرض الأحداث"التي يتم وصفها بالتفصيل أدناه قليلا:

مصدر - هذا برنامج مسجل حدث في المجلة. يمكن أن يكون هذا اسم البرنامج (على سبيل المثال، "Exchange Server") واسم مكون النظام أو تطبيق كبير (على سبيل المثال، اسم برنامج التشغيل). على سبيل المثال، "Elnkii" تعني سائق Etherlink II.

رمز الحدث - هذا هو رقم يحدد نوع معين من الحدث. يحتوي السطر الأول من الوصف عادة على اسم نوع الحدث. على سبيل المثال، 6005 هو معرف حدث يحدث عند بدء تشغيل خدمة تسجيل الأحداث. وفقا لذلك، في بداية وصف هذا الحدث، هناك سلسلة "خدمة سجل الأحداث". يمكن استخدام رمز الحدث واسم مصدر التسجيل من قبل ممثلي مجموعة دعم البرامج لاستكشاف الأخطاء وإصلاحها.

مستوى - هذا هو مستوى أهمية الحدث. في سجلات النظام والتطبيقات، قد يكون للأحداث مستويات الأهمية التالية:

  • تنبيه - يدل على تغيير في تطبيق أو مكون، مثل حدوث حدث معلومات مرتبط بعمل ناجح، إنشاء مورد أو بدء تشغيل خدمة.
  • تحذير - يدل على تحذير عام لمشكلة يمكن أن تؤثر على الخدمة أو تؤدي إلى مشكلة أكثر خطورة إذا تركتها دون الاهتمام؛
  • خطأ - يشير إلى وجود مشكلة يمكن أن تؤثر على الوظائف أو الخارج إلى التطبيق أو المكون، مما تسبب في حدث؛
  • خطأ فادح - يشير إلى أن الفشل وقع، وبعد ذلك بدأ التطبيق أو المكون، في الحدث، لا يمكن استردادها تلقائيا؛
  • نجاح التدقيق - الأداء الناجح للإجراءات التي تتبعها من خلال التدقيق، على سبيل المثال، استخدام أي امتياز؛
  • فشل مراجعة الحسابات - أداء غير ناجح من الإجراءات التي تتبعها من خلال التدقيق، مثل خطأ عند دخول النظام.

المستعمل - يحدد حساب المستخدم، نيابة عنها حدث هذا الحدث. يشمل المستخدمون كيانات خاصة، مثل الخدمة المحلية وخدمة الشبكة تسجيل الدخول المجهول، وكذلك حسابات المستخدمين الحقيقيين. هذا الاسم هو معرف العميل إذا كان الحدث كان يحدث بالفعل عن طريق عملية الخادم، أو المعرف الرئيسي، إذا لم يتم إجراء التخصيص. في بعض الحالات، يحتوي إدخال سجل الأمان على كل من المعرفيين. وأيضا في هذا الحقل يمكن أن يكون n / a (n / d)، إذا كان الحساب غير قابل للتطبيق في هذا الموقف. يحدث التخصيص في الحالات التي يسمح فيها الخادم بعملية تعيين سمات أمان عملية أخرى.

رمز العمل - يحتوي على قيمة رقمية تحدد العملية أو النقطة داخل العملية، عند إجراء حدث هذا الحدث. على سبيل المثال، التهيئة أو الإغلاق.

مجلة - اسم المجلة التي سجل فيها هذا الحدث.

الفئة والأهداف - يحدد فئة الأحداث، تستخدم أحيانا للوصف اللاحق للعمل المسموح به. كل مصدر الأحداث له فئات خاصة به. على سبيل المثال، الفئات التالية: الإدخال / الإخراج، واستخدام الامتيازات، وتغيير السياسات وإدارة الحساب.

الكلمات الدالة - هذه مجموعة من الفئات أو الملصقات التي يمكن استخدامها للتصفية أو البحث عن الأحداث. على سبيل المثال: "الشبكة" أو "الأمان" أو "لم يتم العثور على مورد".

كمبيوتر - يحدد اسم الكمبيوتر الذي حدث عليه الحدث. هذا هو عادة اسم الكمبيوتر المحلي، ولكن يمكن أن يكون أيضا اسم الكمبيوتر، الذي دفع الحدث، أو اسم الكمبيوتر المحلي قبل تغييره.

التاريخ و الوقت - يحدد تاريخ ووقت هذا الحدث في المجلة.

معرف العمليه - يمثل رقم تحديد العملية التي أنشأ هذا الحدث. يوفر برنامج الكمبيوتر مجموعة سلبية فقط من التعليمات، في حين أن العملية هي التنفيذ المباشر لهذه التعليمات.

تدفق العيد - يمثل رقم التعريف للتدفق الذي أنشأ هذا الحدث. قد تتكون العملية المتولدة في نظام التشغيل من عدة تدفقات تعمل "متوازية"، وهذا هو، دون ترتيب محدد في الوقت المناسب. عند إجراء بعض المهام، يمكن لهذا الفصل أن يحقق الاستخدام أكثر كفاءة لموارد الكمبيوتر

معرف المعرف - يمثل رقم التعريف للمعالج الذي قام بمعالجة الحدث.

رمز الجلسة - هذا هو رقم تعريف الجلسة على الخادم الطرفي الذي حدث فيه الحدث.

نواة الوقت - يحدد الوقت الذي يقضيه في تعليمات وضع kernel، في وحدات وحدة المعالجة المركزية. يحتوي وضع Kernel على وصول غير محدود إلى ذاكرة النظام والأجهزة الخارجية. يسمى جوهر نظام NT جوهرا مختلفا أو ماكورا.

وقت العمل في وضع المستخدم - يحدد الوقت الذي يقضيه في تنفيذ إرشادات نظام المستخدم، في وحدات وحدة المعالجة المركزية. يتكون وضع المستخدم من النظم الفرعية التي تنقل طلبات الإدخال إلى برنامج تشغيل وضع Kernel المقابل من قبل مدير I / O.

تحميل المعالج - هذا هو الوقت الذي يقضيه في تنفيذ إرشادات نظام المستخدم، في علامة وحدة المعالجة المركزية.

رمز الارتباط - يحدد الإجراء في العملية التي يستخدمها الحدث. يستخدم هذا الرمز للإشارة إلى علاقات بسيطة بين الأحداث. العلاقة هي العلاقة الإحصائية ذات المتغيرين العشوائيين أو العديد من المتغيرات (أو القيم التي يمكن النظر فيها مع بعض الدقة المسموح بها). في الوقت نفسه، تؤدي التغييرات في واحدة أو أكثر من هذه القيم إلى تغيير منهجي في قيم أخرى أو غيرها.

رمز الارتباط النسبي - يحدد الإجراء النسبي في العملية التي يستخدمها الحدث.

العمل مع سجلات الأحداث

عرض الأحداث

في لقطة الشاشة التالية، يمكنك رؤية المجلة "التطبيقات"حيث يمكنك معرفة معلومات حول الأحداث والأفكار الحديثة والإجراءات بأسعار معقولة. لعرض أحداث سجل التطبيقات، اتبع الخطوات التالية:

  1. في شجرة وحدة التحكم، حدد "مجلات ويندوز";
  2. حدد مجلة "التطبيقات".

ينصح بعرض سجلات الأحداث في كثير من الأحيان "طلب" و "نظام" ودراسة المشاكل الحالية والتحذيرات التي قد تتوقع عن المشاكل في المستقبل. إذا قمت بتحديد تسجيل الدخول في النافذة الأوسط، فسيتم عرض الأحداث المتاحة، بما في ذلك تاريخ الحدث والوقت والمصدر ومستوى الحدث والبيانات الأخرى.

لوجة "عرض المنطقة" يظهر بيانات الأحداث الأساسية في علامة التبويب "جنرال لواء"وبيانات محددة إضافية - في علامة التبويب "تفاصيل"وبعد يمكنك تمكين وتعطيل هذه اللوحة من خلال تحديد القائمة. "منظر"ثم الأمر "عرض المنطقة".

بالنسبة للنظم الحرجة، يوصى بتخزين سجلات خلال الأشهر القليلة الماضية. طوال الوقت لتعيين المجلات حجم هذا الحجم بحيث يمكن أن تكون جميع المعلومات لائقا فيها، كقاعدة عامة، فمن الممكن حل هذه المهمة بشكل مختلف. يمكنك تصدير سجلات إلى الملفات المطوية في المجلد المحدد. من أجل حفظ السجل المحدد، اتبع الخطوات التالية:

  1. في شجرة وحدة التحكم، حدد سجل الأحداث لحفظ؛
  2. اختر فريق "حفظ الأحداث مثل" من القائمة "يمثل" أو من قائمة السياق من السجل، حدد الأمر "حفظ جميع الأحداث باسم";
  3. في الحوار الذي يظهر "حفظ باسم" حدد مجلدا يجب حفظ الملف إليه. إذا كنت ترغب في حفظ الملف في المجلد الجديد، فيمكنك إنشاءه مباشرة من مربع الحوار هذا باستخدام قائمة السياق أو الزر. "ملف جديد" في جزء العمل. في الميدان "نوع الملف" تحتاج إلى تحديد تنسيق الملف المطلوب من ملفات الأحداث المتاحة - * .EVTX، ملف XML - * .xml، نص فصل علامة التبويب - * .txt، CSV مع فصل الفاصلة - * .csv. في الميدان "اسم الملف" "يحفظ"وبعد لإلغاء حفظ، انقر فوق الزر. "يلغي";
  4. في حالة عدم تحديد سجل الأحداث لعرض كمبيوتر آخر، في مربع الحوار "معلومات العرض" اترك الخيار الافتراضي "لا تعرض المعلومات"، وإذا كان السجل مخصص للعرض على كمبيوتر آخر، فعندئذ في مربع الحوار "معلومات العرض" حدد الخيار "عرض المعلومات للغات التالية" وانقر على الزر "نعم".

مسح سجل الأحداث

في بعض الأحيان عليك مسح سجلات الأحداث المكتملة لضمان تحليل فعال للتحذيرات والأخطاء الحرجة لنظام التشغيل. من أجل مسح السجل المحدد، اتبع الخطوات التالية:

  1. في شجرة وحدة التحكم، حدد سجل الأحداث الذي تريد تنظيفه؛
  2. تنظيف السجل بأحد الطرق التالية:
    • على القائمة "يمثل" اختر فريق "مجلة واضحة";
    • على السجل المحدد، انقر بزر الماوس الأيمن لفتح قائمة السياق. في قائمة السياق، حدد الأمر "مجلة واضحة";
  3. بعد ذلك، يمكنك إما مسح المجلة، أو أرشفةه إذا لم يتم ذلك سابقا:
    • لمسح سجل الأحداث دون حفظ انقر فوق الزر. "صافي";
    • لمسح سجل الأحداث بعد حفظه، انقر فوق الزر. "حفظ وواضح"وبعد في الحوار الذي يظهر "حفظ باسم" حدد مجلدا يجب حفظ الملف إليه. إذا كنت ترغب في حفظ الملف في المجلد الجديد، فيمكنك إنشاءه مباشرة من مربع الحوار هذا باستخدام قائمة السياق أو الزر. "ملف جديد" في جزء العمل. في الميدان "اسم الملف" أدخل اسما وانقر فوق الزر. "يحفظ"وبعد لإلغاء حفظ، تحتاج إلى النقر فوق الزر "يلغي".

اضبط حجم السجل الأقصى

كما ذكر أعلاه، يتم تخزين سجلات الأحداث كملفات في مجلد٪ SystemRoot٪ \\ System32 \\ WINEVT \\ LOGS. بشكل افتراضي، يكون الحد الأقصى لحجم هذه الملفات محدودا، ولكن يمكن تغييره بالطريقة التالية:

  1. اختر فريق "الخصائص" من القائمة "يمثل"
  2. في الميدان "أقصى حجم مجلة (KB)" اضبط القيمة المطلوبة باستخدام العداد أو استخدام العداد يدويا. في هذه الحالة، سيتم تقريب القيمة إلى أقرب رقم، متعددة 64 كيلو بايت حيث يجب أن يكون حجم ملف السجل محرك 64 كيلو بايت ولا يمكن أن يكون أقل من 1024 كيلو بايت.

يتم حفظ الأحداث في ملف السجل، يمكن أن يزيد حجمه فقط إلى القيمة القصوى المحددة. بعد الوصول إلى الحد الأقصى لحجم الملف، سيتم تحديد معالجة الأحداث الواردة بواسطة سياسة التخزين في السجلات. سياسات توفير المجلة التالية متوفرة:

أعد كتابة الأحداث إذا لزم الأمر (الملفات القديمة الأولى) - في هذه الحالة، تستمر سجلات جديدة في إدخال المجلة بعد ملءها. يحل كل حدث جديد محل الأكبر في المجلة؛

مجلة الأرشيف عند التعبئة؛ لا تعيد كتابة الأحداث - في هذه الحالة، يتم أرشفة ملف السجل تلقائيا إذا لزم الأمر. لا يتم تنفيذ الأحداث القديمة.

لا تعيد كتابة الأحداث (مجلة واضحة يدويا) - في هذه الحالة، يتم مسح المجلة يدويا، وليس تلقائيا.

لتحديد سياسة حفظ السجل المطلوبة، اتبع الخطوات التالية:

  1. في شجرة وحدة التحكم، حدد سجل الأحداث الذي يجب عليك تغيير حجمه؛
  2. اختر فريق "الخصائص" من القائمة "يمثل" أو من قائمة السياق من السجل المحدد؛
  3. في علامة التبويب "جنرال لواء"، في الفصل "عند تحقيق الحد الأقصى للحجم" حدد المعلمة المرغوبة وانقر فوق الزر. "نعم".

تفعيل مجلة التحليلات والتصحيح

سجلات التحليلات والتصحيح هي الافتراضي غير نشط. بعد التنشيط، يتم ملؤها بسرعة مع الكثير من الأحداث. لهذا السبب، من المستحسن تنشيط السجلات المحددة في فترة زمنية محدودة من أجل جمع البيانات اللازمة للبحث واستكشاف الأخطاء وإصلاحها، ثم تعطيلها مرة أخرى. يمكن إجراء تنشيط السجلات على النحو التالي:

  1. في شجرة وحدة التحكم، ابحث عن وسجل تحليلي أو تصحيح تحليله الذي تريد تنشيطه؛
  2. اختر فريق "الخصائص" من القائمة "يمثل" أو من قائمة سياق السجل التحليلي أو التصحيح المحدد؛
  3. في علامة التبويب "جنرال لواء" تحقق من مربع الاختيار "تشمل تسجيل"

فتح وإغلاق المجلة المحفوظة

بمساعدة المفاجئة "عرض الأحداث" يمكنك فتح وعرض السجلات المحفوظة في وقت سابق. في الوقت نفسه، يمكنك فتح العديد من السجلات المحفوظة والوصول إليها في أي وقت في شجرة وحدة التحكم. مجلة مفتوحة في "عرض الأحداث"قد تكون مغلقة دون حذف المعلومات الواردة فيه. لفتح السجل المحفوظ، اتبع الخطوات التالية:

  1. اختر فريق "مجلة مفتوحة المحفوظة" على القائمة "يمثل" أو من قائمة السياق في شجرة وحدة التحكم؛
  2. 3. في مربع الحوار "مجلة مفتوحة المحفوظة"عن طريق التنقل حول شجرة الكتالوج، افتح المجلد الذي يحتوي على الملف المطلوب. بشكل افتراضي، سيتم عرض جميع ملفات سجل الأحداث في مربع الحوار. أيضا، عند فتحه، يمكنك تحديد نوع الملفات المراد عرضه في مربع الحوار الافتتاحي. أنواع الملفات المتاحة: ملفات سجل الأحداث (* .EVTX، * .EVT، * .etl)، بالإضافة إلى ملفات الأحداث (* .EVTX)، ملفات الأحداث القديمة (* .EVT) أو ملفات سجل التتبع (* .etl). بعد العثور على ملف السجل المطلوب، حدده بالنقر فوقه باستخدام زر الماوس الأيسر، والذي سيضع اسمه في السلسلة لإدخال اسم الملف وانقر فوق الزر. "فتح".
  3. في الحوار "مجلة مفتوحة المحفوظة"، في الميدان "اسم" أدخل اسما جديدا سيتم استخدامه لسجل شجرة وحدة التحكم. يتم استخدامه فقط لعرض تسجيل الدخول في شجرة وحدة التحكم ولا يتغير اسم ملف السجل، يمكنك أيضا استخدام اسم ملف السجل الحالي. في الميدان "وصف" أدخل وصف المجلة. سيتم عرضه في المنطقة المركزية عند تسليط الضوء على مجلد سجل الأصل في شجرة وحدة التحكم؛
  4. لإنشاء مجلد سيكون موضع تحديد السجل المحفوظ، انقر فوق الزر. "إنشاء مجلد"وبعد في الميدان "اسم" أدخل اسم المجلد الذي سيتم فيه تحديد سجل السجل المفتوح، ثم انقر فوق "نعم"وبعد إذا لم يتم تحديد المجلد الأصل، فسيتم تحديد المجلد الجديد في المجلد "المجلات المحفوظة".
  5. من أجل سجل الأحداث في الهواء الطلق، لا يمكن الوصول إليه إلى مستخدمي الكمبيوتر الآخرين، يمكنك إلغاء تحديد المربع. "جميع المستخدمين"وبعد في حالة ظهور خانة الاختيار هذه نشطة، سيتم الوصول إلى السجل المفتوح لجميع المستخدمين، ولكن لإزالته من شجرة وحدة التحكم، ستكون حقوق المسؤول مطلوبة؛
  6. لفتح السجل، انقر فوق الزر. "نعم".

لإزالة سجل مفتوح من شجرة الأحداث، اتبع الخطوات التالية:

  1. في شجرة وحدة التحكم، حدد المجلة المراد إزالتها؛
  2. اختر فريق "حذف" من القائمة "يمثل" أو من قائمة السياق من السجل المحدد؛
  3. في الحوار "عرض الأحداث" انقر على الزر "نعم".

استنتاج

في هذا الجزء من المقالة المخصصة ل "عرض" عارض الأحداث "، يتم وصفه حول المعدات نفسها ويصف أبسط العمليات المتعلقة بمراقبة وصيانة النظام باستخدام" مشاهدة الأحداث ". سيتم تصميم الجزء التالي من المقالة للمستخدمين المتقدمة في Windows. سوف تصف المهام مع طرق عرض تخصيص، تصفية، وتجميع أحداث الفرز وإدارة الاشتراك.