Просмотр логов в Event Viewer

439

Windows постоянно отслеживает все события и записывает их в журналы событий. Это может быть запуск или остановка службы, установка устройства или ошибка приложения. Если что-то не работает должным образом или отображаются сообщения об ошибках, мы можем просмотреть журналы с помощью системного инструмента Event Viewer.
Чтобы запустить средство просмотра системных событий:
– в поисковой системе меню «Пуск» Windows 7 или функции «Выполнить» (клавиши Win + R, в меню «Пуск» XP> Выполнить) введите eventvwr.msc
– Панель запуска >>> Система и безопасность (в Windows XP Производительность и обслуживание) >>> Средства администрирования >>> Просмотр событий

В Windows 7 слева у нас есть 3 ветки, где ветка Windows Logs особенно полезна. В филиале мы регулярно просматриваем журналы приложения, которое записывает события, связанные со всеми программами, и системные журналы, в которых хранятся события, генерируемые системой и ее компонентами, такими как сервисы и контроллеры. Журналы безопасности не так важны, мы просматриваем их при подозрении на проблемы с безопасностью, например, кто входит в систему.
После выбора журнала на средней панели будут отображаться события вместе с информацией о дате события, его источнике и уровне – Информация, Предупреждения или Ошибки.

В Windows XP средство просмотра событий не так обширно и выглядит как на экране ниже:

Есть несколько типов событий:
– Информация: события, информирующие о действиях, выполняемых системой.
Примеры:

  Операционная система была запущена в системное время 2012 - 01 - 25T06: 29: 43.500000000Z.
Служба Windows Update вошла в рабочее состояние.
Системное время изменилось с 2012 - 01 - 25T09: 56: 09.000000000Z на 2012 - 01 - 25T09: 56: 09.007000400Z. 

– Предупреждения: события, которые могут быть не важны, но могут предупредить вас о проблемах, которые могут произойти в ближайшее время

Примеры:

  Пользовательские библиотеки DLL загружаются для каждого приложения.  Системный администратор должен просмотреть список библиотек, чтобы убедиться, что они связаны с доверенными приложениями.
Тайм-аут разрешения имени dns.msftncsi.com истек после того, как ни один из настроенных DNS-серверов не ответил.
Загрузка драйвера Driver WUDFRd для WpdBusEnumRootUMB2 & 37c186b & 0 & STORAGE # VOLUME #_ ?? _ USBSTOR # DISK & VEN_KINGSTON & PROD_DT_100_G2 & REV_1.00 # 001CC0EC349BAAA0B6022205 & 0 # не выполнена. 

– Ошибки: этот уровень особенно важен, поскольку он указывает на наличие серьезных проблем в системе.

Примеры:

  Структура файловой системы на диске повреждена и непригодна для использования.  Запустите утилиту chkdsk на томе J :.
Предыдущее отключение системы в 16:00:34 2011-08-05 было неожиданным.
Служба группы прослушивателей зависит от службы сервера, которая не может быть запущена из-за следующей ошибки:
Служба не может быть запущена, потому что она выключена или связанные устройства не включены. 

– Критические: очень серьезные ошибки

  Система была перезапущена без предварительного чистого отключения.  Эта ошибка может быть вызвана тем, что система перестала отвечать, произошла ошибка или произошла непредвиденная потеря питания. 

Как экспортировать логи для анализа?
Windows XP: журналы хранятся в каталоге C: WINDOWSsystem32config как файлы * .EVT. Однако для анализа нам нужно создать файлы, используя Event Viewer, выбрав определенный журнал и щелкнув по нему правой кнопкой мыши в контекстном меню, выбрав «Сохранить файл журнала как …» новые файлы .evt (вы также можете это сделать из меню «Действие»).

Windows 7: журналы хранятся в каталоге C: WINDOWSsystem32winevtLogs как файлы * .EVTX. Наиболее важными являются Application.evtx и System.evtx. Эти файлы можно отправлять на анализ, но вы также можете создавать новые, как в Windows XP, выбрав в контекстном меню Сохранить все события как (вы также можете в меню Действие).

Как вы анализируете экспортированные журналы?
Экспортированные файлы журнала могут быть отправлены помощнику, который смонтирует их в своем журнале и проведет анализ.

Windows XP: из меню Действие >>> Открыть файл журнала. Мы указываем на файл .evt и выбираем тип журнала.

Windows 7: файлы журналов (поддерживаются новые и более старые форматы) по умолчанию связаны с инструментом просмотра событий. Просто дважды щелкните по ним, и они откроются. Конечно, вы также можете выбрать меню Действие >>> Открыть сохраненный файл журнала.

Щелкнув правой кнопкой мыши по данному журналу в контекстном меню, мы можем выбрать Очистить все события (Очистить журнал). Перед очисткой вы можете заархивировать журнал, сохранив его. Выбрав «Свойства», вы указываете размер журнала и действия при достижении максимального размера.

MyEventViewer

Лицензия: бесплатная
Платформа: Windows 2000 / XP / Vista / 7 и серверные версии

альтернатива стандартному Windows Event Viewer. Это позволяет просматривать несколько журналов событий в одном списке, а также описание события и данные отображаются в главном окне. Вы можете выбрать несколько элементов, а затем сохранить их в файл HTML / Text / XML или скопировать их в буфер обмена (Ctrl + C), а затем вставить их в Excel.
Приложение также может читать внешние файлы, но требуется поддержка командной строки . Синтаксис команды:

  MyEventViewer.exe / LoadFiles "путь к файлу журнала" "тип журнала" 

пример:

  F: myeventviewerMyEventViewer.exe / LoadFiles "F: myeventviewer
system.evtx "" Система "
MyEventViewer.exe / LoadFiles "c: tempsec.evt" "Безопасность" "c: tempapp.evt" "Приложение" 

Скачать: последняя версия , крэк

Снимок экрана: