الصفحة الرئيسية / البرامج/ قم بإنشاء أحداث Windows الخاصة بك في السجل.

قم بإنشاء أحداث Windows مخصصة في السجل.

في نظام التشغيل لخط Windows ، يتم تسجيل جميع الأحداث الرئيسية التي تحدث في النظام مع تسجيلها اللاحق في السجل. يتم تسجيل الأخطاء والتحذيرات والإخطارات المختلفة فقط. بناءً على هذه السجلات ، يمكن للمستخدم المتمرس تصحيح تشغيل النظام وإزالة الأخطاء. دعنا نتعرف على كيفية فتح سجل الأحداث في Windows 7.

يتم تخزين سجل الأحداث في أداة نظام تسمى عارض الأحداث... دعونا نرى كيف تستخدم طرق مختلفةيمكنك الذهاب إليه.

الطريقة الأولى: "لوحة التحكم"

واحدة من أكثر الطرق شيوعًا لتشغيل الأداة الموضحة في هذه المقالة ، على الرغم من أنها بعيدة كل البعد عن الأسهل والأكثر ملاءمة ، يتم تنفيذها باستخدام "لوحات التحكم".

الطريقة 2: أداة التشغيل

من الأسهل بكثير بدء تنشيط الأداة الموصوفة باستخدام الأداة "يركض".

العيب الأساسي لهذا الصيام و طريقة ملائمةهي الحاجة إلى أن تضع في اعتبارك الأمر لاستدعاء النافذة.

الطريقة الثالثة: مربع البحث في قائمة ابدأ

يتم تنفيذ طريقة مشابهة جدًا لاستدعاء الأداة التي ندرسها باستخدام حقل البحث في القائمة "يبدأ".

الطريقة الرابعة: "سطر الأوامر"

أداة الاتصال عبر سطر الأوامرغير مريح إلى حد ما ، ولكن مثل هذه الطريقة موجودة ، وبالتالي فهي تستحق الذكر بشكل منفصل. أولاً ، نحتاج إلى الاتصال بالنافذة "سطر الأوامر".

الطريقة الخامسة: البدء المباشر لملف eventvwr.exe

يمكنك استخدام مثل هذا الحل "الغريب" للمشكلة كملف مباشر يبدأ من "إكسبلورر"... ومع ذلك ، و من هنايمكن أن يكون مفيدًا من الناحية العملية ، على سبيل المثال ، إذا وصلت حالات الفشل إلى هذا النطاق بحيث لا تتوفر الخيارات الأخرى لبدء تشغيل الأداة. هذا نادر للغاية ، لكنه ممكن تمامًا.

بادئ ذي بدء ، تحتاج إلى الانتقال إلى موقع ملف eventvwr.exe. إنه موجود في دليل النظام على طول المسار التالي:

ج: \ Windows \ System32

الطريقة 6: إدخال مسار الملف في شريط العناوين

مع مساعدة "إكسبلورر"يمكنك إطلاق النافذة التي تهمنا بشكل أسرع. في هذه الحالة ، ليس عليك حتى البحث عن eventvwr.exe في الدليل "System32"... للقيام بذلك ، في حقل العنوان "إكسبلورر"تحتاج فقط إلى تحديد المسار إلى هذا الملف.

الطريقة السابعة: إنشاء اختصار

إذا كنت لا تريد حفظ الأوامر المختلفة أو الانتقالات إلى الأقسام "لوحات التحكم"إذا كنت تعتقد أنه غير مريح للغاية ، ولكنك غالبًا ما تستخدم المجلة في نفس الوقت ، ففي هذه الحالة يمكنك إنشاء رمز على "سطح المكتب"أو في مكان آخر مناسب لك. بعد ذلك ، يتم تشغيل الأداة عارض الأحداثسيتم تنفيذها ببساطة قدر الإمكان ودون الحاجة إلى حفظ شيء ما.

مشاكل فتح المجلة

هناك حالات تنشأ فيها مشاكل عند فتح المجلة باستخدام الطرق المذكورة أعلاه. يحدث هذا غالبًا بسبب حقيقة أن الشخص المسؤول عن العمل هذه الآلةالخدمة معطلة. عند محاولة تشغيل أداة عارض الأحداثيتم عرض رسالة تفيد بأن خدمة سجل الأحداث غير متاحة. ثم تحتاج إلى تنشيطه.

بادئ ذي بدء ، عليك أن تذهب إلى مدير الخدمة... يمكن القيام بذلك من القسم "لوحات التحكم"من اتصل "الادارة"... تم وصف كيفية الذهاب إليه بالتفصيل عند النظر طريقة 1... مرة واحدة في هذا القسم ، ابحث عن العنصر "خدمات"... انقر عليه.

الخامس مدير الخدمةيمكنك استخدام الأداة "يركض"... اتصل به عن طريق الكتابة Win + R.... اكتب في منطقة الإدخال:

انقر "نعم".

بغض النظر عما إذا كنت قد نجحت في الانتقال أم لا "لوحة التحكم"أو استخدم إدخال الأمر في صندوق الأدوات "يركض"، يبدأ مدير الخدمة... ابحث عن العنصر في القائمة "مجلة أحداث Windows» ... لتسهيل البحث ، يمكنك ترتيب جميع عناصر القائمة بترتيب أبجدي بالنقر فوق اسم الحقل "اسم"... بمجرد العثور على الصف المطلوب ، ألق نظرة على القيمة المقابلة في العمود "ولاية"... إذا تم تمكين الخدمة ، فيجب أن يكون هناك نقش "يعمل"... إذا كانت فارغة ، فهذا يعني أن الخدمة معطلة. انظر أيضًا إلى القيمة الموجودة في العمود "نوع بدء التشغيل"... في الحالة الطبيعية ، يجب أن يكون هناك نقش "تلقائيا"... إذا كان هناك قيمة "معاق"ثم هذا يعني أن الخدمة لم يتم تنشيطها عند بدء تشغيل النظام.

لإصلاح ذلك ، انتقل إلى خصائص الخدمة بالنقر المزدوج على الاسم الدهان.

تفتح نافذة. انقر فوق المنطقة "نوع بدء التشغيل".

اختر من القائمة المنسدلة "تلقائيا".

اضغط على النقوش تطبيقو "نعم".

العودة إلى مدير الخدمة، التحقق من سجل أحداث Windows... في المنطقة اليسرى من الغلاف ، انقر فوق النقش "يركض".

بدأت الخدمة. الآن في حقل العمود المقابل "ولاية"يتم عرض القيمة "يعمل"، وفي حقل العمود "نوع بدء التشغيل"سيظهر نقش "تلقائيا"... الآن يمكن فتح المجلة بأي من الطرق التي وصفناها أعلاه.

هناك عدد غير قليل من الخيارات لتنشيط سجل الأحداث في Windows 7. بالطبع ، أكثر الطرق ملاءمة وشعبية هي القيام بذلك "شريط الأدوات"، التنشيط عن طريق الوسائل "يركض"أو حقول البحث القائمة "يبدأ"... للوصول بسهولة إلى الوظيفة الموصوفة ، يمكنك إنشاء رمز في "سطح المكتب"... في بعض الأحيان توجد مشاكل في بدء تشغيل النافذة عارض الأحداث... ثم تحتاج إلى التحقق مما إذا تم تنشيط الخدمة المقابلة.

يراقب نظام التشغيل Windows 7 باستمرار العديد من الأحداث الجديرة بالملاحظة التي تحدث على نظامك. الخامس مايكروسوفت ويندوز حدثهو أي حادث في نظام التشغيل يتم تسجيله أو يتطلب إخطارًا للمستخدمين أو المسؤولين. قد تكون هذه خدمة لا تريد البدء أو تثبيت جهاز أو خطأ في التطبيق. يتم تسجيل الأحداث وتخزينها في سجلات أحداث Windows وتوفر معلومات تاريخية مهمة لمساعدتك في مراقبة نظامك والحفاظ عليه آمنًا واستكشاف الأخطاء وإصلاحها وتشغيل التشخيصات. من الضروري تحليل المعلومات الواردة في هذه السجلات بانتظام. يجب عليك مراقبة سجلات الأحداث بانتظام وضبط نظام التشغيل لحفظ أحداث النظام المهمة. إذا كنت مسؤولاً خوادم Windows، إذًا من الضروري مراقبة أمان أنظمتهم ، والتشغيل العادي للتطبيقات والخدمات ، وكذلك فحص الخادم بحثًا عن الأخطاء التي يمكن أن تؤدي إلى تدهور الأداء. إذا كنت مستخدم كمبيوتر شخصيثم يجب عليك التأكد من توفر السجلات المناسبة لك لدعم نظامك واستكشاف الأخطاء وإصلاحها.

برنامج عارض الأحداثهي أداة إضافية لـ Microsoft Management Console (MMC) لعرض سجلات الأحداث وإدارتها. إنها أداة لا غنى عنها لمراقبة صحة النظام واستكشاف الأخطاء وإصلاحها. خدمة الويندوز، الذي يدير تسجيل الأحداث ، يسمى "سجل الأحداث"... في حالة تشغيله ، يكتب Windows البيانات المهمة إلى السجلات. باستخدام البرنامج عارض الأحداثيمكنك القيام بما يلي:

عرض أحداث سجلات محددة ؛
تطبيق مرشحات الأحداث وحفظها لاستخدامها لاحقًا كطرق عرض مخصصة ؛
إنشاء وإدارة اشتراكات الأحداث ؛
قم بتعيين تنفيذ إجراءات محددة لوقوع حدث معين.

إطلاق عارض الأحداث

تطبيق عارض الأحداثيمكن فتحه بالطرق التالية:

سجلات الأحداث في Windows 7

في غرفة العمليات نظام ويندوز 7 ، كما هو الحال مع Windosw Vista ، هناك فئتان من سجلات الأحداث: سجلات Windowsو سجلات التطبيق والخدمة. سجلات Windows - يستخدمه نظام التشغيل لتسجيل الأحداث على مستوى النظام المتعلقة بتشغيل التطبيقات ، مكونات النظاموالأمن والإطلاق. أ سجلات التطبيق والخدمة- تستخدم من قبل التطبيقات والخدمات لتسجيل الأحداث المتعلقة بتشغيلها. يمكنك استخدام الأداة الإضافية لإدارة سجلات الأحداث عارض الأحداثأو البرنامج سطر الأوامر ويفتوتيل، والتي سيتم مناقشتها في الجزء الثاني من المقالة. يتم وصف جميع أنواع السجلات أدناه:

تطبيق- يخزن الأحداث الهامة المتعلقة بتطبيق معين. على سبيل المثال ، يخزن Exchange Server أحداث إعادة توجيه البريد ، بما في ذلك أحداث مخزن المعلومات ، علب البريدوتشغيل الخدمات. يتم وضعه في٪ SystemRoot٪ \ System32 \ Winevt \ Logs \ Application.Evtx افتراضيًا.

حماية- يخزن الأحداث المتعلقة بالأمان ، مثل تسجيل الدخول / الخروج من النظام ، واستخدام الامتيازات والوصول إلى الموارد. يتم وضعه افتراضيًا في٪ SystemRoot٪ \ System32 \ Winevt \ Logs \ Security.Evtx

التركيب- يسجل هذا السجل الأحداث التي تحدث أثناء تثبيت وتكوين نظام التشغيل ومكوناته. بشكل افتراضي ، يكون موجودًا في٪ SystemRoot٪ \ System32 \ Winevt \ Logs \ Setup.Evtx.

نظام- يخزن أحداث نظام التشغيل أو مكوناته ، مثل حالات الفشل عند بدء الخدمات أو تهيئة برامج التشغيل ، والرسائل على مستوى النظام والرسائل الأخرى المتعلقة بالنظام ككل. يتم وضعه في٪ SystemRoot٪ \ System32 \ Winevt \ Logs \ System.Evtx بشكل افتراضي

الأحداث المُعاد توجيهها- إذا تم تكوين إعادة توجيه الأحداث ، فإن هذا السجل يتضمن الأحداث المرسلة من الخوادم الأخرى. يتم وضعه في٪ SystemRoot٪ \ System32 \ Winevt \ Logs \ ForwardedEvents.Evtx افتراضيًا

متصفح الانترنت - يسجل هذا السجل الأحداث التي تحدث عند الإعداد والعمل معها متصفح الانترنتإكسبلورر. يتم وضعه افتراضيًا في٪ SystemRoot٪ \ System32 \ Winevt \ Logs \ InternetExplorer.Evtx

نوافذ بوويرشيل- يسجل هذا السجل الأحداث المتعلقة بوويرشيل. بشكل افتراضي ، يقع في٪ SystemRoot٪ \ System32 \ Winevt \ Logs \ WindowsPowerShwll.Evtx

أحداث المعدات- إذا تم تكوين تسجيل أحداث الجهاز ، يتم تسجيل الأحداث التي تم إنشاؤها بواسطة الأجهزة في هذا السجل. يتم وضعه افتراضيًا في٪ SystemRoot٪ \ System32 \ Winevt \ Logs \ HardwareEvent.Evtx

في Windows 7 ، تستند البنية الأساسية لتوفير تسجيل الأحداث إلى نفس الشيء نظام التشغيل Windows Vistaإلى XML. تتوافق البيانات الخاصة بكل حدث مع مخطط XML ، والذي يسمح بالوصول إلى رمز XML لأي حدث. بالإضافة إلى ذلك ، يمكنك إنشاء استعلامات تستند إلى XML لاسترداد البيانات من السجلات. لا يلزم معرفة XML لاستخدام هذه الميزات الجديدة. تزوير عارض الأحداثيوفر بسيط واجهة رسوميةللوصول إلى هذه الميزات.

خصائص الحدث

هناك العديد من الخصائص للأحداث الإضافية عارض الأحداث، والتي تم تفصيلها قليلاً أدناه:

مصدرهو البرنامج الذي قام بتسجيل الحدث. يمكن أن يكون هذا إما اسم برنامج (على سبيل المثال ، "Exchange Server") ، أو اسم مكون نظام أو تطبيق كبير (على سبيل المثال ، اسم برنامج التشغيل). على سبيل المثال ، "Elnkii" تعني برنامج تشغيل EtherLink II.

معرف الحدثهو رقم يحدد نوعًا معينًا من الأحداث. عادةً ما يحتوي السطر الأول من الوصف على اسم نوع الحدث. على سبيل المثال ، 6005 هو معرف الحدث الذي يحدث عند بدء تشغيل خدمة تسجيل الأحداث. وفقًا لذلك ، في بداية وصف هذا الحدث يوجد السطر "تم بدء خدمة سجل الأحداث." يمكن استخدام معرف الحدث واسم مصدر التسجيل بواسطة ممثلي فريق الدعم منتج البرنامجلاستكشاف الأخطاء وإصلاحها.

مستوىهو مستوى أهمية الحدث. في سجلات النظام والتطبيق ، يمكن أن تحتوي الأحداث على مستويات الخطورة التالية:

تنبيه- يشير إلى تغيير في تطبيق أو مكون ، مثل حدوث حدث إعلامي مرتبط بإجراء ناجح ، أو إنشاء مورد ، أو بدء خدمة.
تحذير- يشير إلى تحذير عام لمشكلة قد تؤثر على الخدمة أو تؤدي إلى مشكلة أكثر خطورة إذا تركت دون معالجة ؛
خطأ- يشير إلى حدوث مشكلة يمكن أن تؤثر على الوظائف الخارجية للتطبيق أو المكون الذي أثار الحدث.
خطأ فادح- يشير إلى حدوث فشل ، وبعد ذلك لا يمكن للتطبيق أو المكون الذي تسبب في تشغيل الحدث استرداده تلقائيًا ؛
تدقيق النجاح- الإنجاز الناجح للإجراءات التي تتبعها من خلال التدقيق ، على سبيل المثال ، استخدام امتياز ؛
تدوين الفشل- تنفيذ غير ناجح للإجراءات التي تتبعها من خلال التدقيق ، على سبيل المثال ، خطأ أثناء تسجيل الدخول إلى النظام.

مستخدم- يحدد حساب المستخدم الذي نيابة عنه هذا الحدث... يتضمن المستخدمون كيانات خاصة مثل الخدمة المحلية وخدمة الشبكة وتسجيل الدخول المجهول ، بالإضافة إلى حسابات المستخدمين الحقيقية. هذا الاسم هو معرف العميل إذا تم تشغيل الحدث بالفعل من خلال عملية الخادم ، أو المعرف الأساسي إذا لم يتم تنفيذ انتحال الهوية. في بعض الحالات ، يحتوي إدخال سجل الأمان على كلا المعرفين. وأيضًا في هذا المجال يمكن أن يكون N / A (N / A) ، إذا كان في هذه الحالة حسابلا ينطبق. يحدث انتحال الهوية عندما يسمح الخادم لإحدى العمليات بتعيين سمات أمان لعملية أخرى.

كود العمل- يحتوي على قيمة رقمية تحدد عملية أو نقطة داخل عملية أدت إلى تشغيل هذا الحدث. على سبيل المثال ، التهيئة أو الإغلاق.

مجلة- اسم السجل الذي تم تسجيل هذا الحدث عليه.

الفئة والمهام- تحدد فئة الحدث ، وتستخدم أحيانًا لوصف الإجراء المسموح به بشكل أكبر. كل مصدر حدث له فئاته الخاصة. على سبيل المثال ، الفئات التالية هي: تسجيل الدخول / الخروج ، واستخدام الامتياز ، وتغيير السياسة ، وإدارة الحساب.

الكلمات الدالةعبارة عن مجموعة من الفئات أو التصنيفات التي يمكن استخدامها لتصفية الأحداث أو البحث عنها. على سبيل المثال: "الشبكة" أو "الأمان" أو "لم يتم العثور على المورد".

كمبيوتر- يحدد اسم الكمبيوتر الذي وقع عليه الحدث. هذا هو عادة الاسم الكمبيوتر المحلي، ولكن يمكن أن يكون أيضًا اسم الكمبيوتر الذي أعاد توجيه الحدث ، أو اسم الكمبيوتر المحلي قبل تغييره.

التاريخ و الوقت- يحدد تاريخ ووقت وقوع هذا الحدث في السجل.

معرف العمليه- يمثل رقم تعريف العملية التي أدت إلى هذا الحدث. برنامج الحاسبليست سوى مجموعة سلبية من التعليمات ، في حين أن العملية هي التنفيذ المباشر لهذه التعليمات

معرف الدفق- يمثل رقم تعريف سلسلة المحادثات التي أنشأت هذا الحدث. يمكن أن تتكون العملية التي يتم إنتاجها في نظام التشغيل من عدة مؤشرات ترابط تعمل "بالتوازي" ، أي بدون ترتيب محدد في الوقت المناسب. بالنسبة لبعض المهام ، يمكن أن يحقق هذا الفصل المزيد استخدام فعالموارد الكمبيوتر

معرف المعالج- يمثل رقم تعريف المعالج الذي تعامل مع الحدث.

رمز الجلسةهو رقم تعريف الجلسة على الخادم الطرفي الذي وقع عليه الحدث.

وقت التشغيل في وضع kernel- يحدد الوقت المستغرق في تنفيذ تعليمات وضع النواة ، بوحدات وقت وحدة المعالجة المركزية. يحتوي وضع Kernel على وصول غير مقيد إلى ذاكرة النظام وملفات الأجهزة الخارجية... تسمى نواة نظام NT نواة هجينة أو نواة كبيرة.

وقت التشغيل في الوضع المخصص- يحدد الوقت المستغرق في تنفيذ تعليمات وضع المستخدم ، بوحدات وقت وحدة المعالجة المركزية. يتكون وضع المستخدم من أنظمة فرعية تمرر طلبات الإدخال / الإخراج إلى برنامج تشغيل وضع kernel المناسب من خلال مدير الإدخال / الإخراج.

تحميل المعالجهو الوقت المستغرق في تنفيذ تعليمات وضع المستخدم ، في علامات وحدة المعالجة المركزية.

كود الارتباط- يحدد الإجراء في العملية التي يتم استخدام الحدث من أجلها. يستخدم هذا الرمز لتحديد العلاقات البسيطة بين الأحداث. الارتباط هو علاقة إحصائية لمتغيرين عشوائيين أو أكثر (أو كميات يمكن اعتبارها كذلك بدرجة مقبولة من الدقة). علاوة على ذلك ، تؤدي التغييرات في واحدة أو أكثر من هذه القيم إلى تغيير منهجي في قيم أخرى أو قيم أخرى.

معرف الارتباط النسبي- يحدد الإجراء النسبي في العملية التي يستخدم من أجلها الحدث

العمل مع سجلات الأحداث

اعرض الأحداث

في لقطة الشاشة التالية ، يمكنك رؤية السجل "التطبيقات"لعرض معلومات حول الأحداث ، وجهات النظر الأخيرة ، والإجراءات المتاحة. لعرض أحداث سجل التطبيق ، اتبع الخطوات التالية:

في شجرة وحدة التحكم حدد سجلات Windows;
حدد مجلة "التطبيقات".

من المستحسن عرض سجلات الأحداث في كثير من الأحيان "تطبيق"و "نظام"والنظر في المشاكل والتحذيرات الحالية التي قد تنذر بمشاكل في المستقبل. عند تحديد سجل ، تعرض النافذة الوسطى الأحداث المتاحة ، بما في ذلك تاريخ الحدث ووقته ومصدره ومستوى الحدث وبيانات أخرى.

لوحة "منطقة العرض"يعرض بيانات الحدث الأساسية في علامة تبويب "عام"، وبيانات إضافية محددة - في علامة التبويب "تفاصيل"... يمكنك تشغيل هذه اللوحة وإيقاف تشغيلها عن طريق تحديد القائمة "رأي"ثم الأمر "منطقة العرض".

بالنسبة للأنظمة الهامة ، يوصى بالاحتفاظ بسجلات من الأشهر القليلة الماضية. عادة ما يكون من غير الملائم تخصيص مثل هذا الحجم للمجلات بحيث يمكن أن تناسب جميع المعلومات الموجودة بها طوال الوقت ؛ يمكن حل هذه المشكلة بطريقة مختلفة. يمكنك تصدير السجلات إلى الملفات الموجودة في مجلد محدد. لحفظ السجل المحدد ، قم بما يلي:

في شجرة وحدة التحكم ، حدد سجل الأحداث الذي تريد حفظه ؛
اختر فريقًا "حفظ الأحداث باسم"من القائمة "عمل"او من قائمة السياقأمر تسجيل الدخول "حفظ كافة الأحداث باسم";
في الحوار الذي يظهر "حفظ باسم"حدد المجلد الذي يجب حفظ الملف فيه. إذا كنت تريد حفظ ملف في مجلد جديد ، فيمكنك إنشاؤه مباشرةً من مربع الحوار هذا باستخدام قائمة السياق أو الزر « ملف جديد» على شريط العمل. في الميدان "نوع الملف"تحتاج إلى تحديد تنسيق الملف المطلوب من التنسيقات المتاحة: ملفات الأحداث - * .evtx ، ملف xml - * .xml ، نص محدد بعلامات جدولة - * .txt ، csv مفصول بفواصل - * .csv. في الميدان "اسم الملف" "يحفظ"... لإلغاء الحفظ ، اضغط على الزر. "يلغي";
إذا كان سجل الأحداث غير مخصص للعرض على كمبيوتر آخر ، في مربع الحوار "اظهر التفاصيل"اترك الخيار الافتراضي "عدم عرض المعلومات"، وإذا كان السجل مقصودًا أن يتم عرضه على كمبيوتر آخر ، فحينئذٍ في مربع الحوار "اظهر التفاصيل"حدد الخيار "عرض المعلومات الخاصة باللغات التالية"وانقر على الزر "نعم".

مسح سجل الأحداث

في بعض الأحيان يكون من الضروري مسح سجلات الأحداث الكاملة لضمان التحليل الفعال للتحذيرات والأخطاء الجسيمة في نظام التشغيل. لمسح السجل المحدد ، قم بما يلي:

في شجرة وحدة التحكم ، حدد سجل الأحداث الذي تريد مسحه ؛
امسح السجل بإحدى الطرق التالية:
- على القائمة "عمل"اختر فريق "سجل نظيف";
- في السجل المحدد ، انقر بزر الماوس الأيمن لفتح قائمة السياق. في قائمة السياق ، حدد الأمر "سجل نظيف";
ثم يمكنك إما مسح السجل أو أرشفته إذا لم يتم القيام بذلك من قبل:
- لمسح سجل الأحداث دون حفظ ، انقر فوق الزر "واضح";
- لمسح سجل الأحداث بعد حفظه ، انقر فوق الزر "حفظ ومسح"... في الحوار الذي يظهر "حفظ باسم"حدد المجلد الذي يجب حفظ الملف فيه. إذا كنت تريد حفظ ملف في مجلد جديد ، فيمكنك إنشاؤه مباشرةً من مربع الحوار هذا باستخدام قائمة السياق أو الزر "ملف جديد"على شريط العمل. في الميدان "اسم الملف"أدخل اسمًا وانقر على الزر "يحفظ"... لإلغاء الحفظ ، انقر فوق الزر "يلغي".

تحديد الحد الأقصى لحجم السجل

كما ذكر أعلاه ، يتم تخزين سجلات الأحداث كملفات في المجلد٪ SystemRoot٪ \ System32 \ Winevt \ Logs \. بشكل افتراضي ، يكون الحد الأقصى لحجم هذه الملفات محدودًا ، ولكن يمكنك تغييره بالطريقة التالية:

اختر فريقًا "الخصائص"من القائمة "عمل"
في الميدان "الحد الأقصى لحجم السجل (كيلو بايت)"قم بتعيين القيمة المطلوبة باستخدام عداد أو قم بتعيينها يدويًا دون استخدام عداد. في هذه الحالة ، سيتم تقريب القيمة إلى أقرب مضاعف 64 كيلو بايت لأن حجم ملف السجل يجب أن يكون من مضاعفات 64 كيلو بايت ولا يمكن أن يكون أقل من 1024 كيلو بايت.

يتم حفظ الأحداث في ملف السجل ، والذي يمكن أن يكبر فقط إلى الحد الأقصى المحدد للحجم. بعد الوصول إلى الملف أكبر مقاس، سيتم تحديد معالجة الأحداث الواردة من خلال سياسة الاحتفاظ بالسجلات. سياسات حفظ السجل التالية متاحة:

استبدل الأحداث حسب الحاجة (الملفات القديمة أولاً)- في هذه الحالة ، يستمر تسجيل الإدخالات الجديدة في السجل بعد أن يمتلئ. يحل كل حدث جديد محل الأقدم في السجل ؛

أرشفة المجلة عند ملؤها ؛ لا تعيد كتابة الأحداث- في هذه الحالة ، يتم أرشفة ملف السجل تلقائيًا إذا لزم الأمر. لم يتم الكتابة فوق أي أحداث عفا عليها الزمن.

لا تعيد كتابة الأحداث (امسح السجل يدويًا)- في هذه الحالة ، يتم مسح السجل يدويًا وليس تلقائيًا.

لتحديد سياسة حفظ السجل المطلوبة ، قم بما يلي:

في شجرة وحدة التحكم ، حدد سجل الأحداث الذي تريد تغيير حجمه ؛
اختر فريقًا "الخصائص"من القائمة "عمل"أو من قائمة سياق السجل المختار ؛
في علامة التبويب "عام"، في الفصل "عند بلوغ الحجم الأقصى"حدد المعلمة المطلوبة واضغط على الزر "نعم".

تحليل وتفعيل سجل التصحيح

السجلات التحليلية وسجلات تصحيح الأخطاء غير نشطة بشكل افتراضي. بمجرد تفعيلها ، فإنها تمتلئ بسرعة كمية كبيرةالأحداث. لهذا السبب ، يُنصح بتنشيط هذه السجلات لفترة زمنية محدودة من أجل جمع البيانات اللازمة لاستكشاف الأخطاء وإصلاحها ثم تعطيلها مرة أخرى. يمكن تنشيط السجلات على النحو التالي:

في شجرة وحدة التحكم ، ابحث عن السجل التحليلي أو سجل التصحيح الذي تريد تنشيطه وحدده ؛
اختر فريقًا "الخصائص"من القائمة "عمل"أو من قائمة السياق الخاصة بالسجل التحليلي أو سجل التصحيح المحدد ؛
في علامة التبويب "عام"حدد المربع في الخيارات "تمكين التسجيل"

فتح وإغلاق سجل محفوظ

مع الخاطف عارض الأحداثيمكنك فتح وعرض السجلات المحفوظة مسبقًا. يمكنك فتح عدة سجلات محفوظة في نفس الوقت والوصول إليها في أي وقت في شجرة وحدة التحكم. افتتحت المجلة في "عرض الأحداث"، يمكن إغلاقه دون حذف المعلومات التي يحتوي عليها. اتبع هذه الخطوات لفتح سجل محفوظ:

اختر فريقًا "فتح السجل المحفوظ"على القائمة "عمل"أو من قائمة السياق في شجرة وحدة التحكم ؛
3. في مربع الحوار "فتح السجل المحفوظ"التنقل عبر شجرة الدليل ، افتح المجلد الذي يحتوي على الملف المطلوب... بشكل افتراضي ، يتم عرض كافة ملفات سجل الأحداث في مربع الحوار. أيضًا ، عند الفتح ، يمكنك تحديد نوع الملفات التي تريد عرضها في مربع الحوار المفتوح. أنواع الملفات المتوفرة هي ملفات سجل الأحداث (* .evtx ، * .evt ، * .etl) ، وملفات الأحداث (* .evtx) ، ملفات الأحداث القديمة (* .evt) ، أو ملفات سجل التتبع (* .etl). بعد العثور على ملف السجل المطلوب ، قم بتحديده بالضغط عليه بزر الفأرة الأيسر ، والذي سيضع اسمه في سطر إدخال اسم الملف والضغط على الزر "افتح".
في حوار "فتح السجل المحفوظ"، في الميدان "اسم"أدخل اسمًا جديدًا لاستخدامه في السجل في شجرة وحدة التحكم. يتم استخدامه فقط لتمثيل السجل في شجرة وحدة التحكم ولا يغير اسم ملف السجل. يمكنك أيضًا استخدام اسم ملف السجل الموجود. في الميدان "وصف"أدخل وصفًا للمجلة. سيتم عرضه في الجزء الأوسط عند تحديد مجلد السجل الأصلي في شجرة وحدة التحكم ؛
لإنشاء مجلد يوجد به السجل المحفوظ ، انقر فوق الزر "إنشاء مجلد"... في الميدان "اسم"أدخل اسم المجلد حيث سيتم وضع السجل المفتوح ، ثم انقر فوق "نعم"... إذا لم يتم تحديد مجلد أصلي ، فسيتم وضع المجلد الجديد في المجلد "السجلات المحفوظة".
لجعل سجل الأحداث المفتوح غير قابل للوصول إلى المستخدمين الآخرين للكمبيوتر ، يمكنك إلغاء تحديد المربع "جميع المستخدمين"... إذا ظل مربع الاختيار هذا نشطًا ، فسيكون السجل المفتوح متاحًا لجميع المستخدمين ، ولكن حقوق المسؤول مطلوبة لإزالته من شجرة وحدة التحكم ؛
لفتح المجلة ، انقر فوق الزر "نعم".

لإزالة سجل مفتوح من شجرة الأحداث ، قم بما يلي:

في شجرة وحدة التحكم ، حدد السجل المراد حذفه ؛
اختر فريقًا "حذف"من القائمة "عمل"أو من قائمة سياق السجل المختار ؛
في حوار عارض الأحداثانقر فوق الزر "نعم".

استنتاج

يتحدث هذا الجزء من المقالة ، المخصص للأداة الإضافية "عارض الأحداث" ، عن الأداة الإضافية نفسها ويصف بالتفصيل أبسط العمليات المرتبطة بمراقبة النظام وصيانته باستخدام عارض الأحداث. سيتم احتساب الجزء التالي من المقال لذوي الخبرة مستخدمو Windows... سيصف المهام ذات طرق العرض المخصصة ، والتصفية ، وتجميع / فرز الأحداث ، وإدارة الاشتراكات.

في بعض الأحيان تحدث أحداث تتطلب منا الإجابة على سؤال "من فعل هذا؟"يمكن أن يحدث هذا "نادرًا ، ولكن بشكل مناسب" ، لذا يجب الاستعداد للإجابة على السؤال مسبقًا.

يوجد في كل مكان تقريبًا أقسام التصميم وأقسام المحاسبة والمطورين وفئات أخرى من الموظفين يعملون معًا في مجموعات من المستندات المخزنة في مجلد عام (مشترك) على خادم ملفات أو على إحدى محطات العمل. قد يحدث أن يقوم شخص ما بحذف مستند أو دليل مهم من هذا المجلد ، مما قد يؤدي إلى فقد عمل الفريق بأكمله. في هذه الحالة ، تظهر عدة أسئلة أمام مسؤول النظام:

متى ومتى حدثت المشكلة؟

وهو الأقرب إلى هذا الوقت دعمهل يجب علي استعادة بياناتي؟

ربما كان هناك فشل النظاميمكن أن يحدث مرة أخرى؟

ويندوز لديه نظام مراجعة،مما يسمح لك بتتبع وتسجيل المعلومات حول متى وبواسطة من وبمساعدة أي برنامج تم حذف المستندات. بشكل افتراضي ، لا يتم تمكين التدقيق - يتطلب التتبع نفسه نسبة معينة من طاقة النظام ، وإذا قمت بتسجيل كل شيء على التوالي ، فسيصبح الحمل ثقيلًا جدًا. علاوة على ذلك ، قد لا تهمنا جميع إجراءات المستخدم ، لذلك تسمح لنا سياسات التدقيق بتمكين تتبع الأحداث المهمة حقًا بالنسبة لنا فقط.

نظام التدقيق مدمج في جميع أنظمة التشغيل مايكروسوفتشبابيكNT: نظام التشغيل Windows XP / Vista / 7 ، مشغل برامج وندوز 2000/2003/2008. لسوء الحظ ، في أنظمة السلسلة ويندوز هومالتدقيق مدفون بعمق ويصعب تخصيصه.

ماذا تحتاج لتخصيص؟

لتمكين التدقيق ، قم بتسجيل الدخول باستخدام حقوق المسؤول للكمبيوتر الذي يوفر الوصول إلى المستندات المشتركة وتشغيل الأمر يبدأ→يركض→gpedit.msc. في قسم تكوين الكمبيوتر ، قم بتوسيع المجلد إعدادات Windows→ اعدادات الامان→ السياسات المحلية→ سياسات التدقيق:

انقر نقرًا مزدوجًا على السياسة تدوين الوصول إلى الكائن (تدقيق الوصول إلى الكائنات)وحدد خانة الاختيار النجاح. تتيح هذه المعلمة آلية لتعقب الوصول الناجح إلى الملفات والتسجيل. في الواقع ، نحن مهتمون فقط بالمحاولات الناجحة لحذف الملفات أو المجلدات. قم بتمكين التدقيق فقط على أجهزة الكمبيوتر التي يتم تخزين الكائنات المتعقبة عليها.

إن تمكين سياسة التدقيق ببساطة ليس كافيًا ، فنحن بحاجة أيضًا إلى تحديد المجلدات لتتبع الوصول. عادةً ما تكون هذه الكائنات عبارة عن مجلدات من المستندات والمجلدات المشتركة (المشتركة) مع برامج الإنتاج أو قواعد البيانات (المحاسبة ، المستودعات ، إلخ) - أي الموارد التي يعمل بها العديد من الأشخاص.

من المستحيل التخمين مسبقًا من سيحذف الملف ، لذلك ، يشار إلى التتبع للجميع. سيتم تسجيل المحاولات الناجحة لحذف الكائنات المتعقبة من قبل أي مستخدم. اتصل بخصائص المجلد المطلوب (إذا كان هناك العديد من هذه المجلدات ، فكلها بدورها) وعلى علامة التبويب الأمان ← متقدم ← تدقيقإضافة تتبع الموضوع الجميعمحاولاته الناجحة للوصول حذفو حذف المجلدات الفرعية والملفات:

يمكن تسجيل الكثير من الأحداث ، لذا يجب عليك أيضًا ضبط حجم السجل حماية(حماية)حيث سيتم تسجيلهم. ل
قم بتشغيل هذا الأمر يبدأ→ يركض→ ايفينفور. ماجستير. في النافذة التي تظهر ، اتصل بخصائص سجل الأمان وحدد المعلمات التالية:

الحد الأقصى لحجم السجل = 65536 كيلو بايت(لمحطات العمل) أو 262144 كيلو بايت(للخوادم)

الكتابة فوق الأحداث حسب الحاجة.

في الواقع ، هذه الأرقام ليست مضمونة لتكون دقيقة ، ولكن يتم اختيارها تجريبياً لكل حالة محددة.

شبابيك 2003/ XP)?

انقر فوق يبدأ→ يركض→ eventvwr.msc حماية. رأي→ منقي

مصدر الحدث: الأمن ؛
الفئة: الوصول إلى الكائن؛
أنواع الحدث: تدقيق النجاح ؛
معرف الحدث: 560 ؛

راجع قائمة الأحداث التي تمت تصفيتها ، مع ملاحظة الحقول التالية في كل سجل:

موضوعاسم. اسم المجلد أو الملف الذي تبحث عنه ؛
صورةملفاسم. اسم البرنامج الذي تم حذف الملف به ؛
الوصول. مجموعة الحقوق المطلوبة.

يمكن للبرنامج طلب عدة أنواع من الوصول من النظام مرة واحدة - على سبيل المثال ، حذف+ تزامنأو حذف+ يقرأ_ مراقبة. حق كبير بالنسبة لنا هو حذف.

إذن ، من حذف المستندات (شبابيك 2008/ مشهد من خلال)?

انقر فوق يبدأ→ يركض→ eventvwr.mscوافتح السجل للعرض حماية.يمكن ملء السجل بأحداث لا تتعلق مباشرة بالمشكلة. انقر بزر الماوس الأيمن فوق سجل الأمان وحدد رأي→ منقيوتصفية العرض حسب المعايير التالية:

مصدر الحدث: الأمن ؛
الفئة: الوصول إلى الكائن؛
أنواع الحدث: تدقيق النجاح ؛
معرف الحدث: 4663 ؛

خذ وقتك في تفسير جميع عمليات الحذف على أنها ضارة. غالبًا ما تستخدم هذه الوظيفة عندما عمل روتينيالبرامج - على سبيل المثال ، عن طريق تنفيذ الأمر يحفظ(يحفظ)،برامج الحزمة مايكروسوفتمكتبقم أولاً بإنشاء ملف مؤقت جديد ، واحفظ المستند فيه ، ثم احذفه إصدار سابقملف. وبالمثل ، تقوم العديد من تطبيقات قواعد البيانات أولاً بإنشاء ملف قفل مؤقت عند بدء التشغيل. (. lck), ثم قم بإزالته عند الخروج من البرنامج.

من الناحية العملية ، واجهت أيضًا سلوكًا ضارًا للمستخدم. على سبيل المثال ، قرر موظف متضارب في شركة معينة ، عند فصله من وظيفته ، إتلاف جميع نتائج عمله عن طريق حذف الملفات والمجلدات التي يرتبط بها. الأحداث من هذا النوع مرئية بوضوح - فهي تولد عشرات ومئات من الإدخالات في الثانية في سجل الأمان. بالطبع ، استعادة المستندات من ظلنسخ (نسخ الظل) أو الأرشيف اليومي الذي تم إنشاؤه تلقائيًا ليس بالأمر الصعب ، ولكن في نفس الوقت يمكنني الإجابة على الأسئلة "من فعل هذا؟" و "متى حدث هذا؟"

يراقب نظام التشغيل Windows 7 باستمرار العديد من الأحداث الجديرة بالملاحظة التي تحدث على نظامك. في نظام التشغيل Microsoft Windows حدثهو أي حادث في نظام التشغيل يتم تسجيله أو يتطلب إخطارًا للمستخدمين أو المسؤولين. قد تكون هذه خدمة لا تريد البدء أو تثبيت جهاز أو خطأ في التطبيق. يتم تسجيل الأحداث وتخزينها في سجلات أحداث Windows وتوفر معلومات تاريخية مهمة لمساعدتك في مراقبة نظامك والحفاظ عليه آمنًا واستكشاف الأخطاء وإصلاحها وتشغيل التشخيصات. من الضروري تحليل المعلومات الواردة في هذه السجلات بانتظام. يجب عليك مراقبة سجلات الأحداث بانتظام وضبط نظام التشغيل لحفظ أحداث النظام المهمة. إذا كنت مسؤولاً عن خوادم Windows ، فأنت بحاجة إلى مراقبة أمان أنظمتها ، والتشغيل العادي للتطبيقات والخدمات ، وكذلك فحص الخادم بحثًا عن الأخطاء التي يمكن أن تؤدي إلى تدهور الأداء. إذا كنت من مستخدمي الكمبيوتر الشخصي ، فيجب عليك التأكد من أن لديك السجلات المناسبة المتاحة لدعم نظامك واستكشاف الأخطاء وإصلاحها.

برنامج عارض الأحداثهي أداة إضافية لـ Microsoft Management Console (MMC) لعرض سجلات الأحداث وإدارتها. إنها أداة لا غنى عنها لمراقبة صحة النظام واستكشاف الأخطاء وإصلاحها. تسمى خدمة Windows التي تدير تسجيل الأحداث "سجل الأحداث"... في حالة تشغيله ، يكتب Windows البيانات المهمة إلى السجلات. باستخدام البرنامج عارض الأحداثيمكنك القيام بما يلي:

عرض أحداث سجلات محددة ؛
تطبيق مرشحات الأحداث وحفظها لاستخدامها لاحقًا كطرق عرض مخصصة ؛
إنشاء وإدارة اشتراكات الأحداث ؛
قم بتعيين تنفيذ إجراءات محددة لوقوع حدث معين.

إطلاق عارض الأحداث

تطبيق عارض الأحداثيمكن فتحه بالطرق التالية:

رسم بياني 1. عارض الأحداث

سجلات الأحداث في Windows 7

في نظام التشغيل Windows 7 ، وكذلك في Windosw Vista ، توجد فئتان من سجلات الأحداث: سجلات Windowsو سجلات التطبيق والخدمة. سجلات Windows- يستخدم بواسطة نظام التشغيل لتسجيل الأحداث على مستوى النظام المتعلقة بتشغيل التطبيقات ومكونات النظام والأمان وبدء التشغيل. أ سجلات التطبيق والخدمة- تستخدم من قبل التطبيقات والخدمات لتسجيل الأحداث المتعلقة بتشغيلها. يمكنك استخدام الأداة الإضافية لإدارة سجلات الأحداث عارض الأحداثأو برنامج سطر الأوامر ويفتوتيل، والتي سيتم مناقشتها في الجزء الثاني من المقالة. يتم وصف جميع أنواع السجلات أدناه:

تطبيق- يخزن الأحداث الهامة المتعلقة بتطبيق معين. على سبيل المثال ، يخزن Exchange Server أحداث إعادة توجيه البريد ، بما في ذلك أحداث مخزن المعلومات وأحداث صندوق البريد والخدمات قيد التشغيل. يتم وضعه في٪ SystemRoot٪ \ System32 \ Winevt \ Logs \ Application.Evtx افتراضيًا.

متصفح الانترنت- يسجل هذا السجل الأحداث التي تحدث عند إعداد متصفح Internet Explorer والعمل معه. يتم وضعه افتراضيًا في٪ SystemRoot٪ \ System32 \ Winevt \ Logs \ InternetExplorer.Evtx

في Windows 7 ، تستند البنية الأساسية لتوفير تسجيل الأحداث إلى XML كما هو الحال في Windows Vista. تتوافق البيانات الخاصة بكل حدث مع مخطط XML ، والذي يسمح بالوصول إلى رمز XML لأي حدث. بالإضافة إلى ذلك ، يمكنك إنشاء استعلامات تستند إلى XML لاسترداد البيانات من السجلات. لا يلزم معرفة XML لاستخدام هذه الميزات الجديدة. تزوير عارض الأحداثيوفر واجهة رسومية بسيطة للوصول إلى هذه الإمكانات.

خصائص الحدث

هناك العديد من الخصائص للأحداث الإضافية عارض الأحداث، والتي تم تفصيلها قليلاً أدناه:

معرف الحدثهو رقم يحدد نوعًا معينًا من الأحداث. عادةً ما يحتوي السطر الأول من الوصف على اسم نوع الحدث. على سبيل المثال ، 6005 هو معرف الحدث الذي يحدث عند بدء تشغيل خدمة تسجيل الأحداث. وفقًا لذلك ، في بداية وصف هذا الحدث يوجد السطر "تم بدء خدمة سجل الأحداث." يمكن لفريق دعم المنتج استخدام معرف الحدث واسم مصدر التسجيل لأغراض استكشاف الأخطاء وإصلاحها.

مستوىهو مستوى أهمية الحدث. في سجلات النظام والتطبيق ، يمكن أن تحتوي الأحداث على مستويات الخطورة التالية:

تنبيه- يشير إلى تغيير في تطبيق أو مكون ، مثل حدوث حدث إعلامي مرتبط بإجراء ناجح ، أو إنشاء مورد ، أو بدء خدمة.
تحذير- يشير إلى تحذير عام لمشكلة قد تؤثر على الخدمة أو تؤدي إلى مشكلة أكثر خطورة إذا تركت دون معالجة ؛
خطأ- يشير إلى حدوث مشكلة يمكن أن تؤثر على الوظائف الخارجية للتطبيق أو المكون الذي أثار الحدث.
خطأ فادح- يشير إلى حدوث فشل ، وبعد ذلك لا يمكن للتطبيق أو المكون الذي تسبب في تشغيل الحدث استرداده تلقائيًا ؛
تدقيق النجاح- الإنجاز الناجح للإجراءات التي تتبعها من خلال التدقيق ، على سبيل المثال ، استخدام امتياز ؛
تدوين الفشل- تنفيذ غير ناجح للإجراءات التي تتبعها من خلال التدقيق ، على سبيل المثال ، خطأ أثناء تسجيل الدخول إلى النظام.

مستخدم- يحدد حساب المستخدم الذي وقع هذا الحدث نيابة عنه. يتضمن المستخدمون كيانات خاصة مثل الخدمة المحلية وخدمة الشبكة وتسجيل الدخول المجهول ، بالإضافة إلى حسابات المستخدمين الحقيقية. هذا الاسم هو معرف العميل إذا تم تشغيل الحدث بالفعل من خلال عملية الخادم ، أو المعرف الأساسي إذا لم يتم تنفيذ انتحال الهوية. في بعض الحالات ، يحتوي إدخال سجل الأمان على كلا المعرفين. وأيضًا في هذا الحقل يمكن أن يكون N / A (N / A) ، إذا كان الحساب في هذه الحالة غير قابل للتطبيق. يحدث انتحال الهوية عندما يسمح الخادم لإحدى العمليات بتعيين سمات أمان لعملية أخرى.

مجلة- اسم السجل الذي تم تسجيل هذا الحدث عليه.

كمبيوتر- يحدد اسم الكمبيوتر الذي وقع عليه الحدث. عادة ما يكون هذا هو اسم الكمبيوتر المحلي ، ولكن يمكن أن يكون أيضًا اسم الكمبيوتر الذي أعاد توجيه الحدث ، أو اسم الكمبيوتر المحلي قبل تغييره.

التاريخ و الوقت- يحدد تاريخ ووقت وقوع هذا الحدث في السجل.

معرف العمليه- يمثل رقم تعريف العملية التي أدت إلى هذا الحدث. برنامج الكمبيوتر ليس سوى مجموعة سلبية من التعليمات ، في حين أن العملية هي التنفيذ المباشر لهذه التعليمات.

معرف الدفق- يمثل رقم تعريف سلسلة المحادثات التي أنشأت هذا الحدث. يمكن أن تتكون العملية التي يتم إنتاجها في نظام التشغيل من عدة مؤشرات ترابط تعمل "بالتوازي" ، أي بدون ترتيب محدد في الوقت المناسب. عند تنفيذ بعض المهام ، يمكن لهذا التقسيم أن يحقق استخدامًا أكثر كفاءة لموارد الكمبيوتر.

معرف المعالج- يمثل رقم تعريف المعالج الذي تعامل مع الحدث.

رمز الجلسةهو رقم تعريف الجلسة على الخادم الطرفي الذي وقع عليه الحدث.

وقت التشغيل في وضع kernel- يحدد الوقت المستغرق في تنفيذ تعليمات وضع النواة ، بوحدات وقت وحدة المعالجة المركزية. يحتوي وضع Kernel على وصول غير مقيد إلى ذاكرة النظام والأجهزة الخارجية. تسمى نواة نظام NT نواة هجينة أو نواة كبيرة.

تحميل المعالجهو الوقت المستغرق في تنفيذ تعليمات وضع المستخدم ، في علامات وحدة المعالجة المركزية.

معرف الارتباط النسبي- يحدد الإجراء النسبي في العملية التي يستخدم من أجلها الحدث