Windows постійно відстежує всі події і записує їх у журнали подій. Це може бути запуск або зупинка служби, установка пристрою або помилка програми. Якщо щось не працює належним чином або відображаються повідомлення про помилки, ми можемо переглянути журнали з допомогою системного інструменту Event Viewer.
Щоб запустити засіб перегляду системних подій:
– в пошуковій системі меню «Пуск» Windows 7 або функції «Виконати» (клавіші Win + R, в меню «Пуск» XP> Виконати) введіть eventvwr.msc
– Панель запуску >>> Система і безпека (Windows XP Продуктивність і обслуговування) >>> Засоби адміністрування >>> Перегляд подій
У Windows 7 зліва у нас є 3 гілки, де гілка Windows Logs особливо корисна. У філіалі ми регулярно переглядаємо журнали програми, яка записує події, пов’язані з усіма програмами і системні журнали, в яких зберігаються події, що генеруються системою та її компонентами, такими як сервіси і контролери. Журнали безпеки не так важливі, ми переглядаємо їх при підозрі на проблеми з безпекою, наприклад, хто входить у систему.
Після вибору журналу на середній панелі будуть відображатися події разом з інформацією про дату події, його джерела та рівні – Інформація, Попередження або Помилки.
У Windows XP засіб перегляду подій не так широко і виглядає як на екрані нижче:
Є кілька типів подій:
– Інформація: події, що інформують про дії, що виконуються системою.
Приклади:
Операційна система була запущена в системне 2012 - 01 - 25T06: 29: 43.500000000 Z. Служба Windows Update увійшла в робочий стан.Системне час змінилося з 2012 - 01 - 25T09: 56: 09.000000000 Z на 2012 - 01 - 25T09: 56: 09.007000400 Z.
– Попередження: події, які можуть бути не важливі, але можуть попередити вас про проблеми, які можуть відбутися найближчим часом
Приклади:
Користувальницькі бібліотеки DLL завантажуються для кожного додатка. Системний адміністратор повинен переглянути список бібліотек, щоб переконатися, що вони пов'язані з довіреними додатками.Тайм-аут дозволу імені dns.msftncsi.com минув після того, як ні один з налаштованих DNS-серверів не відповів.Завантаження драйвера Driver WUDFRd для WpdBusEnumRootUMB2 & 37c186b & 0 & STORAGE # VOLUME #_ ?? _ USBSTOR # DISK & VEN_KINGSTON & PROD_DT_100_G2 & REV_1.00 # 001CC0EC349BAAA0B6022205 & 0 # не виконана.
– Помилки: цей рівень особливо важливий, оскільки він вказує на наявність серйозних проблем в системі.
Приклади:
Структура файлової системи на диску пошкоджена і непридатна для використання. Запустіть утиліту chkdsk на томі J :.Попереднє вимкнення системи в 16:00:34 2011-08-05 було несподіваним.Служба групи прослушивателей залежить від служби сервера, яка не може бути запущена через таку помилку:Служба не може бути запущена, тому що вона вимкнена або пов'язані пристрою не включені.
– Критичні: дуже серйозні помилки
Система була перезапущена без попереднього чистого відключення. Ця помилка може бути викликана тим, що система перестала відповідати, сталася помилка або неочікувана втрата живлення.
Як експортувати логи для аналізу?
Windows XP: журнали зберігаються в каталозі C: WINDOWSsystem32config як файли * .EVT. Однак для аналізу нам потрібно створити файли, використовуючи Event Viewer, вибравши певний журнал і клацнувши по ньому правою кнопкою миші, в контекстному меню вибрати «Зберегти файл журналу як нові файли .evt (ви також можете це зробити з меню «Дія»).
Windows 7: журнали зберігаються в каталозі C: WINDOWSsystem32winevtLogs як файли * .EVTX. Найбільш важливими є Application.evtx і System.evtx. Ці файли можна відправляти на аналіз, але ви також можете створювати нові, як в Windows XP, вибравши в контекстному меню Зберегти всі події як (ви також можете у меню Дія).
Як ви аналізуєте експортовані журнали?
Експортовані файли журналу можуть бути відправлені помічникові, який змонтує їх у своєму журналі і проведе аналіз.
Windows XP: меню Дія >>> Відкрити файл журналу. Ми вказуємо на файл .evt і вибираємо тип журналу.
Windows 7: файли журналів (підтримуються нові і більш старі формати) за замовчуванням пов’язані з інструментом перегляду подій. Просто двічі клацніть по ним, і вони відкриються. Звичайно, ви також можете вибрати меню Дія >>> Відкрити збережений файл журналу.
Клацнувши правою кнопкою миші по даним журналу в контекстному меню, ми можемо вибрати Очистити все події (Очистити журнал). Перед очищенням ви можете заархівувати журнал, зберігши його. Вибравши пункт «Властивості», ви вказуєте розмір журналу і дії при досягненні максимального розміру.
Ліцензія: безкоштовно
Платформа: Windows 2000 / XP / Vista / 7 і серверні версії
альтернатива стандартному Windows Event Viewer. Це дозволяє переглядати кілька журналів подій в одному списку, а також опис події і дані відображаються в головному вікні. Ви можете обрати декілька елементів, а потім зберегти їх у файл HTML / Text / XML або скопіювати в буфер обміну (Ctrl + C), а потім вставити їх в Excel.
Додаток також може читати файли, але потрібна підтримка командного рядка . Синтаксис команди:
MyEventViewer.exe / LoadFiles "шлях до файла журналу" тип журналу"
приклад:
F: myeventviewerMyEventViewer.exe / LoadFiles "F: myeventviewersystem.evtx "" Система "MyEventViewer.exe / LoadFiles "c: tempsec.evt" "Безпека" "c: tempapp.evt" "Додаток"
Завантажити: ,
Знімок екрана:
