Меню
безкоштовно
Реєстрація
Головна  /  навігатори/ Використання журналу подій в Windows. Перегляд подій в Windows Vista Журнал системних подій windows 8.1 де знаходиться

Використання журналу подій в Windows. Перегляд подій в Windows Vista Журнал системних подій windows 8.1 де знаходиться

Windows досить складна операційна система і відстежити всі процеси, в тому числі і помилки, важко для недосвідченого користувача.

Для цих цілей в самій ОС передбачено протоколюваннявсього того, що відбувається і всіх дій в системі. Вивести і переглянути цей протокол можна за допомогою функції перегляду подій Windows.

Відображення перегляду подій Windows

Переглянути інформацію про роботу ОС можна двома способами:

Для виклику рядки cmd можна використовувати клавіші Win + Rабо пройти відому ланцюжок: Пуск - Всі програми - Стандартні - Командний рядок.

У вікні, ввести послідовність eventvwr.msc

Або, через Пуск - Панель управління - Система і обслуговування - адміністрування.

На робочий стіл буде виведено головне вікно утиліти. Вибираємо пункт «».

Не варто лякатися, якщо в списку виявлені помилки. Навіть в ідеально працюючій системі можуть з'являтися подібні повідомлення. У більшості випадків вони поодинокі і викликані незначними збоями в роботі додатків.

Швидше за все, для рядового користувача опису помилок нічого не скажуть. Перегляд логів може допомогти системному адміністратору або «просунутому» користувачу розібратися у виникаючих системних збоях.

Як використовувати перегляд

Яку інформацію можна повчити з журналу? Якщо ваш комп'ютер систематично видає помилки, довільно перезавантажується або вилітає « синій екрансмерті », то всі події, що призвели до збою в роботі, протоколюються системою. При перегляді інформації можна дізнатисяв який час яка служба, драйвер чи компонент обладнання викликали ту чи іншу помилку. Виходячи з цієї інформації, можна вжити необхідних заходів до усунення порушень.

Крім відомостей про помилки журнал можна використовувати і для інших цілей. До будь-якого відбувається в системі події можна прив'язати виконання конкретного завдання . Це дозволить в майбутньому, при виникненні подібної ситуації автоматично виконати поставлену умову.

Для цього достатньо на будь-якому елементі зі списку викликати контекстне менюправою кнопкою миші і вибрати пункт « прив'язати завдання».

Очищення журналу подій

Видалити всю інформацію з журналу теж не складе ніяких труднощів. Для цього в лівому блоці вікна журналу вибираємо елемент дерева меню, який необхідно очистити, правою кнопкою миші викликаємо контекстне меню - « Очистити журнал»

Всім привіт, тема стати як подивитися логи windows. Що таке логи думаю знають всі, але якщо раптом ви новачок, то логи це системні події відбуваються в операційній системі як Windows так і Linux, які допомагають відстежити, що, де і коли відбувалося і хто це зробив. Будь-який системний адміністраторзобов'язаний вміти читати логи windows.

Прикладом з життя може служити ситуація коли на одному з серверів IBM, виходив з ладу диск і для технічної підтримкия збирав логи сервера, для того щоб вони могли діагностувати проблему. За збирання і фіксування балок в Windows відповідає служба Перегляд подій. Перегляд подій це зручна оснащення для отримання логів системи.

Як відкрити в перегляд подій

Зайти в оснащення Перегляд подій можна дуже просто, підійде для будь-якої версії Windows. Натискаєте чарівні кнопки

Win + R і вводите eventvwr.msc

Відкриється у вас вікно перегляд подій windowsв якому вам потрібно розгорнути пункт журнали Windows. Пробіжить по кожному з журналів.

Журнал Додаток, містить записи пов'язані з програмами на вашому комп'ютері. У журнал пишеться коли програма була запущена, якщо запускалася з ошібкоу, то тут це теж буде відображено.

Журнал аудит, потрібен для розуміння хто і коли що зробив. Наприклад увійшов в систему або вийшов, спробував отримати доступ. Все аудити успіху або відмови пишуться сюди.

Пункт Установка, в нього записує Windows логи про те що і коли встановлювалося Наприклад програми або поновлення.

Найважливіший журнал Це система. Сюди записується все найнеобхідніше і найважливіше. Наприклад у вас був синій екран bsod, і дані повідомлення що тут заносяться допоможуть вам визначити його причину.

Так само є логи windows для більш специфічних служб, наприклад DHCP або DNS. Перегляд подій січе все :).

Припустимо у вас в журналі Безпека понад мільйон подій, напевно ви відразу задасте питання чи є фільтрація, так як переглядати всі з них це мазохізм. У перегляді подій це передбачили, логи windows можна зручно відсіяти залишивши тільки потрібне. Справа в області Дії є кнопка Фільтр поточного журналу.

Вас попросять вказати рівень подій:

  • критичне
  • Помилка
  • попередження
  • відомості
  • подробиці

Все залежить від завдання пошуку, якщо ви шукайте помилки, то сенсу в інших типах повідомлення нету. Далі можете для того щоб звузити межі пошуку перегляду подій укзано потрібне джерело подій і код.

Так що як бачите розібрати логи windows дуже просто, шукаємо, знаходимо, вирішуємо. Так само може бути корисним швидке очищення логів windows:

Подивитися логи windows PowerShell

Було б дивно якби PowerShell не вмів цього робити, для відображення log файліввідкриваємо PowerShell і вводимо ось таку команду

Get-EventLog -Logname "System"

У підсумку ви отримаєте список логів журналу Система

Теж саме можна робити і для інших журналів наприклад Додатки

Get-EventLog -Logname "Application"

невеликий список абревіатури

  • Код події - EventID
  • Комп'ютер - MachineName
  • Порядковий номер події - Data, Index
  • Категорія завдань - Category
  • Код категорії - CategoryNumber
  • Рівень - EntryType
  • Повідомлення події - Message
  • Джерело - Source
  • Дата генерації події - ReplacementString, InstanceID, TimeGenerated
  • Дата запису події - TimeWritten
  • Користувач - UserName
  • Сайт - Site
  • Підрозділ - Conteiner

Наприклад, для того щоб в командній оболонці вивести події тільки за допомогою стовпців «Рівень», «Дата запису події», «Джерело», «Код події», «Категорія» і «Повідомлення події» для журналу «Система», виконаємо команду:

Get-EventLog -LogName 'System' | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

Якщо потрібно вивести більш детально, то замінимо Format-Table на Format-List

Get-EventLog -LogName 'System' | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Як бачите формат вже більш читабельний.

Так само можна пофільтровать журнали наприклад показати останні 20 повідомлень

Get-EventLog -Logname 'System' -Newest 20

додаткові продукти

Так само ви можете автоматизувати збір подій, через такі інструменти як:

  • Комплекс моніторингу Zabbix
  • Через пересилання подій засобами Windowsна сервер колектор
  • Через комплекс аудиту Netwrix
  • Якщо у вас є SCOM, то він може агрегувати будь логи Windows платформ
  • Будь-які DLP системи

Так що вам вибирати будь то перегляд подій або PowerShell для перегляду подій windows, це вже ваша справа. матеріал сайту

Віддалений перегляд логів

  • перший метод

Не так давно в з'явилася операційній системі Windows Server 2019, з'явився компонент віддаленого адміністрування Windows Admin Center. Він дозволяє проводити дистанційне керуваннякомп'ютером або сервером, докладніше він ньому я вже розповідав. Тут я хочу показати, що поставивши його собі на робочу станцію ви можете підключатися з браузера до інших комп'ютерів і легко переглядати їх журнали подій, тим самим вивчаючи логи Windows. У моєму прикладі буде сервер SVT2019S01,знаходимо його в списку доступних і підключаємося (Нагадаю ми так робили настроїти мережі в Windows).

Далі ви вибираєте вкладку "Події", вибираєте потрібний журнал, в моєму прикладі я хочу подивитися всі логи по системі. З моєї точки зору тут все переглядати куди зручніше, ніж з перегляду подій. Плюсом буде, то що ви це можете зробити з будь-якого телефону або планшета. В правому куті є зручна форма пошуку

Якщо потрібно зробити більш тонку фільтрацію логів, то ви можете скористатися кнопкою фільтра.

Тут ви так само можете вибрати рівень події, наприклад залишивши тільки критичні і помилки, задати часовий діапазон, код подій і джерело.

Ось приклад фільтрації за подією 19.

Дуже зручно експортувати повністю журнал в формат evxt, який потім легко відкрити через журнал подій. Так, що Windows Admin Center, це потужний засіб по перегляду логів.

  • другий метод

Другий спосіб віддаленого переглядів логів Windows, це використання оснастки управління комп'ютером або все тією ж "Перегляд подій". Щоб подивитися логи Windows на іншому комп'ютері або сервері, в оснащенні клацніть по верхньому пункту правим кліком і виберіть з контекстного меню "".

Вказуємо ім'я іншого комп'ютера, в моєму прикладі це буде SVT2019S01

Якщо все добре і немає блокувань з боку брандмауера або антивіруса, то ви потрапите в віддалений перегляд собитій.еслі будуть блокування, то отримаєте повідомлення по типу, що ні пролітає трафік COM +.

Так само хочу відзначити, що є цілі системи агрегації логів, такі як Zabbix або SCOM, але це вже інший рівень завдань ..

Класичний випадок Перегляду подій був реалізований у вигляді ActiveX-об'єкта у файлі c: \ windows \ system32 \ els.dll. Якщо ви реєструєте його, то ви отримаєте оснащення Event Viewerдля Microsoft Management Console (MMC). Слідуйте інструкціям нижче, щоб дізнатися, як це можна зробити.

  1. Відкрийте вікно командного рядка (натисніть Win + X на клавіатурі клавішу і виберіть пункт - «Command Prompt (Admin).
  2. Введіть наступну команду regsvr32 els.dll

    Ви отримаєте повідомлення «DllRegisterServer в els.dll це вдалося». Натисніть кнопку «OK», щоб закрити його.

  3. Поверніться в командне вікно і введіть mmc, А потім натисніть кнопку Enter. Microsoft Management Console application буде відкрита. Виберіть пункт меню Файл - Додати / Видалити Оснащенняабо натисніть клавіші Ctrl + Mна клавіатурі.
    У списку ліворуч виберіть і натисніть на кнопку «Add». У діалоговому вікні «Виберіть Комп'ютер», просто натисніть кнопку «Finish».

У вікні діалогового вікна «Add or Remove Snap-ins» натисніть кнопку «OK» .Запустіте пункт меню «Файл - Параметри ...». Тут ви можете змінити назву і значок консолі, перш ніж ви збережете його в файл.Я рекомендую вам змінити режим консолі в «режим користувача - повний доступ»І встановіть прапорець на варіанті« Не зберігати зміни для цієї консолі », в іншому випадку підтвердження« Зберегти зміни »кожен раз будуть Вас дратувати, коли ви його використовуєте.

Натисніть кнопку «OK», щоб закрити це окно.В меню пункт виберіть «Файл» - »Зберегти» і дайте йому будь-яке ім'я файлу (напр. CEventVwr.msc) і збережіть його в такому місці, як C: \ Windows або C: \ Windows \ system32. Ви можете зберегти його в будь-якому місці на вашому робочому столі, але збереження файлу в зазначеному вище каталозі, дозволить вам швидко його використовувати ввівши ім'я в діалогове вікно Запустити і ви навіть не повинні вводити повний шлях до нього кожен раз, коли ви його іспользуете.Ілі ви можете використовувати файл, який був створений спеціально для цієї функції в Windows 8.

Перегляд подій в Windows відображає історію (журнал) системних повідомлень і подій, що генеруються програмами - помилок, інформаційних повідомлень і попереджень. До речі, шахраї іноді можуть використовувати перегляд подій для обману користувачів - навіть на нормально функціонуючому комп'ютері в журналі завжди будуть повідомлення про помилки.

Запуск перегляду подій

Для того, щоб запустити перегляд подій Windows, наберіть це саме словосполучення в пошуку або ж зайдіть в «Панель управління» - «Адміністрування» - «Перегляд подій»

Власне, навіщо взагалі я про це пишу, раз в перегляді подій Windows немає нічого цікавого для звичайного користувача? Все-таки дана функція(Або програма, утиліта) Windows може бути корисною при виникненні проблем з комп'ютером - коли випадковим чином з'являється синій екран смерті Windows, або відбувається довільна перезавантаження - в перегляді подій можна відшукати причину цих подій. Наприклад, помилка в журналі системи може дати інформацію про те, драйвер якого саме обладнання викликав збій для подальших дій по виправленню ситуації. Просто знайдіть помилку, яка виникла в той час, коли комп'ютер перезавантажився, завис або відобразив синій екран смерті - помилка буде відзначена як критична.

Є й інші застосування перегляду подій. Наприклад, Windows записує час повного завантаження операційної системи. Або, якщо на вашому комп'ютері розташовується сервер, Ви можете включити запис подій виключення і перезавантаження - щоразу, коли хтось буде вимикати ПК, йому буде потрібно ввести причину цього, а ви зможете пізніше переглянути всі виключення і перезавантаження і введену причину події.

Крім цього, можна використовувати перегляд подій спільно з планувальником завдань - клікніть правою кнопкою миші по будь-якої події та виберіть «Прив'язати завдання до події». Всякий раз, коли буде відбуватися дана подія, Windows буде запускати відповідну задачу.

Операційна система Windows 7 постійно стежить за різними гідними уваги подіями, що виникають у вашій системі. В Microsoft Windows подія (event)- це будь-яка подія в операційній системі, яке записується в журнал або вимагає повідомлення користувачів або адміністраторів. Це може бути служба, яка не хоче запускатися, установка пристрою або помилка в роботі програми. Події реєструються і зберігаються в журналах подій Windows і надають важливі хронологічні відомості, що допомагають вести моніторинг системи, підтримувати її безпеку, усувати помилки і виконувати діагностику. Необхідно регулярно аналізувати інформацію, що міститься в цих журналах. Вам слід регулярно стежити за журналами подій і налаштовувати операційну систему на збереження важливих системних подій. У тому випадку, якщо ви адміністратор серверів Windows, То необхідно стежити за безпекою їх систем, нормальною роботою додатків і сервісів, а також перевіряти сервер на наявність помилок, здатних погіршити продуктивність. Якщо ви користувач персонального комп'ютера, То вам слід переконатися в тому, що вам доступні відповідні журнали, необхідні для підтримки своєї системи і усунення помилок.

програма «Перегляд подій»є оснащення консолі управління Microsoft (MMC) і призначена для перегляду і управління журналами подій. Це незамінний інструмент для спостереження за працездатністю системи та усунення виниклих неполадок. служба Windows, Яка управляє протоколированием подій, називається "Журнал подій". У тому випадку, якщо вона запущена, Windows записує важливі дані в журнали. За допомогою програми «Перегляд подій»ви можете виконувати наступні дії:

  • Переглядати події певних журналів;
  • Застосовувати фільтри подій і зберігати їх для подальшого використання у вигляді настроюються уявлень;
  • Створювати підписки на події та керувати ними;
  • Призначати виконання конкретних дій на виникнення певної події.

Запуск програми «Перегляд подій»

прикладна програма «Перегляд подій»можна відкрити наступними способами:

Журнали подій в Windows 7

В операційній системі Windows 7, так само як і в Windosw Vista, існують дві категорії журналів подій: журнали Windowsі журнали додатків і служб. журнали Windows- використовуються операційною системою для реєстрації загальносистемних подій, пов'язаних з роботою додатків, системних компонентів, Безпекою і запуском. А журнали додатків і служб- використовуються додатками і службами для реєстрації подій, пов'язаних з їх роботою. Для управління журналами подій можна використовувати оснастку «Перегляд подій»або програму командного рядка wevtutil, Про яку буде розказано в другій частині статті. Всі типи журналів описані нижче:

прикладна програма- зберігає важливі події, пов'язані з конкретним додатком. Наприклад, Exchange Server зберігає події, пов'язані з пересилання пошти, в тому числі події інформаційного сховища, поштових скриньокі запущених служб. За замовчуванням поміщається в% SystemRoot% \ System32 \ Winevt \ Logs \ Application.Evtx.

Безпека- зберігає події, пов'язані з безпекою, такі як вхід / вихід з системи, використання привілеїв і звернення до ресурсів. За замовчуванням поміщається в% SystemRoot% \ System32 \ Winevt \ Logs \ Security.Evtx

установка- в цей журнал записуються події, що виникають при установці і настройці операційної системи і її компонентів. За замовчуванням розміщується в% SystemRoot% \ System32 \ Winevt \ Logs \ Setup.Evtx.

система- зберігає події операційної системи або її компонентів, наприклад невдачі при запусках служб або ініціалізації драйверів, загальносистемні повідомлення та інші повідомлення, що відносяться до системи в цілому. За замовчуванням поміщається в% SystemRoot% \ System32 \ Winevt \ Logs \ System.Evtx

пересилаються події- якщо налаштована пересилання подій, в цей журнал потрапляють події, що надсилаються з інших серверів. За замовчуванням поміщається в% SystemRoot% \ System32 \ Winevt \ Logs \ ForwardedEvents.Evtx

Internet Explorer - в цей журнал записуються події, що виникають при налаштуванні і роботі з браузером Internet Explorer. За замовчуванням поміщається в% SystemRoot% \ System32 \ Winevt \ Logs \ InternetExplorer.Evtx

Windows PowerShell- в цьому журналі реєструються події, пов'язані з використанням оболонки PowerShell. За замовчуванням розміщується в% SystemRoot% \ System32 \ Winevt \ Logs \ WindowsPowerShwll.Evtx

події обладнання- якщо налаштована реєстрація подій обладнання, в цей журнал записуються події, які генеруються пристроями. За замовчуванням поміщається в% SystemRoot% \ System32 \ Winevt \ Logs \ HardwareEvent.Evtx

У Windows 7 інфраструктура, що забезпечує реєстрацію подій, заснована також як і в Windows Vista на XML. Дані про кожну подію відповідають XML-схемою, що дозволяє отримати доступ до XML-коду будь-якої події. Крім того, можна створювати засновані на XML запити для отримання даних з журналів. Для використання цих нових можливостей не потрібні знання про XML. Оснащення «Перегляд подій»надає простий графічний інтерфейсдля доступу до цих можливостей.

властивості подій

Існує кілька властивостей подій оснащення «Перегляд подій», Які детально описані трохи нижче:

джерело- це програма, яка зареєструвала подія в журналі. Це може бути як ім'я програми (наприклад, «Exchange Server»), так і назва компонента системи або великого додатки (наприклад, ім'я драйвера). Наприклад, «Elnkii» означає драйвер EtherLink II.

код події- це число, що визначає конкретний тип події. У першому рядку опису зазвичай міститься назва типу події. Наприклад, 6005 - це ідентифікатор події, яке відбувається при запуску служби ведення журналів подій. Відповідно, на початку опису цієї події перебуває рядок «Запущена служба журналу подій». Код події і ім'я джерела записи можуть використовуватися представниками групи підтримки програмного продуктудля усунення неполадок.

рівень- це рівень важливості події. У журналах системи і додатків події можуть мати такі рівні важливості:

  • повідомлення- позначає зміна в додатку або компоненті, таке як виникнення інформаційного події, пов'язаного з успішним дією, створення ресурсу або запуск служби.
  • попередження- позначає попередження загального характеру на неполадку, здатну вплинути на службу або привести до більш серйозної проблеми, якщо залишити її без уваги;
  • Помилка- позначає, що виникла проблема, яка може вплинути на функції, зовнішні по відношенню до додатка або компоненту, що викликав подія;
  • Критична помилка- позначає, що стався збій, після якого додаток або компонент, які ініціювали подія, не можуть відновитися автоматично;
  • аудит успіхів- успішне виконання дій, які ви відстежуєте через аудит, наприклад використання будь-якої привілеї;
  • аудит відмов- невдале виконання дій, які ви відстежуєте через аудит, наприклад помилка при вході в систему.

Користувач- визначає обліковий запис користувача, від імені якого виникло дана подія. До користувачів ставляться особливі сутності, наприклад Local Service, Network Service і Anonymous Logon, а також облікові записи реальних користувачів. Це ім'я являє собою ідентифікатор клієнта, якщо подія фактично було викликано серверним процесом, або основний ідентифікатор, якщо уособлення не проводиться. У деяких випадках запис журналу безпеки містить обидва ідентифікатора. А також в цьому полі може стояти N / A (Н / Д), якщо в даній ситуації обліковий записнепридатна. Уособлення відбувається у випадках, коли сервер дозволяє одному процесу привласнити атрибути безпеки іншого процесу.

Робочий код- містить числове значення, яке визначає операцію або точку в межах операції, при виконанні якої виникло дана подія. Наприклад, ініціалізації або закриття.

Журнал- ім'я журналу, в який було записано дана подія.

Категорія і завдання- визначає категорію події, іноді використовується для подальшого опису допустимого дії. У кожного джерела подій свої категорії. Наприклад такі категорії: вхід / вихід, використання привілеїв, зміна політики і управління обліковим записом.

Ключові слова- це набір категорій або міток, які можуть використовуватися для фільтрації або пошуку подій. Наприклад: «Мережа», «Безпека» або «Ресурс не найден».

комп'ютер- ідентифікує ім'я комп'ютера, на якому відбулася подія. Зазвичай це ім'я локального комп'ютера, Але також може бути ім'я комп'ютера, який переслав подія, або ім'я локального комп'ютера до того, як воно було змінено.

дата і час- визначає дату і час виникнення даної події в журналі.

ВД процесу- представляє ідентифікаційний номер процесу, який створив цю подію. Комп'ютерна програмавдає із себе тільки пасивну сукупність інструкцій, в той час як процес - це безпосереднє виконання цих інструкцій

ВД потоку- представляє ідентифікаційний номер потоку, який створив цю подію. Процес, породжений в операційній системі, може складатися з декількох потоків, що виконуються «паралельно», тобто без запропонованого порядку в часі. При виконанні деяких завдань такий поділ може досягти більш ефективного використанняресурсів обчислювальної машини

ВД процесора- представляє ідентифікаційний номер процесора, що обробив подія.

код сеансу- це ідентифікаційний номер сеансу на сервері терміналів, в якому відбулася подія.

Час роботи в режимі ядра- визначає час, витрачений на виконання інструкцій режиму ядра, в одиницях часу ЦП. Режим ядра має необмежений доступ до системної пам'яті і зовнішніх пристроїв. Ядро системи NT називають гібридним ядром або макроядра.

Час роботи в режимі користувача- визначає час, витрачений на виконання інструкцій для користувача режиму, в одиницях часу ЦП. Режим користувача складається з підсистем, які передають запити введення \ виведення відповідного драйверу режиму ядра за допомогою менеджера Введення-виведення.

завантаженість процесора- це час, витрачений на виконання інструкцій для користувача режиму, в тиках ЦП.

код кореляції- визначає дію в процесі, для якого використовується подія. Цей код використовується для вказівки простих відносин між подіями. Кореляція - статистичний взаємозв'язок двох або кількох випадкових величин (або величин, які можна з деякою допустимої ступенем точності вважати такими). При цьому, зміни однієї або декількох з цих величин призводять до систематичного зміни іншої або інших величин.

ВД відносної кореляції- визначає відносне дію в процесі, для якого використовується подія

Робота з журналами подій

Перегляд подій

На наступному скріншоті можна побачити журнал «Додатки», В якому можна дізнатися відомості про події, недавніх уявленнях і доступних діях. Для того щоб переглянути події журналу додатків, виконайте наступні дії:

  1. У дереві консолі виберіть «Журнали Windows»;
  2. Виберіть журнал «Додатки».

Бажано частіше переглядати журнали подій "Прикладна програма"і «Система»і вивчати існуючі проблеми та попередження, які можуть провіщати про проблеми в майбутньому. При виборі журналу в середньому вікні відображається доступна події, включаючи дату події, час і джерело, рівень події та інші дані.

панель «Область перегляду»показує основні дані про події на вкладці «Загальні», А додаткові специфічні дані - на вкладці «Подробности». Включити і вимкнути цю панель можна, вибравши меню «Вид», А потім команду «Область перегляду».

Для критичних систем рекомендується зберігати журнали за останні кілька місяців. Весь час призначати журналам такий розмір, щоб в них вміщувалася вся інформація, як правило, незручно, вирішити це завдання можна по-іншому. Можна експортувати журнали в файли, розплоджені в заданій папці. Для того щоб зберегти обраний журнал виконайте наступні дії:

  1. У дереві консолі виберіть журнал подій, який потрібно зберегти;
  2. Виберіть команду «Зберегти події як"з меню "Дія"або з контекстного меню журналу виберіть команду «Зберегти всі події як";
  3. У діалозі "Зберегти як"виберіть папку, в яку необхідно зберегти файл. Якщо потрібно зберегти файл в новій папці, то її можна створити безпосередньо з цього діалогу, використовуючи контекстне меню або кнопку "Нова папка"на панелі дій. У полі «Тип файлу»потрібно вибрати бажаний формат файлу з доступних: файли подій - * .evtx, xml-файл - * .xml, текст з поділом табуляції - * .txt, csv з поділом запитом - * .csv. У полі "Ім'я файлу" «Зберегти». Для скасування збереження натисніть на кнопку "Скасування";
  4. У тому випадку, якщо журнал подій не призначений для перегляду на іншому комп'ютері, в діалоговому вікні «Відображати відомості»залиште заданий за замовчуванням варіант «Не відображати відомості», А якщо журнал призначається для перегляду на іншому комп'ютері, то в діалоговому вікні «Відображати відомості»виберіть варіант «Відображати відомості для наступних мов»і натисніть на кнопку «ОК».

Очищення журналу подій

Іноді доводиться очищати заповнені журнали подій для забезпечення ефективного аналізу попереджень і критичних помилок операційної системи. Для того щоб очистити обраний журнал виконайте наступні дії:

  1. У дереві консолі виберіть журнал подій, який потрібно очистити;
  2. Очистіть журнал одним із таких способів:
    • В меню "Дія"виберіть команду «Очистити журнал»;
    • На обраному журналі натисніть правою кнопкою для відкриття контекстного меню. У контекстному меню виберіть команду «Очистити журнал»;
  3. Далі можна або очистити журнал, або заархівувати його в тому випадку, якщо це не було зроблено раніше:
    • Щоб очистити журнал подій без збереження натисніть натиснути на кнопку «Очистити»;
    • Щоб очистити журнал подій після його збереження натисніть на кнопку «Зберегти і очистити». У діалозі "Зберегти як"виберіть папку, в яку необхідно зберегти файл. Якщо потрібно зберегти файл в новій папці, то її можна створити безпосередньо з цього діалогу використовуючи контекстне меню або кнопку "Нова папка"на панелі дій. У полі "Ім'я файлу"введіть ім'я та натисніть на кнопку «Зберегти». Щоб скасувати реєстрацію потрібно натиснути на кнопку "Скасування".

Установка максимального розміру журналу

Як було сказано вище, журнали подій зберігаються у вигляді файлів в папці% SystemRoot% \ System32 \ Winevt \ Logs \. За замовчуванням максимальний розмір цих файлів обмежений, але його можна змінити в такий спосіб:

  1. Виберіть команду «Властивості»з меню "Дія"
  2. У полі «Максимальний розмір журналу (КБ)»встановіть необхідне значення за допомогою лічильника або встановіть вручну без використання лічильника. У цьому випадку значення буде округлено до найближчого числа, кратного 64 КБ так як розмір файлу журналу повинен бути кратний 64 КБ і не може бути менше 1024 КБ.

Події зберігаються в файлі журналу, розмір якого може збільшуватися тільки до заданого максимального значення. Після досягнення файлом максимального розміру, Обробка вступників подій буде визначатися політикою зберігання журналів. В наявності є таке політики збереження журналу:

Переписувати події при необхідності (спочатку старі файли)- в цьому випадку нові записи продовжують заноситися в журнал після його заповнення. Кожне нове подія замінює в журналі найбільш старе;

Архівувати журнал при заповненні; НЕ переписувати події- в цьому випадку файл журналу автоматично архівується при необхідності. Перезапис застарілих подій не виконується.

Чи не переписувати події (очистити журнал вручну)- в цьому випадку журнал очищається вручну, а не автоматично.

Для того щоб вибрати потрібну політику збереження журналів виконайте наступні дії:

  1. У дереві консолі виберіть журнал подій, для якого слід змінити розмір;
  2. Виберіть команду «Властивості»з меню "Дія"або з контекстного меню вибраного журналу;
  3. на вкладці «Загальні», в розділі «При досягненні максимального розміру»виберіть параметр і натисніть на кнопку «ОК».

Активація аналітичного і налагоджувального журналу

Аналітичний і оцінний журнали за замовчуванням неактивні. Після активації вони швидко заповнюються великою кількістюподій. З цієї причини бажано активувати зазначені журнали на обмежений період часу для того, щоб зібрати необхідні для пошуку і усунення неполадок дані, а потім знову їх відключити. Активацію журналів можна виконати наступним чином:

  1. У дереві консолі знайдіть і виберіть аналітичний або оцінний журнал, який необхідно активувати;
  2. Виберіть команду «Властивості»з меню "Дія"або з контекстного меню вибраного аналітичного або отладочного журналу;
  3. на вкладці «Загальні»встановіть прапорець на опції «Включити ведення журналу»

Відкриття та закриття збереженого журналу

За допомогою оснастки «Перегляд подій»можна відкривати і переглядати збережені раніше журнали. Одночасно можна відкрити декілька збережених журналів і звертатися до них в будь-який час в дереві консолі. Журнал, відкритий в «Перегляді подій», Може бути закритий без видалення містяться в ньому відомостей. Для відкриття збереженого журналу виконайте наступні дії:

  1. Виберіть команду «Відкрити збережений журнал»в меню "Дія"або з контекстного меню в дереві консолі;
  2. 3. У діалоговому вікні «Відкрити збережений журнал», Пересуваючись по дереву каталогів, відкрийте папку, яка містить потрібний файл. За замовчуванням в діалоговому вікні будуть виведені всі файли журналів подій. Також при відкритті можна вибрати тип файлів, які потрібно відображати в діалозі відкриття. Доступні типи файлів: файли журналу подій (* .evtx, * .evt, * .etl), а також файли подій (* .evtx), старі файли подій (* .evt) або файли журналу трасування (* .etl). Після того, як потрібний файл журналу буде знайдений, виділіть його, клацнувши на ньому лівою кнопкою миші, що помістить його ім'я в рядок для введення імені файлу і натисніть на кнопку «Відкрити».
  3. У діалозі «Відкрити збережений журнал», у полі «Ім'я»введіть нове ім'я, яке буде використовуватися для журналу в дереві консолі. Воно використовується тільки для подання журналу в дереві консолі і ім'я файлу журналу при цьому не змінюється Можна також використовувати існуюче ім'я файлу журналу. У полі «Опис»введіть опис журналу. Воно буде відображатися в центральній області при виділенні батьківської папки журналу в дереві консолі;
  4. Для створення папки, в якій буде розташований збережений журнал, натисніть на кнопку "Створити папку". У полі «Ім'я»введіть ім'я папки, в якій буде перебувати відкритий журнал, а потім натисніть кнопку «ОК». Якщо батьківська папка не вибрана, Нова папкабуде розташована в папці «Збережені журнали».
  5. Для того щоб відкритий журнал подій став недоступним для інших користувачів комп'ютера, ви можете зняти прапорець "Усі користувачі". У тому випадку, якщо цей прапорець залишиться активним, відкритий журнал буде доступний всім користувачам, але для його видалення з дерева консолі будуть потрібні права адміністратора;
  6. Для відкриття журналу, натисніть на кнопку «ОК».

Для того щоб видалити відкритий журнал з дерева подій, виконайте такі дії:

  1. У дереві консолі виберіть журнал, який слід видалити;
  2. Виберіть команду "Вилучити"з меню "Дія"або з контекстного меню вибраного журналу;
  3. У діалозі «Перегляд подій»Натисніть на кнопку «Так».

висновок

У цій частині статті, присвяченій оснащенні «Перегляд подій», розповідається про саму оснащенні і детально описані найпростіші операції, пов'язані з моніторингом та обслуговуванням системи за допомогою «Перегляду подій». Наступна частина статті буде розрахована для досвідчених користувачів Windows. У ній будуть описані завдання з налаштованим уявленнями, фільтрація, угруповання / сортування подій і управління підписками.