Skapa anpassade Windows -händelser i loggen.

I operativsystemet på Windows -linjen registreras alla de viktigaste händelserna som uppstår i systemet med deras efterföljande inspelning i loggen. Fel, varningar och bara olika aviseringar spelas in. Baserat på dessa poster kan en erfaren användare korrigera systemets funktion och eliminera fel. Låt oss ta reda på hur du öppnar händelseloggen i Windows 7.

Händelseloggen lagras i ett systemverktyg som heter Loggboken... Låt oss se hur du använder olika sätt du kan gå till det.

Metod 1: "Kontrollpanelen"

Ett av de vanligaste sätten att starta verktyget som beskrivs i den här artikeln, även om det är långt ifrån det enklaste och mest praktiska, utförs med "Kontrollpaneler".

Metod 2: Kör verktyg

Det är mycket lättare att initiera aktiveringen av det beskrivna verktyget med hjälp av verktyget "Springa".

Den grundläggande nackdelen med detta snabbt och bekväm vägär behovet att komma ihåg kommandot för att ringa fönstret.

Metod 3: Sökrutan Start -meny

En mycket liknande metod för att kalla verktyget vi studerar utförs med hjälp av menysökfältet "Start".

Metod 4: "Kommandorad"

Verktygssamtal via Kommandorad ganska obekvämt, men en sådan metod finns, och därför är det också värt ett separat omnämnande. Först måste vi ringa till fönstret "Kommandorad".

Metod 5: Direkt start av filen eventvwr.exe

Du kan använda en sådan "exotisk" lösning på problemet som en direktfil startar från "Explorer"... Men och den här vägen kan vara användbart i praktiken, till exempel om fel har nått en sådan skala att andra alternativ för att starta verktyget helt enkelt inte är tillgängliga. Detta är extremt sällsynt, men fullt möjligt.

Först och främst måste du navigera till platsen för filen eventvwr.exe. Den ligger i systemkatalogen längs följande sökväg:

C: \ Windows \ System32

Metod 6: Ange filvägen i adressfältet

Med hjälp "Explorer" du kan starta fönstret av intresse för oss och snabbare. I det här fallet behöver du inte ens leta efter eventvwr.exe i katalogen "System32"... För att göra detta, i adressfältet "Explorer" du behöver bara ange sökvägen till den här filen.

Metod 7: Skapa en genväg

Om du inte vill memorera olika kommandon eller övergångar till sektioner "Kontrollpaneler" anser det vara för obekvämt, men samtidigt ofta använda tidningen, då kan du i det här fallet skapa en ikon på "Skrivbord" eller på ett annat ställe som passar dig. Därefter startar verktyget Loggboken kommer att utföras så enkelt som möjligt och utan att behöva memorera något.

Problem med att öppna tidningen

Det finns fall när problem uppstår med att öppna journalen med ovanstående metoder. Oftast händer detta på grund av att den ansvariga för arbetet detta instrument tjänsten är avaktiverad. När du försöker köra ett verktyg Loggboken ett meddelande visas om att händelseloggstjänsten inte är tillgänglig. Då måste du aktivera den.

1. Först och främst måste du gå till Servicechef... Detta kan göras från avsnittet "Kontrollpaneler" som kallas "Administrering"... Hur man går till det beskrevs i detalj när man övervägde Metod 1... En gång i det här avsnittet, leta efter objektet "Tjänster"... Klicka på det.

   

   V Servicechef du kan gå med verktyget "Springa"... Kalla det genom att skriva Vinn + R... Skriv in inmatningsområdet:

   Klick "OK".



2. Oavsett om du har gjort övergången "Kontrollpanel" eller använt kommandoinmatning i verktygslådan "Springa", börjar Servicechef... Leta efter elementet i listan "Tidskrift Windows -evenemang» ... För att underlätta sökningen kan du ordna alla objekt i listan i alfabetisk ordning genom att klicka på fältnamnet "Namn"... När den önskade raden har hittats, ta en titt på motsvarande värde i kolumnen "Stat"... Om tjänsten är aktiverad bör det finnas en inskription "Arbetar"... Om den är tom betyder det att tjänsten är avaktiverad. Titta också på värdet i kolumnen "Starttyp"... I normaltillstånd bör det finnas en inskription "Automatiskt"... Om det finns ett värde "Inaktiverad" då betyder det att tjänsten inte aktiveras vid systemstart.



3. För att åtgärda detta, gå till tjänstens egenskaper genom att dubbelklicka på namnet Lackering.



4. Ett fönster öppnas. Klicka på området "Starttyp".



5. Välj från listrutan "Automatiskt".



6. Klicka på inskriptionerna Tillämpa och "OK".



7. Återgår till Servicechef, kontrollera Windows händelselogg... Klicka på inskriptionen i det vänstra området av skalet "Springa".



8. Tjänsten har startats. Nu i motsvarande kolumnfält "Stat" värdet visas "Arbetar" och i kolumnfältet "Starttyp" en inskrift kommer att visas "Automatiskt"... Nu kan journalen öppnas på något av de sätt som vi beskrev ovan.

Det finns ganska många alternativ för att aktivera händelseloggen i Windows 7. Naturligtvis är de mest praktiska och populära sätten att gå igenom "Verktygsfält", aktivering med hjälp av "Springa" eller menysökfält "Start"... För enkel åtkomst till den beskrivna funktionen kan du skapa en ikon på "Skrivbord"... Ibland finns det problem med att starta fönstret Loggboken... Sedan måste du kontrollera om motsvarande tjänst är aktiverad.

Windows 7 -operativsystemet övervakar ständigt olika anmärkningsvärda händelser som uppstår på ditt system. V Microsoft Windows händelseär en incident i operativsystemet som loggas eller kräver avisering till användare eller administratörer. Detta kan vara en tjänst som inte vill starta, en enhetsinstallation eller ett programfel. Händelser loggas och lagras i Windows -händelseloggar och ger viktig historisk information som hjälper dig att övervaka, hålla ditt system säkert, felsöka fel och köra diagnostik. Det är nödvändigt att regelbundet analysera informationen i dessa loggar. Du bör regelbundet övervaka händelseloggar och ställa in operativsystemet så att det är viktigt systemhändelser... Om du är administratör Windows -servrar, då är det nödvändigt att övervaka säkerheten i deras system, den normala driften av applikationer och tjänster, och även kontrollera om servern har fel som kan försämra prestanda. Om du är en användare personlig dator då bör du se till att lämpliga loggar är tillgängliga för dig för att stödja ditt system och felsöka fel.

Program Loggbokenär en snapin-modul för Microsoft Management Console (MMC) för visning och hantering av händelseloggar. Det är ett oumbärligt verktyg för att övervaka systemhälsa och felsökningsproblem. Windows -tjänst, som hanterar loggning av händelser, kallas "Händelseloggen"... Om den körs skriver Windows viktig information till loggarna. Använda programmet Loggboken du kan göra följande:

• Visa händelser för specifika loggar;
• Tillämpa händelsefilter och spara dem för senare användning som anpassade vyer;
• Skapa och hantera händelseprenumerationer;
• Tilldela utförandet av specifika åtgärder till förekomsten av en specifik händelse.

Startar Event Viewer

Ansökan Loggboken kan öppnas på följande sätt:

Händelseloggar i Windows 7

I operationssalen Windows -system 7, precis som i Windosw Vista, finns det två kategorier av händelseloggar: Windows -loggar och applikations- och serviceloggar. Windows -loggar - används av operativsystemet för att registrera systemomfattande händelser relaterade till driften av applikationer, systemkomponenter, säkerhet och lansering. A applikations- och serviceloggar- används av applikationer och tjänster för att registrera händelser relaterade till deras verksamhet. Du kan använda snap-in för att hantera händelseloggar Loggboken eller program kommandorad wevtutil, som kommer att diskuteras i den andra delen av artikeln. Alla typer av loggar beskrivs nedan:

Ansökan- Lagrar viktiga händelser relaterade till en specifik applikation. Exempelvis lagrar Exchange Server händelser för vidarebefordran av e -post, inklusive informationslagringshändelser, brevlådor och kör tjänster. Placerad i% SystemRoot% \ System32 \ Winevt \ Logs \ Application.Evtx som standard.

säkerhet- Sparar händelser relaterade till säkerhet, till exempel att logga in / ut från systemet, använda privilegier och få tillgång till resurser. Placerad som standard i% SystemRoot% \ System32 \ Winevt \ Logs \ Security.Evtx

Installation- denna logg registrerar händelser som uppstår under installationen och konfigurationen av operativsystemet och dess komponenter. Som standard finns den i% SystemRoot% \ System32 \ Winevt \ Logs \ Setup.Evtx.

Systemet- Lagrar händelser i operativsystemet eller dess komponenter, till exempel fel vid start av tjänster eller initiering av drivrutiner, systemomfattande meddelanden och andra meddelanden som är relaterade till systemet som helhet. Placerad i% SystemRoot% \ System32 \ Winevt \ Logs \ System.Evtx som standard

Vidarebefordrade händelser- om vidarebefordran av händelser är konfigurerad innehåller denna logg händelser som skickats från andra servrar. Placerad i% SystemRoot% \ System32 \ Winevt \ Logs \ ForwardedEvents.Evtx som standard

Internet Explorer - den här loggen registrerar händelser som uppstår vid installation och arbete med webbläsare Utforskare. Placerad som standard i% SystemRoot% \ System32 \ Winevt \ Logs \ InternetExplorer.Evtx

Windows PowerShell- Den här loggen registrerar PowerShell -relaterade händelser. Som standard finns det i% SystemRoot% \ System32 \ Winevt \ Logs \ WindowsPowerShwll.Evtx

Utrustningsevenemang- om loggning av utrustningshändelser är konfigurerad registreras händelser som genereras av enheter i denna logg. Placerad som standard i% SystemRoot% \ System32 \ Winevt \ Logs \ HardwareEvent.Evtx

I Windows 7 är infrastrukturen för att tillhandahålla händelseloggning baserad på XML som i Windows Vista. Data för varje händelse överensstämmer med XML -schemat, vilket ger åtkomst till XML -koden för alla händelser. Dessutom kan du skapa XML-baserade frågor för att hämta data från loggar. Ingen XML -kunskap krävs för att använda dessa nya funktioner. Tackling Loggboken ger en enkel grafiskt gränssnitt för att komma åt dessa funktioner.

Händelseegenskaper

Det finns flera egenskaper för snap-in-händelser Loggboken, som beskrivs lite nedan:

En källaär programmet som loggade händelsen. Detta kan antingen vara namnet på ett program (till exempel "Exchange Server") eller namnet på en systemkomponent eller ett stort program (till exempel namnet på en drivrutin). Till exempel står "Elnkii" för EtherLink II -drivrutin.

Händelse -IDär ett nummer som identifierar en specifik typ av händelse. Den första raden i beskrivningen innehåller vanligtvis namnet på händelsestypen. Till exempel är 6005 ID för händelsen som inträffar när händelseloggningstjänsten startar. Följaktligen, i början av beskrivningen av denna händelse är raden "Händelseloggstjänsten har startat." Händelse -ID och inspelningskällans namn kan användas av supportteams representanter mjukvaruprodukt för felsökning.

Nivåär evenemangets betydelse. I system- och applikationsloggarna kan händelser ha följande allvarlighetsnivåer:

• Underrättelse- Indikerar en ändring av en applikation eller komponent, till exempel förekomsten av en informationshändelse som är associerad med en lyckad åtgärd, skapandet av en resurs eller början av en tjänst.
• En varning- indikerar en allmän varning för ett problem som kan påverka tjänsten eller leda till ett allvarligare problem om det lämnas utan uppsikt;
• Fel- indikerar att ett problem har uppstått som kan påverka funktioner utanför applikationen eller komponenten som orsakade händelsen.
• Kritiskt fel- indikerar att ett fel har inträffat, varefter applikationen eller komponenten som utlöste händelsen inte kan återställas automatiskt;
• Framgångsrevision- framgångsrikt genomförande av åtgärder som du spårar genom granskningen, till exempel användning av ett privilegium;
• Felkontroll- Misslyckat utförande av åtgärder som du spårar genom granskningen, till exempel ett fel när du loggar in på systemet.

Användare- definierar användarkontot för vars räkning denna händelse inträffade. Användare inkluderar speciella enheter som Local Service, Network Service och Anonym Logon, samt riktiga användarkonton. Detta namn är klient -ID om händelsen faktiskt utlöstes av serverprocessen, eller det primära ID: t om ingen efterlikning utförs. I vissa fall innehåller säkerhetsloggposten båda identifierarna. Och även i detta område kan vara N / A (N / A), om i denna situation konto inte tillämpbar. Imitation uppstår när servern tillåter en process att tilldela säkerhetsattribut till en annan process.

Arbetskod- innehåller ett numeriskt värde som identifierar en operation eller en punkt inom en operation som utlöste denna händelse. Till exempel initialisering eller nedläggning.

Tidskrift- namnet på loggen till vilken denna händelse spelades in.

Kategori och uppgifter- definierar kategorin för händelsen, ibland används för att ytterligare beskriva den tillåtna åtgärden. Varje händelsekälla har sina egna kategorier. Till exempel är följande kategorier: Inloggning / utloggning, användning av privilegier, policyändring och kontohantering.

Nyckelordär en samling kategorier eller etiketter som kan användas för att filtrera eller söka efter händelser. Till exempel: "Nätverk", "Säkerhet" eller "Resurs hittades inte".

En dator- identifierar namnet på den dator som händelsen inträffade på. Detta är vanligtvis namnet lokal dator, men det kan också vara namnet på den dator som vidarebefordrade händelsen, eller namnet på den lokala datorn innan den ändrades.

datum och tid- definierar datum och tid för händelsen i loggen.

Process -id- representerar identifieringsnumret för processen som genererade denna händelse. Datorprogramär bara en passiv uppsättning instruktioner, medan en process är det direkta utförandet av dessa instruktioner

Ström -ID- representerar identifieringsnumret för tråden som genererade denna händelse. En process som skapas i ett operativsystem kan bestå av flera trådar som körs "parallellt", det vill säga utan en föreskriven ordning i tid. För vissa uppgifter kan denna separation uppnå mer effektiv användning datorresurser

Processor -ID- representerar identifieringsnumret för processorn som hanterade händelsen.

Sessionskodär sessionsidentifikationsnumret på terminalservern där händelsen inträffade.

Speltid i kärnläge- Bestämmer hur lång tid det tar att köra kärnlägesinstruktioner, i enheter med CPU -tid. Kärnläget har obegränsad åtkomst till systemminne och externa enheter. Kärnan i ett NT -system kallas en hybridkärna eller en makrokernel.

Speltid i anpassat läge- definierar den tid som används för att utföra instruktioner för användarläge, i enheter av CPU -tid. Användarläge består av delsystem som skickar I / O-begäranden till lämplig drivrutin för kärnläge via I / O-chefen.

Processorbelastningär den tid som används för att köra användarlägesinstruktioner, i CPU -fästingar.

Korrelationskod- definierar åtgärden i processen för vilken händelsen används. Denna kod används för att ange enkla förhållanden mellan händelser. Korrelation är ett statistiskt samband mellan två eller flera slumpmässiga variabler (eller mängder som kan betraktas som sådana med en acceptabel grad av noggrannhet). Dessutom leder förändringar i ett eller flera av dessa värden till en systematisk förändring av ett annat eller andra värden.

Relativt korrelations -ID- definierar den relativa åtgärden i processen för vilken händelsen används

Arbeta med händelseloggar

Visa evenemang

I följande skärmdump kan du se loggen "Applikationer" för att visa information om händelser, senaste vyer och tillgängliga åtgärder. Så här visar du programloggshändelser:

1. Välj i konsolträdet Windows -loggar;
2. Välj tidning "Applikationer".

Det är lämpligt att se händelseloggarna oftare "Ansökan" och "Systemet" och undersöka befintliga problem och varningar som kan innebära problem i framtiden. När du väljer en logg, visar mittfönstret tillgängliga händelser, inklusive datum, tid och källa, händelsenivå och annan data.

Panel "Visa område" visar grundläggande händelsedata i en flik "Allmän" och ytterligare specifik data - på fliken "Detaljer"... Du kan slå på och av denna panel genom att välja menyn "Se" och sedan kommandot "Visa område".

För kritiska system rekommenderas att du håller loggar från de senaste månaderna. Det är vanligtvis obekvämt att tilldela tidskrifter så stor att de kan passa all information i dem hela tiden; detta problem kan lösas på ett annat sätt. Du kan exportera loggar till filer som finns i en angiven mapp. Gör följande för att spara den valda loggen:

1. I konsolträdet väljer du händelseloggen som du vill spara.
2. Välj ett lag "Spara evenemang som" från menyn "Handling" eller från innehållsmeny log välj kommando "Spara alla händelser som";
3. I dialogrutan som visas "Spara som" välj mappen där filen ska sparas. Om du vill spara en fil i en ny mapp kan du skapa den direkt från denna dialog med hjälp av snabbmenyn eller knappen « ny mapp» på åtgärdsfältet. I fält "Filtyp" du måste välja önskat filformat bland de tillgängliga: händelsefiler - * .evtx, xml -fil - * .xml, tabbavgränsad text - * .txt, csv kommaavgränsad - * .csv. I fält "Filnamn" "Spara"... Tryck på knappen för att avbryta sparandet. "Avbryt";
4. Om händelseloggen inte är avsedd för visning på en annan dator, i dialogrutan "Visa detaljer" lämna standardalternativet "Visa inte information", och om loggen är avsedd att visas på en annan dator, sedan i dialogrutan "Visa detaljer" Välj alternativ "Visa information för följande språk" och klicka på knappen "OK".

Rensar händelseloggen

Ibland är det nödvändigt att rensa fullständiga händelseloggar för att säkerställa effektiv analys av varningar och kritiska operativsystemfel. Gör följande för att rensa den valda loggen:

1. I konsolträdet väljer du händelseloggen som du vill rensa.
2. Rensa loggen på ett av följande sätt:
   • På menyn "Handling" Välj lag "Rensa logg";
   • Högerklicka på den valda loggen för att öppna snabbmenyn. Välj kommandot i snabbmenyn "Rensa logg";
3. Sedan kan du antingen rensa loggen eller arkivera den om den inte har gjorts tidigare:
   • Klicka på knappen om du vill rensa händelseloggen utan att spara "Klar";
   • Klicka på knappen om du vill rensa händelseloggen efter att du har sparat den "Spara och rensa"... I dialogrutan som visas "Spara som" välj mappen där filen ska sparas. Om du vill spara en fil i en ny mapp kan du skapa den direkt från denna dialog med hjälp av snabbmenyn eller knappen "Ny mapp" på åtgärdsfältet. I fält "Filnamn" ange ett namn och klicka på knappen "Spara"... För att avbryta sparandet, klicka på knappen "Avbryt".

Ställa in maximal loggstorlek

Som nämnts ovan lagras händelseloggar som filer i mappen% SystemRoot% \ System32 \ Winevt \ Logs \. Som standard är den maximala storleken på dessa filer begränsad, men du kan ändra den på följande sätt:

1. Välj ett lag "Egenskaper" från menyn "Handling"
2. I fält "Maximal loggstorlek (KB)" ställ in önskat värde med en räknare eller ställ in manuellt utan att använda en räknare. I det här fallet avrundas värdet till närmaste multipel på 64 KB eftersom loggfilens storlek måste vara en multipel på 64 KB och inte vara mindre än 1024 KB.

Händelser sparas i en loggfil som bara kan växa upp till den angivna maximala storleken. Efter att ha nått filen maximal storlek kommer behandlingen av inkommande händelser att bestämmas av loggbevaringspolicyn. Följande loggsparingspolicyer är tillgängliga:

Skriv över händelser efter behov (gamla filer först)- i detta fall fortsätter nya poster att registreras i loggen efter att den är full. Varje ny händelse ersätter den äldsta i loggen;

Arkivera tidningen när den är full; skriv inte om händelser- i detta fall arkiveras loggfilen automatiskt vid behov. Inga föråldrade händelser skrivs över.

Skriv inte om händelser (rensa loggen manuellt)- i detta fall rensas loggen manuellt, inte automatiskt.

Gör följande för att välja den loggsparningspolicy som krävs:

1. I konsolträdet väljer du händelseloggen som du vill ändra storlek på.
2. Välj ett lag "Egenskaper" från menyn "Handling" eller från snabbmenyn för den valda loggen;
3. I fliken "Allmän", I kapitel "När du når maximal storlek" välj önskad parameter och tryck på knappen "OK".

Analysera och felsöka loggaktivering

Analytiska loggar och felsökningsloggar är inaktiva som standard. När de väl har aktiverats fylls de snabbt stor mängd evenemang. Av denna anledning är det lämpligt att aktivera dessa loggar under en begränsad tid för att samla in de data som behövs för felsökning och sedan inaktivera dem igen. Loggar kan aktiveras enligt följande:

1. I konsolträdet, hitta och välj den analytiska eller felsökningslogg du vill aktivera;
2. Välj ett lag "Egenskaper" från menyn "Handling" eller från snabbmenyn för den valda analys- eller felsökningsloggen;
3. I fliken "Allmän" kryssa i rutan för alternativ "Aktivera loggning"

Öppna och stänga en sparad logg

Med ett snäpp Loggboken du kan öppna och visa tidigare sparade loggar. Du kan öppna flera sparade loggar samtidigt och komma åt dem när som helst i konsolträdet. Journal öppnades i "Visa evenemang", kan stängas utan att ta bort informationen den innehåller. Följ dessa steg för att öppna en sparad logg:

1. Välj ett lag "Öppna sparad logg" på menyn "Handling" eller från snabbmenyn i konsolträdet;
2. 3. I dialogrutan "Öppna sparad logg" genom att gå genom katalogträdet, öppna mappen som innehåller önskad fil... Som standard visas alla händelseloggfiler i dialogrutan. När du öppnar kan du också välja vilken typ av filer du vill visa i den öppna dialogrutan. De tillgängliga filtyperna är händelseloggfiler (* .evtx,* .evt,* .etl) och händelsefiler (* .evtx), gamla händelsefiler (* .evt) eller spårningsloggfiler (* .etl). När den nödvändiga loggfilen har hittats väljer du den genom att klicka på den med vänster musknapp, vilket placerar dess namn på raden för att ange filnamnet och klickar på knappen "Öppen".
3. I dialog "Öppna sparad logg", i fält "Namn" ange ett nytt namn som ska användas för loggen i konsolträdet. Den används bara för att representera loggen i konsolträdet och ändrar inte loggfilens namn. Du kan också använda det befintliga loggfilnamnet. I fält "Beskrivning" ange en beskrivning för journalen. Det kommer att visas i mittfönstret när den överordnade loggmappen väljs i konsolträdet;
4. Klicka på knappen för att skapa en mapp där den sparade loggen finns "Skapa en mapp"... I fält "Namn" ange namnet på mappen där den öppna loggen finns och klicka sedan på "OK"... Om ingen överordnad mapp väljs kommer den nya mappen att finnas i mappen "Sparade loggar".
5. För att göra den öppna händelseloggen otillgänglig för andra användare av datorn kan du avmarkera rutan "Alla användare"... Om den här kryssrutan förblir aktiv är den öppna loggen tillgänglig för alla användare, men administratörsrättigheter krävs för att ta bort den från konsolträdet.
6. Klicka på knappen för att öppna journalen "OK".

Gör följande för att ta bort en öppen logg från händelsesträdet:

1. Markera loggen som ska raderas i konsolträdet.
2. Välj ett lag "Radera" från menyn "Handling" eller från snabbmenyn för den valda loggen;
3. I dialog Loggboken klicka på knappen "Ja".

Slutsats

Denna del av artikeln, dedikerad till Event Viewer-snapin-modulen, talar om själva snapin-modulen och beskriver i detalj de enklaste operationerna som är förknippade med att övervaka och underhålla systemet med hjälp av Event Viewer. Nästa del av artikeln kommer att beräknas för erfarna Windows -användare... Det kommer att beskriva uppgifter med anpassade vyer, filtrering, gruppering / sortering av händelser och hantering av prenumerationer.

Ibland händer händelser som kräver att vi svarar på en fråga "vem gjorde det här?" Detta kan hända "sällan, men träffande", så du bör förbereda dig för svaret på frågan i förväg.

Nästan överallt finns projektavdelningar, redovisningsavdelningar, utvecklare och andra kategorier av anställda som arbetar tillsammans på grupper av dokument som lagras i en offentlig (delad) mapp på en filserver eller på en av arbetsstationerna. Det kan hända att någon raderar ett viktigt dokument eller en katalog från den här mappen, vilket leder till att hela teamets arbete kan gå förlorat. I det här fallet uppstår flera frågor inför systemadministratören:

När och vilken tid uppstod problemet?

Vilket är närmast den här tiden säkerhetskopiering ska jag återställa mina data?

Kanske fanns det systemfel det kan hända igen?

Windows har ett system Granska, låter dig spåra och logga information om när, av vem och med hjälp av vilket program dokumenten raderades. Som standard är granskning inte aktiverad - spårning i sig kräver en viss procentandel av systemets effekt, och om du spelar in allt i rad blir belastningen för stor. Dessutom kan inte alla användaråtgärder intressera oss. Därför tillåter granskningspolicyn att vi bara kan spåra de händelser som verkligen är viktiga för oss.

Revisionssystemet är inbyggt i alla operativsystem MicrosoftWindowsNT: Windows XP / Vista / 7, Windows Server 2000/2003/2008. Tyvärr i system i serien Windows Home revisionen ligger djupt begravd och är för svår att anpassa.

Vad behöver du anpassa?

För att aktivera granskning, logga in med administratörsrättigheter till datorn som ger åtkomst till delade dokument och kör kommandot Start→Springa→gpedit.msc. I avsnittet Datorkonfiguration, expandera mappen Windows -inställningar→ Säkerhetsinställningar→ Lokala policyer→ Granskningspolicyer:

Dubbelklicka på policyn Granskning av objektåtkomst (Objektåtkomstgranskning) och markera kryssrutan Framgång. Denna parameter möjliggör en mekanism för att spåra framgångsrik åtkomst till filer och register. Vi är faktiskt bara intresserade av framgångsrika försök att radera filer eller mappar. Aktivera granskning endast på datorer direkt på vilka spårade objekt lagras.

Att bara aktivera granskningspolicyn är inte tillräckligt, vi måste också ange vilka mappar som ska spåras åtkomst. Vanligtvis är sådana objekt mappar med vanliga (delade) dokument och mappar med produktionsprogram eller databaser (bokföring, lager, etc.) - det vill säga resurser som flera personer arbetar med.

Det är omöjligt att gissa i förväg vem som ska radera filen, därför är spårning indikerat för alla. Lyckade försök att radera spårade objekt av en användare loggas. Ring egenskaperna för den önskade mappen (om det finns flera sådana mappar, sedan alla i tur och ordning) och på fliken Säkerhet → Avancerat → Granskning lägg till ämnesspårning Alla hans framgångsrika åtkomstförsök Radera och Ta bort undermappar och filer:

Många händelser kan loggas, så du bör också justera storleken på loggen säkerhet(Säkerhet) där de kommer att spelas in. För
kör det här kommandot Start→ Springa→ eventvwr. msc. I fönstret som visas, anropa egenskaperna för säkerhetsloggen och ange följande parametrar:

Maximal loggstorlek = 65536 KB(för arbetsstationer) eller 262144 KB(för servrar)

Skriv över händelser efter behov.

Faktum är att dessa siffror inte garanteras vara korrekta utan väljs empiriskt för varje specifikt fall.

Windows 2003/ XP)?

Klicka på Start→ Springa→ eventvwr.msc Säkerhet. Se→ Filtrera

• Evenemangskälla: Säkerhet;
• Kategori: Objektåtkomst;
• Händelsetyper: Framgångsrevision;
• Händelse -ID: 560;

Granska listan över filtrerade händelser och var uppmärksam på följande fält i varje post:

• Objektnamn. Namnet på mappen eller filen du letar efter;
• BildFilnamn. Namnet på programmet som filen raderades med;
• Åtkomst. Uppsättningen av begärda rättigheter.

Programmet kan begära flera typer av åtkomst från systemet samtidigt - till exempel Radera+ Synkronisera eller Radera+ Läsa_ Kontrollera. En viktig rättighet för oss är Radera.

Så vem raderade dokumenten (Windows 2008/ Perspektiv)?

Klicka på Start→ Springa→ eventvwr.msc och öppna loggen för visning Säkerhet. Loggen kan fyllas med händelser som inte är direkt relaterade till problemet. Högerklicka på säkerhetsloggen och välj Se→ Filtrera och filtrera vyn efter följande kriterier:

• Evenemangskälla: Säkerhet;
• Kategori: Objektåtkomst;
• Händelsetyper: Framgångsrevision;
• Händelse -ID: 4663;

Ta dig tid att tolka alla borttagningar som skadliga. Denna funktion används ofta under normal programdrift - till exempel när kommandot körs Spara(Spara), paketprogram MicrosoftKontor skapa först en ny tillfällig fil, spara dokumentet i den och radera sedan föregående version fil. På samma sätt skapar många databasapplikationer först en tillfällig låsfil vid start. (. lck), ta sedan bort det när du lämnar programmet.

I praktiken har jag också stött på skadligt användarbeteende. Till exempel beslutade en konfliktmedarbetare i ett visst företag, vid uppsägning från sitt jobb, att förstöra alla resultat av hans arbete genom att radera de filer och mappar som han var relaterad till. Händelser av detta slag är tydligt synliga - de genererar tiotals, hundratals poster per sekund i säkerhetsloggen. Naturligtvis, återställa dokument från SkuggaKopior (Skuggkopior) eller ett dagligt automatiskt skapat arkiv är inte svårt, men samtidigt kunde jag svara på frågorna "Vem gjorde detta?" och "När hände detta?"

Windows 7 -operativsystemet övervakar ständigt olika anmärkningsvärda händelser som uppstår på ditt system. På Microsoft Windows händelseär en incident i operativsystemet som loggas eller kräver avisering till användare eller administratörer. Detta kan vara en tjänst som inte vill starta, en enhetsinstallation eller ett programfel. Händelser loggas och lagras i Windows -händelseloggar och ger viktig historisk information som hjälper dig att övervaka, hålla ditt system säkert, felsöka fel och köra diagnostik. Det är nödvändigt att regelbundet analysera informationen i dessa loggar. Du bör regelbundet övervaka händelseloggarna och ställa in operativsystemet för att spara viktiga systemhändelser. Om du är administratör för Windows -servrar måste du övervaka säkerheten för deras system, normal drift av applikationer och tjänster, och även kontrollera om det finns fel som kan försämra prestanda på servern. Om du är en datoranvändare bör du se till att du har lämpliga loggar tillgängliga för att stödja ditt system och felsöka fel.

Program Loggbokenär en snapin-modul för Microsoft Management Console (MMC) för visning och hantering av händelseloggar. Det är ett oumbärligt verktyg för att övervaka systemhälsa och felsökningsproblem. Windows -tjänsten som hanterar händelseloggning kallas "Händelseloggen"... Om den körs skriver Windows viktig information till loggarna. Använda programmet Loggboken du kan göra följande:

• Visa händelser för specifika loggar;
• Tillämpa händelsefilter och spara dem för senare användning som anpassade vyer;
• Skapa och hantera händelseprenumerationer;
• Tilldela utförandet av specifika åtgärder till förekomsten av en specifik händelse.

Startar Event Viewer

Ansökan Loggboken kan öppnas på följande sätt:

Figur 1. Loggboken

Händelseloggar i Windows 7

I Windows 7 -operativsystemet och i Windosw Vista finns det två kategorier av händelseloggar: Windows -loggar och applikations- och serviceloggar. Windows -loggar- används av operativsystemet för att spela in systemövergripande händelser relaterade till driften av applikationer, systemkomponenter, säkerhet och start. A applikations- och serviceloggar- används av applikationer och tjänster för att registrera händelser relaterade till deras verksamhet. Du kan använda snap-in för att hantera händelseloggar Loggboken eller kommandoradsprogrammet wevtutil, som kommer att diskuteras i den andra delen av artikeln. Alla typer av loggar beskrivs nedan:

Ansökan- Lagrar viktiga händelser relaterade till en specifik applikation. Exempelvis lagrar Exchange Server händelser för vidarebefordran av e -post, inklusive informationslagringshändelser, postlådahändelser och körtjänster. Placerad i% SystemRoot% \ System32 \ Winevt \ Logs \ Application.Evtx som standard.

säkerhet- Sparar händelser relaterade till säkerhet, till exempel att logga in / ut från systemet, använda privilegier och få tillgång till resurser. Placerad som standard i% SystemRoot% \ System32 \ Winevt \ Logs \ Security.Evtx

Installation- denna logg registrerar händelser som uppstår under installationen och konfigurationen av operativsystemet och dess komponenter. Som standard finns den i% SystemRoot% \ System32 \ Winevt \ Logs \ Setup.Evtx.

Systemet- Lagrar händelser i operativsystemet eller dess komponenter, till exempel fel vid start av tjänster eller initiering av drivrutiner, systemomfattande meddelanden och andra meddelanden som är relaterade till systemet som helhet. Placerad i% SystemRoot% \ System32 \ Winevt \ Logs \ System.Evtx som standard

Vidarebefordrade händelser- om vidarebefordran av händelser är konfigurerad innehåller denna logg händelser som skickats från andra servrar. Placerad i% SystemRoot% \ System32 \ Winevt \ Logs \ ForwardedEvents.Evtx som standard

Internet Explorer- den här loggen registrerar händelser som uppstår när du konfigurerar och arbetar med Internet Explorer -webbläsaren. Placerad som standard i% SystemRoot% \ System32 \ Winevt \ Logs \ InternetExplorer.Evtx

Windows PowerShell- Den här loggen registrerar PowerShell -relaterade händelser. Som standard finns det i% SystemRoot% \ System32 \ Winevt \ Logs \ WindowsPowerShwll.Evtx

Utrustningsevenemang- om loggning av utrustningshändelser är konfigurerad registreras händelser som genereras av enheter i denna logg. Placerad som standard i% SystemRoot% \ System32 \ Winevt \ Logs \ HardwareEvent.Evtx

I Windows 7 är infrastrukturen för att tillhandahålla händelseloggning baserad på XML som i Windows Vista. Data för varje händelse överensstämmer med XML -schemat, vilket ger åtkomst till XML -koden för alla händelser. Dessutom kan du skapa XML-baserade frågor för att hämta data från loggar. Ingen XML -kunskap krävs för att använda dessa nya funktioner. Tackling Loggboken ger ett enkelt grafiskt gränssnitt för att komma åt dessa funktioner.

Händelseegenskaper

Det finns flera egenskaper för snap-in-händelser Loggboken, som beskrivs lite nedan:

En källaär programmet som loggade händelsen. Detta kan antingen vara namnet på ett program (till exempel "Exchange Server") eller namnet på en systemkomponent eller ett stort program (till exempel namnet på en drivrutin). Till exempel står "Elnkii" för EtherLink II -drivrutin.

Händelse -IDär ett nummer som identifierar en specifik typ av händelse. Den första raden i beskrivningen innehåller vanligtvis namnet på händelsestypen. Till exempel är 6005 ID för händelsen som inträffar när händelseloggningstjänsten startar. Följaktligen, i början av beskrivningen av denna händelse är raden "Händelseloggstjänsten har startat." Händelse -ID och inspelningskällans namn kan användas av produktsupportteamet för felsökning.

Nivåär evenemangets betydelse. I system- och applikationsloggarna kan händelser ha följande allvarlighetsnivåer:

• Underrättelse- Indikerar en ändring av en applikation eller komponent, till exempel förekomsten av en informationshändelse som är associerad med en lyckad åtgärd, skapandet av en resurs eller början av en tjänst.
• En varning- indikerar en allmän varning för ett problem som kan påverka tjänsten eller leda till ett allvarligare problem om det lämnas utan uppsikt;
• Fel- indikerar att ett problem har uppstått som kan påverka funktioner utanför applikationen eller komponenten som orsakade händelsen.
• Kritiskt fel- indikerar att ett fel har inträffat, varefter applikationen eller komponenten som utlöste händelsen inte kan återställas automatiskt;
• Framgångsrevision- framgångsrikt genomförande av åtgärder som du spårar genom granskningen, till exempel användning av ett privilegium;
• Felkontroll- Misslyckat utförande av åtgärder som du spårar genom granskningen, till exempel ett fel när du loggar in på systemet.

Användare- definierar användarkontot för vars räkning denna händelse inträffade. Användare inkluderar speciella enheter som Local Service, Network Service och Anonym Logon, samt riktiga användarkonton. Detta namn är klient -ID om händelsen faktiskt utlöstes av serverprocessen, eller det primära ID: t om ingen efterlikning utförs. I vissa fall innehåller säkerhetsloggposten båda identifierarna. Och även i detta område kan vara N / A (N / A), om kontot inte är tillämpligt i den här situationen. Imitation uppstår när servern tillåter en process att tilldela säkerhetsattribut till en annan process.

Arbetskod- innehåller ett numeriskt värde som identifierar en operation eller en punkt inom en operation som utlöste denna händelse. Till exempel initialisering eller nedläggning.

Tidskrift- namnet på loggen till vilken denna händelse spelades in.

Kategori och uppgifter- definierar kategorin för händelsen, ibland används för att ytterligare beskriva den tillåtna åtgärden. Varje händelsekälla har sina egna kategorier. Till exempel är följande kategorier: Inloggning / utloggning, användning av privilegier, policyändring och kontohantering.

Nyckelordär en samling kategorier eller etiketter som kan användas för att filtrera eller söka efter händelser. Till exempel: "Nätverk", "Säkerhet" eller "Resurs hittades inte".

En dator- identifierar namnet på den dator som händelsen inträffade på. Detta är vanligtvis namnet på den lokala datorn, men det kan också vara namnet på den dator som vidarebefordrade händelsen, eller namnet på den lokala datorn innan den ändrades.

datum och tid- definierar datum och tid för händelsen i loggen.

Process -id- representerar identifieringsnumret för processen som genererade denna händelse. Ett datorprogram är bara en passiv uppsättning instruktioner, medan en process är det direkta utförandet av dessa instruktioner.

Ström -ID- representerar identifieringsnumret för tråden som genererade denna händelse. En process som skapas i ett operativsystem kan bestå av flera trådar som körs "parallellt", det vill säga utan en föreskriven ordning i tid. När vissa uppgifter utförs kan en sådan division uppnå en effektivare användning av datorresurser.

Processor -ID- representerar identifieringsnumret för processorn som hanterade händelsen.

Sessionskodär sessionsidentifikationsnumret på terminalservern där händelsen inträffade.

Speltid i kärnläge- Bestämmer hur lång tid det tar att köra kärnlägesinstruktioner, i enheter med CPU -tid. Kärnläget har obegränsad åtkomst till systemminne och externa enheter. Kärnan i ett NT -system kallas en hybridkärna eller en makrokernel.

Speltid i anpassat läge- definierar den tid som används för att utföra instruktioner för användarläge, i enheter av CPU -tid. Användarläge består av delsystem som skickar I / O-begäranden till lämplig drivrutin för kärnläge via I / O-chefen.

Processorbelastningär den tid som används för att köra användarlägesinstruktioner, i CPU -fästingar.

Korrelationskod- definierar åtgärden i processen för vilken händelsen används. Denna kod används för att ange enkla förhållanden mellan händelser. Korrelation är ett statistiskt samband mellan två eller flera slumpmässiga variabler (eller mängder som kan betraktas som sådana med en acceptabel grad av noggrannhet). Dessutom leder förändringar i ett eller flera av dessa värden till en systematisk förändring av ett annat eller andra värden.

Relativt korrelations -ID- definierar den relativa åtgärden i processen för vilken händelsen används

Arbeta med händelseloggar

Visa evenemang

I följande skärmdump kan du se loggen "Applikationer" för att visa information om händelser, senaste vyer och tillgängliga åtgärder. Så här visar du programloggshändelser:

1. Välj i konsolträdet Windows -loggar;
2. Välj tidning "Applikationer".

Det är lämpligt att se händelseloggarna oftare "Ansökan" och "Systemet" och undersöka befintliga problem och varningar som kan innebära problem i framtiden. När du väljer en logg, visar mittfönstret tillgängliga händelser, inklusive datum, tid och källa, händelsenivå och annan data.

Panel "Visa område" visar grundläggande händelsedata i en flik "Allmän" och ytterligare specifik data - på fliken "Detaljer"... Du kan slå på och av denna panel genom att välja menyn "Se" och sedan kommandot "Visa område".

För kritiska system rekommenderas att du håller loggar från de senaste månaderna. Det är vanligtvis obekvämt att tilldela tidskrifter så stor att de kan passa all information i dem hela tiden; detta problem kan lösas på ett annat sätt. Du kan exportera loggar till filer som finns i en angiven mapp. Gör följande för att spara den valda loggen:

1. I konsolträdet väljer du händelseloggen som du vill spara.
2. Välj ett lag "Spara evenemang som" från menyn "Handling" eller välj kommandot från snabbmenyn i journalen "Spara alla händelser som";
3. I dialogrutan som visas "Spara som" välj mappen där filen ska sparas. Om du vill spara en fil i en ny mapp kan du skapa den direkt från denna dialog med hjälp av snabbmenyn eller knappen "Ny mapp" på åtgärdsfältet. I fält "Filtyp" du måste välja önskat filformat bland de tillgängliga: händelsefiler - * .evtx, xml -fil - * .xml, tabbavgränsad text - * .txt, csv kommaavgränsad - * .csv. I fält "Filnamn" ange ett namn och klicka på knappen "Spara"... Tryck på knappen för att avbryta sparandet. "Avbryt";
4. Om händelseloggen inte är avsedd för visning på en annan dator, i dialogrutan "Visa detaljer" lämna standardalternativet "Visa inte information", och om loggen är avsedd att visas på en annan dator, sedan i dialogrutan "Visa detaljer" Välj alternativ "Visa information för följande språk" och klicka på knappen "OK".

Rensar händelseloggen

Ibland är det nödvändigt att rensa fullständiga händelseloggar för att säkerställa effektiv analys av varningar och kritiska operativsystemfel. Gör följande för att rensa den valda loggen:

Ställa in maximal loggstorlek

Som nämnts ovan lagras händelseloggar som filer i mappen% SystemRoot% \ System32 \ Winevt \ Logs \. Som standard är den maximala storleken på dessa filer begränsad, men du kan ändra den på följande sätt:

Händelser sparas i en loggfil som bara kan växa upp till den angivna maximala storleken. När filen når sin maximala storlek, kommer behandlingen av inkommande händelser att bestämmas av loggbehållarpolicyn. Följande loggsparingspolicyer är tillgängliga:

Skriv över händelser efter behov (gamla filer först)- i detta fall fortsätter nya poster att registreras i loggen efter att den är full. Varje ny händelse ersätter den äldsta i loggen;

Arkivera tidningen när den är full; skriv inte om händelser- i detta fall arkiveras loggfilen automatiskt vid behov. Inga föråldrade händelser skrivs över.

Skriv inte om händelser (rensa loggen manuellt)- i detta fall rensas loggen manuellt, inte automatiskt.

Gör följande för att välja den loggsparningspolicy som krävs:

1. I konsolträdet väljer du händelseloggen som du vill ändra storlek på.
2. Välj ett lag "Egenskaper" från menyn "Handling" eller från snabbmenyn för den valda loggen;
3. I fliken "Allmän", I kapitel "När du når maximal storlek" välj önskad parameter och tryck på knappen "OK".

Analysera och felsöka loggaktivering

Analytiska loggar och felsökningsloggar är inaktiva som standard. När de väl har aktiverats fylls de snabbt med många händelser. Av denna anledning är det lämpligt att aktivera dessa loggar under en begränsad tid för att samla in de data som behövs för felsökning och sedan inaktivera dem igen. Loggar kan aktiveras enligt följande:

1. I konsolträdet, hitta och välj den analytiska eller felsökningslogg du vill aktivera;
2. Välj ett lag "Egenskaper" från menyn "Handling" eller från snabbmenyn för den valda analys- eller felsökningsloggen;
3. I fliken "Allmän" kryssa i rutan för alternativ "Aktivera loggning"

Öppna och stänga en sparad logg

Med ett snäpp Loggboken du kan öppna och visa tidigare sparade loggar. Du kan öppna flera sparade loggar samtidigt och komma åt dem när som helst i konsolträdet. Journal öppnades i "Visa evenemang", kan stängas utan att ta bort informationen den innehåller. Följ dessa steg för att öppna en sparad logg:

Så här tar du bort den öppna loggen från händelsesträdet:

Slutsats

Denna del av artikeln, dedikerad till Event Viewer-snapin-modulen, talar om själva snapin-modulen och beskriver i detalj de enklaste operationerna som är förknippade med att övervaka och underhålla systemet med hjälp av Event Viewer. Nästa del av artikeln beräknas för erfarna användare Windows. Det kommer att beskriva uppgifter med anpassade vyer, filtrering, gruppering / sortering av händelser och hantering av prenumerationer.

× Uppmärksamhet!
Logga in med din kontosajt eller skapa den för att få full tillgång till vår webbplats. Registrering ger dig möjlighet att lägga till nyheter, kommentera artiklar, chatta med andra användare och mycket mer.

Andra material

Den sjunde versionen av Windows operativsystem implementerar funktionen för att spåra viktiga händelser som uppstår vid drift av systemprogram. På Microsoft avser termen "händelser" eventuella incidenter i systemet som registreras i en speciell logg och signalerar om sig själva till användare eller administratörer. Detta kan vara ett verktygsprogram som inte vill starta, applikationer kraschar eller felaktig installation av enheter. Alla incidenter registreras och sparas i händelseloggen Windows 7. Den ordnar och visar alla åtgärder i kronologisk ordning, hjälper till att utföra systemkontroll, säkerställer operativsystemets säkerhet, åtgärdar fel och diagnostiserar hela systemet.

Du bör regelbundet granska denna logg för inkommande information och justera systemet för att spara viktig data.

Fönster 7 - program

Datorprogrammet "Event Viewer" är huvuddelen av Microsofts serviceprogram, som är utformade för att styra och visa händelseloggen. den nödvändigt verktyg för att övervaka systemets hälsa och eliminera fel som uppstår. Windows -verktyget som hanterar dokumentationen av incidenter kallas händelseloggen. Om denna tjänst körs börjar den samla in och logga alla viktiga data i sitt arkiv. Händelseloggen i Windows 7 låter dig göra följande:

Visa data som är inspelade i arkivet;

Använda olika händelsefilter och spara dem för vidare användning i systeminställningarna;

Skapa ett abonnemang för vissa incidenter och deras hantering;

Tilldela vissa åtgärder när några händelser inträffar.

Hur öppnar jag händelseloggen för Windows 7?

Programmet som ansvarar för registrering av incidenter börjar enligt följande:

1. Menyn aktiveras genom att trycka på "Start" -knappen i bildskärmens nedre vänstra hörn, sedan öppnas "Kontrollpanelen". I listan med kontroller väljer du "Administration" och redan i den här undermenyn klickar du på "Event Viewer".

2. Det finns ett annat sätt att visa händelseloggen för Windows 7. För att göra detta, gå till Start -menyn, skriv mmc i sökrutan och skicka en begäran om att hitta filen. Därefter öppnas MMC-tabellen, där du måste välja stycket som anger tillägget och borttagningen av snap-in. Sedan läggs "Event Viewer" till i huvudfönstret.

Vad är den beskrivna applikationen?

V operativsystemÄnkor 7 och Vista har två typer av händelseloggar installerade: systemarkiv och serviceprogramlogg. Det första alternativet används för att fånga systemomfattande incidenter som är relaterade till prestanda för olika applikationer, lansering och säkerhet. Det andra alternativet är ansvarigt för att spela in händelserna i deras arbete. För att styra och hantera all data använder tjänsten "Händelselogg" fliken "Visa", som är indelad i följande objekt:

Application - händelser som är associerade med någon form av ett specifikt program... Till exempel lagrar posttjänster på denna plats historia för informationsöverföring, olika händelser i brevlådor och så vidare.

Posten "Säkerhet" sparar all data relaterad till inloggningar och utloggningar, användning av administrativa funktioner och tillgång till resurser.

Installation - Denna Windows 7 -händelselogg registrerar data som uppstår under installationen och konfigurationen av systemet och dess applikationer.

System - registrerar alla operativsystemhändelser, till exempel ett fel vid start av verktygsprogram eller vid installation och uppdatering av drivrutiner, olika meddelanden om hela systemets funktion.

Vidarebefordrade händelser - om det här objektet är konfigurerat, lagras det information som kommer från andra servrar.

Andra underpunkter i huvudmenyn

Även i "Administration" -menyn, där händelseloggen i Windows 7 finns, finns sådana ytterligare objekt:

Internet Explorer - händelser som uppstår under drift och konfiguration av webbläsaren med samma namn registreras här.

Windows PowerShell - Den här mappen innehåller incidenter som är associerade med PowerShell.

Utrustningshändelser - om detta objekt är konfigurerat, registreras data som genereras av enheterna i loggen.

Hela strukturen för "sju", som ger en registrering av alla händelser, är baserad på typen "Vista" på XML. Men för att kunna använda händelseloggprogrammet i fönster 7 behöver du inte veta hur du använder den här koden. Event Viewer kommer att göra allt själv och ger ett bekvämt och enkelt bord med menyalternativ.

Egenskaper för incidenter

En användare som vill veta hur man ser händelseloggen i Windows 7 bör också förstå egenskaperna hos de data som han vill visa. Det finns ju olika egenskaper för vissa incidenter som beskrivs i "Event Viewer". Vi kommer att överväga dessa egenskaper nedan:

Källor är ett program som registrerar händelser i loggen. Namnen på de applikationer eller drivrutiner som påverkade den eller den här incidenten registreras här.

Händelse -ID är en uppsättning nummer som definierar typen av incident. Detta ID och händelsens källnamn används av teknisk support systemstöd för att åtgärda fel och eliminera programvarufel.

Nivå - graden av evenemangets betydelse. Systemhändelseloggen har sex nivåer av incidenter:

1. Meddelande.

2. Försiktighet.

3. Fel.

4. Farligt misstag.

5. Övervakning av framgångsrika felkorrigeringsåtgärder.

6. Granskning av misslyckade åtgärder.

Användare - registrerar uppgifterna för de konton för vars räkning incidenten inträffade. Det kan vara namn olika tjänster liksom riktiga användare.

Datum och tid - registrerar tidpunkten för händelsen.

Det finns många andra händelser som uppstår när operativsystemet körs. Alla incidenter visas i "Event Viewer" med en beskrivning av all relaterad informationsdata.

Hur arbetar man med händelseloggen?

I hög grad viktig poäng för att skydda systemet från kraschar och fryser är en periodisk granskning av loggen "Application", som registrerar information om incidenter, senaste åtgärder med ett visst program och ger ett urval av tillgängliga operationer.

När du går in i Windows 7 -händelseloggen i undermenyn Program kan du se en lista över alla program som orsakade olika negativa händelser i systemet, tid och datum för deras inträffande, källan och graden av problem.

Användarens svar på händelser

När du har lärt dig hur du öppnar händelseloggen för Windows 7 och hur du använder den, bör du lära dig hur du använder uppgiftsplaneraren med den här användbara applikationen. För att göra detta, högerklicka på en incident och välj menyn för att tilldela en uppgift till en händelse i fönstret som öppnas. Nästa gång en sådan incident inträffar i systemet startar operativsystemet automatiskt den inställda uppgiften för att hantera felet och åtgärda det.

Ett fel i loggen orsakar inte panik

Om du ser systemhändelseloggen i Windows 7 om du ser systemfel eller varningar som visas regelbundet, bör du inte oroa dig och få panik över detta. Även med en perfekt fungerande dator kan olika fel och fel registreras, varav de flesta inte utgör ett allvarligt hot mot datorns hälsa.

Programmet vi beskriver skapades för att underlätta för systemadministratören att styra datorer och eliminera nya problem.

Produktion

Baserat på det föregående blir det klart att händelseloggen är ett sätt för program och systemet att spela in och spara alla händelser på en dator på ett ställe. Denna logg innehåller alla driftsfel, meddelanden och varningar för systemapplikationer.

Var är händelseloggen i Windows 7, hur man öppnar den, hur man använder den, hur man åtgärdar de fel som har dykt upp - vi lärde oss allt detta från den här artikeln. Men många kommer att fråga: ”Varför behöver vi det här, det behöver vi inte systemadministratörer, inte programmerare, utan vanliga användare som inte behöver denna kunskap? " Men detta tillvägagångssätt är fel. När allt kommer omkring, när en person blir sjuk med något, innan han går till doktorn, försöker han läka sig själv på ett eller annat sätt. Och många människor lyckas ofta. Så en dator, som är en digital organism, kan "bli sjuk", och den här artikeln visar ett av sätten att diagnostisera orsaken till en sådan "sjukdom", baserat på resultaten av en sådan "undersökning", kan du göra rätt beslut om metoderna för efterföljande "behandling".

Så information om sättet att se händelser kommer att vara användbar inte bara för systemanalytikern, utan också för den vanliga användaren.