Menü
Bedava
giriş
ana  /  Navigatörler / Olay Günlüğünü Kullanma Windows'ta. Windows Vista Windows'ta Olayları Görüntüle 8.1 Sistem Olay Günlüğü nerede bulunur

Windows'ta Olay Günlüğünü Kullanma. Windows Vista Windows'ta Olayları Görüntüle 8.1 Sistem Olay Günlüğü nerede bulunur

Windows oldukça karmaşık bir işletim sistemidir ve deneyimsiz bir kullanıcı için zor, hatalar da dahil olmak üzere tüm işlemleri izleyin.

OS'ndeki bu amaçlar için sağlanan günlük Toplam yanlış ve sistemdeki tüm eylemler. Bu protokolü Windows Olay Görüntüleyicisi'ni kullanarak görüntüleyebilir ve görüntüleyebilirsiniz.

Windows Görünümü Görünümü Görünümü

OS işlemleri hakkındaki bilgileri iki şekilde inceleyin:

Cmd String'i aramak için kullanabilirsiniz. win + R tuşlarının birleşimi veya ünlü zinciri geç: Başlat - Tüm Programlar - Standart - Komut satırı.

Açılan pencerede, sırayı girin eventvwr.msc.

Ya, Başlangıç \u200b\u200b- Kontrol Paneli - Sistem ve Hizmet - İdare.

Yardımcı programın ana penceresi masaüstünde görüntülenecektir. "" Öğesini seçin.

Listede hatalar tespit edilirse korkmayın. Mükemmel sistemde bile, bu tür mesajlar ortaya çıkabilir. Çoğu durumda, bekardırlar ve uygulamaların uygulanmasındaki küçük arızalardan kaynaklanır.

Büyük olasılıkla, hata açıklamaları sıradan bir kullanıcı için hiçbir şey söylemez. Günlükleri görüntüleme, sistem yöneticisine veya "gelişmiş" kullanıcının ortaya çıkan sistem arızalarını anlamalarına yardımcı olabilir.

View Nasıl Kullanılır

Dergiden hangi bilgileri öğrenebilirsin? Bilgisayarınız sistematik olarak hataları görüntülerse, rastgele yeniden başlatılır veya çöküyor " mavi ekran Ölüm ", daha sonra işte başarısızlığa yol açan tüm olaylar sistem tarafından kaydedilir. Bilgi görüntülerken Öğrenebilirsin Servis, sürücü veya ekipmanın bir veya başka bir hata olarak adlandırılması saat kaçta. Bu bilgilere dayanarak, ihlalleri ortadan kaldırmak için gerekli önlemleri alabilirsiniz.

Hata bilgisine ek olarak, günlük başka amaçlar için de kullanılabilir. Sistemde gerçekleşen herhangi bir olaya bağlı olabilir verim Özel görev . Bu, gelecekte sağlanan durumu otomatik olarak gerçekleştirmek için böyle bir durum meydana gelirse, gelecekte izin verir.

Bunun için listeden herhangi bir öğede yeterli bağlam menüsünü arayın Sağ tıklayın ve öğeyi seçin " Bir görevi bağlamak».

Olay Günlüğünü Temizleme

Dergiden gelen tüm bilgileri silme zorluk olmayacak. Bunu yapmak için, günlük penceresinin sol bloğunda, temizlenecek menü ağacı öğesini seçin, içerik menüsüne sağ tıklayın - " Açık dergi»

Herkese merhaba, konu, Windows Günlüklerini Nasıl görecek olmalı. Böyle şeyler herkesin bildiğini düşünüyor, ancak birdenbire bir acemisiniz varsa, günlükler işletim sisteminde Windows ve Linux olarak gerçekleşen sistem olaylarıdır, bu da nerede ve ne zaman olduğunu ve kimin yaptığını izlemeye yardımcı olur. Hiç sistem yöneticisi Windows günlüklerini okuyabilmekle yükümlüdür.

Bir yaşam örneği, IBM sunucularından birinde, diskin karşılaştığı durumdur. teknik Destek Sunucu günlüklerini, sorunu teşhis edebilmeleri için topladım. Windows'ta günlükleri toplamak ve sabitlemek için, etkinliklerin servis görüntülenmesini yanıtlar. Olayları Görüntüle Bu, sistem günlüklerini almak için uygun bir ek bileşendir.

Etkinlikler görünümünde nasıl açılır

Etkinliklerin yapışmasına gidin, Windows'un herhangi bir sürümü için uygun, çok basit olabilir. Sihirli düğmelere basın

Win + R ve EVENTVWR.MSC'ye girin

Görünüm penceresini açacaksınız windows olayları öğeyi genişletmeniz gereken Windows günlükleri. Günlüklerin her birinde koşalım.

Uygulama günlüğü, bilgisayarınızdaki programlarla ilgili kayıtları içerir. Hatada başlatıldığında program başlatıldığında, log yazılır, o zaman bu da yansıtılır.

Kimin ve ne zaman olduğunu anlamak için dergi denetimi gereklidir. Örneğin, sisteme girdi veya çıktı, erişim kazanmaya çalıştı. Tüm başarı denetimleri veya reddetme burada yazılmıştır.

Kurulum öğesi, Windows günlüklerini kaydeder ve program veya güncelleme veya güncelleme kurulduğunda.

En önemli dergi bir sistemdir. Burada en gerekli ve önemli yazılmıştır. Örneğin, bir BSOD mavi ekranınız vardı ve bu mesajlar, nedenini belirlemenize yardımcı olmak için girdiler.

DHCP veya DNS gibi daha spesifik hizmetler için Windows günlükleri de vardır. Etkinlikleri görüntüleme her şeyi geçecek :).

Derginizdeki bir milyondan fazla etkinliğin güvenliğine sahip olduğunuzu varsayalım, kesinlikle hepsine bu mazoşizm için bakarken filtreleme olup olmadığını hemen bir soru soracağınızdan emin olun. Olayları görüntülemede, verildi, Windows günlükleri sadece rahatça kalabilir. Sağ tarafta eylem alanında bir düğme filtresi düğmesi var.

Olayların seviyesini belirtmeniz istenecektir:

  • Kritik
  • Hata
  • Bir uyarı
  • Zeka
  • Detaylar

Hepsi arama görevine bağlıdır, eğer hata arıyorsanız, diğer mesaj türlerinde hiçbir anlam yoktur. Sonraki, istenen olayların ve kod kaynağını ayarlamak için olayların görüşünün yerini daraltmak için olabilir.

Yani, Windows'un günlüklerini çok basit bir şekilde görebileceğiniz gibi, aradık, buluruz, karar veriyoruz. Ayrıca Windows günlüklerinin hızlı bir şekilde temizlenebilir:

Windows PowerShell Günlüklerini Görüntüle

PowerShell'in yapamadığı takdirde garip olurdu log dosyaları PowerShell'i açın ve bu komutu girin

Get-Eventlog-Logname "Sistem"

Sonuç olarak, bir günlük günlük kaydı sistemi alacaksınız.

Aynı örnek, örneğin uygulama için diğer dergiler için yapılabilir.

Get-Eventlog-Logname "Uygulama"

küçük bir abreitature listesi

  • Olay Kimliği - EventID
  • Bilgisayar - Makina adı.
  • Seri Olay Numarası - Veri, Dizin
  • Görev Kategorisi - Kategori
  • Kategori Kodu - KategoriNumber
  • Seviye - EntryType
  • Olay Mesajı - Mesaj
  • Kaynak - Kaynak
  • Etkinlik Üretimi Tarihi - Yedekleme, örnekleme, zamanlayıcılaştırılmış
  • Etkinlik Kayıt Tarihi - Timewritten
  • Kullanıcı - kullanıcı adı.
  • Site - Site.
  • Bölüm - Koniiner.

Örneğin, olayı yalnızca "seviye" sütunları, "Olay Kayıt Tarihi", "Olay Kayıt Tarihi", "Kaynak", "Olay Kodu", "Kategori" ve "Etkinlik Mesajı" ile görüntülemek için, sistem günlüğü için "olay mesajı", yürütülecektir:

Get-Eventlog-Logname 'System' | Biçim-Tablo EntryType, TimeWritten, Source, EventID, Kategori, Mesaj

Daha fazla ayrıntı çekmeniz gerekiyorsa, format listesindeki format tablosunu değiştireceğim.

Get-Eventlog-Logname 'System' | Biçim listesi EntryType, TimeWritten, Source, EventID, Kategori, Mesaj

Gördüğünüz gibi format daha okunabilir.

Ayrıca, son 20 mesajı göstermek için günlükleri filtreleyebilirsiniz.

Get-Eventlog -Logname 'System' -Newest 20

Ek Ürünler

Ayrıca, bu tür araçlar yoluyla etkinlik koleksiyonunu da otomatikleştirebilirsiniz:

  • Zabbix İzleme Kompleksi
  • Olayların sevkiyatı sayesinde windows Araçları kollektör sunucusuna
  • NetWrix denetim kompleksinden
  • Bir SCOM'ınız varsa, herhangi bir kütüğü toplayabilir Windows platformları
  • Herhangi bir DLP sistemi

Bu yüzden, Windows olaylarını görüntülemek için olayları veya PowerShell'i görüntülemeyi seçersiniz, bu sizin işiniz. Web sitesi materyali

Uzaktan Görüntüleme Günlükleri

  • İlk yöntem

Çok uzun zaman önce, görünen Windows Server 2019 işletim sisteminde, Windows Admin Center'ın uzaktan yönetiminin bir bileşeni göründü. Harcamanızı sağlar uzaktan kumanda Bilgisayar veya sunucu, ona daha fazla ayrıntı söyledim. İşte iş istasyonuma koymanın tarayıcıdan diğer bilgisayarlara bağlanabileceğini ve olay günlüğelerine kolayca görüntüleyebileceğini göstermek istiyorum, böylece Windows günlüklerini öğrenir. Örneğimde bir sunucu olacak SVT2019S01, Mevcut listede buluruz ve bağlanıyoruz (Windows'ta uzak bir ağ yapılandırması yapmanızı hatırlatırız).

Daha sonra, "Olaylar" sekmesini seçersiniz, istediğiniz günlüğü seçin, örneğimde sistemdeki tüm günlükleri görmek istiyorum. Benim bakış açımdan her şey, olayları görüntülemekten daha uygun olan her şeye bakılır. Avantaj, herhangi bir telefondan veya tabletten yapabileceğiniz şey olacaktır. Sağ köşede uygun bir arama şekli var

Günlüklerin daha ince filtrelemesi yapmanız gerekiyorsa, filtre düğmesini kullanabilirsiniz.

Burada ayrıca olay seviyesini, örneğin yalnızca kritik ve hataları bırakarak, bir zaman aralığı, olay kodu ve kaynağı belirleyebilirsiniz.

İşte 19 bir olayda filtreleme örneğidir.

EVXT formatında tam oturum açmak çok uygundur, bu daha sonra Olay Günlüğü'nden açılması kolaydır. Böylece, Windows Admin Center, günlükleri görüntülemek için güçlü bir araçtır.

  • İkinci yöntem

Windows günlüklerinin uzaktan görüşlerinin ikinci yolu, erişim kontrol bilgisayarının veya aynı "olayları görüntüleme" nin kullanılmasıdır. Windows günlüklerini başka bir bilgisayarda veya sunucuya görüntülemek için, sağ tıklamayı sağ tıklatın ve ardından bağlam menüsü "".

Başka bir bilgisayarın adını belirtin, örneğimde SVT2019S01 olacaktır.

Her şey yolundaysa ve güvenlik duvarı veya virüsten korumadan kilitler yoksa, o zaman olayların uzaktan izlenmesini sağlayacaksınız. Kilitler varsa, COM + trafiğini uçmayan türe göre bir mesaj alacaksınız.

Ayrıca, Zabbix veya SCOM gibi tüm günlük toplama kütüklerinin bulunduğunu da not etmek istiyorum, ancak bu bir başka görev seviyesidir ..

Klasik olay görüntüleme örneği C: \\ Windows \\ System32 \\ els.dll dosyasında bir ACTIX nesnesi olarak uygulandı. Eğer kaydolursanız, bir geçiş yapacaksınız Etkinlik göstericisi. Microsoft Yönetim Konsolu (MMC) için. Nasıl yapılabileceğini bulmak için aşağıdaki talimatları izleyin.

  1. Komut satırı penceresini açın (Klavye tuşunda Win + x tuşlarına basın ve - "Komut İstemi (Yönetici).
  2. Aşağıdaki komutu girin Regsvr32 els.dll

    "Els.dll dosyasındaki DLLREGisterserver" mesajı alacaksınız. Kapatmak için "Tamam" düğmesine tıklayın.

  3. Komut penceresine geri dönün ve girin mmc.Ve sonra ENTER düğmesine basın. Microsoft Yönetim Konsolu uygulaması açık olacaktır. Menü öğesini seçin Dosya - Ekle / Kaldır veya tuş kombinasyonuna basın CTRL + M. klavyede.
    Soldaki listede, "Ekle" düğmesine tıklayın ve tıklayın. "Bilgisayar Seç" iletişim kutusunda, Tamam'ı tıklatın.

"Eklenti Ekle veya Kaldır" iletişim kutusunda, Tamam'ı tıklatın. "Dosya - Parametreler ..." menü öğesini Becap. Burada, dosyaya kaydetmeden önce ad ve konsol simgesini değiştirebilirsiniz. Konsol modunu "Kullanıcı Modu'na değiştirmenizi öneririm. tam erişim"Ve" Bu konsol için değişiklikler kaydetme "seçeneğinin üzerine kutuyu işaretleyin, aksi takdirde, kullanırken sizi her rahatsız edeceğiniz her seferinde" Değişiklikleri Kaydet ".

Bu pencereyi kapatmak için Tamam düğmesine tıklayın. Menü öğesinde, "Dosya" - "Kaydet" seçeneğini seçin ve herhangi bir dosya adını (örn. Ceventvwr.msc) verin ve C: \\ Windows veya C: \\ gibi bir yere kaydedin. Windows \\ System32. Masaüstünüzde herhangi bir yere kaydedebilirsiniz, ancak bir dosyayı yukarıdaki dizindeki dosyada kaydetmenize izin verecek şekilde, başlangıç \u200b\u200biletişim kutusundaki ada girmenize izin verecek ve her kullanışınızda tam yolunu girmeniz gerekmez. . Bu işlev için özel olarak oluşturulan dosyayı kullanabilirsiniz. Windows 8..

Windows'ta etkinlikleri görüntüleme Sistem mesajlarının ve program hataları, bilgi mesajları ve uyarıları tarafından oluşturulan etkinliklerin geçmişini (log) görüntüler. Bu arada, dolandırıcılar bazen kullanıcıları aldatmak için olayların izlenmesini kullanabilir - günlüğündeki normalde işleyen bilgisayarda bile her zaman hata mesajı olacaktır.

Başlangıçta olay görüntüleme

Windows olaylarını görüntülemeye başlamak için, bu, aramanın en çok ifadesidir veya "Denetim Masası" - "Yönetim" - "Olayları Görüntüle"

Aslında, neden bu konuda yazıyorum, bir kez Windows olaylarını görüntülemede ilginç bir şey yok. düzenli kullanıcı? Yine de bu özellik (veya program, yardımcı program) Windows, bilgisayarla ilgili sorunlar olduğunda - Windows Ölümünün mavi bir ekranı rastgele göründüğünde veya keyfi bir yeniden başlatma meydana geldiğinde, olayların nedenini bulabilirsiniz. Örneğin, sistem günlüğündeki hata, sürücünün durumun durumu düzeltmek için sonraki eylemlerin başarısızlığa neden olmadığı hakkında bilgi sağlayabilir. Bilgisayarın yeniden başlatıldığı bir zamanda ortaya çıkan bir zamanda ortaya çıkan hatayı bulun, ölümün mavi ekranını kapattı veya görüntüleme - hata kritik olarak işaretlenecektir.

Etkinlikleri görüntüleme uygulamaları var. Örneğin, Windows tam yükleme süresini yazar işletim sistemi. Veya, sunucu bilgisayarınızda bulunursa, olay kaydını kapatmayı ve yeniden başlatmayı etkinleştirebilirsiniz - birisi PC'yi kapatırken, bunun nedenini girmeniz gerekir ve daha sonra tüm kapatma ve yeniden başlatma ve yeniden başlatabilirsiniz. Etkinliğin nedenleri.

Ek olarak, olay görüntülemeyi Görev Zamanlayıcı ile birlikte kullanabilirsiniz - herhangi bir olaya sağ tıklayın ve "Bir görevi bir olayla getir" seçeneğini seçin. Ne zaman olacaksa bu olayWindows uygun görevi çalıştıracaktır.

Windows 7 işletim sistemi, sisteminizde ortaya çıkan çeşitli iyi dikkat olayları ile sürekli izlenir. İÇİNDE Microsoft Windows. etkinlik (Etkinlik) - Bu, kayıtta kaydedilen veya kullanıcıların veya yöneticilerin bildirilmesini gerektiren işletim sisteminde herhangi bir olaydır. Bu, bir cihaz kurmak, bir cihaz kurmak veya başvuruda bir hata kurmak istemeyen bir hizmet olabilir. Olaylar, Windows Olay Günlükleri'nde kaydedilir ve kaydedilir ve sistem izlemesini yapmak, güvenliğini sağlamak, hataları ortadan kaldırmak ve teşhis yapmak için önemli kronolojik bilgiler sağlar. Bu dergilerde yer alan bilgileri düzenli olarak analiz etmek gerekir. Olay günlüklerini düzenli olarak izlemelisiniz ve önemli sistem olaylarını kaydetmek için işletim sistemini özelleştirmelisiniz. Bir yönetici olmanız durumunda windows Sunucuları, Sistemlerinin güvenliğini, uygulamaların ve hizmetlerin normal çalışmasını, ayrıca performansı kötüleştirebilecek hataları kontrol etmek için gereklidir. Eğer kullanıcısıysanız kişisel bilgisayarSisteminizi desteklemek ve hataları ortadan kaldırmak için uygun günlüklerin gerekli olduğundan emin olmalısınız.

Program "Olayları Görüntüle" Microsoft Yönetim Konsolu'nun (MMC) taklit ediyor ve olay günlüklerini görüntülemek ve yönetmek için tasarlanmıştır. Bu, sistemin performansını izlemek ve problemleri ortadan kaldırmak için vazgeçilmez bir araçtır. Windows HizmetiOlayların kaydedilmesini yöneten şey denir "Olay Günlüğü". Çalışması durumunda, Windows önemli verileri günlüklere yazar. Programı kullanma "Olayları Görüntüle" Aşağıdaki işlemleri gerçekleştirebilirsiniz:

  • Bazı dergilerin olaylarını görüntüleyin;
  • Etkinlik filtrelerini uygulayın ve bunları özel gösterimler biçiminde kullanmak için kaydedin;
  • Etkinlikler için abonelik oluşturun ve yönetin;
  • Belirli bir olayın ortaya çıkmasına özgü eylemler atayın.

"Olayları Görüntüle" uygulamasını çalıştırmak

uygulama "Olayları Görüntüle" Aşağıdaki şekillerde açabilirsiniz:

Windows 7'de olay günlükleri

Ameliyathanede windows sistemi 7, ayrıca Windosw Vista'da, iki olay kütüğü kategorisi var: windows günlükleri ve uygulama günlükleri ve hizmetleri. Windows günlükleri - İşletim sistemi tarafından uygulamaların çalışması ile ilgili sistem genelinde etkinlikleri kaydetmek için kullanılır, sistem bileşenleri, güvenlik ve lansman. FAKAT uygulama günlükleri ve hizmetleri - İşleriyle ilgili olayları kaydetmek için uygulamalar ve hizmetler kullanılır. Olay günlüklerini yönetmek için, Snap kullanabilirsiniz. "Olayları Görüntüle" veya komut satırı programı wevtutil.hangi makalenin ikinci bölümünde söylenecektir. Her türlü günlük sayısı aşağıda açıklanmıştır:

uygulama - Belirli bir uygulamayla ilgili önemli olayları saklar. Örneğin, Exchange Server, olay depolama olayları da dahil olmak üzere posta gönderimi ile ilgili olayları kaydeder, posta kutuları ve çalışan hizmetler. Varsayılan olarak,% SystemRoot% \\ System32 \\ Winevt \\ logs \\ Application.evtx'e yerleştirilir.

Emniyet - Sistemdeki / dışındaki / dışındaki güvenlik ile ilgili olayları saklar, ayrıcalıkları kullanın ve kaynaklara erişim. Varsayılan% Systemroot% \\ System32 \\ Winevt \\ logs \\ security.evtx'e yerleştirilir.

Kurulum - Bu günlük, işletim sistemini ve bileşenlerini kurarken ve yapılandırırken oluşan olayları kaydeder. Varsayılan,% systemroot% \\ System32 \\ Winevt \\ logs \\ setup.evtx bulunur.

Sistem - İşletim sisteminin olaylarını veya bileşenlerinin olaylarını, sistemleri, sistem genelinde mesajları ve sistemle ilgili diğer mesajların bir bütün olarak başlatırken veya bunların başlatma işlemlerini yerine getirir. Varsayılan% Systemroot% \\ System32 \\ Winevt \\ logs \\ system.evtx'e yerleştirilir.

Ayrılmış Etkinlikler - Etkinlik yapılandırılmışsa, diğer sunuculardan gönderilen olaylar bu günlüğe gönderilir. Varsayılan,% Systemroot% \\ System32 \\ Winevt \\ logs \\ forwestdevents.evtx'e yerleştirilir.

Internet Explorer. - Yapılandırma ve çalışma yapmadan kaynaklanan olaylar İnternet tarayıcısı Explorer. Varsayılan varsayılan% SystemRoot% \\ System32 \\ Winevt \\ logs \\ internetexplorer.evtx'e yerleştirilir.

Windows PowerShell. - Bu dergide, etkinlikler PowerShell Shell kullanımıyla ilgili olarak tescil edilmiştir. Varsayılan olarak,% Systemroot% \\ System32 \\ Winevt \\ logs \\ windowspowershwll.evtx bulunur.

Etkinlik Etkinlikleri - Ekipman etkinliği tescil edilmişse, cihazlar tarafından üretilen olaylar bu günlüğe kaydedilir. Varsayılan% Systemroot% \\ System32 \\ Winevt \\ logs \\ hardwareevent.evtx'e yerleştirilir.

Windows 7'de, olayların kaydedilmesini sağlayan altyapı, XML'deki Windows Vista'da olduğu gibidir. Her olaydaki veriler, herhangi bir olayın XML koduna erişmenizi sağlayan bir XML şemasına karşılık gelir. Ek olarak, günlüklerden veri elde etmek için XML tabanlı istekleri oluşturabilirsiniz. Bu yeni özellikleri kullanmak için, XML bilgisi gerekmez. Çıtlatmak "Olayları Görüntüle" Basit sağlar grafik arayüzü Bu özelliklere erişmek için.

Olayların Özellikleri

Snap-in olaylarının birkaç özelliği vardır. "Olayları Görüntüle"hangi ayrıntılı olarak aşağıda açıklanmıştır:

Bir kaynak - Bu, dergide bir olayı kaydeten bir programdır. Bu, programın adı (örneğin, "Exchange Server") ve sistem bileşeninin adını veya büyük bir uygulamanın adını (örneğin, sürücü adı) olabilir. Örneğin, "Elnkii", Etherlink II sürücüsü anlamına gelir.

Olay kodu - Bu, belirli bir etkinlik türünü tanımlayan bir sayıdır. Açıklamanın ilk satırı genellikle olay türünün adını içerir. Örneğin, 6005, olay günlüğü hizmeti başlatıldığında meydana gelen bir olay tanımlayıcısıdır. Buna göre, bu olayın açıklamasının başlangıcında "Olay Günlüğü Hizmeti Başlattı" dize. Olay kodu ve kaydının kaynak adı, destek grubunun temsilcileri tarafından kullanılabilir. yazılım Ürünü Sorun gidermek için.

Seviye - Bu, etkinliğin öneminin düzeyidir. Sistem günlükleri ve uygulamalarında, olaylar aşağıdaki öneme sahip seviyelere sahip olabilir:

  • Bildirim - Başarılı bir eylemle ilişkili bir bilgi olayının oluşumu gibi bir uygulama veya bileşendeki bir değişikliği belirtir, bir kaynak oluşturma veya başlatma hizmeti oluşturur.
  • Bir uyarı - Servisi etkileyebilecek veya dikkatsiz bırakırsanız, hizmeti etkileyebilecek veya daha ciddi bir soruna yol açabilecek bir sorun için genel bir uyarı belirtir;
  • Hata - Bir olaya neden olan uygulama veya bileşen dışındaki işlevleri etkileyebilecek bir sorun olduğunu belirtir;
  • Kritik hata - Bir başarısızlığın oluştuğunu, ardından başvuruyu veya bileşenin olayı başlattığını gösterir, otomatik olarak iyileşemez;
  • Denetim başarısı - Örneğin, denetim yoluyla takip ettiğiniz eylemlerin başarılı performansı, herhangi bir ayrıcalık kullanımı;
  • Denetim arızası - Sistemi girerken bir hata gibi, denetim yoluyla takip ettiğiniz eylemlerin başarısız performansı.

Kullanıcı - Bu olayın gerçekleştiği adına kullanıcı hesabını belirler. Kullanıcılar, yerel hizmet, şebeke servisi ve anonim oturum açma ve gerçek kullanıcıların hesapları gibi özel varlıkları içerir. Bu isim, etkinlik gerçekleştirilmezse, olay aslında sunucu işleminden veya ana tanımlayıcının neden olduğu durumlarda, bu ad, müşterinin tanımlayıcısıdır. Bazı durumlarda, güvenlik günlüğü girişi her iki tanımlayıcıyı da içerir. Ve ayrıca bu alanda, bu durumda ise n / a (n / d) durabilir. hesap Uygulanamaz. Kişiselleştirme, sunucunun bir işlemin başka bir işlem güvenlik özniteliklerini atamasına izin verdiği durumlarda ortaya çıkar.

Çalışma kodu - Bu olayı gerçekleştirirken, işlemin içindeki işlemi veya işlemi belirleyen sayısal bir değer içerir. Örneğin, başlatma veya kapatma.

Dergi - Bu olayın kaydedildiği derginin adı.

Kategori ve Hedefler - Bazen izin verilen eylemin sonraki açıklaması için kullanılan olayların kategorisini belirler. Her etkinlik kaynağının kendi kategorisi vardır. Örneğin, aşağıdaki kategoriler: Giriş / çıktı, ayrıcalıkları, politikaları değiştirme ve hesabı yönetme.

Anahtar kelimeler - Bu, olayları filtrelemek veya aramak için kullanılabilecek bir dizi kategori veya etiket vardır. Örneğin: "Ağ", "güvenlik" veya "kaynak bulunamadı."

Bir bilgisayar - Etkinliğin oluştuğu bilgisayarın adını tanımlar. Genellikle bu isim yerel bilgisayarAncak, bir olayı hareket ettiren bilgisayarın adı veya değiştirilmeden önce yerel bilgisayarın adını da olabilir.

tarih ve saat - Dergideki bu olayın tarihini ve saatini belirler.

İşlem Kimliği - Bu olayı oluşturan işlemin kimlik numarasını temsil eder. Bilgisayar programı Bu sadece pasif bir talimat setidir, işlem bu talimatların doğrudan yürütülmesidir.

Bayram akışı - Bu olayı oluşturan akışın kimlik numarasını temsil eder. İşletim sisteminde üretilen işlem, zamanında öngörülen sipariş olmadan "paralel", yani "paralel" çalışan birkaç akıştan oluşabilir. Bazı görevler yaparken, bu ayırma daha fazlasını başarabilir etkili Kullanım Hesaplamalı Kaynaklar

Kimlik işlemcisi - Etkinliği işleme koyan işlemcinin kimlik numarasını temsil eder.

Oturum kodu - Bu, olayın meydana geldiği terminal sunucusundaki oturumun kimlik numarasıdır.

Çekirdek zamanı - CPU birimlerinde, çekirdek modunun talimatları üzerine harcanan zamanı belirler. Çekirdek modu sistem belleğine sınırsız erişime sahiptir ve harici cihazlar. NT sisteminin çekirdeği, hibrit çekirdek veya makroger olarak adlandırılır.

Kullanıcı modunda çalışma süresi - CPU birimlerinde, kullanıcı rejimi talimatlarının yürütülmesi için harcanan zamanı belirler. Kullanıcı modu, giriş isteklerini ilgili Kernel Mode sürücüsüne G / Ç Yöneticisi tarafından ileten alt sistemlerden oluşur.

İşlemci Yükleme - Bu, CPU'nun kenelerinde, kullanıcı rejim talimatlarının yürütülmesi için harcanan süredir.

Korelasyon kodu - Etkinliğin kullanıldığı işlemdeki eylemi belirler. Bu kod, olaylar arasındaki basit ilişkileri belirtmek için kullanılır. Korelasyon, iki veya birkaç rastgele değişkenin istatistiksel ilişkisidir (veya izin verilen bazı doğruluklarla dikkate alınabilecek değerler). Aynı zamanda, bu değerlerden bir veya daha fazlasındaki değişiklikler, diğer veya diğer değerlerde sistematik bir değişikliğe yol açar.

Göreceli Korelasyon Kodu - Etkinliğin kullanıldığı işlemdeki göreceli eylemi belirler.

Olay günlükleri ile çalışmak

Olayları görüntüle

Bir sonraki ekran görüntüsünde dergiyi görebilirsiniz "Uygulamalar"Etkinlikler, son fikirler ve uygun fiyatlı eylemler hakkında bilgi bulabilirsiniz. Uygulama Günlüğü olaylarını görüntülemek için şu adımları izleyin:

  1. Konsol ağacında, "Windows Dergileri";
  2. Bir dergi seçin "Uygulamalar".

Olay günlüklerini daha sık görüntülemek önerilir "Uygulama" ve "Sistem" ve gelecekteki sorunları öngörebilecek mevcut problemleri ve uyarıları inceleyin. Orta pencerede bir oturum açma seçerseniz, olay tarihi, zaman ve kaynak, olay seviyesi ve diğer veriler dahil olmak üzere kullanılabilir olaylar görüntülenir.

Panel "Görünüm alanı" Sekmedeki temel olay verilerini gösterir "Genel"ve ek belirli veriler - sekmede "Ayrıntılar". Menüyü seçerek bu paneli etkinleştirebilir ve devre dışı bırakabilirsiniz. "Görünüm"ve sonra komut "Görünüm alanı".

Kritik sistemler için, son birkaç ay boyunca günlükleri saklaması önerilir. Dergi atamak için her zaman, böylece tüm bilgilerin kendi içine sığabileceği şekilde, bir kural olarak, rahatsız edicidir, bu görevi farklı şekilde çözmek mümkündür. Günlükleri belirtilen klasörde katlanmış dosyalara verebilirsiniz. Seçilen kütüğü kaydetmek için şu adımları izleyin:

  1. Konsol ağacında, kaydetmek için olay günlüğünü seçin;
  2. Takım Seç "Olayları Kaydet" Menüden "Davranmak" Veya günlüğün içerik menüsünden komutu seçin "Tüm etkinlikleri olarak kaydet";
  3. Görünen diyalogda "Farklı kaydet" Dosyanın kaydedilmesi gereken bir klasör seçin. Dosyayı yeni klasöre kaydetmek istiyorsanız, içerik menüsünü veya düğmesini kullanarak doğrudan bu iletişim kutusundan oluşturabilirsiniz. "Yeni dosya" Eylem panelinde. Alanda "Dosya tipi" İstediğiniz dosya biçimini mevcut: Olay Dosyaları - * .evtx, XML dosyası - * .xml, Sekme Ayırma Metni - * .txt, COMMA SATICI - * .CSV ile CSV. Alanda "Dosya adı" "Kayıt etmek". Kaydetmeyi iptal etmek için, düğmesine tıklayın. "İptal etmek";
  4. Olay Günlüğünün, iletişim kutusundaki başka bir bilgisayarı görüntülemek için tasarlanmamış olması durumunda "Bilgi Ekran" Varsayılan seçeneği bırakın "Bilgi göstermeyin"ve log, başka bir bilgisayarı görüntülemek için tasarlanmışsa, sonra iletişim kutusunda "Bilgi Ekran" Seçenek'i seçin "Aşağıdaki diller için bilgileri görüntüleme" ve düğmeye tıklayın "TAMAM MI".

Olay Günlüğünü Temizleme

Bazen, İşletim Sisteminin uyarılarının ve kritik hatalarının etkili bir analizini sağlamak için tamamlanmış olay günlüklerini temizlemeniz gerekir. Seçilen kütüğü silmek için aşağıdaki adımları izleyin:

  1. Konsol ağacında, temizlemek istediğiniz olay günlüğünü seçin;
  2. Girişi aşağıdaki yollardan biriyle temizleyin:
    • Menüde "Davranmak" Takım Seç "Clear Dergi";
    • Seçilen günlüğe göre, içerik menüsünü açmak için sağ tıklayın. Bağlam menüsünde, komutu seçin "Clear Dergi";
  3. Sonra, dergiyi temizleyebilir veya daha önce yapılmamışsa arşivleyebilirsiniz:
    • Kaydetmeden olay günlüğünü silmek için tıklayın düğmesine tıklayın. "Açık";
    • Olay günlüğünü sildikten sonra silmek için, düğmesine tıklayın. "Kaydet ve net". Görünen diyalogda "Farklı kaydet" Dosyanın kaydedilmesi gereken bir klasör seçin. Dosyayı yeni klasöre kaydetmek istiyorsanız, içerik menüsünü veya düğmesini kullanarak doğrudan bu iletişim kutusundan oluşturabilirsiniz. "Yeni dosya" Eylem panelinde. Alanda "Dosya adı" Bir ad girin ve düğmeye tıklayın. "Kayıt etmek". Kaydetmeyi iptal etmek için düğmeye tıklamanız gerekir. "İptal etmek".

Maksimum günlük boyutunu ayarlayın

Yukarıda belirtildiği gibi, olay günlükleri% SystemRoot% \\ System32 \\ Winevt \\ logs klasöründe dosyalar olarak depolanır. Varsayılan olarak, bu dosyaların maksimum boyutu sınırlıdır, ancak aşağıdaki şekilde değiştirilebilir:

  1. Takım Seç "Özellikleri" Menüden "Davranmak"
  2. Alanda "Maksimum Dergi Boyutu (KB)" Sayaç kullanarak istenen değeri ayarlayın veya metreyi elle manuel olarak kullanın. Bu durumda, değer en yakın numaraya yuvarlanır, günlük dosyasının boyutu 64 KB sürücü olmalıdır ve 1024 KB'den az olamaz.

Etkinlikler, boyutu yalnızca belirtilen maksimum değeri artırabilecek günlük dosyasına kaydedilir. Dosyaya ulaştıktan sonra en büyük boyGelen olayların işlenmesi, günlüklerin depolama politikası ile belirlenecektir. Aşağıdaki dergi tasarruf politikaları mevcuttur:

Gerekirse olayları yeniden yazın (ilk eski dosyalar) - Bu durumda, doldurduktan sonra yeni kayıtlar dergiye girmeye devam ediyor. Her yeni olay, derginin en eski yerini değiştirir;

Doldururken arşiv dergisi; Olayları yeniden yazmayın - Bu durumda, günlük dosyası gerekirse otomatik olarak arşivlenir. Eski olayların üzerine yazılması gerçekleştirilmez.

Olayları yeniden yazmayın (Magazine'i manuel olarak temizleyin) - Bu durumda, dergi manuel olarak temizlenir ve otomatik olarak değil.

İstediğiniz günlük kaydetme politikasını seçmek için aşağıdaki adımları izleyin:

  1. Konsol ağacında, yeniden boyutlandırmanız gereken olay günlüğünü seçin;
  2. Takım Seç "Özellikleri" Menüden "Davranmak" veya seçilen günlüğün içerik menüsünden;
  3. Sekmede "Genel", Bölümde "Maksimum boyutu elde ederken" İstediğiniz parametreyi seçin ve düğmeye tıklayın. "TAMAM MI".

Analitik ve hata ayıklama dergisinin aktivasyonu

Analitik ve hata ayıklama günlükleri etkin değil. Aktivasyondan sonra hızlıca doldurulurlar büyük miktar Etkinlikler. Bu nedenle, arama ve sorun gidermek için gerekli verileri toplamak için belirtilen günlükleri sınırlı bir süre boyunca etkinleştirilmesi ve ardından tekrar devre dışı bırakılması istenir. Günlüklerin aktivasyonu aşağıdaki gibi yapılabilir:

  1. Konsol ağacında, etkinleştirmek istediğiniz analitik veya hata ayıklama günlüğü bulun;
  2. Takım Seç "Özellikleri" Menüden "Davranmak" veya seçilen analitik veya hata ayıklama günlüğünün içerik menüsünden;
  3. Sekmede "Genel" Onay kutusunu işaretleyin "Günlüğü dahil et"

Kayıtlı derginin açılması ve kapatılması

Snap yardımı ile "Olayları Görüntüle" Daha önce kaydedilen günlükleri açıp görüntüleyebilirsiniz. Aynı zamanda, birkaç kaydedilen günlükleri açabilir ve konsol ağacında herhangi bir zamanda erişebilirsiniz. Dergi açık "Olayları Görüntüle"İçinde bulunan bilgileri silmeden kapatılabilir. Kayıtlı günlüğü açmak için şu adımları izleyin:

  1. Takım Seç "Kayıtlı Dergi Aç" menüde "Davranmak" veya konsol ağacındaki içerik menüsünden;
  2. 3. İletişim kutusunda "Kayıtlı Dergi Aç"Katalog ağacının etrafında dolaşmak, içeren klasörü açın İstediğiniz dosya.. Varsayılan olarak, tüm olay günlük dosyaları iletişim kutusunda görüntülenecektir. Ayrıca, açtığınızda, açılış iletişim kutusunda görüntülenecek dosyaların türünü seçebilirsiniz. Mevcut dosya türleri: Olay günlüğü dosyaları (* .evtx, * .evt, * .etl), yanı sıra olay dosyaları (* .evtx), eski olay dosyaları (* .evt) veya izleme günlük dosyalarını (* .ETL). İstenilen günlük dosyası bulunduktan sonra, dosya adını girmek için adını dizeye yerleştirecek olan sol fare düğmesiyle tıklayarak seçin ve düğmesine tıklayın. "Açık".
  3. Diyalogda "Kayıtlı Dergi Aç", alanda "İsim" Konsol ağacındaki giriş için kullanılacak yeni bir ad girin. Sadece konsol ağacını girişi görüntülemek için kullanılır ve günlük dosyası adı değişmez, mevcut günlük dosyası adını da kullanabilirsiniz. Alanda "Açıklama" Dergi tanımını girin. Konsol ağacındaki ana günlük klasörünü vurguladığınızda merkezi alanda görüntülenecektir;
  4. Kayıtlı günlüğün bulunacağı bir klasör oluşturmak için, düğmesine tıklayın. "Bir klasör oluştur". Alanda "İsim" Açık Günlüğün bulunacağı klasörün adını girin ve ardından "TAMAM MI". Ana klasör seçilmezse, yeni dosya klasörde bulunacak "Kayıtlı Dergiler".
  5. Açık olay günlüğü için, diğer bilgisayar kullanıcıları için erişilemiyor, kutunun işaretini kaldırabilirsiniz. "Tüm kullanıcılar". Bu onay kutusunun aktif kalması durumunda, açık günlüğün tüm kullanıcılara erişilebileceği, ancak konsol ağacından kaldırmak için yönetici hakları gerekli olacaktır;
  6. Günlüğü açmak için, düğmesine tıklayın. "TAMAM MI".

Olaylar ağacından açık bir kuruluğu kaldırmak için şu adımları izleyin:

  1. Konsol ağacında, kaldırılacak dergiyi seçin;
  2. Takım Seç "Sil" Menüden "Davranmak" veya seçilen günlüğün içerik menüsünden;
  3. Diyalogda "Olayları Görüntüle" Düğmeye tıklayın "Evet".

Sonuç

"Olay Görüntüleyicisi'ne" adanmış makalenin bu bölümünde, ekipmanın kendisi hakkında açıklanmaktadır ve sistemin izlenmesi ve bakımı ile ilgili en basit işlemleri "Görüntüleme olayları" kullanarak açıklanmaktadır. Makalenin bir sonraki kısmı deneyimli için hesaplanacak windows kullanıcıları. Özelleştirilebilir görünümler, filtreleme, gruplandırma / sıralama etkinlikleri ve abonelik yönetimini içeren görevleri tanımlayacaktır.