ev / programlar/ Günlükte kendi Windows olaylarınızı oluşturun.

Günlükte özel Windows olayları oluşturun.

Windows hattının işletim sisteminde, sistemde meydana gelen tüm ana olaylar, sonraki kayıtlarıyla birlikte günlüğe kaydedilir. Hatalar, uyarılar ve sadece çeşitli bildirimler kaydedilir. Bu kayıtlara dayanarak deneyimli bir kullanıcı sistemin işleyişini düzeltebilir ve hataları giderebilir. Windows 7'de olay günlüğünü nasıl açacağımızı öğrenelim.

Olay günlüğü, adı verilen bir sistem aracında saklanır. Etkinlik göstericisi... Bakalım nasıl kullanacağız Farklı yollar ona gidebilirsin.

Yöntem 1: "Denetim Masası"

Bu makalede açıklanan aracı başlatmanın en yaygın yollarından biri, en kolay ve en uygun olmaktan uzak olmasına rağmen, kullanılarak gerçekleştirilir. "Kontrol panelleri".

Yöntem 2: Aracı Çalıştır

Aracı kullanarak açıklanan aracın aktivasyonunu başlatmak çok daha kolaydır. "Çalıştırmak".

Bu hızlılığın temel dezavantajı ve uygun yol pencereyi çağırma komutunu akılda tutma ihtiyacıdır.

Yöntem 3: Menüsü Arama Kutusunu Başlat

Çalıştığımız aracı çağırmak için çok benzer bir yöntem, menü arama alanı kullanılarak gerçekleştirilir. "Başlangıç".

Yöntem 4: "Komut satırı"

Aracı çağırma yoluyla Komut satırı oldukça uygunsuz, ancak böyle bir yöntem var ve bu nedenle ayrıca bahsetmeye değer. İlk önce, pencereyi aramamız gerekiyor "Komut satırı".

Yöntem 5: eventvwr.exe dosyasının doğrudan başlatılması

Sorunu çözmek için böyle bir "egzotik" seçeneği, dosyanın doğrudan başlangıcı olarak kullanabilirsiniz. "Gezgin"... Ancak, ve Bu taraftanörneğin, arızalar, aracı başlatmak için diğer seçeneklerin mevcut olmadığı bir ölçeğe ulaştıysa, pratikte yararlı olabilir. Bu son derece nadirdir, ancak oldukça mümkündür.

Öncelikle eventvwr.exe dosyasının bulunduğu yere gitmeniz gerekiyor. Aşağıdaki yol boyunca sistem dizininde bulunur:

C: \ Windows \ System32

Yöntem 6: Adres çubuğuna dosya yolunu girme

yardım ile "Gezgin" ilgi penceresini bize daha hızlı açabilirsiniz. Bu durumda, dizinde eventvwr.exe'yi aramanız bile gerekmez. "Sistem32"... Bunu yapmak için adres alanında "Gezgin" sadece bu dosyanın yolunu belirtmeniz gerekiyor.

Yöntem 7: Bir kısayol oluşturun

Çeşitli komutları veya bölümlere geçişleri ezberlemek istemiyorsanız "Kontrol panelleri"çok uygunsuz olduğunu düşünün, ancak aynı zamanda dergiyi sıklıkla kullanın, o zaman bu durumda üzerinde bir simge oluşturabilirsiniz. "Masaüstü" veya sizin için uygun başka bir yerde. Bundan sonra, aracı başlatmak Etkinlik göstericisi mümkün olduğu kadar basit ve bir şeyi ezberlemeye gerek kalmadan gerçekleştirilecektir.

Günlüğü açma sorunları

Yukarıdaki yöntemleri kullanarak dergiyi açarken sorunların ortaya çıktığı durumlar vardır. Çoğu zaman bu, işten sorumlu kişinin bu enstrüman hizmet devre dışı bırakılır. Bir aracı çalıştırmaya çalışırken Etkinlik göstericisi olay günlüğü hizmetinin kullanılamadığını belirten bir mesaj görüntülenir. Ardından, etkinleştirmeniz gerekir.

Her şeyden önce, gitmeniz gerekir Servis Müdürü... Bu bölümden yapılabilir "Kontrol panelleri" hangi denir "Yönetim"... Nasıl gidilir, düşünülürken ayrıntılı olarak anlatılmıştır. Yöntem 1... Bu bölümde bir kez, öğeyi arayın "Hizmetler"... Üstüne tıkla.

V Servis Müdürü aletle gidebilirsin "Çalıştırmak"... Yazarak arayın Kazan + R... Giriş alanına yazın:

Tıklamak "TAMAM".

Geçişi yapıp yapmadığınıza bakılmaksızın "Kontrol Paneli" veya araç kutusunda kullanılan komut girişi "Çalıştırmak", başlar Servis Müdürü... Listedeki öğeyi arayın "dergi Windows olayları» ... Aramayı kolaylaştırmak için, alan adına tıklayarak listedeki tüm nesneleri alfabetik sıraya göre düzenleyebilirsiniz. "İsim"... Gerekli satır bulunduğunda, sütundaki karşılık gelen değere bakın. "Durum"... Hizmet etkinse, bir yazıt olmalıdır "İşler"... Boşsa, bu hizmetin devre dışı bırakıldığı anlamına gelir. Ayrıca sütundaki değere bakın "Başlangıç türü"... Normal durumda, bir yazıt olmalı "Otomatik olarak"... bir değer varsa "Engelli" bu, hizmetin sistem başlangıcında etkinleştirilmediği anlamına gelir.

Bunu düzeltmek için adına çift tıklayarak hizmetin özelliklerine gidin. boya.

Bir pencere açılır. alana tıklayın "Başlangıç türü".

Açılır listeden seçin "Otomatik olarak".

Yazıtlara tıklayın Uygulamak ve "TAMAM".

Dönen Servis Müdürü, Kontrol Windows olay günlüğü... Kabuğun sol alanında, yazıya tıklayın "Çalıştırmak".

Hizmet başlatıldı. Şimdi ilgili sütun alanında "Durum" değer görüntülenir "İşler", ve sütun alanında "Başlangıç türü" bir yazıt görünecek "Otomatik olarak"... Artık dergi yukarıda tarif ettiğimiz yollardan herhangi biri ile açılabilir.

Windows 7'de olay günlüğünü etkinleştirmek için epeyce seçenek var. "Araç çubuğu" yoluyla aktivasyon "Çalıştırmak" veya menü arama alanları "Başlangıç"... Tanımlanan işleve kolay erişim için, üzerinde bir simge oluşturabilirsiniz. "Masaüstü"... Bazen pencereyi başlatmakla ilgili sorunlar var Etkinlik göstericisi... Ardından ilgili hizmetin etkinleştirilip etkinleştirilmediğini kontrol etmeniz gerekir.

Windows 7 işletim sistemi, sisteminizde meydana gelen çeşitli dikkate değer olayları sürekli olarak izler. V Microsoft Windows Etkinlik işletim sisteminde günlüğe kaydedilen veya kullanıcılara veya yöneticilere bildirilmesi gereken herhangi bir olaydır. Bu, başlamak istemeyen bir hizmet, bir cihaz kurulumu veya bir uygulama hatası olabilir. Olaylar günlüğe kaydedilir ve Windows olay günlüklerinde depolanır ve sisteminizi izlemenize, güvende tutmanıza, hataları gidermenize ve tanılama çalıştırmanıza yardımcı olacak önemli tarihsel bilgiler sağlar. Bu loglarda yer alan bilgilerin düzenli olarak analiz edilmesi gerekmektedir. Önemli sistem olaylarını kaydetmek için olay günlüklerini düzenli olarak izlemeli ve işletim sistemini ayarlamalısınız. yönetici iseniz Windows sunucuları, o zaman sistemlerinin güvenliğini, uygulamaların ve hizmetlerin normal çalışmasını izlemek ve ayrıca performansı düşürebilecek hatalar için sunucuyu kontrol etmek gerekir. kullanıcı iseniz kişisel bilgisayar o zaman sisteminizi desteklemek ve hataları gidermek için uygun günlüklerin mevcut olduğundan emin olmalısınız.

programı Etkinlik göstericisi olay günlüklerini görüntülemek ve yönetmek için bir Microsoft Yönetim Konsolu (MMC) ek bileşenidir. Sistem sağlığını izlemek ve sorunları gidermek için vazgeçilmez bir araçtır. Windows Hizmeti olay günlüğünü yöneten denir "Olay günlüğü"... Çalışıyor olması durumunda, Windows önemli verileri günlüklere yazar. programı kullanma Etkinlik göstericisişunları yapabilirsiniz:

Belirli günlüklerin olaylarını görüntüleyin;
Olay filtreleri uygulayın ve bunları daha sonra özel görünümler olarak kullanmak üzere kaydedin;
Etkinlik abonelikleri oluşturun ve yönetin;
Belirli bir olayın gerçekleşmesine belirli eylemlerin yürütülmesini atayın.

Olay Görüntüleyiciyi Başlatma

Başvuru Etkinlik göstericisi aşağıdaki şekillerde açılabilir:

Windows 7'de olay günlükleri

ameliyathanede Windows sistemi 7, Windows Vista'da olduğu gibi, iki kategori olay günlüğü vardır: Windows günlükleri ve uygulama ve hizmet günlükleri. Windows günlükleri - işletim sistemi tarafından uygulamaların çalışmasıyla ilgili sistem genelindeki olayları kaydetmek için kullanılır, sistem bileşenleri, güvenlik ve fırlatma. A uygulama ve hizmet günlükleri- uygulamalar ve hizmetler tarafından operasyonlarıyla ilgili olayları kaydetmek için kullanılır. Olay günlüklerini yönetmek için ek bileşeni kullanabilirsiniz Etkinlik göstericisi veya program Komut satırı wevtutil, makalenin ikinci bölümünde ele alınacaktır. Tüm günlük türleri aşağıda açıklanmıştır:

Başvuru- Belirli bir uygulamayla ilgili önemli olayları depolar. Örneğin, Exchange Server, bilgi deposu olayları dahil olmak üzere posta iletme olaylarını depolar, posta kutuları ve çalışan hizmetler. Varsayılan olarak % SystemRoot% \ System32 \ Winevt \ Logs \ Application.Evtx içine yerleştirilir.

Güvenlik- Sisteme giriş/çıkış, ayrıcalıkları kullanma ve kaynaklara erişim gibi güvenlikle ilgili olayları saklar. Varsayılan olarak % SystemRoot% \ System32 \ Winevt \ Logs \ Security.Evtx içine yerleştirilir

Kurulum- bu günlük, işletim sisteminin ve bileşenlerinin kurulumu ve yapılandırılması sırasında meydana gelen olayları kaydeder. Varsayılan olarak, % SystemRoot% \ System32 \ Winevt \ Logs \ Setup.Evtx içinde bulunur.

sistem- Hizmetleri başlatırken veya sürücüleri başlatırken meydana gelen arızalar, sistem genelindeki mesajlar ve bir bütün olarak sistemle ilgili diğer mesajlar gibi işletim sistemi veya bileşenlerinin olaylarını depolar. Varsayılan olarak % SystemRoot% \ System32 \ Winevt \ Logs \ System.Evtx içine yerleştirilir

İletilen olaylar- olay iletme yapılandırılmışsa, bu günlük diğer sunuculardan gönderilen olayları içerir. Varsayılan olarak % SystemRoot% \ System32 \ Winevt \ Logs \ ForwardedEvents.Evtx içine yerleştirilir

Internet Explorer - bu günlük, kurulum ve çalışma sırasında meydana gelen olayları kaydeder. internet tarayıcısı Gezgin. Varsayılan olarak % SystemRoot% \ System32 \ Winevt \ Logs \ InternetExplorer.Evtx içine yerleştirilir

Windows PowerShell'i- Bu günlük, PowerShell ile ilgili olayları kaydeder. Varsayılan olarak % SystemRoot% \ System32 \ Winevt \ Logs \ WindowsPowerShwll.Evtx konumunda bulunur

Ekipman etkinlikleri- ekipman olay günlüğü yapılandırılmışsa, cihazlar tarafından oluşturulan olaylar bu günlüğe kaydedilir. % SystemRoot% \ System32 \ Winevt \ Logs \ HardwareEvent.Evtx dizinine varsayılan olarak yerleştirilir

Windows 7'de olay günlüğü sağlama altyapısı aynı temele dayanmaktadır. Windows Vista XML'e. Her olayın verileri, herhangi bir olayın XML koduna erişime izin veren XML şemasına uygundur. Ayrıca, günlüklerden veri almak için XML tabanlı sorgular oluşturabilirsiniz. Bu yeni özellikleri kullanmak için XML bilgisi gerekmez. Arma Etkinlik göstericisi basit sağlar grafik arayüzü Bu özelliklere erişmek için

Etkinlik özellikleri

Ek bileşen etkinlikleri için çeşitli özellikler vardır Etkinlik göstericisi, aşağıda detaylandırılmıştır:

Bir kaynak olayı kaydeden programdır. Bu, bir programın adı (örneğin, "Exchange Server") veya bir sistem bileşeninin veya büyük uygulamanın adı (örneğin, bir sürücünün adı) olabilir. Örneğin, "Elnkii", EtherLink II sürücüsü anlamına gelir.

Olay Kimliği belirli bir olay türünü tanımlayan bir sayıdır. Açıklamanın ilk satırı genellikle olay türünün adını içerir. Örneğin 6005, olay günlüğü hizmeti başladığında meydana gelen olayın kimliğidir. Buna göre, bu olayın açıklamasının başında "Olay günlüğü hizmeti başlatıldı" satırı bulunur. Etkinlik Kimliği ve Kayıt Kaynağı Adı, destek ekibi temsilcileri tarafından kullanılabilir yazılım ürünü sorun giderme için.

Seviye olayın önem derecesidir. Sistem ve uygulama günlüklerinde olaylar aşağıdaki önem düzeylerine sahip olabilir:

Bildirim- Başarılı bir eylem, bir kaynağın oluşturulması veya bir hizmetin başlatılmasıyla ilişkili bir bilgilendirme olayının meydana gelmesi gibi bir uygulama veya bileşendeki bir değişikliği belirtir.
Bir uyarı- hizmeti etkileyebilecek veya gözetimsiz bırakılırsa daha ciddi bir soruna yol açabilecek bir soruna ilişkin genel bir uyarıyı belirtir;
Hata- olayı oluşturan uygulama veya bileşen dışındaki işlevleri etkileyebilecek bir sorun oluştuğunu belirtir.
Kritik hata- bir hata oluştuğunu ve ardından olayı tetikleyen uygulamanın veya bileşenin otomatik olarak kurtarılamayacağını belirtir;
Başarı denetimi- denetim boyunca izlediğiniz eylemlerin başarıyla tamamlanması, örneğin bir ayrıcalık kullanımı;
Arıza denetimi- Denetim boyunca izlediğiniz eylemlerin başarısız yürütülmesi, örneğin sisteme giriş yaparken bir hata.

kullanıcı- adına kullanıcının hesabını tanımlar. bu olay... Kullanıcılar, Yerel Hizmet, Ağ Hizmeti ve Anonim Oturum Açma gibi özel varlıkların yanı sıra gerçek kullanıcı hesaplarını içerir. Bu ad, olay gerçekten sunucu işlemi tarafından tetiklendiyse istemci kimliği veya kimliğe bürünme gerçekleştirilmediyse birincil kimliktir. Bazı durumlarda, güvenlik günlüğü girişi her iki tanımlayıcıyı da içerir. Ve ayrıca bu alanda, eğer bu durumda N / A (N / A) olabilir Hesap uygulanamaz. Kimliğe bürünme, sunucu bir işlemin başka bir işleme güvenlik öznitelikleri atamasına izin verdiğinde meydana gelir.

çalışma kodu- bu olayı tetikleyen bir işlemi veya işlem içindeki bir noktayı tanımlayan sayısal bir değer içerir. Örneğin, başlatma veya kapatma.

dergi- bu olayın kaydedildiği günlüğün adı.

Kategori ve görevler- bazen izin verilen eylemi daha fazla açıklamak için kullanılan olayın kategorisini tanımlar. Her olay kaynağının kendi kategorileri vardır. Örneğin, aşağıdaki kategoriler şunlardır: Giriş / Çıkış, Ayrıcalık Kullanımı, Politika Değişikliği ve Hesap Yönetimi.

anahtar kelimeler olayları filtrelemek veya aramak için kullanılabilecek bir kategoriler veya etiketler topluluğudur. Örneğin: "Ağ", "Güvenlik" veya "Kaynak bulunamadı".

Bir bilgisayar- olayın meydana geldiği bilgisayarın adını tanımlar. Genellikle bu isim yerel bilgisayar, ancak olayı ileten bilgisayarın adı veya değiştirilmeden önceki yerel bilgisayarın adı da olabilir.

tarih ve saat- günlükte bu olayın meydana gelme tarihini ve saatini tanımlar.

işlem kimliği- bu olayı oluşturan işlemin kimlik numarasını temsil eder. Bilgisayar programı sadece pasif bir talimat setidir, bir süreç ise bu talimatların doğrudan yürütülmesidir

Akış kimliği- bu olayı oluşturan iş parçacığının kimlik numarasını temsil eder. Bir işletim sisteminde ortaya çıkan bir süreç, "paralel olarak", yani önceden belirlenmiş bir sıra olmaksızın çalışan birkaç iş parçacığından oluşabilir. Bazı görevler için bu ayrım daha fazlasını başarabilir. etkili kullanım bilgisayar kaynakları

işlemci kimliği- olayı işleyen işlemcinin kimlik numarasını temsil eder.

Oturum kodu olayın meydana geldiği terminal sunucusundaki oturum kimlik numarasıdır.

Çekirdek modunda çalışma zamanı- Çekirdek modu talimatlarını yürütmek için harcanan süreyi CPU zamanı birimi olarak belirler. Çekirdek modu, sistem belleğine sınırsız erişime sahiptir ve harici cihazlar... Bir NT sisteminin çekirdeğine hibrit çekirdek veya makro çekirdek denir.

Özel modda çalışma zamanı- CPU zamanı birimlerinde kullanıcı modu talimatlarının yürütülmesi için harcanan süreyi tanımlar. Kullanıcı modu, G/Ç isteklerini G/Ç yöneticisi aracılığıyla uygun çekirdek modu sürücüsüne ileten alt sistemlerden oluşur.

işlemci yükü CPU kenelerinde kullanıcı modu talimatlarını yürütmek için harcanan süredir.

korelasyon kodu- olayın kullanıldığı süreçteki eylemi tanımlar. Bu kod, olaylar arasındaki basit ilişkileri belirtmek için kullanılır. Korelasyon, iki veya daha fazla rastgele değişkenin (veya kabul edilebilir bir doğruluk derecesi ile bu şekilde kabul edilebilecek miktarların) istatistiksel bir ilişkisidir. Ayrıca bu değerlerden bir veya birkaçında meydana gelen değişiklikler, diğer veya diğer değerlerde sistematik bir değişikliğe yol açar.

Göreli Korelasyon Kimliği- olayın kullanıldığı süreçteki göreli eylemi tanımlar

Olay günlükleriyle çalışma

Etkinlikleri görüntüle

Aşağıdaki ekran görüntüsünde günlüğü görebilirsiniz "Uygulamalar" olaylar, son görünümler ve mevcut eylemler hakkındaki bilgileri görüntülemek için Uygulama günlüğü olaylarını görüntülemek için şu adımları izleyin:

Konsol ağacında seçin Windows Günlükleri;
dergi seç "Uygulamalar".

Olay günlüklerini daha sık görüntülemeniz önerilir "Başvuru" ve "Sistem" ve gelecekte sorunların habercisi olabilecek mevcut sorunları ve uyarıları inceleyin. Bir günlük seçtiğinizde, orta pencere, olay tarihi, saati ve kaynağı, olay düzeyi ve diğer veriler dahil olmak üzere mevcut olayları görüntüler.

Panel "Görünüm alanı" bir sekmede temel olay verilerini gösterir "Genel", ve ek özel veriler - sekmede "Detaylar"... Menüyü seçerek bu paneli açıp kapatabilirsiniz. "Görüş" ve sonra komut "Görünüm alanı".

Kritik sistemler için son birkaç aya ait günlükleri tutmanız önerilir. Dergilere her zaman içindeki tüm bilgileri sığdırabilecek boyutta atamak genellikle sakıncalıdır, bu sorun farklı bir şekilde çözülebilir. Günlükleri belirli bir klasörde bulunan dosyalara aktarabilirsiniz. Seçilen günlüğü kaydetmek için aşağıdakileri yapın:

Konsol ağacında, kaydetmek istediğiniz olay günlüğünü seçin;
Bir takım seçin "Etkinlikleri Farklı Kaydet" menüden "Eylem" veya bağlam menüsü günlük seçme komutu "Tüm etkinlikleri farklı kaydet";
Görüntülenen iletişim kutusunda "Farklı kaydet" dosyanın kaydedileceği klasörü seçin. Bir dosyayı yeni bir klasöre kaydetmek istiyorsanız, bağlam menüsünü veya düğmesini kullanarak doğrudan bu iletişim kutusundan oluşturabilirsiniz. « yeni dosya» eylem çubuğunda. alanında "Dosya tipi" mevcut olanlardan istediğiniz dosya biçimini seçmeniz gerekir: olay dosyaları - * .evtx, xml dosyası - * .xml, sekmeyle ayrılmış metin - * .txt, csv virgülle ayrılmış - * .csv. alanında "Dosya adı" "Kaydetmek"... Kaydetmeyi iptal etmek için düğmesine basın. "İptal";
Olay günlüğünün başka bir bilgisayarda görüntülenmesi amaçlanmamışsa, iletişim kutusunda "Detayları göster" varsayılan seçeneği bırak "Bilgi gösterme" ve günlüğün başka bir bilgisayarda görüntülenmesi amaçlanıyorsa, iletişim kutusunda "Detayları göster" seçeneği seç "Aşağıdaki diller için bilgileri görüntüle" ve düğmeye tıklayın "TAMAM".

Olay günlüğünü temizleme

Bazen uyarıların ve kritik işletim sistemi hatalarının etkili bir şekilde analizini sağlamak için tam olay günlüklerinin temizlenmesi gerekir. Seçilen günlüğü temizlemek için aşağıdakileri yapın:

Konsol ağacında, temizlemek istediğiniz olay günlüğünü seçin;
Günlüğü aşağıdaki yollardan biriyle temizleyin:
- Menüde "Eylem" takım seç "Günlüğü temizle";
- Seçilen günlükte, bağlam menüsünü açmak için sağ tıklayın. Bağlam menüsünde, komutu seçin "Günlüğü temizle";
Ardından günlüğü temizleyebilir veya daha önce yapılmadıysa arşivleyebilirsiniz:
- Olay günlüğünü kaydetmeden temizlemek için düğmesine tıklayın "Açık";
- Olay günlüğünü kaydettikten sonra temizlemek için düğmesine tıklayın. "Kaydet ve temizle"... Görüntülenen iletişim kutusunda "Farklı kaydet" dosyanın kaydedileceği klasörü seçin. Bir dosyayı yeni bir klasöre kaydetmek istiyorsanız, bağlam menüsünü veya düğmesini kullanarak doğrudan bu iletişim kutusundan oluşturabilirsiniz. "Yeni dosya" eylem çubuğunda. alanında "Dosya adı" bir isim girin ve butona tıklayın "Kaydetmek"... Kaydetmeyi iptal etmek için düğmesine tıklayın "İptal".

Maksimum günlük boyutunu ayarlama

Yukarıda bahsedildiği gibi, olay günlükleri % SystemRoot% \ System32 \ Winevt \ Logs \ klasöründe dosyalar olarak saklanır. Varsayılan olarak, bu dosyaların maksimum boyutu sınırlıdır, ancak bunu aşağıdaki şekilde değiştirebilirsiniz:

Bir takım seçin "Özellikler" menüden "Eylem"
alanında "Maksimum günlük boyutu (KB)" bir sayaç kullanarak gerekli değeri ayarlayın veya bir sayaç kullanmadan manuel olarak ayarlayın. Bu durumda, günlük dosyasının boyutu 64 KB'nin katı olması ve 1024 KB'den küçük olmaması gerektiğinden, değer 64 KB'nin en yakın katına yuvarlanacaktır.

Olaylar, yalnızca belirtilen maksimum boyuta kadar büyüyebilen bir günlük dosyasına kaydedilir. Dosyaya ulaştıktan sonra en büyük boy, gelen olayların işlenmesi, günlük tutma ilkesi tarafından belirlenir. Aşağıdaki günlük tutma ilkeleri mevcuttur:

Gerektiğinde olayların üzerine yaz (önce eski dosyalar)- bu durumda, günlük dolduktan sonra yeni girişler kaydedilmeye devam eder. Her yeni olay, günlükteki en eskisinin yerini alır;

Doldurulduğunda günlüğü arşivleyin; olayları yeniden yazmayın- bu durumda günlük dosyası gerekirse otomatik olarak arşivlenir. Hiçbir eski etkinliğin üzerine yazılmaz.

Olayları yeniden yazmayın (günlüğü manuel olarak temizleyin)- bu durumda, günlük otomatik olarak değil manuel olarak temizlenir.

Gerekli günlük kaydetme ilkesini seçmek için aşağıdakileri yapın:

Konsol ağacında, yeniden boyutlandırmak istediğiniz olay günlüğünü seçin;
Bir takım seçin "Özellikler" menüden "Eylem" veya seçilen günlüğün içerik menüsünden;
sekmesinde "Genel", Bölümde "Maksimum boyuta ulaşıldığında" gerekli parametreyi seçin ve düğmesine basın "TAMAM".

Günlük aktivasyonunu analiz etme ve hata ayıklama

Analitik ve hata ayıklama günlükleri varsayılan olarak etkin değildir. Etkinleştirildikten sonra hızla dolarlar büyük miktar Etkinlikler. Bu nedenle, sorun giderme için gerekli verileri toplamak için bu günlükleri sınırlı bir süre için etkinleştirmeniz ve ardından bunları tekrar devre dışı bırakmanız önerilir. Günlükler aşağıdaki gibi etkinleştirilebilir:

Konsol ağacında, etkinleştirmek istediğiniz analitik veya hata ayıklama günlüğünü bulun ve seçin;
Bir takım seçin "Özellikler" menüden "Eylem" veya seçilen analitik veya hata ayıklama günlüğünün bağlam menüsünden;
sekmesinde "Genel" seçeneklerdeki kutuyu işaretleyin "Günlük kaydı etkinleştir"

Kaydedilmiş Bir Günlüğü Açma ve Kapatma

bir çırpıda Etkinlik göstericisiönceden kaydedilmiş günlükleri açabilir ve görüntüleyebilirsiniz. Aynı anda birden fazla kayıtlı günlüğü açabilir ve bunlara istediğiniz zaman konsol ağacından erişebilirsiniz. dergi açıldı "Olayları görüntüle", içerdiği bilgiler silinmeden kapatılabilir. Kaydedilmiş bir günlüğü açmak için şu adımları izleyin:

Bir takım seçin "Kaydedilen Günlüğü Aç" menüde "Eylem" veya konsol ağacındaki bağlam menüsünden;
3. İletişim kutusunda "Kaydedilen Günlüğü Aç" dizin ağacında ilerleyerek, içeren klasörü açın istenen dosya... Varsayılan olarak, tüm olay günlüğü dosyaları iletişim kutusunda görüntülenir. Ayrıca, açarken, aç iletişim kutusunda görüntülemek istediğiniz dosya türlerini seçebilirsiniz. Kullanılabilir dosya türleri, olay günlüğü dosyaları (* .evtx, * .evt, * .etl) ve olay dosyaları (* .evtx), eski olay dosyaları (* .evt) veya izleme günlüğü dosyalarıdır (* .etl). Gerekli log dosyası bulunduktan sonra farenin sol tuşu ile üzerine tıklayarak seçiniz, dosya adını gireceğiniz satıra ismini yerleştirecek ve butonuna tıklayınız. "Açık".
diyalogda "Kaydedilen Günlüğü Aç", tarlada "İsim" konsol ağacında günlük için kullanılacak yeni bir ad girin. Yalnızca konsol ağacındaki günlüğü temsil etmek için kullanılır ve günlük dosyası adını değiştirmez.Mevcut günlük dosyası adını da kullanabilirsiniz. alanında "Açıklama" günlük için bir açıklama girin. Konsol ağacında ana günlük klasörü seçildiğinde orta bölmede görüntülenecektir;
Kaydedilen günlüğün yerleştirileceği bir klasör oluşturmak için düğmesine tıklayın. "Klasör oluştur"... alanında "İsim" açık günlüğün bulunacağı klasörün adını girin ve ardından "TAMAM"... Herhangi bir üst klasör seçilmemişse, yeni klasör klasörde yer alacaktır. "Kaydedilen Günlükler".
Açık olay günlüğünü bilgisayarın diğer kullanıcıları tarafından erişilemez hale getirmek için kutunun işaretini kaldırabilirsiniz. "Tüm kullanıcılar"... Bu onay kutusu etkin kalırsa, açık günlük tüm kullanıcılar tarafından kullanılabilir olacaktır, ancak bunu konsol ağacından kaldırmak için yönetici hakları gerekir;
Günlüğü açmak için düğmesine tıklayın "TAMAM".

Olay ağacından açık bir günlüğü kaldırmak için aşağıdakileri yapın:

Konsol ağacında silinecek günlüğü seçin;
Bir takım seçin "Silmek" menüden "Eylem" veya seçilen günlüğün içerik menüsünden;
diyalogda Etkinlik göstericisi düğmeye tıklayın "Evet".

Çözüm

Makalenin Olay Görüntüleyici ek bileşenine ayrılmış bu bölümü, ek bileşenin kendisinden bahseder ve Olay Görüntüleyici kullanılarak sistemin izlenmesi ve bakımıyla ilgili en basit işlemleri ayrıntılı olarak açıklar. Makalenin bir sonraki bölümü deneyimli için hesaplanacaktır. Windows kullanıcıları... Özel görünümler, filtreleme, olayları gruplandırma/sıralama ve abonelikleri yönetme ile görevleri açıklayacaktır.

Bazen bir soruyu cevaplamamızı gerektiren olaylar olur "bunu kim yaptı?" Bu "nadiren, ancak uygun bir şekilde" olabilir, bu nedenle sorunun cevabına önceden hazırlanmalısınız.

Hemen hemen her yerde, bir dosya sunucusunda veya iş istasyonlarından birinde ortak (Paylaşılan) bir klasörde depolanan belge grupları üzerinde birlikte çalışan tasarım departmanları, muhasebe departmanları, geliştiriciler ve diğer çalışan kategorileri vardır. Birisi bu klasörden önemli bir belgeyi veya dizini silebilir ve bunun sonucunda tüm ekibin çalışması kaybolabilir. Bu durumda, sistem yöneticisinin önünde birkaç soru ortaya çıkar:

Sorun ne zaman ve ne zaman ortaya çıktı?

Bu sefer en yakın hangisi destek olmak verilerimi kurtarmalı mıyım?

belki vardı sistem hatası bu tekrar olabilir mi?

Windows'un bir sistemi var Denetim, belgelerin ne zaman, kim tarafından ve hangi program yardımıyla silindiğini takip etmenizi ve kaydetmenizi sağlar. Varsayılan olarak, Denetim etkin değildir - izlemenin kendisi, sistem gücünün belirli bir yüzdesini gerektirir ve her şeyi arka arkaya kaydederseniz yük çok büyük olur. Ayrıca, tüm kullanıcı eylemleri bizi ilgilendirmeyebilir, bu nedenle Denetim politikaları, yalnızca bizim için gerçekten önemli olan olayların izlenmesini sağlamamıza izin verir.

Denetim sistemi tüm işletim sistemlerinde yerleşiktir MicrosoftpencerelerNT: Windows XP / Vista / 7, Windows Server 2000/2003/2008. Ne yazık ki, serinin sistemlerinde Windows Ana Sayfası denetim derinlere gömülür ve özelleştirilmesi çok zordur.

Özelleştirmek için neye ihtiyacınız var?

Denetimi etkinleştirmek için, paylaşılan belgelere erişim sağlayan bilgisayarda yönetici haklarıyla oturum açın ve komutu çalıştırın. Başlangıç→Çalıştırmak→gpedit.msc. Bilgisayar Yapılandırması bölümünde, klasörü genişletin Windows Ayarları→ Güvenlik ayarları→ Yerel Politikalar→ Denetim Politikaları:

Politikaya çift tıklayın Denetim nesnesi erişimi (Nesne Erişim Denetimi) ve onay kutusunu seçin Başarı. Bu parametre, dosyalara ve kayıt defterine başarılı erişimi izlemek için bir mekanizma sağlar. Aslında, yalnızca başarılı dosya veya klasör silme girişimleriyle ilgileniyoruz. Yalnızca doğrudan izlenen nesnelerin depolandığı bilgisayarlarda Denetimi etkinleştirin.

Yalnızca Denetim ilkesini etkinleştirmek yeterli değildir, ayrıca erişimi izleyeceğimiz klasörleri de belirtmemiz gerekir. Genellikle bu tür nesneler, ortak (paylaşılan) belge klasörleri ve üretim programlarına veya veritabanlarına (muhasebe, depo vb.) sahip klasörlerdir - yani, birkaç kişinin çalıştığı kaynaklar.

Dosyayı kimin sileceğini önceden tahmin etmek imkansızdır, bu nedenle Herkes için izleme belirtilir. Herhangi bir kullanıcı tarafından izlenen nesneleri silmeye yönelik başarılı girişimler günlüğe kaydedilir. Gerekli klasörün özelliklerini arayın (bu tür birkaç klasör varsa, sırayla hepsi) ve sekmede Güvenlik → Gelişmiş → Denetim konu takibi ekle Herkes başarılı erişim girişimleri Silmek ve Alt Klasörleri ve Dosyaları Sil:

Birçok olay günlüğe kaydedilebilir, bu nedenle günlüğün boyutunu da ayarlamanız gerekir. Güvenlik(Güvenlik) hangisinde kaydedilecek. İçin
bu komutu çalıştır Başlangıç→ Çalıştırmak→ olayvwr. msc. Görünen pencerede Güvenlik günlüğünün özelliklerini çağırın ve aşağıdaki parametreleri belirtin:

Maksimum Günlük Boyutu = 65536 KB(iş istasyonları için) veya 262144 KB(sunucular için)

Olayların üzerine gerektiği gibi yazın.

Aslında, bu rakamların kesinliği garanti edilmez, ancak her bir özel durum için ampirik olarak seçilir.

pencereler 2003/ DP)?

Tıklamak Başlangıç→ Çalıştırmak→ eventvwr.msc Güvenlik. görüş→ Filtre

Olay Kaynağı: Güvenlik;
Kategori: Nesne Erişimi;
Olay Türleri: Başarı Denetimi;
Olay Kimliği: 560;

Her kaydın içindeki aşağıdaki alanlara dikkat ederek filtrelenmiş olaylar listesini gözden geçirin:

Nesneİsim. Aradığınız klasör veya dosyanın adı;
resimDosyaİsim. Dosyanın silindiği programın adı;
Erişim. İstenen haklar kümesi.

Program, sistemden aynı anda birkaç tür erişim talep edebilir - örneğin, Silmek+ senkronize et veya Silmek+ Okumak_ Kontrol. Bizim için önemli bir hak Silmek.

Peki, belgeleri kim sildi (pencereler 2008/ manzara)?

Tıklamak Başlangıç→ Çalıştırmak→ eventvwr.msc ve görüntülemek için günlüğü açın Güvenlik. Günlük, doğrudan sorunla ilgili olmayan olaylarla doldurulabilir. Güvenlik günlüğüne sağ tıklayın ve görüş→ Filtre ve görünümü aşağıdaki kriterlere göre filtreleyin:

Olay Kaynağı: Güvenlik;
Kategori: Nesne Erişimi;
Olay Türleri: Başarı Denetimi;
Olay Kimliği: 4663;

Tüm silme işlemlerini kötü niyetli olarak yorumlamak için zaman ayırın. Bu işlev genellikle şu durumlarda kullanılır: rutin çalışma programlar - örneğin, komutu yürüterek Kaydetmek(Kaydetmek), paket programlar MicrosoftOfisönce yeni bir geçici dosya oluşturun, belgeyi bu dosyaya kaydedin ve ardından silin önceki versiyon dosya. Benzer şekilde, birçok veritabanı uygulaması, başlangıçta geçici bir kilit dosyası oluşturur. (. lck), daha sonra programdan çıkarken kaldırın.

Uygulamada, kötü niyetli kullanıcı davranışlarıyla da karşılaştım. Örneğin, belirli bir şirketin çatışan bir çalışanı işten çıkarıldığında, ilgili olduğu dosya ve klasörleri silerek çalışmasının tüm sonuçlarını yok etmeye karar verdi. Bu tür olaylar açıkça görülebilir - güvenlik günlüğünde saniyede onlarca, yüzlerce giriş oluştururlar. Tabii ki, belgelerin kurtarılması Gölgekopyalar (Gölge Kopyalar) ya da günlük olarak otomatik olarak oluşturulan bir arşiv zor değil ama aynı zamanda "Bunu kim yaptı?" sorularına da cevap verebildim. ve "Bu ne zaman oldu?"

Windows 7 işletim sistemi, sisteminizde meydana gelen çeşitli dikkate değer olayları sürekli olarak izler. Microsoft Windows'ta Etkinlik işletim sisteminde günlüğe kaydedilen veya kullanıcılara veya yöneticilere bildirilmesi gereken herhangi bir olaydır. Bu, başlamak istemeyen bir hizmet, bir cihaz kurulumu veya bir uygulama hatası olabilir. Olaylar günlüğe kaydedilir ve Windows olay günlüklerinde depolanır ve sisteminizi izlemenize, güvende tutmanıza, hataları gidermenize ve tanılama çalıştırmanıza yardımcı olacak önemli tarihsel bilgiler sağlar. Bu loglarda yer alan bilgilerin düzenli olarak analiz edilmesi gerekmektedir. Önemli sistem olaylarını kaydetmek için olay günlüklerini düzenli olarak izlemeli ve işletim sistemini ayarlamalısınız. Windows sunucularının yöneticisi olmanız durumunda, sistemlerinin güvenliğini, uygulamaların ve hizmetlerin normal çalışmasını izlemeniz ve ayrıca performansı düşürebilecek hatalar için sunucuyu kontrol etmeniz gerekir. Kişisel bilgisayar kullanıcısıysanız, sisteminizi desteklemek ve hataları gidermek için uygun günlüklere sahip olduğunuzdan emin olmalısınız.

programı Etkinlik göstericisi olay günlüklerini görüntülemek ve yönetmek için bir Microsoft Yönetim Konsolu (MMC) ek bileşenidir. Sistem sağlığını izlemek ve sorunları gidermek için vazgeçilmez bir araçtır. Olay günlüğünü yöneten Windows hizmeti denir "Olay günlüğü"... Çalışıyor olması durumunda, Windows önemli verileri günlüklere yazar. programı kullanma Etkinlik göstericisişunları yapabilirsiniz:

Belirli günlüklerin olaylarını görüntüleyin;
Olay filtreleri uygulayın ve bunları daha sonra özel görünümler olarak kullanmak üzere kaydedin;
Etkinlik abonelikleri oluşturun ve yönetin;
Belirli bir olayın gerçekleşmesine belirli eylemlerin yürütülmesini atayın.

Olay Görüntüleyiciyi Başlatma

Başvuru Etkinlik göstericisi aşağıdaki şekillerde açılabilir:

1. Etkinlik göstericisi

Windows 7'de olay günlükleri

Windows 7 işletim sisteminde ve Windows Vista'da iki kategori olay günlüğü vardır: Windows günlükleri ve uygulama ve hizmet günlükleri. Windows günlükleri- işletim sistemi tarafından uygulamaların çalışması, sistem bileşenleri, güvenlik ve başlatma ile ilgili sistem genelindeki olayları kaydetmek için kullanılır. A uygulama ve hizmet günlükleri- uygulamalar ve hizmetler tarafından operasyonlarıyla ilgili olayları kaydetmek için kullanılır. Olay günlüklerini yönetmek için ek bileşeni kullanabilirsiniz Etkinlik göstericisi veya komut satırı programı wevtutil, makalenin ikinci bölümünde ele alınacaktır. Tüm günlük türleri aşağıda açıklanmıştır:

Başvuru- Belirli bir uygulamayla ilgili önemli olayları depolar. Örneğin, Exchange Server, bilgi deposu olayları, posta kutuları ve çalışan hizmetler dahil olmak üzere posta iletme olaylarını depolar. Varsayılan olarak % SystemRoot% \ System32 \ Winevt \ Logs \ Application.Evtx içine yerleştirilir.

Internet Explorer- bu günlük, Internet Explorer tarayıcısını kurarken ve onunla çalışırken meydana gelen olayları kaydeder. Varsayılan olarak % SystemRoot% \ System32 \ Winevt \ Logs \ InternetExplorer.Evtx içine yerleştirilir

Windows PowerShell'i- Bu günlük, PowerShell ile ilgili olayları kaydeder. Varsayılan olarak % SystemRoot% \ System32 \ Winevt \ Logs \ WindowsPowerShwll.Evtx konumunda bulunur

Windows 7'de olay günlüğü sağlamaya yönelik altyapı, Windows Vista'da olduğu gibi XML tabanlıdır. Her olayın verileri, herhangi bir olayın XML koduna erişime izin veren XML şemasına uygundur. Ayrıca, günlüklerden veri almak için XML tabanlı sorgular oluşturabilirsiniz. Bu yeni özellikleri kullanmak için XML bilgisi gerekmez. Arma Etkinlik göstericisi bu yeteneklere erişmek için basit bir grafik arayüz sağlar.

Etkinlik özellikleri

Ek bileşen etkinlikleri için çeşitli özellikler vardır Etkinlik göstericisi, aşağıda detaylandırılmıştır:

Olay Kimliği belirli bir olay türünü tanımlayan bir sayıdır. Açıklamanın ilk satırı genellikle olay türünün adını içerir. Örneğin 6005, olay günlüğü hizmeti başladığında meydana gelen olayın kimliğidir. Buna göre, bu olayın açıklamasının başında "Olay günlüğü hizmeti başlatıldı" satırı bulunur. Olay Kimliği ve Kayıt Kaynağı Adı, ürün destek ekibi tarafından sorun giderme amacıyla kullanılabilir.

Seviye olayın önem derecesidir. Sistem ve uygulama günlüklerinde olaylar aşağıdaki önem düzeylerine sahip olabilir:

Bildirim- Başarılı bir eylem, bir kaynağın oluşturulması veya bir hizmetin başlatılmasıyla ilişkili bir bilgilendirme olayının meydana gelmesi gibi bir uygulama veya bileşendeki bir değişikliği belirtir.
Bir uyarı- hizmeti etkileyebilecek veya gözetimsiz bırakılırsa daha ciddi bir soruna yol açabilecek bir soruna ilişkin genel bir uyarıyı belirtir;
Hata- olayı oluşturan uygulama veya bileşen dışındaki işlevleri etkileyebilecek bir sorun oluştuğunu belirtir.
Kritik hata- bir hata oluştuğunu ve ardından olayı tetikleyen uygulamanın veya bileşenin otomatik olarak kurtarılamayacağını belirtir;
Başarı denetimi- denetim boyunca izlediğiniz eylemlerin başarıyla tamamlanması, örneğin bir ayrıcalık kullanımı;
Arıza denetimi- Denetim boyunca izlediğiniz eylemlerin başarısız yürütülmesi, örneğin sisteme giriş yaparken bir hata.

kullanıcı- adına bu olayın gerçekleştiği kullanıcı hesabını tanımlar. Kullanıcılar, Yerel Hizmet, Ağ Hizmeti ve Anonim Oturum Açma gibi özel varlıkların yanı sıra gerçek kullanıcı hesaplarını içerir. Bu ad, olay gerçekten sunucu işlemi tarafından tetiklendiyse istemci kimliği veya kimliğe bürünme gerçekleştirilmediyse birincil kimliktir. Bazı durumlarda, güvenlik günlüğü girişi her iki tanımlayıcıyı da içerir. Ayrıca, bu durumda hesap geçerli değilse, bu alanda N / A (N / A) olabilir. Kimliğe bürünme, sunucu bir işlemin başka bir işleme güvenlik öznitelikleri atamasına izin verdiğinde meydana gelir.

çalışma kodu- bu olayı tetikleyen bir işlemi veya işlem içindeki bir noktayı tanımlayan sayısal bir değer içerir. Örneğin, başlatma veya kapatma.

dergi- bu olayın kaydedildiği günlüğün adı.

anahtar kelimeler olayları filtrelemek veya aramak için kullanılabilecek bir kategoriler veya etiketler topluluğudur. Örneğin: "Ağ", "Güvenlik" veya "Kaynak bulunamadı".

Bir bilgisayar- olayın meydana geldiği bilgisayarın adını tanımlar. Bu genellikle yerel bilgisayarın adıdır, ancak olayı ileten bilgisayarın adı veya değiştirilmeden önceki yerel bilgisayarın adı da olabilir.

tarih ve saat- günlükte bu olayın meydana gelme tarihini ve saatini tanımlar.

işlem kimliği- bu olayı oluşturan işlemin kimlik numarasını temsil eder. Bir bilgisayar programı yalnızca pasif bir talimatlar dizisidir, bir süreç ise bu talimatların doğrudan yürütülmesidir.

Akış kimliği- bu olayı oluşturan iş parçacığının kimlik numarasını temsil eder. Bir işletim sisteminde ortaya çıkan bir süreç, "paralel olarak", yani önceden belirlenmiş bir sıra olmaksızın çalışan birkaç iş parçacığından oluşabilir. Bazı görevleri yerine getirirken, böyle bir bölüm bilgisayar kaynaklarının daha verimli kullanılmasını sağlayabilir.

işlemci kimliği- olayı işleyen işlemcinin kimlik numarasını temsil eder.

Oturum kodu olayın meydana geldiği terminal sunucusundaki oturum kimlik numarasıdır.

Çekirdek modunda çalışma zamanı- Çekirdek modu talimatlarını yürütmek için harcanan süreyi CPU zamanı birimi olarak belirler. Çekirdek modu, sistem belleğine ve harici cihazlara sınırsız erişime sahiptir. Bir NT sisteminin çekirdeğine hibrit çekirdek veya makro çekirdek denir.

işlemci yükü CPU kenelerinde kullanıcı modu talimatlarını yürütmek için harcanan süredir.

Göreli Korelasyon Kimliği- olayın kullanıldığı süreçteki göreli eylemi tanımlar