Menü
Ingyenes
becsekkolás
a fő  /  Navigátorok / Eseménynapló használata a Windows rendszerben. Események megtekintése a Windows Vista Windows 8.1 rendszerben Rendszer Eseménynapló Hol található

Eseménynapló használata a Windows rendszerben. Események megtekintése a Windows Vista Windows 8.1 rendszerben Rendszer Eseménynapló Hol található

A Windows meglehetősen bonyolult operációs rendszer, és nyomon követi az összes folyamatot, beleértve a hibákat, a tapasztalatlan felhasználók számára.

E célból az operációs rendszerben feltöltött naplózás Teljes helytelen és minden művelet a rendszerben. Ezt a protokollt megjelenítheti és megtekintheti a Windows Event Viewer használatával.

A Windows nézet nézet megjelenítése

Az OS műveletekről szóló információk megtekintése kétféleképpen:

  • Cmd-vel ( parancs sor);
  • Keresztül vezérlőpanelek.

Használhatja a CMD karakterláncot a híváshoz a WIN + R gombok kombinációja Vagy átadja a híres láncot: Start - Minden program - standard - Parancs sor.

A megnyíló ablakban írja be a szekvenciát eventvwr.msc.

Vagy a Start - Vezérlőpulton keresztül - rendszer és szolgáltatás - Adminisztráció.

A segédprogram főablaka megjelenik az asztalon. Válassza ki az elemet "".

Ne félj, ha hibákat észlelnek a listában. Még a tökéletes rendszerben is megjelenhetnek ezek az üzenetek. A legtöbb esetben az alkalmazások alkalmazásában kiskorúak és kisebb kudarcok okoznak.

Valószínűleg a hiba leírása nem fog semmit mondani egy hétköznapi felhasználó számára. A naplók megtekintése segíthet a rendszergazda vagy a "fejlett" felhasználó számára, hogy kitalálja a feltörekvő rendszer hibáit.

A nézet használata

Milyen információkat tanulhat meg a magazinból? Ha a számítógép szisztematikusan hibákat ad, akkor ritkán újraindul, vagy összeomlik a "Halál kék képernyője", akkor minden olyan esemény, amely a munkahibájához vezetett, a rendszerben van bejelentkezve. Az információk megtekintésekor tudsz tanulni Mennyi az idő az egy vagy egy másik hiba szolgáltatása, vezetője vagy összetevője. Ezen információk alapján meghozhatja a szükséges intézkedéseket a megsértések kiküszöbölésére.

A hibainformáció mellett a napló más célokra is használható. Minden olyan eseményre, amely a rendszerben történik végezzen el egy adott feladatot. Ez lehetővé teszi a jövőben, ha egy ilyen helyzet a rendelkezésre álló állapot automatikus elvégzéséhez következik be.

Ehhez elegendő a listából származó bármely elemen hívja a helyi menüt Kattintson a jobb gombbal és válassza az Elem lehetőséget Felad egy feladatot».

Eseménynapló törlése

Törölje az összes információt a magazin nem lesz nehézség. Ehhez a naplóablak bal oldali blokkjában válassza ki a meg kell tisztítani kívánt menüpontot, kattintson jobb gombbal a helyi menüre - " Világos magazin»

Helló mindenkinek, a témanak kell lennie, hogyan kell látni a Windows naplókat. Az ilyen dolgok szerint mindenki tudja, de ha hirtelen újoncod van, akkor a naplók rendszeres események az operációs rendszerben, mint Windows és Linux, amelyek segítenek nyomon követni, hogy hol és mikor történt, és ki történt. Bármely rendszergazdanak képesnek kell lennie arra, hogy elolvassa a Windows naplóit.

Az élet egyik példája lehet a helyzet, amikor az egyik IBM kiszolgálónál a lemezen és a technikai támogatásban szembesültem, összegyűjtöttem a kiszolgálót, hogy diagnosztizálhassam a problémát. A Windows rendszerek gyűjtéséhez és rögzítéséhez válaszol az események szolgáltatásának megtekintésére. Események megtekintése Ez egy kényelmes beépülés, hogy megkapja a rendszer naplóit.

Hogyan lehet megnyitni az események megtekintése

Ugrás az események megtekintésére Az események nagyon egyszerűek lehetnek, alkalmasak a Windows bármely verziójára. Nyomja meg a mágikus gombokat

Win + R és írja be az EventVwR.msc-t

Meg fogja találni a Windows-nézet esemény ablakát, amelyben telepítenie kell a Windows naplóit. Futtunk minden naplón.

Az alkalmazásnapló a számítógépre vonatkozó programokhoz kapcsolódó rekordokat tartalmaz. A naplót akkor írják, amikor a program elindult, ha a hibával kezdődött, akkor ez is tükröződik.

A naplóellenőrzés szükséges ahhoz, hogy megértsük, ki és mikor történt. Például belépett a rendszerbe, vagy kijött, megpróbálta hozzáférni. A siker vagy elutasítás minden ellenőrzése itt íródott.

Telepítési tétel, rögzíti a Windows naplóit, hogy és amikor a programot vagy frissítést vagy frissítést telepítették.

A legfontosabb magazin egy rendszer. Itt az összes szükséges és fontos. Például volt egy BSOD Blue képernyő, és ezek az üzenetek, amelyeket megadnak, hogy segítsen meghatározni annak okát.

Vannak olyan Windows naplók is, amelyek több speciális szolgáltatásokat, például DHCP-t vagy DNS-t találnak. Az események megtekintése mindent áthalad :).

Tegyük fel, hogy a napló több mint egymillió eseményének biztonsága van, biztosan azonnal felteszi a kérdést, hogy van-e szűrés, ahogyan az összes ilyen mazochizmust néz ki. Az események megtekintéséhez a Windows naplók csak kényelmesen maradtak. A cselekvési terület jobb oldalán van egy gombszűrő gomb.

Meg kell adnia az események szintjét:

  • Kritikai
  • Hiba
  • Egy figyelmeztetés
  • Intelligencia
  • Részletek

Mindez a keresési feladattól függ, ha hibákat keres, akkor nincs értelme más típusú üzenetekben. A következő lehet annak érdekében, hogy szűkítse az események megtekintésének helyét, hogy beállítsa az események és kódok kívánt forrását.

Tehát, amint láthatod, hogy az ablakok naplóinak szétszerelése nagyon egyszerűen keresünk, megtaláljuk, eldöntjük. A Windows naplók gyors tisztítása is hasznos lehet:

A Windows PowerShell naplók megtekintése

Furcsa lenne, ha a PowerShell ezt nem tudta megtenni, hogy megjelenítse a naplófájlokat, megnyitja a PowerShell programot, és írja be ezt a parancsot

Get-eventlog -logname "System"

Ennek eredményeként megkapja a napló napló rendszerét.

Ugyanez történhet más magazinok esetében, például app

Get-eventlog -logname "alkalmazás"

az elbűvölő kislista

  • Eseményazonosító - EventiDID
  • Számítógép - Machinename.
  • Soros eseményszám - adatok, index
  • Feladat kategória - kategória
  • Kategória kód - Kategória száma
  • Szint - bejárati példa
  • Eseményüzenet - Üzenet
  • Forrás - forrás
  • Eseménygenerációs dátum - cserélések, példányidő, timegenerated
  • Eseményfelvétel dátuma - Időírt
  • Felhasználó - Felhasználónév.
  • Site - webhely.
  • Division - Coneiner.

Például annak érdekében, hogy az esemény csak a "LEVEL" oszlopok, "Eseményrekord dátum", "Source", "Eseménykód", "Kategória" és "Eseményüzenet" lesz végrehajtva:

Get-eventlog -logname 'System' | Formátum-asztali beiratkozás, időíró, forrás, esemény, kategória, üzenet

Ha részletesebben kell visszavonnia, akkor a formátum-táblázat formátumú táblázatba kerülök

Get-eventlog -logname 'System' | Formátum-lista bevittípus, időíró, forrás, Eventid, Kategória, Üzenet

Amint láthatja, hogy a formátum olvashatóbb.

A naplókat például az utolsó 20 üzenet megjelenítéséhez is szűrheti

Get-ev eventlog -logname 'system' --newest 20

További termékek

Az események gyűjteményét is automatizálhatja, mint:

  • Zabbix felügyeleti komplexum
  • Az események átvitele ablakokkal a kollektor kiszolgálóhoz
  • A Netwrix Audit Complexen keresztül
  • Ha van egy SCOM, akkor összegyűjti a Windows platformok naplóit
  • Bármely DLP rendszer

Tehát kiválaszthatja, hogy nézze meg az eseményeket vagy a PowerShell-t a Windows események megtekintéséhez, ez az Ön vállalkozása. Honlapanyag

Távoli megtekintési naplók

  • Első módszer

Nem olyan régen, a Windows Server 2019 operációs rendszerben, amely megjelenik, megjelenik a Windows Admin Központ távoli adminisztrációjának egyik összetevője. Lehetővé teszi a számítógép vagy szerver távvezérlését, már részletesebben elmondtam neki. Itt azt szeretném megmutatni, hogy a munkaállomásra való felvétele a böngészőből más számítógépekhez csatlakozhat, és könnyen megtekintheti az eseménynaplóikat, ezáltal a Windows naplók tanulása. A példa szerint egy szerver lesz Svt2019s01, Megtaláljuk a rendelkezésre álló listában és csatlakoztatni (emlékeztetünk arra, hogy távoli hálózati konfigurációt készítsünk a Windows rendszerben).

Ezután kiválasztja az "Események" fület, válassza ki a kívánt naplót, a példányban szeretném látni az összes naplót a rendszeren. A szemszögből mindenre kényelmesebben néz ki, mint az események megtekintéséhez. Az előnye lesz, amit bármilyen telefonról vagy táblagépről lehet megtenni. A jobb sarokban kényelmes a keresési forma

Ha a naplók finomabb szűrését kell előállítani, akkor a szűrőgombot használhatja.

Itt is kiválaszthatja az eseményszintet, például csak kritikus és hibákat, időtartamot, eseménykódot és forrásokat állíthat be.

Itt van egy példa a szűrésre egy 19. eseten.

Nagyon kényelmes az EVXT formátumban teljesen bejelentkezés exportálására, amely akkor az eseménynaplón keresztül könnyen megnyitható. Tehát, hogy a Windows Admin Center egy erőteljes eszköz a naplók megtekintéséhez.

  • Második módszer

A Windows Naplók távoli nézetei második módja a hozzáférési vezérlő számítógép használata, vagy ugyanaz az "események megtekintése". A Windows naplók megtekintéséhez egy másik számítógépen vagy kiszolgálón, a Snap-in kattintson a jobb egérgombbal, és válassza ki a helyi menüpontot.

Adja meg egy másik számítógép nevét, példaként SVT2019S01 lesz

Ha minden jó, és nincsenek zárak a tűzfalból vagy a víruskeresőből, akkor bejutsz az események távoli megtekintéséhez. Ha vannak zárolások, akkor kap egy üzenetet, amely nem repül a COM + forgalom.

Azt is megjegyzem, hogy a napló-aggregáció, például a Zabbi vagy Scom teljes naplója van, de ez egy másik szintű feladatok.

A klasszikus eseménynézet tok a C: \\ Windows \\ system32 \\ els.dll fájlban végrehajtott actix objektumként valósult meg. Ha regisztrálod, akkor kapsz egy pillanatra Eseménynéző. Microsoft Management Console (MMC). Kövesse az alábbi utasításokat, hogy megtudja, hogyan lehet megtenni.

  1. Nyissa meg a parancssori ablakot (nyomja meg a Win + X billentyűt gombot és válassza - „Command Prompt (Admin).
  2. Adja meg a következő parancsot regsvr32 els.dll parancsot

    Meg fog kapni egy üzenetet "dllregisterserver az Els.Dll-ben, sikerült." Kattintson az "OK" gombra a bezárásához.

  3. Vissza a parancsablakba, és írja be mMC.Majd nyomja meg az ENTER gombot. A Microsoft Management Console alkalmazás nyitva lesz. Válasszuk a Menüpontot Fájl - Snap hozzáadása / eltávolítása vagy nyomja meg a kulcs kombinációt Ctrl + M. a billentyűzeten.
    A bal oldali listában válassza ki és kattintson a "Add" gombra. A "Select Computer" párbeszédpanelen kattintson a Befejezés gombra.

A "Snap-inek hozzáadása vagy eltávolítása" párbeszédpanelen kattintson az OK gombra. BECAP A "Fájl - Paraméterek ..." menüpont. Itt lehet megváltoztatni a nevet és a konzol logója előtt mentse el a fájlt. Azt javasoljuk, hogy módosítsa a konzol mód „Felhasználó mód - Full Access” és jelölje meg azt az opciót „Ne mentse változások erre konzol” Ellenkező esetben a "Mentés módosítások mentése" minden alkalommal, amikor bosszantja Önt, amikor használod.

Az ablak bezárásához kattintson az OK gombra. A menüpontban válassza a "Fájl" - "Mentés" lehetőséget, és adja meg a fájlnevet (pl. CEVENTVWR.MSC), és mentse el egy ilyen helyre, mint C: \\ Windows vagy C: \\ Windows \\ System32. Az asztalon bárhonnan mentheti el, de a fenti könyvtárban lévő fájl mentése lehetővé teszi, hogy gyorsan használhassa a nevét a Start párbeszédpanelen, és nem kell megadnia a teljes elérési utat minden alkalommal, amikor ezt használja . Használhatja a kifejezetten ehhez a funkcióhoz létrehozott fájlt Windows 8..

Események megtekintése a Windows-ban A programüzenetek és események által generált rendszerüzenetek és események története (napló) megjelenik. By the way, a csalók néha használhatják az események megtekintését a felhasználók megtévesztésére - még a rendszerint működőképes számítógépen is, mindig hibaüzenetek lesznek.

Esemény megtekintése

A Windows események megtekintéséhez írja be ezt a leginkább kifejezést a keresésben, vagy menjen a "Vezérlőpult" - "Administration" - "Események megtekintése"

Valójában miért írok erről, egyszer a Windows események megtekintéséhez semmi érdekes a rendszeres felhasználó számára? Mégis, ez a funkció (vagy program, segédprogram) hasznos lehet, ha problémák merülnek fel a számítógéppel - ha a Windows halál kék képernyője véletlenszerűen jelenik meg, vagy egy tetszőleges újraindítás következik be - az események oka . Például a rendszer naplójában szereplő hiba információt szolgáltat arról, hogy a vezető kudarcot okozott-e a helyzet javítása érdekében. Csak keresse meg azt a hibát, amely egyszerre származik, amikor a számítógép újraindult, lógott vagy megjelenítette a halál kék képernyőjét - a hiba kritikusnak tűnik.

Vannak más nézési események alkalmazása. Például a Windows rögzíti az operációs rendszer teljes terhelését. Vagy ha a kiszolgáló a számítógépen található, akkor engedélyezheti a leállítás és az újraindítás esemény rekordja - ha valaki kikapcsolja a számítógépet, akkor be kell írnia az okát, és később megtekintheti az összes leállítást és újraindítást, és a az esemény okai.

Ezenkívül az Eseménynézet együtt nézhet együtt a Feladat ütemezővel - Kattintson jobb gombbal minden eseményre, és válassza a "Hozzon egy feladatot egy eseményre". Ha ez az esemény bekövetkezik, a Windows a megfelelő feladatot fogja futtatni.

A Windows 7 operációs rendszerét folyamatosan figyelemmel kísérik a rendszerben felmerülő különböző tisztességes figyelemes események. A Microsoft Windows rendszerben. esemény (esemény) - Ez az esemény az operációs rendszerben, amelyet a naplóban rögzítenek, vagy igényelnek értesítést a felhasználókról vagy a rendszergazdákról. Ez olyan szolgáltatás lehet, amely nem akarja elindítani, telepíteni egy eszközt vagy hibát az alkalmazásban. Az eseményeket rögzítik és mentették a Windows eseménynaplókban, és fontos időrendi információkat nyújtanak a rendszerfigyelés elvégzéséhez, a biztonság fenntartása, a hibák kiküszöbölése és a diagnosztika végrehajtása. Rendszeresen elemezni kell a folyóiratokban található információkat. Rendszeresen ellenőrizze az eseménynaplókat, és testreszabja az operációs rendszert a fontos rendszeres események mentéséhez. Abban az esetben, ha a Windows Server Administrator, akkor meg kell, hogy kövesse a biztonsági rendszereik, a normál működés az alkalmazások és szolgáltatások, valamint ellenőrzi a szerveren hibák ronthatja a teljesítményt. Ha Ön egy személyi számítógép felhasználója, akkor győződjön meg róla, hogy a rendszer támogatásához szükséges megfelelő naplók és a hibák kiküszöböléséhez szükséges.

Program "Események megtekintése" A Microsoft Management Console (MMC) szerszámozása az eseménynaplók megtekintésére és kezelésére szolgál. Ez egy nélkülözhetetlen eszköz a rendszer teljesítményének ellenőrzésére és a problémák kiküszöbölésére. A Windows szolgáltatás, amely az események naplózását kezeli "Az eseménynapló". Abban az esetben, ha fut, a Windows fontos adatokat írnak a naplókba. A program használata "Események megtekintése" A következő műveleteket hajthatja végre:

  • Bizonyos magazinok eseményeinek megtekintése;
  • Alkalmazzon eseményszűrőket, és mentse őket azutáni használatra az egyéni ábrázolások formájában;
  • Létrehozza az események előfizetéseit, és kezelje őket;
  • Adjon konkrét intézkedéseket egy adott esemény előfordulásához.

Az "Események megtekintése" alkalmazás futtatása

Alkalmazás "Események megtekintése" A következő módon nyitható meg:

Eseménynaplók Windows 7-ben

A Windows 7 operációs rendszerben, valamint a Windosw Vista rendszerben két kategóriája van az eseménynaplóknak: windows naplók és alkalmazási naplók és szolgáltatások. Windows naplók - az operációs rendszer által az alkalmazások működésével kapcsolatos rendszert szerzett események regisztrálására szolgál, a rendszerösszetevők, a biztonság és az elindítás. DE alkalmazási naplók és szolgáltatások - Alkalmazások és szolgáltatások a munkájukhoz kapcsolódó események regisztrálásához. Az eseménynaplók kezeléséhez használhatja a Snap "Események megtekintése" vagy parancssori program wevtutil.amelyet a cikk második részében kell mondani. Az alábbiakban minden típusú naplót tartalmaz:

Alkalmazás - Egy adott alkalmazáshoz kapcsolódó fontos eseményeket tárol. Például az Exchange Server menti kapcsolatos események levelek továbbítása, beleértve eseménytárolás eseményeket, postafiókok és a futó szolgáltatásokat. Alapértelmezés szerint a% Systemroot% \\ System32 \\ Winevt \\ naplók \\ Application.evtx.

Biztonság - A biztonsággal kapcsolatos események, például a rendszer be- és kikapcsolása, a jogosultságok és az erőforrásokhoz való hozzáférés. Az alapértelmezett értéket a% Systemroot% \\ System32 \\ WineVt \\ naplók \\ security.evtx

Telepítés - Ez a napló rögzíti az operációs rendszer és összetevői telepítése és konfigurálásakor előforduló eseményeket. Az alapértelmezetten található a% Systemroot% \\ System32 \\ Winevt \\ naplók \\ setup.evtx.

Rendszer - Az operációs rendszer vagy komponensei eseményeit, például az illesztőprogramok szolgáltatásait, rendszerinti üzeneteket és a rendszerhez kapcsolódó egyéb üzeneteket tárolja. Az alapértelmezett értéket a% Systemroot% \\ System32 \\ Winevt \\ naplók \\ system.evtx

Fenntartott események - Ha az eseményt konfigurálják, az egyéb szerverekből küldött események ezt a naplót küldenek. Az alapértelmezett a% Systemroot% \\ System32 \\ Winevt \\ naplók \\ forwarddevents.evtx

Internet böngésző. - Ez a napló rögzíti az események beállítása és működését az Internet Explorer böngészővel. Az alapértelmezett érték a% Systemroot% \\ System32 \\ Winevt \\ Napls \\ InternetExplorer.evtx

Windows PowerShell - Ebben a magazinban az események a PowerShell Shell használatához kapcsolódnak. Alapértelmezés szerint a% Systemroot% \\ System32 \\ WineVt \\ naplók \\ WindowsPowershwll.evtx

Esemény események - Ha a berendezést regisztrálták, az eszközök által generált események rögzítve vannak ebben a naplóban. Az alapértelmezett a% Systemroot% \\ System32 \\ WineVt \\ naplók \\ hardwareevent.evtx

A Windows 7-ben az események naplózásának biztosítását biztosító infrastruktúra az XML Windows Vista rendszeren alapul. Az egyes eseményekre vonatkozó adatok egy XML sémanak felelnek meg, amely lehetővé teszi az események XML-kódjának elérését. Ezenkívül XML-alapú kérelmeket hozhat létre a naplók adatai beszerzéséhez. Az új funkciók használatához nem szükséges az XML ismerete. Snap "Események megtekintése" Egyszerű grafikus felületet biztosít ezeknek a funkcióknak.

Az események tulajdonságai

A beépülő események számos tulajdonsága van "Események megtekintése"amelyeket az alábbiakban részletesen ismertetünk:

Egy forrás - Ez egy olyan program, amely regisztrált egy eseményt a folyóiratban. Ez lehet a program neve (például az "Exchange Server") és a rendszerkomponens vagy a nagy alkalmazás neve (például a vezető neve). Például az "Elnkii" az Etherlink II illesztőprogramot jelenti.

Eseménykód - Ez egy adott típusú eseményt meghatározó szám. A leírás első sora általában tartalmazza az esemény típusának nevét. Például a 6005 egy eseményazonosító, amely az eseménynaplózási szolgáltatása megkezdődött. Ennek megfelelően az esemény leírásának elején van egy karakterlánc "Elindított eseménynapló szolgáltatás". Az eseménykódot és a felvétel forrásnevét a szoftvertámogató csoport képviselői használhatják a hibaelhárításhoz.

Szint - Ez az esemény fontossága. A rendszernaplókban és alkalmazásokban az események a következő fontosságúak lehetnek:

  • Értesítés - olyan alkalmazás vagy összetevő változását jelöli, mint például a sikeres fellépéshez kapcsolódó információs esemény előfordulása, erőforrás létrehozása vagy megkezdése szolgáltatás.
  • Egy figyelmeztetés - Általános figyelmeztetést jelöl, amely befolyásolhatja a szolgáltatást, vagy komolyabb problémát okozhat, ha figyelmet fordítanak;
  • Hiba - azt jelzi, hogy probléma volt, amely hatással lehet funkciók külső alkalmazásával vagy komponens, ami miatt egy esemény;
  • Kritikus hiba - azt jelzi, hogy hiba történt, amely után az alkalmazás vagy komponens kezdeményezte az eseményt, nem képes automatikusan helyreállítani;
  • Ellenőrzési siker - sikeres teljesítménye az audit segítségével, például bármely kiváltság használatával;
  • Ellenőrzési hiba - Sikertelen végrehajtó műveletek, amelyek nyomon követik az ellenőrzést, például a rendszerbe való belépéskor.

Felhasználó - Meghatározza a felhasználói fiókot, amelynek nevében ez az esemény bekövetkezett. A felhasználók magukban foglalják a speciális entitást, például a helyi szolgáltatást, a hálózati szolgáltatást és az anonim bejelentkezést, valamint a valódi felhasználók számláit. Ez a név az ügyfél azonosítója, ha az eseményt ténylegesen a kiszolgálói folyamat okozza, vagy a fő azonosítót, ha a személyiséget nem végzik. Bizonyos esetekben a biztonsági naplóbejegyzés mind az azonosítót is tartalmazza. És ezen a területen is N / A (N / D) lehet, ha a fiók nem alkalmazható ebben a helyzetben. A személyiesítés olyan esetekben fordul elő, amikor a kiszolgáló lehetővé teszi, hogy egy folyamat más folyamatbiztonsági attribútumokat hozzon létre.

Munkakód - olyan numerikus értéket tartalmaz, amely meghatározza a művelet működését vagy pontját, az esemény végrehajtása során. Például inicializálás vagy bezárás.

Magazin - a magazin neve, amelyben ezt az eseményt rögzítették.

Kategória és célok - meghatározza az eseménykategóriát, amelyet néha a megengedett művelet későbbi leírásához használnak. Minden eseményforrásnak saját kategóriái vannak. Például a következő kategóriák: Bemenet / kimenet, felhasználási jogosultságok, változó irányelvek és a fiók kezelése.

Kulcsszavak - Ez egy olyan kategóriák vagy címkék, amely felhasználható az események szűrésére vagy keresésére. Például: "Hálózat", "Biztonság" vagy "Erőforrás nem található."

Egy számítógép - azonosítja a számítógép nevét, amelyen az esemény bekövetkezett. Ez általában a helyi számítógép neve, de lehet a számítógép neve, amely az eseményt, vagy a helyi számítógép nevét megváltoztatta, mielőtt megváltozott volna.

dátum és idő - Meghatározza az esemény dátumát és időpontját a naplóban.

Folyamatazonosító - az eseményt létrehozó folyamat azonosító számát jelenti. A számítógépes program csak passzív utasításokat tartalmaz, míg a folyamat az utasítások közvetlen végrehajtása.

Eid áramlás - az eseményt létrehozó áramlás azonosító számát jelenti. Az operációs rendszerben létrehozott folyamat több "párhuzamos" futó áramlást is tartalmazhat, vagyis az időben előírt megrendelés nélkül. Néhány feladat elvégzése során ez az elválasztás hatékonyabb számítógépes erőforrások használatát eredményezheti

ID-feldolgozó - az eseményt feldolgozott processzor azonosító számát jelenti.

Munkamenet-kód - Ez a munkamenet azonosító száma a terminálkiszolgálón, amelyben az esemény bekövetkezett.

Kernel idő - Meghatározza a rendszermag üzemmód utasításainak, a CPU egységeiben eltöltött időt. A kernel mód korlátlan hozzáférést biztosít a rendszer memóriájához és a külső eszközökhöz. Az NT rendszer magját hibrid magnak vagy makroagernek nevezik.

Munkaidő felhasználói módban - Meghatározza a felhasználói rendszer utasításainak végrehajtására fordított időt, a CPU egységeiben. A felhasználói mód olyan alrendszerekből áll, amelyek az I / O Manager segítségével adják meg a megfelelő kernel-módos meghajtót.

Processzor betöltése - Ez a felhasználói rendszer utasításainak végrehajtására fordított idő, a CPU kulccsal.

Korrelációs kód - meghatározza az eseményt, amelyre az eseményt használják. Ezt a kódot az események közötti egyszerű kapcsolatok jelzésére használják. A korreláció a két vagy több véletlenszerű változó statisztikai kapcsolatát (vagy néhány megengedett pontossággal figyelembe vehető értékeket). Ugyanakkor egy vagy több ilyen értékváltozások a más vagy más értékek szisztematikus változása.

A relatív korreláció kódja - meghatározza a relatív intézkedéseket az esemény alkalmazásában.

Munka az eseménynaplókkal

Események megtekintése

A következő képernyőképen látható a magazin "Alkalmazások"ahol megtalálhatja az eseményeket, a legutóbbi ötleteket és megfizethető cselekedeteket. Az alkalmazásnapló események megtekintéséhez kövesse az alábbi lépéseket:

  1. A konzolfában válassza ki "Windows magazinok";
  2. Válasszon ki egy magazint "Alkalmazások".

Ajánlatos az esemény naplózásainak megtekintése "Alkalmazás" és "Rendszer" és tanulmányozza a meglévő problémákat és figyelmeztetéseket, amelyek a jövőbeni problémákról előfordulhatnak. Ha kijelöl egy jelentkezést a középső ablakban, megjelenik az elérhető események, beleértve az esemény dátumát, az időt és a forrásokat, az eseményszintet és más adatokat.

Panel "Nézet terület" Megmutatja az alapvető eseményeket a lapon "Tábornok", és további speciális adatok - a lapon "Részletek". Engedélyezheti és letilthatja ezt a panelt a menü kiválasztásával. "Kilátás"majd a parancsot "Nézet terület".

A kritikus rendszerek esetében javasoljuk, hogy naplókat tároljon az elmúlt hónapokban. Minden alkalommal, hogy hozzárendeljen a magazinokat olyan méretre, hogy minden információ illeszkedjen hozzájuk, általában kényelmetlen, ez a feladat másképp megoldható. A megadott mappában behajtott fájlokra exportálhatja a naplókat. A kiválasztott napló mentéséhez kövesse az alábbi lépéseket:

  1. A konzolfában válassza ki az eseménynaplót a mentéshez;
  2. Válassz csapatot "Események mentése" A menüből "Törvény" Vagy a napló helyi menüjében válassza ki a parancsot "Minden esemény mentése";
  3. A megjelenő párbeszédben "Mentés másként" Válasszon ki egy mappát, amelyhez a fájlt meg kell menteni. Ha meg szeretné menteni a fájlt az új mappába, akkor a helyi menü vagy gomb segítségével közvetlenül létrehozhatja ezt a párbeszédablakot. "Új mappa" A cselekvési ablaktáblán. Területen "Fájltípus" Ki kell választania a kívánt fájlformátumot a rendelkezésre álló: Event Files - * .evtx, XML fájl - * .xml, Tab elválasztási szöveg - * .txt, CSV vesszővel elválasztással - * .csv. Területen "Fájl név" "Mentés". A Mentés megszakításához kattintson a gombra. "Megszünteti";
  4. Abban az esetben, ha az eseménynapló nem szándékozik megtekinteni egy másik számítógépen, a párbeszédpanelen "Információk megjelenítése" Hagyja az alapértelmezett opciót "Ne jelenjen meg az információt", és ha a napló egy másik számítógépen történő megtekintésre szolgál, akkor a párbeszédpanelen "Információk megjelenítése" Válassza az Opció lehetőséget "A következő nyelvek megjelenítése" és kattintson a gombra "RENDBEN".

Eseménynapló törlése

Néha törölnie kell a kitöltött eseménynaplóit, hogy biztosítsa az operációs rendszer figyelmeztetéseinek és kritikus hibáinak hatékony elemzését. A kiválasztott napló törléséhez kövesse az alábbi lépéseket:

  1. A konzolfában válassza ki a tisztítani kívánt eseménynaplót;
  2. Tisztítsa meg a naplót az alábbi módok egyikében:
    • A menün "Törvény" Válassz csapatot "CLEAR magazin";
    • A kiválasztott naplóban kattintson a jobb gombbal a helyi menü megnyitásához. A helyi menüben válassza ki a parancsot "CLEAR magazin";
  3. Ezután törölheti a magazint, vagy archiválhatja azt, ha korábban nem történt meg:
    • Az eseménynapló törléséhez kattintson a gombra kattintva. "Egyértelmű";
    • Az eseménynapló törléséhez a mentése után kattintson a gombra. "Mentés és törlés". A megjelenő párbeszédben "Mentés másként" Válasszon ki egy mappát, amelyhez a fájlt meg kell menteni. Ha meg szeretné menteni a fájlt az új mappába, akkor a helyi menü vagy gomb segítségével közvetlenül létrehozhatja ezt a párbeszédablakot. "Új mappa" A cselekvési ablaktáblán. Területen "Fájl név" Adjon meg egy nevet, és kattintson a gombra. "Mentés". A Mentés megszakításához kattintson a gombra "Megszünteti".

Állítsa be a maximális napi méretet

Mint már említettük, eseménynaplókban vannak tárolva fájlokat a% Systemroot% \\ System32 \\ WinEvt \\ Logs mappában. Alapértelmezés szerint a fájlok maximális mérete korlátozott, de a következő módon módosítható:

  1. Válassz csapatot "Tulajdonságok" A menüből "Törvény"
  2. Területen "Maximális magazin méret (KB)" Állítsa be a kívánt értéket a számlálóval, vagy manuálisan manuálisan használja a mérőt. Ebben az esetben az értéket a legközelebbi számra kerekítik, többszörös 64 kb-ot, mivel a naplófájl mérete 64 kB meghajtóval kell rendelkeznie, és nem lehet kevesebb, mint 1024 KB.

Az események mentésre kerülnek a naplófájlban, amelynek mérete csak a megadott maximális értékre emelkedhet. A maximális méretfájl elérése után a bejövő események feldolgozását a naplók tárolási politikája határozza meg. A következő magazin-mentési irányelvek állnak rendelkezésre:

Szükség esetén átírja az eseményeket (első régi fájlok) - Ebben az esetben az új rekordok továbbra is beírják a naplót, miután kitöltötték. Minden új esemény helyettesíti a legtöbbet a folyóiratban;

Archívum magazin töltéskor; Ne írjon át az eseményeket - Ebben az esetben a naplófájl automatikusan archiválódik, ha szükséges. Az elavult események felülírása nem történik meg.

Ne írjon át az eseményeket (manuálisan tiszta magazin) - Ebben az esetben a magazin manuálisan törlődik, és nem automatikusan.

A kívánt naplómentési házirend kiválasztásához kövesse az alábbi lépéseket:

  1. A konzolfában válassza ki az eseménynaplóját, amelyre átméreteznie kell;
  2. Válassz csapatot "Tulajdonságok" A menüből "Törvény" vagy a kiválasztott napló helyi menüjétől;
  3. A lapon "Tábornok", A fejezetben "A maximális méret elérésekor" Válassza ki a kívánt paramétert, és kattintson a gombra. "RENDBEN".

Az analitikai és hibakeresési magazin aktiválása

Az analitikai és hibakeresési naplók inaktív alapértelmezettek. Az aktiválás után gyorsan tele vannak rengeteg eseményrel. Emiatt kívánatos aktiválni a megadott naplókat korlátozott időtartamra a kereséshez és a hibaelhárításhoz szükséges adatok összegyűjtése érdekében, majd letiltja őket újra. A naplók aktiválása a következőképpen hajtható végre:

  1. A konzolfán keresse meg és válassza ki az aktiválni kívánt analitikus vagy hibakeresési naplót;
  2. Válassz csapatot "Tulajdonságok" A menüből "Törvény" vagy a kiválasztott analitikai vagy hibakeresési napló helyi menüjétől;
  3. A lapon "Tábornok" Ellenőrizze a jelölőnégyzetet "Tartalmazza a naplózást"

A mentett magazin megnyitása és lezárása

A snap segítségével "Események megtekintése" Megnyithatja és megtekintheti a korábban mentett naplókat. Ugyanakkor több mentett naplót nyithat, és bármikor hozzáférhet a konzolfán. Magazin nyitva van "Események megtekintése"lehet zárni, anélkül, hogy törli a benne foglalt információkat. A mentett napló megnyitásához kövesse az alábbi lépéseket:

  1. Válassz csapatot "Nyissa meg a mentett magazin" a menün "Törvény" vagy a konzolfában lévő helyi menüből;
  2. 3. A párbeszédpanelen "Nyissa meg a mentett magazin"A katalógus fa körül mozgatva nyissa meg a kívánt fájlt tartalmazó mappát. Alapértelmezés szerint az összes eseménynaplófájl megjelenik a párbeszédpanelen. Továbbá, amikor megnyílik, kiválaszthatja a megjelenítendő fájlok típusát a nyitó párbeszédablakban. Elérhető fájltípusok: Eseménynaplófájlok (* .evtx, * .evt, * .etl), valamint eseményfájlok (* .evtx), régi eseményfájlok (* .evt) vagy nyomkövetési naplófájlok (* .etl). Miután a kívánt naplófájl megtalálható, válassza ki azt a bal egérgombbal kattintva, amely a nevét a karakterláncba helyezi, hogy megadja a fájl nevét, és kattintson a gombra. "Nyisd ki".
  3. Párbeszédben "Nyissa meg a mentett magazin"területen "Név" Adjon meg egy új nevet, amelyet a konzolfa naplójában fog használni. Csak a konzolfák naplójának megtekintéséhez használható, és a naplófájl neve nem változik, akkor a meglévő naplófájl nevét is használhatja. Területen "Leírás" Adja meg a magazin leírását. Ez megjelenik a központi területen, amikor kiemeli a szülő napló mappáját a konzolfán;
  4. Olyan mappa létrehozásához, amelyben a mentett napló található, kattintson a gombra. "Mappa létrehozása". Területen "Név" Adja meg a mappa nevét, amelyben a nyitott napló található, majd kattintson a gombra "RENDBEN". Ha a szülő mappa nincs kiválasztva, az új mappa a mappában található "Mentett magazinok".
  5. A szabadtéri eseménynapló számára a más számítógépes felhasználók számára nem érhető el, akkor törölheti a jelölőnégyzetet. "Minden felhasználó". Abban az esetben, ha ez a jelölőnégyzet aktív marad, a nyitott napló hozzáférhető lesz minden felhasználó számára, de a konzolfáról eltávolíthatja, rendszergazdai jogok szükségesek;
  6. A napló megnyitásához kattintson a gombra. "RENDBEN".

Az Eseményfákról nyitott kijelentkezés eltávolításához kövesse az alábbi lépéseket:

  1. A konzolfán válassza ki az eltávolítandó magazint;
  2. Válassz csapatot "Töröl" A menüből "Törvény" vagy a kiválasztott napló helyi menüjétől;
  3. Párbeszédben "Események megtekintése" Kattintson a gombra "Igen".

Következtetés

Ebben a részben a cikk szentelt a „View Event Viewer”, le van írva, a berendezés is, és ismerteti a legegyszerűbb kapcsolódó műveletek felügyeletét és karbantartását a rendszer segítségével „vizuális események”. A cikk következő részét az ablakok fejlett felhasználói számára tervezik. A testreszabható nézetek, szűrés, csoportosítás / rendezvények és előfizetési menedzsment feladatait leírja.