Vi skapar vår egen händelselogg i Windows. Skapa inbyggda Windows-händelser i loggen

Som ni vet loggar de flesta "normala" applikationer sina händelser Windows-händelser(Applikationshändelselogg). Det här är ett bra ställe att centralt lagra och visa applikationshändelser, men ofta när du behöver logga händelser från specifik tillämpning i denna journal kan vi stöta på det faktum att pga stor kvantitet och överdriven detalj av händelser, arbeta med en standardlogg Windows-applikationer det blir väldigt obehagligt. I I detta fall det skulle vara bekvämt att skapa egen tidning evenemang för den här applikationen, och konfigurera för det olika parametrar, såsom loggstorlek, filter etc., och standardapplikationsloggen kan användas som vanligt utan att täppa igen den onödig information. I OS Windows familj Det finns en funktion som låter dig skapa din egen händelselogg.

Låt oss först skapa ny fil tidskrift. Detta kan göras med hjälp av registret. Starta registerredigeraren regedit och gå till grenen:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog

Klick Högerklicka på Eventlog-noden och skapa ny nyckel(Ny > Nyckel)

Nyckelnamnet i detta fall kommer också att vara namnet på den nya loggen. Standard ny tidning(file.evt) skapas här:

C:\WINDOWS\System32\Config\Ny nyckel #1.evt

Du kan byta namn på den genom att ändra strängparametern i registret som du vill.

Därefter måste du lägga till händelsekällor för den nya loggen. Skapa en ny nyckel av typen Multi-String med namnet "Källor", eftersom parametrar anger namnen på alla applikationer som kommer att använda denna tidning(varje applikation på en ny rad).

Därefter måste du överföra dina applikationsassociationer från standardapplikationsloggen till din nya logg. Expandera grenen "Ansökan" som finns på:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application

Och kopiera alla grenar som relaterar till de applikationer du är intresserad av till en ny registergren i den nya loggen:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\CustomLog

Därför att kommandot kopiera/klistra in i registerredigeraren fungerar inte, de kan återskapas manuellt (om det finns få av dem), eller överföringen kan utföras med proceduren för att exportera/importera registergrenar med manuell redigering av .reg-fil. Se till att du efter överföringen tar bort registernycklarna för dina applikationer från applikationsgrenen, annars förstår inte Windows att du behöver skriva händelser till den nya loggen. Om du använder en ny händelsekälla för loggen måste du skapa en DWORD-parameter med namnet CustomSource med värdet 1:

I mitt exempel skapade jag min egen .NET 2.0-applikation och jag vill att den ska skriva händelser till loggen vi skapade. För att göra detta skapar jag en ny registernyckel, EventMessageFile, och ställer in den på sökvägen till .NET 2.0-loggningsbiblioteket:

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll

Sedan måste du starta om Windows, och efter att systemet har startats kommer du att se en ny händelselogg i avsnittet Event Viewer. Om din applikation av någon anledning inte skriver händelser till den nya loggen, kan du testa dess funktion manuellt genom att öppna en kommandorad och gå till katalogen:

CD C:\WINDOWS\system32

Skriv sedan:

Eventcreate /l CustomLog /t Information /so Application1 /id 1 /d "Testmeddelande"

Om du gjorde allt korrekt bör ett fönster visas som indikerar att händelsen har registrerats framgångsrikt i loggen, eller ett felmeddelande och orsakerna till att det inträffade.

En liten uppdatering av artikeln baserad på läsarbrev:

Ovanstående instruktioner för att skapa din egen tidning är inriktade på serveroperativsystem i Microsoft-familjen. Mer allmän metod som borde fungera i de flesta Windows nästa(sökvägar i registret och nycklar skiljer sig):

Vi skapar nytt avsnitt i registret (sektionsnamn är namnet på loggen som skapas), kommer sökvägen till den skapade att vara så här:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\ Ny händelselogg, där du måste skapa följande nycklar:

• "AutoBackupLogFiles" - DWORD-typ, skapa eller inte säkerhetskopior logg (0 - skapa inte)
• "MaxSize" - DWORD-typ, maximal loggstorlek i byte, värdet måste vara en multipel av 64Kb
• "Retention" – DWORD-typ, lagringstiden för poster i händelse av loggspill.
• "File" - skriv REG_EXPAND_SZ, en sträng som innehåller sökvägen till loggen på hårddisken, till exempel %SystemRoot%\System32\config\ Ny händelselogg.evt)
• "Källor" - skriv REG_MULTI_SZ, här är en lista över händelsekällor vars loggar ska gå in i den här loggen, varje källa på en ny rad

Hej kompisar! I den här artikeln ska vi titta på Windows 7 händelselogg. Operativsystemet registrerar nästan allt som händer med det i den här loggen. Det är bekvämt att se det med Event Viewer-applikationen, som är installerad med Windows 7. Att säga att det finns många inspelade händelser är att säga ingenting. Deras mörker. Men det är svårt att bli förvirrad i dem eftersom allt är sorterat i kategorier.

Tack vare händelseloggen, specialister och vanliga användare det är mycket lättare att hitta fel och fixa det. När jag säger lättare menar jag inte lätt. Nästan alltid, för att rätta till ett återkommande fel, måste du använda mycket sökning och läsa om en massa material. Ibland är det värt det att bli av med icke-standardiserade operativsystembeteende.

För att operativsystemet ska lyckas fylla händelseloggar måste tjänsten Windows Event Log, som ansvarar för detta, vara igång. Låt oss kontrollera om den här tjänsten körs. I sökfältet i huvudmenyn Start, leta efter Tjänster

Att hitta en tjänst Windows händelselogg och kontrollera status - Arbetar och starttyp - Automatiskt

Om den här tjänsten inte körs, dubbelklicka på den med vänster mus och i egenskaperna, i avsnittet Starttyp, välj Automatisk. Klicka sedan på Kör och OK

Tjänsten har startat och händelseloggarna kommer att börja fyllas.

Starta Event Viewer-verktyget med hjälp av sökningen från Start-menyn

Standardverktyget ser ut så här:

Många saker här kan skräddarsys för dig själv. Du kan till exempel använda knapparna under menyområdet för att dölja eller visa konsolträdet till vänster och åtgärdspanelen till höger

Området längst ner i mitten kallas för visningsområde. Den visar information om den valda händelsen. Den kan tas bort genom att avmarkera motsvarande kryssruta i Visa-menyn eller genom att klicka på krysset till höger övre hörnet visningsområde

Huvudfältet ligger längst upp i mitten och är en tabell med händelserna i loggen som du valde i konsolträdet. Som standard visas inte alla kolumner. Du kan lägga till och ändra deras visningsordning. För att göra detta, högerklicka på rubriken i valfri kolumn och välj Lägg till eller ta bort kolumner...

I fönstret som öppnas lägger du till de obligatoriska kolumnerna från det vänstra fältet till kolumnen Visade kolumner

För att ändra ordningen på kolumner i det högra fältet, välj önskad kolumn och använd upp- och nedknapparna för att ändra platsen.

Varje kolumn är en specifik egenskap för händelsen. Alla dessa egenskaper beskrevs perfekt av Dmitry Bulanov. Jag ska ge dig en skärmdump. Klicka på den för att förstora.

Det är ingen idé att ställa in alla kolumner i tabellen eftersom nyckelegenskaperna visas i visningsporten. Om den senare inte visas för dig, genom att dubbelklicka med vänster musknapp på händelsen i ett separat fönster kommer du att se dess egenskaper

Fliken Allmänt har en beskrivning av detta fel och ibland ett sätt att åtgärda det. Nedan finns alla egenskaper för händelsen och i avsnittet Detaljer finns en länk till webbhjälpen där information om att korrigera felet kan finnas tillgänglig.

Händelseloggar

Nyckelhanteringstjänst— Händelser för nyckelhanteringstjänster registreras. Designad för att hantera aktivering av företagsversioner av operativsystem. Loggen är tom eftersom du kan klara dig utan den på din hemdator.

Tidningar har också sina egna egenskaper. För att se dem, högerklicka på loggen och välj Egenskaper i snabbmenyn

I de öppnade egenskaperna ser du Fullständiga namn logg, sökväg till loggfilens storlek och datum för skapade, modifierade och när den öppnades

Kryssrutan Aktivera loggning är också markerad. Den är inte aktiv och kan inte tas bort. Jag tittade på det här alternativet i egenskaperna för andra tidningar, där är det också aktiverat och inaktivt. För loggen för utrustningshändelser är den i exakt samma position och loggen underhålls inte.

I egenskaperna kan du ställa in maximal loggstorlek (KB) och välja en åtgärd när den når maximal storlek. För servrar och andra viktiga arbetsstationer, gör sannolikt loggstorleken större och välj Arkivlogg när den är full, så att i fall nödsituation spåra när felet började.

Arbeta med Windows 7 händelseloggar

Arbetet går ut på att sortera, gruppera, städa i loggar och skapa anpassade vyer för att göra det lättare att hitta vissa händelser.

Välj vilken tidning som helst. Till exempel, Application och i tabellen, i mitten, klicka på rubriken i valfri kolumn med vänster musknapp. Händelser kommer att sorteras efter den här kolumnen

Om du trycker igen kommer du att sortera i motsatt riktning. Sorteringsprinciperna är desamma som för Windows Explorer. Begränsningen är att du inte kan sortera efter mer än en kolumn.

För att gruppera händelser efter en specifik kolumn, högerklicka på dess rubrik och välj Gruppera händelser efter denna kolumn. I exemplet grupperas händelser efter nivåkolumnen

I det här fallet är det bekvämt att arbeta med en specifik grupp av händelser. Till exempel med fel. Efter att ha grupperat händelser kommer du att kunna komprimera och utöka grupper. Detta kan även göras i själva händelsetabellen genom att dubbelklicka på gruppnamnet. Till exempel, Nivå: Varning (74).

För att ta bort en gruppering, högerklicka på kolumnrubriken igen och välj Ta bort händelsegruppering.

Rensa loggen

Om du har korrigerat fel i systemet som ledde till att händelser registrerades i loggen, så vill du förmodligen rensa loggen så att gamla poster inte stör diagnostisering av nya datortillstånd. För att göra detta, högerklicka på loggen du vill rensa och välj Rensa logg...

I fönstret som öppnas kan vi helt enkelt rensa loggen och vi kan spara den i en fil innan vi rensar

Anpassade vyer

Konfigurerad sortering och grupperingar försvinner när du stänger Event Viewer-fönstret. Om du ofta arbetar med händelser kan du skapa anpassade vyer. Det här är vissa filter som sparas i motsvarande sektion av konsolträdet och som inte försvinner någonstans när Event Viewer stängs.

För att skapa en anpassad vy, högerklicka på valfri journal och välj Skapa anpassad vy...

I fönstret som öppnas, i avsnittet Datum, välj från rullgardinsmenyn det tidsintervall för vilket vi behöver välja händelser

I avsnittet Händelsenivå markerar du rutorna för att välja betydelsen av händelser.

Vi kan ta prov efter specifik tidskrift eller tidskrifter eller efter källa. Växla radioboxen till önskad position och markera nödvändiga kryssrutor från rullgardinsmenyn

Du kan välja att specifika händelsekoder ska visas eller inte visas i vyn du skapar.

Klicka på OK när alla vyalternativ har valts.

I fönstret som visas anger du namnet och beskrivningen av den anpassade vyn och klickar på OK

Till exempel skapade jag en anpassad vy för fel och kritiska händelser från program- och säkerhetsloggarna

Den här vyn kan redigeras senare och försvinner inte när du stänger Event Viewer-verktyget. För att redigera, högerklicka på vyn och välj Filtrera aktuell anpassad vy...

Gör i fönstret som öppnas ytterligare inställningar i presentationen.

Du kan dra en analogi mellan anpassad vy och sparade söktermer i Windows utforskaren 7.

Slutsats

I den här artikeln tittade vi på Windows 7-händelseloggen. Vi pratade om nästan alla grundläggande operationer med den för att underlätta att hitta felhändelser och kritiska händelser. Och här uppstår en logisk fråga: "Hur kan vi korrigera dessa fel i systemet?" Allt är mycket mer komplicerat här. Det finns lite information på Internet och därför kan du behöva lägga mycket tid på att söka information. Därför, om du generellt är nöjd med driften av datorn, behöver du inte göra detta. Om du vill försöka fixa det, titta på videon nedan.

Du kan också använda händelseloggen för att diagnostisera långsam laddning av Windows 7.

Jag tar gärna emot kommentarer och förslag.

Operativsystemet Windows 7 övervakar ständigt olika anmärkningsvärda händelser som inträffar på ditt system. I Microsoft Windows händelseär en incident i operativsystemet som loggas eller kräver meddelande till användare eller administratörer. Detta kan vara en tjänst som inte vill starta, en enhetsinstallation eller ett programfel. Händelser registreras och lagras i Windows händelseloggar och ger viktig historisk information som hjälper dig att övervaka ditt system, upprätthålla systemsäkerhet, felsöka fel och utföra diagnostik. Informationen i dessa loggar bör ses över regelbundet. Du bör regelbundet övervaka händelseloggar och konfigurera ditt operativsystem för att spara viktiga systemhändelser. Om du är administratör Windows-servrar, då är det nödvändigt att övervaka säkerheten för deras system, normal drift applikationer och tjänster, och kontrollera servern för fel som kan försämra prestandan. Om du är en användare personlig dator, då bör du se till att du har tillgång till lämpliga loggar du behöver för att stödja ditt system och felsöka fel.

Program "Loggboken" representerar en konsolsnap-in Microsofts ledning(MMC) och är utformad för att visa och hantera händelseloggar. Detta oumbärligt verktyg för att övervaka systemets prestanda och felsöka problem. Windows-tjänst, som styr loggning av händelser, anropas "Händelseloggen". Om den körs skriver Windows viktig data till loggarna. Använder programmet "Loggboken" du kan göra följande:

• Visa händelser från specifika loggar;
• Använd händelsefilter och spara dem för senare användning som anpassade vyer;
• Skapa och hantera evenemangsprenumerationer;
• Tilldela specifika åtgärder som ska utföras när en specifik händelse inträffar.

Startar Event Viewer

Ansökan "Loggboken" kan öppnas på följande sätt:

Händelseloggar i Windows 7

I operativsystemet Windows 7, såväl som i Windows Vista, finns det två kategorier av händelseloggar: Windows loggar Och applikations- och serviceloggar. Windows loggar- används av operativsystemet för att registrera systemomfattande händelser relaterade till driften av applikationer, systemkomponenter, säkerhet och start. A applikations- och serviceloggar- används av applikationer och tjänster för att registrera händelser relaterade till deras drift. Du kan använda snapin-modulen för att hantera händelseloggar "Loggboken" eller program kommandorad wevtutil, som kommer att diskuteras i den andra delen av artikeln. Alla loggtyper beskrivs nedan:

Ansökan- lagrar viktiga händelser relaterade till specifik tillämpning. Till exempel, Exchange Server lagrar händelser relaterade till vidarebefordran av e-post, inklusive händelser i informationsbutiken, brevlådor Och driva tjänster. Som standard placeras den i %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Säkerhet- lagrar säkerhetsrelaterade händelser som systeminloggning/utloggning, behörighetsanvändning och resursåtkomst. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Installation- Den här loggen registrerar händelser som inträffar under installationen och konfigurationen av operativsystemet och dess komponenter. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Systemet- lagrar händelser i operativsystemet eller dess komponenter, såsom misslyckanden med att starta tjänster eller initiera drivrutiner, systemomfattande meddelanden och andra meddelanden relaterade till systemet som helhet. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\System.Evtx

Vidarebefordrade händelser- om vidarebefordran av händelse är konfigurerad, inkluderar denna logg händelser som vidarebefordrats från andra servrar. Som standard placeras den i %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer - den här loggen registrerar händelser som inträffar under installation och arbete med webbläsare Utforskare. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- Den här loggen registrerar händelser relaterade till användningen av PowerShell. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Utrustningsevenemang- om händelseloggning för hårdvara är konfigurerad, registreras händelser som genereras av enheter i denna logg. Som standard placeras den i %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

I Windows 7 är infrastrukturen som tillhandahåller händelseloggning baserad på samma sätt som i Windows Vista i XML. Varje händelsedata motsvarar ett XML-schema, vilket ger dig tillgång till XML-koden för alla händelser. Du kan också skapa XML-baserade frågor för att hämta data från loggar. Ingen kunskap om XML krävs för att använda dessa nya funktioner. Utrustning "Loggboken" ger enkel GUI för att komma åt dessa funktioner.

Händelseegenskaper

Det finns flera snap-in-händelseegenskaper "Loggboken", som beskrivs i detalj nedan:

Källaär programmet som loggade händelsen. Detta kan antingen vara namnet på programmet (till exempel "Exchange Server") eller namnet på en systemkomponent eller stor applikation(till exempel förarens namn). Till exempel betyder "Elnkii" EtherLink II-drivrutin.

Händelsekodär ett nummer som identifierar en specifik typ av händelse. Den första raden i beskrivningen innehåller vanligtvis namnet på händelsetypen. Till exempel är 6005 ID för händelsen som inträffar när händelseloggningstjänsten startar. Följaktligen finns det i början av beskrivningen av denna händelse raden "Händelseloggtjänsten har startats." Händelsekoden och inspelningskällans namn kan användas av supportteamet mjukvaruprodukt för felsökning.

Nivå- detta är nivån av betydelse för evenemanget. I system- och programloggar kan händelser ha följande allvarlighetsnivåer:

• Underrättelse- betecknar en ändring i en applikation eller komponent, såsom förekomsten av en informationshändelse i samband med en framgångsrik åtgärd, skapandet av en resurs eller uppstarten av en tjänst.
• Varning- indikerar en varning allmän för ett problem som kan påverka servicen eller leda till ett allvarligare problem om det lämnas obevakat;
• Fel- indikerar att ett problem har uppstått som kan påverka funktioner utanför applikationen eller komponenten som orsakade händelsen;
• Kritiskt fel- indikerar att ett fel har inträffat från vilket programmet eller komponenten som initierade händelsen inte kan återställas automatiskt;
• Granskning av framgångar - framgångsrikt slutförandeåtgärder du övervakar genom granskning, såsom användningen av ett privilegium;
• Misslyckande revision- Underlåtenhet att utföra åtgärder som du övervakar genom granskning, till exempel ett fel när du loggar in i systemet.

Användare- definierar användarkontot för vars räkning den här tillställningen. Användare inkluderar speciella enheter som lokal service, nätverkstjänst och anonym inloggning, såväl som konton riktiga användare. Detta namn är klientidentifieraren om händelsen faktiskt skapades av en serverprocess, eller den primära identifieraren om ingen identitetsstöld utförs. I vissa fall innehåller säkerhetsloggposten båda ID:n. Detta fält kan också innehålla N/A (N/A) om det är i denna situation konto inte tillämpbar. Imitation sker i fall där en server tillåter en process att anta säkerhetsattributen för en annan process.

Arbetskod- innehåller numeriskt värde, som definierar operationen eller punkten inom operationen under vilken denna händelse inträffade. Till exempel initialisering eller stängning.

Tidskrift- namnet på loggen där denna händelse registrerades.

Kategori och uppgifter- definierar en händelsekategori, som ibland används för att senare beskriva en giltig åtgärd. Varje händelsekälla har sina egna kategorier. Till exempel följande kategorier: inloggning/utloggning, användningsprivilegier, ändra policyer och kontohantering.

Nyckelordär en uppsättning kategorier eller taggar som kan användas för att filtrera eller söka efter händelser. Till exempel: "Nätverk", "Säkerhet" eller "Resursen hittades inte".

Dator- identifierar namnet på datorn där händelsen inträffade. Vanligtvis är detta namnet lokal dator, men kan också vara namnet på datorn som vidarebefordrade händelsen, eller namnet på den lokala datorn innan den ändrades.

datum och tid- bestämmer datum och tid för händelsen i loggen.

Process ID- representerar identifikationsnumret för den process som genererade händelsen. Datorprogram representerar endast en passiv uppsättning instruktioner, medan en process är den direkta exekveringen av dessa instruktioner

Stream-ID- representerar identifikationsnumret för tråden som genererade händelsen. En process som skapas i ett operativsystem kan bestå av flera trådar som körs "parallellt", det vill säga utan en föreskriven ordning i tid. För vissa uppgifter kan denna separation uppnå mer effektiv användning datorresurser

Processor-ID- representerar identifikationsnumret för den processor som behandlade händelsen.

Sessionskodär sessionens identifieringsnummer på terminalservern där händelsen inträffade.

Drifttid för kärnläge- definierar tiden som ägnas åt att exekvera kärnlägesinstruktioner, i CPU-tidsenheter. Kärnläget har obegränsad tillgång till system minne Och externa enheter. NT-systemkärnan kallas en hybridkärna eller makrokärna.

Drifttid i användarläge- definierar tiden som ägnas åt att utföra instruktioner i användarläge, i enheter av CPU-tid. Användarläge består av delsystem som skickar I/O-förfrågningar till lämplig kärnlägesdrivrutin genom I/O-hanteraren.

CPU-belastningär den tid som ägnas åt att utföra instruktioner för användarläge, i CPU-tickar.

Korrelationskod- definierar åtgärden i processen som händelsen används för. Denna kod används för att indikera enkla relationer mellan händelserna. Korrelation är ett statistiskt samband mellan två eller flera slumpvariabler (eller värden som kan betraktas som sådana med en viss acceptabel grad av noggrannhet). Dessutom leder förändringar i en eller flera av dessa kvantiteter till en systematisk förändring av en annan eller andra kvantiteter.

Relativt korrelations-ID- definierar en relativ åtgärd i den process som händelsen används för

Arbeta med händelseloggar

Loggboken

I nästa skärmdump kan du se loggen "Ansökningar", där du kan hitta information om händelser, senaste visningar och tillgängliga åtgärder. Följ dessa steg för att se programlogghändelser:

1. Välj i konsolträdet "Windows-loggar";
2. Välj en tidning "Ansökningar".

Det är lämpligt att granska händelseloggar oftare "Ansökan" Och "Systemet" och studera befintliga problem och varningar som kan förebåda problem i framtiden. När du väljer en logg visar mittfönstret tillgängliga händelser, inklusive händelsedatum, tid och källa, händelsenivå och andra detaljer.

Panel "Viewport" visar grundläggande händelsedata på fliken "Är vanliga", och ytterligare specifik data finns på fliken "Detaljer". Du kan slå på och av den här panelen genom att välja menyn "Se" och sedan kommandot "Viewport".

För kritiska system Det rekommenderas att föra loggar från de senaste månaderna. Som regel är det obekvämt att tilldela tidningar en storlek hela tiden så att all information får plats i dem detta problem kan lösas på annat sätt. Du kan exportera loggar till filer som finns i en angiven mapp. För att spara den valda loggen, följ dessa steg:

1. I konsolträdet, välj den händelselogg du vill spara;
2. Välj ett lag "Spara händelser som" från menyn "Handling" eller från innehållsmeny log select kommando "Spara alla händelser som";
3. I dialogrutan som visas "Spara som" välj mappen där filen ska sparas. Om du behöver spara filen i en ny mapp kan du skapa den direkt från den här dialogrutan med hjälp av snabbmenyn eller knappen "Ny mapp" på åtgärdsfältet. I fält "Filtyp" du måste välja önskat filformat bland de tillgängliga: händelsefiler - *.evtx, xml-fil - *.xml, tabbavgränsad text - *.txt, kommaseparerad csv - *.csv. I fält "Filnamn" "Spara". För att avbryta sparandet, klicka på knappen "Annullera";
4. I händelse av att händelseloggen inte är avsedd att visas på en annan dator, i dialogrutan "Visa detaljer" lämna standardalternativet "Visa inte information", och om loggen är avsedd att visas på en annan dator, i dialogrutan "Visa detaljer" Välj ett alternativ "Visa information för följande språk» och klicka på knappen "OK".

Rensar händelseloggen

Ibland är det nödvändigt att rensa fullständiga händelseloggar för att säkerställa effektiv analys av varningar och kritiska fel operativ system. Följ dessa steg för att rensa den valda loggen:

1. I konsolträdet väljer du händelseloggen som du vill rensa;
2. Rensa loggen med någon av följande metoder:
   • På menyn "Handling" Välj lag "Rensa logg";
   • Högerklicka på den valda loggen för att öppna snabbmenyn. Välj kommandot i snabbmenyn "Rensa logg";
3. Därefter kan du antingen rensa loggen eller arkivera den om detta inte har gjorts tidigare:
   • För att rensa händelseloggen utan att spara, klicka på knappen "Klar";
   • För att rensa händelseloggen efter att ha sparat den, klicka på knappen "Spara och rensa". I dialogrutan som visas "Spara som" välj mappen där filen ska sparas. Om du behöver spara filen i en ny mapp kan du skapa den direkt från den här dialogrutan med hjälp av snabbmenyn eller knappen "Ny mapp" på åtgärdsfältet. I fält "Filnamn" ange ett namn och klicka på knappen "Spara". För att avbryta sparandet, klicka på knappen "Annullera".

Ställa in maximal stockstorlek

Som nämnts ovan lagras händelseloggar som filer i mappen %SystemRoot%\System32\Winevt\Logs\. Som standard är den maximala storleken på dessa filer begränsad, men du kan ändra den på följande sätt:

1. Välj ett lag "Egenskaper" från menyn "Handling"
2. I fält "Maximal loggstorlek (KB)" ställ in önskat värde med en räknare eller ställ in manuellt utan att använda en räknare. I det här fallet avrundas värdet till närmaste multipel av 64 KB eftersom loggfilens storlek måste vara en multipel av 64 KB och får inte vara mindre än 1024 KB.

Händelser sparas i en loggfil, vars storlek bara kan växa upp till en angiven storlek maximalt värde. När filen når sin maximala storlek kommer behandlingen av inkommande händelser att avgöras av logglagringspolicyn. Följande logglagringspolicyer är tillgängliga:

Skriv om händelser vid behov (äldsta filer först)- i detta fall fortsätter nya poster att föras in i journalen efter att den är ifylld. Varje ny händelse ersätter den äldsta i loggen;

Arkivera loggen när den är ifylld; skriv inte om händelser- i detta fall arkiveras loggfilen automatiskt vid behov. Inaktuella händelser skrivs inte över.

Skriv inte över händelser (rensa loggen manuellt)- i detta fall rensas loggen manuellt och inte automatiskt.

För att välja önskad logglagringspolicy, följ dessa steg:

1. I konsolträdet, välj den händelselogg du vill ändra storlek på;
2. Välj ett lag "Egenskaper" från menyn "Handling" eller från snabbmenyn för den valda journalen;
3. På fliken "Är vanliga", I kapitel "När man når maximal storlek" välj önskad parameter och klicka på knappen "OK".

Aktiverar analys- och felsökningsloggen

Analytiska loggar och felsökningsloggar är inaktiva som standard. När de väl har aktiverats fylls de snabbt med ett stort antal händelser. Av denna anledning är det lämpligt att aktivera dessa loggar under en begränsad tidsperiod för att samla in de data som behövs för felsökning och sedan inaktivera dem igen. Du kan aktivera loggar enligt följande:

1. I konsolträdet, hitta och välj den analytiska eller felsökningslogg som du vill aktivera;
2. Välj ett lag "Egenskaper" från menyn "Handling" eller från snabbmenyn för den valda analytiska eller felsökningsloggen;
3. På fliken "Är vanliga" markera alternativrutan "Aktivera loggning"

Öppna och stänga en sparad journal

Använda utrustning "Loggboken" Du kan öppna och visa tidigare sparade loggar. Du kan öppna flera sparade loggar samtidigt och komma åt dem när som helst i konsolträdet. Tidningen öppnade i "Loggboken", kan stängas utan att radera informationen den innehåller. För att öppna en sparad logg, följ dessa steg:

1. Välj ett lag "Öppna sparad journal" på menyn "Handling" eller från snabbmenyn i konsolträdet;
2. 3. I dialogrutan "Öppna sparad journal", flytta längs katalogträdet, öppna mappen som innehåller nödvändig fil. Som standard visar dialogrutan alla händelseloggfiler. När du öppnar kan du också välja vilken typ av filer du vill visa i öppningsdialogrutan. Tillgängliga filtyper är händelseloggfiler (*.evtx, *.evt, *.etl), såväl som händelsefiler (*.evtx), äldre händelsefiler (*.evt) eller spårningsloggfiler (*.etl) . När den önskade loggfilen har hittats, välj den genom att vänsterklicka på den, vilket kommer att placera dess namn i filnamnsraden och klicka på knappen "Öppen".
3. I dialog "Öppna sparad journal", i fält "Namn" Ange ett nytt namn att använda för loggen i konsolträdet. Den används endast för att visa loggen i konsolträdet och ändrar inte loggfilens namn. Du kan också använda ett befintligt loggfilnamn. I fält "Beskrivning" ange en beskrivning för loggen. Den kommer att visas i det centrala området när den överordnade loggmappen väljs i konsolträdet;
4. För att skapa en mapp där den sparade loggen kommer att finnas, klicka på knappen "Skapa en mapp". I fält "Namn" ange namnet på mappen där den ska finnas öppet magasin och klicka sedan på knappen "OK". Om ingen överordnad mapp är vald, ny mapp kommer att finnas i mappen "Sparade loggar".
5. För att göra den öppna händelseloggen otillgänglig för andra datoranvändare kan du avmarkera "Alla användare". Om den här kryssrutan förblir aktiv kommer den öppna loggen att vara tillgänglig för alla användare, men administratörsrättigheter kommer att krävas för att ta bort den från konsolträdet;
6. För att öppna tidningen, klicka på knappen "OK".

Följ dessa steg för att ta bort en öppen logg från händelseträdet:

1. I konsolträdet, välj loggen som ska raderas;
2. Välj ett lag "Radera" från menyn "Handling" eller från snabbmenyn för den valda journalen;
3. I dialog "Loggboken" klicka på knappen "Ja".

Slutsats

Den här delen av artikeln, tillägnad snapin-modulen Event Viewer, talar om själva snapin-modulen och beskriver i detalj de enklaste operationerna i samband med övervakning och underhåll av systemet med hjälp av Event Viewer. Nästa del av artikeln kommer att utformas för erfarna Windows-användare. Det kommer att täcka uppgifter med anpassade vyer, filtrering, gruppering/sortering av händelser och hantering av prenumerationer.

Windows operativsystem version sju har implementerat en spårningsfunktion viktiga händelser som förekommer i driften av systemprogram. Hos Microsoft avser begreppet "händelser" alla incidenter i systemet som registreras i en speciell logg och signaleras till användare eller administratörer. Detta kan vara ett verktygsprogram som inte vill köra, ett program kraschar eller felaktig installation enheter. Alla incidenter registreras och sparas av Windows 7-händelseloggen Den ordnar och visar också alla åtgärder i kronologisk ordning, hjälper till att utföra systemkontroll, säkerställer säkerheten för operativsystemet, korrigerar fel och diagnostiserar hela systemet.

Du bör regelbundet granska den här loggen för ny information och konfigurera systemet för att spara viktig data.

Fönster 7 - program

Datorapplikationen Event Viewer är huvuddelen av Microsofts verktygsverktyg som är utformade för att övervaka och visa händelseloggen. Detta nödvändigt verktyg för att övervaka systemets prestanda och eliminera nya fel. Windows-verktyget som hanterar dokumentationen av incidenter kallas händelseloggen. Om den här tjänsten startas börjar den samla in och logga all viktig data i sitt arkiv. Windows 7 händelseloggen låter dig göra följande:

Visa data som registrerats i arkivet;

Använda olika händelsefilter och spara dem för vidare användning i systeminställningar;

Skapa och hantera prenumerationer för specifika incidenter;

Tilldela specifika åtgärder när vissa händelser inträffar.

Hur öppnar jag Windows 7 händelselogg?

Programmet som ansvarar för att registrera incidenter lanseras enligt följande:

1. Menyn aktiveras genom att trycka på "Start"-knappen i monitorns nedre vänstra hörn, sedan öppnas "Kontrollpanelen". I listan över kontroller, välj "Administration" och i denna undermeny klicka på "Event Viewer".

2. Det finns ett annat sätt att visa händelseloggen i Windows 7. För att göra detta, gå till Start-menyn, skriv mmc i sökfönstret och skicka en begäran om att söka efter filen. Därefter öppnas MMC-tabellen, där du måste välja stycket som anger att du lägger till och tar bort utrustning. Sedan läggs "Event Viewer" till i huvudfönstret.

Vad beskrivs applikationen?

I operativsystem Windows 7 och Vista har två typer av händelseloggar: systemarkiv och programtjänstlogg. Det första alternativet används för att fånga systemomfattande incidenter som är relaterade till prestanda olika applikationer, start och säkerhet. Det andra alternativet är ansvarigt för att registrera händelserna i deras arbete. För att kontrollera och hantera all data använder händelseloggtjänsten fliken Visa, som är uppdelad i följande poster:

Applikation - händelser som är förknippade med något slag lagras här specifikt program. Till exempel, posttjänster de lagrar på denna plats historien om informationsöverföringar, olika händelser i brevlådor och så vidare.

"Säkerhet"-objektet lagrar all data relaterad till in- och utloggning ur systemet, med administrativa funktioner och åtkomst till resurser.

Installation - Denna Windows 7-händelselogg registrerar data som inträffar under installationen och konfigurationen av systemet och dess applikationer.

System - registrerar alla operativsystemhändelser, såsom fel vid start av tjänsteapplikationer eller vid installation och uppdatering av drivrutiner, olika meddelanden angående driften av hela systemet.

Vidarebefordrade händelser – om det här objektet är konfigurerat lagras information som kommer från andra servrar.

Andra underpunkter i huvudmenyn

Också i menyn "Administration", där händelseloggen i Windows 7 finns, finns följande ytterligare objekt:

Internet Explorer – händelser som inträffar under drift och konfiguration av webbläsaren med samma namn registreras här.

Windows PowerShell – incidenter relaterade till användningen av PowerShell registreras i den här mappen.

Utrustningshändelser – om denna post är konfigurerad loggas data som genereras av enheterna.

Hela strukturen för "sjuorna", som säkerställer inspelningen av alla händelser, är baserad på Vista-typen på XML. Men för att använda händelseloggprogrammet i Windows 7 behöver du inte veta hur du använder den här koden. Event Viewer-applikationen kommer att göra allt själv och ger en bekväm och enkel tabell med menyalternativ.

Incidentens egenskaper

En användare som vill veta hur man visar Windows 7-händelseloggen måste också förstå egenskaperna hos de data som han vill se. Det finns trots allt olika egenskaper för vissa incidenter som beskrivs i "Event Viewer". Vi kommer att titta på dessa egenskaper nedan:

Källor – ett program som registrerar händelser i en logg. Namnen på applikationer eller förare som påverkat en viss incident registreras här.

Händelsekod är en uppsättning siffror som bestämmer typen av incident. Den här händelsens källkod och namn används av teknisk support systemstöd för att rätta till fel och eliminera programvarufel.

Nivå – graden av betydelse för händelsen. Systemhändelseloggen har sex nivåer av incidenter:

1. Meddelande.

2. Varning.

3. Fel.

4. Farligt misstag.

5. Övervaka framgångsrika felkorrigeringsoperationer.

6. Granskning av misslyckade åtgärder.

Användare – registrerar uppgifterna för de konton för vars räkning incidenten inträffade. Dessa kan vara namnen på olika tjänster, såväl som riktiga användare.

Datum och tid – registrerar tidpunkten för händelsen.

Det finns många andra händelser som inträffar medan operativsystemet körs. Alla incidenter visas i "Event Viewer" med en beskrivning av all relaterad informationsdata.

Hur arbetar man med händelseloggen?

Mycket viktig poäng För att skydda systemet från kraschar och frysningar är att regelbundet granska "Applikationsloggen", som registrerar information om incidenter, senaste åtgärder med ett visst program, och även ger ett urval av tillgängliga operationer.

Genom att gå till händelseloggen för Windows 7, i undermenyn "Applikation" kan du se en lista över alla program som orsakade olika negativa händelser i systemet, tid och datum för deras förekomst, källan och graden av problem.

Användarsvar på händelser

Efter att ha lärt dig hur du öppnar Windows 7-händelseloggen och hur du använder den, bör du härnäst lära dig hur du använder programmet Task Scheduler med denna användbara applikation. För att göra detta måste du högerklicka på valfri incident och i fönstret som öppnas välja menyn för att länka en uppgift till en händelse. Nästa gång en sådan incident inträffar i systemet kommer operativsystemet automatiskt att starta den installerade uppgiften för att bearbeta felet och rätta till det.

Ett fel i loggen är inte en anledning till panik

Om du ser systemfel eller varningar som dyker upp regelbundet när du tittar på Windows 7-systemets händelselogg, bör du inte oroa dig eller få panik över detta. Även med en perfekt fungerande dator kan de registrera sig olika fel och fel, varav de flesta inte utgör ett allvarligt hot mot datorns prestanda.

Applikationen vi beskriver skapades för att göra det enklare för systemadministratören att kontrollera datorer och felsöka uppkommande problem.

Slutsats

Baserat på allt ovanstående blir det tydligt att händelseloggen är ett sätt som gör att program och systemet kan spela in och spara alla händelser på datorn på ett ställe. Denna tidning lagrar allt operativa fel, meddelanden och varningar från systemapplikationer.

Var är händelseloggen i Windows 7, hur man öppnar den, hur man använder den, hur man korrigerar fel som visas - vi lärde oss allt detta från den här artikeln. Men många kommer att fråga: "Varför behöver vi det här, det gör vi inte systemadministratörer, inte programmerare, utan vanliga användare som inte verkar behöva denna kunskap?” Men detta tillvägagångssätt är fel. När allt kommer omkring, när en person blir sjuk av något, innan han går till doktorn, försöker han bota sig själv på ett eller annat sätt. Och många lyckas ofta. På samma sätt kan en dator, som är en digital organism, "bli sjuk", och den här artikeln visar ett av sätten att diagnostisera orsaken till en sådan "sjukdom" baserat på resultaten av en sådan "undersökning", du kan göra rätt beslut om metoder för efterföljande "behandling".

Så information om metoden för att visa händelser kommer att vara användbar inte bara för systemspecialisten utan också för den vanliga användaren.

När du arbetar med automatiserade skript, schemalagda uppgifter eller egna applikationer du kanske vill att de ska skriva sina egna händelser till Windows-loggar. Till exempel, när ett skript körs normalt vill du spela in en aviseringshändelse i programloggen så att du enkelt kan avgöra senare om skriptet kördes och slutfördes normalt. Omvänt, om skriptet inte fungerar och fel uppstår som ett resultat av dess körning, kanske du vill lagra felet eller varningshändelsen i en logg - då vet du att analysera skriptet och ta reda på vad som hände.

För att skapa dina egna händelser, använd Eventcreate-verktyget. Du kan spara dina egna händelser i valfri tillgänglig logg förutom säkerhetsloggen. Sådana händelser kan innehålla en källkod, kod och nödvändig beskrivning. Eventcreate-syntax:

eventcreate /l LogName /so Händelsekälla /t Händelsetyp / id Händelsekod /d Händelsebeskrivning

1. LogName - namnet på loggen för att registrera händelsen; om det innehåller mellanslag, omslut det inom citattecken, till exempel "DNS Server".
2. EventSource - indikerar källan till händelsen och kan vara vilken sträng som helst. Om strängen innehåller mellanslag, omslut den inom citattecken, till exempel "Event Tracker*. I de flesta fall anger källan applikationen, jobbet eller skriptet som orsakade felet.
3. EventType - anger händelsetypen. Kan ta värdena Information, Varning eller Fel. Händelsetyperna "Success Audit" och "Failure Audit" är inte tillämpliga eftersom de används i säkerhetsloggen, som inte kan registrera sina egna händelser.
4. Händelsekod - visar händelsens numeriska kod. Kan vara vilket värde som helst från 1 till 1000. I stället för att slumpmässigt tilldela ID:n är det bättre att göra en lista över vanliga händelser som kan inträffa och sedan dela upp den i kategorier. Sedan kan varje kategori tilldelas sitt eget utbud av händelsekoder. Till exempel kan händelser från det första hundra vara generella, från det andra - statushändelser, från det femte - varningar och från det nionde - fel.
5. Händelsebeskrivning - anger en beskrivning av händelsen och kan vara vilken sträng som helst. Glöm inte att omsluta strängen inom citattecken.

Använda Eventcreate med några exempel

• Skapa en aviseringshändelse i applikationsloggen med källhändelsespåraren och händelsekoden 209:eventcreate /l "applikation" /t information /så "Event Tracker" /id 209 /d "evs.bat-skript kördes utan fel."
• Skapa en varningshändelse i systemloggen med källan CustApp och händelsekoden 511:eventcreate /l "system" /t-varning /så "CustApp" /id 511 /d "sysck.exe slutfördes inte framgångsrikt."
• Skapa en felhändelse i systemloggen på MAIL med källan SysMon och händelsekoden 918:eventcreate /s Mail /l "system" /t-fel /så "SysMon" /id 918 /d "sysmon.exe kunde inte verifiera skrivoperationen."