Skapa dina egna Windows-händelser i loggen. Använder Windows Audit för att spåra användaraktivitet

När du arbetar med automatiserade skript, schemalagda uppgifter eller egna applikationer du kanske vill att de ska skriva sina egna händelser till Windows-loggar. Till exempel, när ett skript körs normalt, vill du spela in en aviseringshändelse i programloggen så att du enkelt kan avgöra senare om skriptet kördes och slutfördes normalt. Omvänt, om skriptet inte fungerar och fel uppstår som ett resultat av dess körning, kanske du vill lagra felet eller varningshändelsen i en logg - då vet du att analysera skriptet och ta reda på vad som hände.

För att skapa egna evenemang Verktyget Eventcreate används. Du kan spara dina egna händelser i valfri tillgänglig logg förutom säkerhetsloggen. Sådana händelser kan innehålla en källkod, kod och nödvändig beskrivning. Eventcreate-syntax:

eventcreate /l LogName /so Händelsekälla /t Händelsetyp / id Händelsekod /d Händelsebeskrivning

1. LogName - namnet på loggen för att registrera händelsen; om det innehåller mellanslag, omslut det inom citattecken, till exempel "DNS Server".
2. EventSource - indikerar källan till händelsen och kan vara vilken sträng som helst. Om strängen innehåller mellanslag, omslut den inom citattecken, till exempel "Event Tracker*. I de flesta fall anger källan applikationen, jobbet eller skriptet som orsakade felet.
3. EventType - anger händelsetypen. Kan ta värdena Information, Varning eller Fel. Händelsetyperna "Success Audit" och "Failure Audit" är inte tillämpliga eftersom de används i säkerhetsloggen, som inte kan registrera sina egna händelser.
4. Händelsekod - visar händelsens numeriska kod. Kan vara vilket värde som helst från 1 till 1000. I stället för att slumpmässigt tilldela ID:n är det bättre att göra en lista över vanliga händelser som kan inträffa och sedan dela upp den i kategorier. Varje kategori kan sedan tilldelas sina egna händelsekoder. Till exempel kan händelser från det första hundra vara generella, från det andra - statushändelser, från det femte - varningar och från det nionde - fel.
5. Händelsebeskrivning - anger en beskrivning av händelsen och kan vara vilken sträng som helst. Glöm inte att omsluta strängen inom citattecken.

Använda Eventcreate med några exempel

• Skapa en aviseringshändelse i applikationsloggen med källhändelsespåraren och händelsekoden 209:eventcreate /l "applikation" /t information /så "Event Tracker" /id 209 /d "evs.bat-skript kördes utan fel."
• Skapa en varningshändelse i systemloggen med källan CustApp och händelsekoden 511:eventcreate /l "system" /t-varning /så "CustApp" /id 511 /d "sysck.exe slutfördes inte framgångsrikt."
• Skapa en felhändelse i systemloggen på MAIL med källan SysMon och händelsekoden 918:eventcreate /s Mail /l "system" /t-fel /så "SysMon" /id 918 /d "sysmon.exe kunde inte verifiera skrivoperationen."

Som du vet registrerar de flesta "normala" program sina händelser i Windows Event Log (Application Event Log). Det här är ett bra ställe att centralt lagra och visa applikationshändelser, men ofta när du behöver logga händelser från specifik tillämpning i denna journal kan vi stöta på det faktum att pga stor kvantitet och överdriven detalj av händelser, arbeta med en standardlogg Windows-applikationer det blir väldigt obehagligt. I I detta fall det skulle vara bekvämt att skapa din egen händelselogg för den här applikationen, och konfigurera för det olika parametrar, såsom loggstorlek, filter, etc., och standardapplikationsloggen kan användas som vanligt utan att täppa igen den onödig information. I OS Windows familj Det finns en funktion som låter dig skapa din egen händelselogg.

Låt oss först skapa ny fil tidskrift. Detta kan göras med hjälp av registret. Starta registerredigeraren regedit och gå till grenen:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog

Klick Högerklicka på Eventlog-noden och skapa ny nyckel(Ny > Nyckel)

Nyckelnamnet i detta fall kommer också att vara namnet på den nya loggen. Standard ny tidning(file.evt) skapas här:

C:\WINDOWS\System32\Config\Ny nyckel #1.evt

Du kan byta namn på den genom att ändra strängparametern i registret som du vill.

Därefter måste du lägga till händelsekällor för den nya loggen. Skapa en ny nyckel av typen Multi-String med namnet "Källor", eftersom parametrar anger namnen på alla applikationer som kommer att använda denna tidning(varje applikation på en ny rad).

Därefter måste du överföra dina applikationsassociationer från standardapplikationsloggen till din nya logg. Expandera grenen "Ansökan" som finns på:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\Application

Och kopiera alla grenar som relaterar till de applikationer du är intresserad av till en ny registergren i den nya loggen:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\CustomLog

Därför att kommandot kopiera/klistra in i registerredigeraren fungerar inte, de kan återskapas manuellt (om det finns få av dem), eller överföringen kan utföras med proceduren för att exportera/importera registergrenar med manuell redigering av .reg-fil. Se till att du efter överföringen tar bort registernycklarna för dina applikationer från applikationsgrenen, annars förstår inte Windows att du behöver skriva händelser till den nya loggen. Om du använder en ny händelsekälla för loggen måste du skapa en DWORD-parameter med namnet CustomSource med värdet 1:

I mitt exempel skapade jag min egen .NET 2.0-applikation och jag vill att den ska skriva händelser till loggen vi skapade. För att göra detta skapar jag en ny registernyckel, EventMessageFile, och ställer in den på sökvägen till .NET 2.0-loggningsbiblioteket:

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\EventLogMessages.dll

Sedan måste du starta om Windows, och efter att systemet har startats kommer du att se en ny händelselogg i avsnittet Event Viewer. Om din applikation av någon anledning inte skriver händelser till den nya loggen, kan du testa dess funktion manuellt genom att öppna en kommandorad och gå till katalogen:

CD C:\WINDOWS\system32

Skriv sedan:

Eventcreate /l CustomLog /t Information /so Application1 /id 1 /d "Testmeddelande"

Om du gjorde allt korrekt bör ett fönster visas som indikerar att händelsen har registrerats i loggen, eller ett felmeddelande och orsakerna till att det inträffade.

En liten uppdatering av artikeln baserad på läsarbrev:

Ovanstående instruktioner för att skapa egen tidningär inriktat på serveroperativsystem i Microsoft-familjen. Mer allmän metod som ska fungera i de flesta Windows följande (registersökvägar och nycklar skiljer sig):

Vi skapar nytt avsnitt i registret (sektionsnamn är namnet på loggen som skapas), kommer sökvägen till den skapade att vara så här:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\ Ny händelselogg, där du måste skapa följande nycklar:

• "AutoBackupLogFiles" - DWORD-typ, skapa eller inte säkerhetskopior logg (0 - skapa inte)
• "MaxSize" - DWORD-typ, maximal loggstorlek i byte, värdet måste vara en multipel av 64Kb
• "Retention" - DWORD-typ, lagringstiden för poster i händelse av loggspill.
• "File" - skriv REG_EXPAND_SZ, en sträng som innehåller sökvägen till loggen på hårddisken, till exempel %SystemRoot%\System32\config\ Ny händelselogg.evt)
• "Källor" - skriv REG_MULTI_SZ, här är en lista över händelsekällor vars loggar ska gå in i den här loggen, varje källa på en ny rad

Operativsystemet Windows 7 övervakar ständigt olika anmärkningsvärda händelser som inträffar på ditt system. I Microsoft Windows händelseär en incident i operativsystemet som loggas eller kräver meddelande till användare eller administratörer. Detta kan vara en tjänst som inte vill starta, en enhetsinstallation eller ett programfel. Händelser registreras och lagras i Windows händelseloggar och ger viktig historisk information som hjälper dig att övervaka ditt system, upprätthålla systemsäkerhet, felsöka fel och utföra diagnostik. Informationen i dessa loggar bör ses över regelbundet. Du bör regelbundet övervaka händelseloggar och konfigurera ditt operativsystem för att spara viktiga systemhändelser. Om du är administratör Windows-servrar, då är det nödvändigt att övervaka säkerheten för deras system, normal drift applikationer och tjänster, och kontrollera servern för fel som kan försämra prestandan. Om du är en användare personlig dator, då bör du se till att du har tillgång till lämpliga loggar du behöver för att stödja ditt system och felsöka fel.

Program "Loggboken" representerar en konsolsnap-in Microsofts ledning(MMC) och är designad för att visa och hantera händelseloggar. Detta oumbärligt verktyg för att övervaka systemets prestanda och felsöka problem. Windows-tjänst, som styr loggning av händelser, anropas "Händelseloggen". Om den körs skriver Windows viktig data till loggarna. Använder programmet "Loggboken" du kan göra följande:

• Visa händelser från specifika loggar;
• Använd händelsefilter och spara dem för senare användning som anpassade vyer;
• Skapa och hantera evenemangsprenumerationer;
• Tilldela specifika åtgärder som ska utföras när en specifik händelse inträffar.

Startar Event Viewer

Ansökan "Loggboken" kan öppnas på följande sätt:

Figur 1. Event Viewer-fönstret

Händelseloggar i Windows 7

I operativsystemet Windows 7, såväl som i Windows Vista, finns det två kategorier av händelseloggar: Windows loggar Och applikations- och serviceloggar. Windows loggar - används av operativsystemet för att registrera systemomfattande händelser relaterade till driften av applikationer, systemkomponenter, säkerhet och start. A applikations- och serviceloggar- används av applikationer och tjänster för att registrera händelser relaterade till deras drift. Du kan använda snapin-modulen för att hantera händelseloggar "Loggboken" eller program kommandorad wevtutil, som kommer att diskuteras i den andra delen av artikeln. Alla loggtyper beskrivs nedan:

Ansökan- butiker viktiga händelser, Relaterad specifik tillämpning. Till exempel, Exchange Server lagrar händelser relaterade till vidarebefordran av e-post, inklusive informationsbutikshändelser, brevlådor Och driva tjänster. Som standard placeras den i %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Säkerhet- lagrar säkerhetsrelaterade händelser som systeminloggning/utloggning, behörighetsanvändning och resursåtkomst. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Installation- den här loggen registrerar händelser som inträffar under installation och konfiguration operativ system och dess komponenter. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Systemet- lagrar händelser i operativsystemet eller dess komponenter, såsom misslyckanden med att starta tjänster eller initiera drivrutiner, systemomfattande meddelanden och andra meddelanden relaterade till systemet som helhet. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\System.Evtx

Vidarebefordrade händelser- om vidarebefordran av händelser är konfigurerad innehåller denna logg händelser som vidarebefordrats från andra servrar. Som standard placeras den i %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer - den här loggen registrerar händelser som inträffar under installation och arbete med webbläsare Utforskare. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- Den här loggen registrerar händelser relaterade till användningen av PowerShell. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Utrustningsevenemang- om händelseloggning för hårdvara är konfigurerad, registreras händelser som genereras av enheter i denna logg. Som standard placeras den i %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

I Windows 7 är infrastrukturen som tillhandahåller händelseloggning baserad på samma sätt som i Windows Vista i XML. Varje händelsedata motsvarar ett XML-schema, vilket ger dig tillgång till XML-koden för alla händelser. Du kan också skapa XML-baserade frågor för att hämta data från loggar. Ingen kunskap om XML krävs för att använda dessa nya funktioner. Utrustning "Loggboken" ger enkel GUI för att komma åt dessa funktioner.

Händelseegenskaper

Det finns flera snap-in-händelseegenskaper "Loggboken", som beskrivs i detalj nedan:

Källaär programmet som loggade händelsen. Detta kan antingen vara namnet på programmet (till exempel "Exchange Server") eller namnet på en systemkomponent eller stor applikation(till exempel förarens namn). Till exempel betyder "Elnkii" EtherLink II-drivrutin.

Händelsekodär ett nummer som identifierar en specifik typ av händelse. Den första raden i beskrivningen innehåller vanligtvis namnet på händelsetypen. Till exempel är 6005 ID för händelsen som inträffar när händelseloggningstjänsten startar. Följaktligen finns det i början av beskrivningen av denna händelse raden "Händelseloggtjänsten har startats." Händelsekoden och inspelningskällans namn kan användas av supportteamet mjukvaruprodukt för felsökning.

Nivå- detta är nivån av betydelse för evenemanget. I system- och programloggar kan händelser ha följande allvarlighetsnivåer:

• Underrättelse- betecknar en ändring i en applikation eller komponent, såsom förekomsten av en informationshändelse i samband med en framgångsrik åtgärd, skapandet av en resurs eller uppstarten av en tjänst.
• Varning- indikerar en varning allmän för ett problem som kan påverka servicen eller leda till ett allvarligare problem om det lämnas obevakat;
• Fel- indikerar att ett problem har uppstått som kan påverka funktioner utanför applikationen eller komponenten som orsakade händelsen;
• Kritiskt fel- indikerar att ett fel har inträffat från vilket programmet eller komponenten som initierade händelsen inte kan återställas automatiskt;
• Granskning av framgångar - framgångsrikt slutförandeåtgärder du övervakar genom granskning, såsom användningen av ett privilegium;
• Misslyckande revision- Underlåtenhet att utföra åtgärder som du övervakar genom granskning, till exempel ett fel när du loggar in i systemet.

Användare- definierar användarkontot för vars räkning den här tillställningen. Användare inkluderar speciella enheter som lokal service, nätverkstjänst och anonym inloggning, såväl som konton riktiga användare. Detta namn är klientidentifieraren om händelsen faktiskt skapades av en serverprocess, eller den primära identifieraren om ingen identitetsstöld utförs. I vissa fall innehåller säkerhetsloggposten båda ID:n. Det här fältet kan också innehålla N/A (N/A), om det är i denna situation konto inte tillämpbar. Imitation sker i fall där en server tillåter en process att anta säkerhetsattributen för en annan process.

Arbetskod- innehåller numeriskt värde, som definierar operationen eller punkten inom operationen under vilken denna händelse inträffade. Till exempel initialisering eller stängning.

Tidskrift- namnet på loggen där denna händelse registrerades.

Kategori och uppgifter- definierar en händelsekategori, som ibland används för att senare beskriva en giltig åtgärd. Varje händelsekälla har sina egna kategorier. Till exempel följande kategorier: inloggning/utloggning, användningsrättigheter, ändra policyer och kontohantering.

Nyckelordär en uppsättning kategorier eller taggar som kan användas för att filtrera eller söka efter händelser. Till exempel: "Nätverk", "Säkerhet" eller "Resursen hittades inte".

Dator- identifierar namnet på datorn där händelsen inträffade. Detta är vanligtvis namnet lokal dator, men kan också vara namnet på datorn som vidarebefordrade händelsen, eller namnet på den lokala datorn innan den ändrades.

datum och tid- bestämmer datum och tid för händelsen i loggen.

Process ID- representerar identifikationsnumret för den process som genererade händelsen. Datorprogram representerar endast en passiv uppsättning instruktioner, medan en process är den direkta exekveringen av dessa instruktioner

Stream-ID- representerar identifikationsnumret för tråden som genererade händelsen. En process som skapas i ett operativsystem kan bestå av flera trådar som körs "parallellt", det vill säga utan en föreskriven ordning i tid. För vissa uppgifter kan denna separation uppnå mer effektiv användning datorresurser

Processor-ID- representerar identifikationsnumret för den processor som behandlade händelsen.

Sessionskodär sessionens identifieringsnummer på terminalservern där händelsen inträffade.

Drifttid för kärnläge- definierar tiden som ägnas åt att exekvera kärnlägesinstruktioner, i CPU-tidsenheter. Kärnläget har obegränsad tillgång till system minne Och externa enheter. NT-systemkärnan kallas en hybridkärna eller makrokärna.

Drifttid i användarläge- definierar tiden som ägnas åt att utföra instruktioner i användarläge, i enheter av CPU-tid. Användarläge består av delsystem som skickar I/O-förfrågningar till lämplig kärnlägesdrivrutin genom I/O-hanteraren.

CPU-belastningär den tid som ägnas åt att utföra instruktioner för användarläge, i CPU-tickar.

Korrelationskod- definierar åtgärden i processen som händelsen används för. Denna kod används för att indikera enkla relationer mellan händelserna. Korrelation är ett statistiskt samband mellan två eller flera slumpvariabler (eller värden som kan betraktas som sådana med en viss acceptabel grad av noggrannhet). Dessutom leder förändringar i en eller flera av dessa kvantiteter till en systematisk förändring av en annan eller andra kvantiteter.

Relativt korrelations-ID- definierar en relativ åtgärd i den process som händelsen används för

Arbeta med händelseloggar

Loggboken

I nästa skärmdump kan du se loggen "Ansökningar", där du kan hitta information om händelser, senaste visningar och tillgängliga åtgärder. Följ dessa steg för att se programlogghändelser:

1. Välj i konsolträdet "Windows-loggar";
2. Välj en tidning "Ansökningar".

Det är lämpligt att granska händelseloggar oftare "Ansökan" Och "Systemet" och studera befintliga problem och varningar som kan förebåda problem i framtiden. När du väljer en logg visar mittfönstret tillgängliga händelser, inklusive händelsedatum, tid och källa, händelsenivå och andra detaljer.

Panel "Viewport" visar grundläggande händelsedata på fliken "Är vanliga", och ytterligare specifik data finns på fliken "Detaljer". Du kan slå på och av den här panelen genom att välja menyn "Se" och sedan kommandot "Viewport".

För kritiska system Det rekommenderas att föra loggar från de senaste månaderna. Som regel är det obekvämt att tilldela tidningar en storlek hela tiden så att all information får plats i dem detta problem kan lösas på annat sätt. Du kan exportera loggar till filer som finns i en angiven mapp. För att spara den valda loggen, följ dessa steg:

1. I konsolträdet, välj den händelselogg du vill spara;
2. Välj ett lag "Spara händelser som" från menyn "Handling" eller från innehållsmeny log select kommando "Spara alla händelser som";
3. I dialogrutan som visas "Spara som" välj mappen där filen ska sparas. Om du behöver spara filen i en ny mapp kan du skapa den direkt från den här dialogrutan med hjälp av snabbmenyn eller knappen "Ny mapp" på åtgärdsfältet. I fält "Filtyp" du måste välja önskat filformat bland de tillgängliga: händelsefiler - *.evtx, xml-fil - *.xml, tabbavgränsad text - *.txt, kommaseparerad csv - *.csv. I fält "Filnamn" ange ett namn och klicka på knappen "Spara". För att avbryta sparandet, klicka på knappen "Annullera";
4. I händelse av att händelseloggen inte är avsedd att visas på en annan dator, i dialogrutan "Visa detaljer" lämna standardalternativet "Visa inte information", och om loggen är avsedd att visas på en annan dator, i dialogrutan "Visa detaljer" Välj ett alternativ "Visa information för följande språk» och klicka på knappen "OK".

Rensar händelseloggen

Ibland är det nödvändigt att rensa fullständiga händelseloggar för att säkerställa effektiv analys av varningar och kritiska fel operativ system. Följ dessa steg för att rensa den valda loggen:

Ställa in maximal stockstorlek

Som nämnts ovan lagras händelseloggar som filer i mappen %SystemRoot%\System32\Winevt\Logs\. Som standard är den maximala storleken på dessa filer begränsad, men du kan ändra den på följande sätt:

Händelser sparas i en loggfil, vars storlek bara kan växa upp till en angiven storlek maximalt värde. Efter att ha nått filen maximal storlek, kommer behandlingen av inkommande händelser att avgöras av logglagringspolicyn. Följande logglagringspolicyer är tillgängliga:

Skriv om händelser vid behov (äldsta filer först)- i detta fall fortsätter nya poster att föras in i journalen efter att den är ifylld. Varje ny händelse ersätter den äldsta i loggen;

Arkivera loggen när den är ifylld; skriv inte om händelser- i detta fall arkiveras loggfilen automatiskt vid behov. Inaktuella händelser skrivs inte över.

Skriv inte över händelser (rensa loggen manuellt)- i detta fall rensas loggen manuellt och inte automatiskt.

För att välja önskad logglagringspolicy, följ dessa steg:

1. I konsolträdet, välj den händelselogg du vill ändra storlek på;
2. Välj ett lag "Egenskaper" från menyn "Handling" eller från snabbmenyn för den valda journalen;
3. På fliken "Är vanliga", I kapitel "När man når maximal storlek" välj önskad parameter och klicka på knappen "OK".

Aktiverar analys- och felsökningsloggen

Analytiska loggar och felsökningsloggar är inaktiva som standard. När de väl har aktiverats fylls de snabbt med ett stort antal händelser. Av denna anledning är det lämpligt att aktivera dessa loggar under en begränsad tidsperiod för att samla in de data som behövs för felsökning och sedan inaktivera dem igen. Du kan aktivera loggar enligt följande:

1. I konsolträdet, hitta och välj den analytiska eller felsökningslogg som du vill aktivera;
2. Välj ett lag "Egenskaper" från menyn "Handling" eller från snabbmenyn för den valda analytiska eller felsökningsloggen;
3. På fliken "Är vanliga" markera alternativrutan "Aktivera loggning"

Öppna och stänga en sparad journal

Använda utrustning "Loggboken" Du kan öppna och visa tidigare sparade loggar. Du kan öppna flera sparade loggar samtidigt och komma åt dem när som helst i konsolträdet. Tidningen öppnade i "Loggboken", kan stängas utan att radera informationen den innehåller. För att öppna en sparad logg, följ dessa steg:

För att radera öppet magasin deras händelseträd, gör följande:

Slutsats

Den här delen av artikeln, tillägnad snapin-modulen Event Viewer, talar om själva snapin-modulen och beskriver i detalj de enklaste operationerna i samband med övervakning och underhåll av systemet med hjälp av Event Viewer. Nästa del av artikeln kommer att utformas för erfarna Windows-användare. Det kommer att täcka uppgifter med anpassade vyer, filtrering, gruppering/sortering av händelser och hantering av prenumerationer.

× Uppmärksamhet!
Logga in på ditt webbplatskonto eller Skapa det, För att uppnå full tillgång till vår webbplats. Registrering ger dig möjlighet att lägga till nyheter, kommentera artiklar, kommunicera med andra användare och mycket mer.

Andra material

Operativsystemet Windows 7 övervakar ständigt olika anmärkningsvärda händelser som inträffar på ditt system. På Microsoft Windows händelseär en incident i operativsystemet som loggas eller kräver meddelande till användare eller administratörer. Detta kan vara en tjänst som inte vill starta, en enhetsinstallation eller ett programfel. Händelser registreras och lagras i Windows händelseloggar och ger viktig historisk information som hjälper dig att övervaka ditt system, upprätthålla systemsäkerhet, felsöka fel och utföra diagnostik. Informationen i dessa loggar bör ses över regelbundet. Du bör regelbundet övervaka händelseloggar och konfigurera ditt operativsystem för att spara viktiga systemhändelser. Om du är administratör för Windows-servrar måste du övervaka säkerheten för deras system, den normala driften av applikationer och tjänster, och även kontrollera servern för fel som kan försämra prestandan. Om du är en persondatoranvändare bör du se till att du har tillgång till lämpliga loggar du behöver för att stödja ditt system och felsöka fel.

Program "Loggboken"är en Microsoft Management Console (MMC) snap-in för att visa och hantera händelseloggar. Detta är ett oumbärligt verktyg för att övervaka systemets prestanda och felsöka problem. Windows-tjänsten som hanterar händelseloggning anropas "Händelseloggen". Om den körs skriver Windows viktig data till loggarna. Använder programmet "Loggboken" du kan göra följande:

• Visa händelser från specifika loggar;
• Använd händelsefilter och spara dem för senare användning som anpassade vyer;
• Skapa och hantera evenemangsprenumerationer;
• Tilldela specifika åtgärder som ska utföras när en specifik händelse inträffar.

Startar Event Viewer

Ansökan "Loggboken" kan öppnas på följande sätt:

Händelseloggar i Windows 7

I operativsystemet Windows 7, såväl som i Windows Vista, finns det två kategorier av händelseloggar: Windows loggar Och applikations- och serviceloggar. Windows loggar- används av operativsystemet för att registrera systemomfattande händelser relaterade till driften av applikationer, systemkomponenter, säkerhet och start. A applikations- och serviceloggar- används av applikationer och tjänster för att registrera händelser relaterade till deras drift. Du kan använda snapin-modulen för att hantera händelseloggar "Loggboken" eller kommandoradsprogram wevtutil, som kommer att diskuteras i den andra delen av artikeln. Alla loggtyper beskrivs nedan:

Ansökan- lagrar viktiga händelser relaterade till en specifik applikation. Till exempel lagrar Exchange Server händelser relaterade till vidarebefordran av e-post, inklusive händelser för informationsarkivet, postlådor och pågående tjänster. Som standard placeras den i %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Säkerhet- lagrar säkerhetsrelaterade händelser som systeminloggning/utloggning, behörighetsanvändning och resursåtkomst. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Installation- Den här loggen registrerar händelser som inträffar under installationen och konfigurationen av operativsystemet och dess komponenter. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Systemet- lagrar händelser i operativsystemet eller dess komponenter, såsom misslyckanden med att starta tjänster eller initiera drivrutiner, systemomfattande meddelanden och andra meddelanden relaterade till systemet som helhet. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\System.Evtx

Vidarebefordrade händelser- om vidarebefordran av händelser är konfigurerad innehåller denna logg händelser som vidarebefordrats från andra servrar. Som standard placeras den i %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- den här loggen registrerar händelser som inträffar när du konfigurerar och arbetar med webbläsaren Internet Explorer. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- Den här loggen registrerar händelser relaterade till användningen av PowerShell. Som standard finns den i %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Utrustningsevenemang- om händelseloggning för hårdvara är konfigurerad, registreras händelser som genereras av enheter i denna logg. Som standard placeras den i %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

I Windows 7 är infrastrukturen som tillhandahåller händelseloggning baserad på XML, precis som i Windows Vista. Varje händelsedata motsvarar ett XML-schema, vilket ger dig tillgång till XML-koden för alla händelser. Du kan också skapa XML-baserade frågor för att hämta data från loggar. Ingen kunskap om XML krävs för att använda dessa nya funktioner. Utrustning "Loggboken" ger ett enkelt grafiskt gränssnitt för att komma åt dessa funktioner.

Händelseegenskaper

Det finns flera snap-in-händelseegenskaper "Loggboken", som beskrivs i detalj nedan:

Källaär programmet som loggade händelsen. Detta kan antingen vara namnet på ett program (till exempel "Exchange Server") eller namnet på en systemkomponent eller stor applikation (till exempel namnet på en drivrutin). Till exempel betyder "Elnkii" EtherLink II-drivrutin.

Händelsekodär ett nummer som identifierar en specifik typ av händelse. Den första raden i beskrivningen innehåller vanligtvis namnet på händelsetypen. Till exempel är 6005 ID för händelsen som inträffar när händelseloggningstjänsten startar. Följaktligen finns det i början av beskrivningen av denna händelse raden "Händelseloggtjänsten har startats." Händelsekoden och inspelningskällans namn kan användas av mjukvaruproduktsupportteamet för att felsöka problem.

Nivå- detta är nivån av betydelse för evenemanget. I system- och programloggar kan händelser ha följande allvarlighetsnivåer:

• Underrättelse- betecknar en ändring i en applikation eller komponent, såsom förekomsten av en informationshändelse i samband med en framgångsrik åtgärd, skapandet av en resurs eller uppstarten av en tjänst.
• Varning- indikerar en allmän varning om ett problem som kan påverka servicen eller leda till ett allvarligare problem om det lämnas obevakat;
• Fel- indikerar att ett problem har uppstått som kan påverka funktioner utanför applikationen eller komponenten som orsakade händelsen;
• Kritiskt fel- indikerar att ett fel har inträffat från vilket programmet eller komponenten som initierade händelsen inte kan återställas automatiskt;
• Granskning av framgångar- framgångsrikt genomförande av åtgärder som du övervakar genom granskning, såsom användning av ett privilegium;
• Misslyckande revision- Underlåtenhet att utföra åtgärder som du övervakar genom granskning, till exempel ett fel när du loggar in i systemet.

Användare- definierar användarkontot för vars räkning denna händelse inträffade. Användare inkluderar speciella enheter som lokal service, nätverkstjänst och anonym inloggning, såväl som riktiga användarkonton. Detta namn är klientidentifieraren om händelsen faktiskt skapades av en serverprocess, eller den primära identifieraren om ingen identitetsstöld utförs. I vissa fall innehåller säkerhetsloggposten båda ID:n. Detta fält kan också innehålla N/A om kontot inte är tillämpligt i denna situation. Imitation sker i fall där en server tillåter en process att anta säkerhetsattributen för en annan process.

Arbetskod- innehåller ett numeriskt värde som identifierar operationen eller punkten i operationen under vilken denna händelse inträffade. Till exempel initialisering eller stängning.

Tidskrift- namnet på loggen där denna händelse registrerades.

Kategori och uppgifter- definierar en händelsekategori, som ibland används för att senare beskriva en giltig åtgärd. Varje händelsekälla har sina egna kategorier. Till exempel följande kategorier: inloggning/utloggning, användningsrättigheter, ändra policyer och kontohantering.

Nyckelordär en uppsättning kategorier eller taggar som kan användas för att filtrera eller söka efter händelser. Till exempel: "Nätverk", "Säkerhet" eller "Resursen hittades inte".

Dator- identifierar namnet på datorn där händelsen inträffade. Detta är vanligtvis namnet på den lokala datorn, men kan också vara namnet på den dator som vidarebefordrade händelsen, eller namnet på den lokala datorn innan den ändrades.

datum och tid- bestämmer datum och tid för händelsen i loggen.

Process ID- representerar identifikationsnumret för den process som genererade händelsen. Ett datorprogram är bara en passiv uppsättning instruktioner, medan en process är den direkta exekveringen av dessa instruktioner

Stream-ID- representerar identifikationsnumret för tråden som genererade händelsen. En process som skapas i ett operativsystem kan bestå av flera trådar som körs "parallellt", det vill säga utan en föreskriven ordning i tid. När man utför vissa uppgifter kan en sådan uppdelning uppnå en mer effektiv användning av datorresurser

Processor-ID- representerar identifikationsnumret för den processor som behandlade händelsen.

Sessionskodär sessionens identifieringsnummer på terminalservern där händelsen inträffade.

Drifttid för kärnläge- definierar tiden som ägnas åt att exekvera kärnlägesinstruktioner, i CPU-tidsenheter. Kärnläget har obegränsad tillgång till systemminne och externa enheter. NT-systemkärnan kallas en hybridkärna eller makrokärna.

Drifttid i användarläge- definierar tiden som ägnas åt att utföra instruktioner i användarläge, i enheter av CPU-tid. Användarläge består av delsystem som skickar I/O-förfrågningar till lämplig kärnlägesdrivrutin genom I/O-hanteraren.

CPU-belastningär den tid som ägnas åt att utföra instruktioner för användarläge, i CPU-tickar.

Korrelationskod- definierar åtgärden i processen som händelsen används för. Denna kod används för att specificera enkla relationer mellan händelser. Korrelation är ett statistiskt samband mellan två eller flera slumpvariabler (eller värden som kan betraktas som sådana med en viss acceptabel grad av noggrannhet). Dessutom leder förändringar i en eller flera av dessa kvantiteter till en systematisk förändring av en annan eller andra kvantiteter.

Relativt korrelations-ID- definierar en relativ åtgärd i den process som händelsen används för

Arbeta med händelseloggar

Loggboken

I nästa skärmdump kan du se loggen "Ansökningar", där du kan hitta information om händelser, senaste visningar och tillgängliga åtgärder. Följ dessa steg för att se programlogghändelser:

1. Välj i konsolträdet "Windows-loggar";
2. Välj en tidning "Ansökningar".

Det är lämpligt att granska händelseloggar oftare "Ansökan" Och "Systemet" och undersöka befintliga problem och varningar som kan förebåda framtida problem. När du väljer en logg visar mittfönstret tillgängliga händelser, inklusive händelsedatum, tid och källa, händelsenivå och andra detaljer.

Panel "Viewport" visar grundläggande händelsedata på fliken "Är vanliga", och ytterligare specifik data finns på fliken "Detaljer". Du kan slå på och av den här panelen genom att välja menyn "Se" och sedan kommandot "Viewport".

För kritiska system rekommenderas det att hålla loggar flera månader tillbaka. Som regel är det obekvämt att tilldela tidningar en storlek hela tiden så att all information får plats i dem detta problem kan lösas på annat sätt. Du kan exportera loggar till filer som finns i en angiven mapp. För att spara den valda loggen, följ dessa steg:

1. I konsolträdet, välj den händelselogg du vill spara;
2. Välj ett lag "Spara händelser som" från menyn "Handling" eller välj kommandot från loggkontextmenyn "Spara alla händelser som";
3. I dialogrutan som visas "Spara som" välj mappen där filen ska sparas. Om du behöver spara filen i en ny mapp kan du skapa den direkt från den här dialogrutan med hjälp av snabbmenyn eller knappen "Ny mapp" på åtgärdsfältet. I fält "Filtyp" du måste välja önskat filformat bland de tillgängliga: händelsefiler - *.evtx, xml-fil - *.xml, tabbavgränsad text - *.txt, kommaseparerad csv - *.csv. I fält "Filnamn" "Spara". För att avbryta sparandet, klicka på knappen "Annullera";
4. I händelse av att händelseloggen inte är avsedd att visas på en annan dator, i dialogrutan "Visa detaljer" lämna standardalternativet "Visa inte information", och om loggen är avsedd att visas på en annan dator, i dialogrutan "Visa detaljer" Välj ett alternativ "Visa information för följande språk" och klicka på knappen "OK".

Rensar händelseloggen

Ibland är det nödvändigt att rensa fullständiga händelseloggar för att säkerställa effektiv analys av varningar och kritiska operativsystemfel. Följ dessa steg för att rensa den valda loggen:

1. I konsolträdet väljer du händelseloggen som du vill rensa;
2. Rensa loggen med någon av följande metoder:
   • På menyn "Handling" Välj lag "Rensa logg";
   • Högerklicka på den valda loggen för att öppna snabbmenyn. Välj kommandot i snabbmenyn "Rensa logg";
3. Därefter kan du antingen rensa loggen eller arkivera den om detta inte har gjorts tidigare:
   • För att rensa händelseloggen utan att spara, klicka på knappen "Klar";
   • För att rensa händelseloggen efter att ha sparat den, klicka på knappen "Spara och rensa". I dialogrutan som visas "Spara som" välj mappen där filen ska sparas. Om du behöver spara filen i en ny mapp kan du skapa den direkt från den här dialogrutan med hjälp av snabbmenyn eller knappen "Ny mapp" på åtgärdsfältet. I fält "Filnamn" ange ett namn och klicka på knappen "Spara". För att avbryta sparandet, klicka på knappen "Annullera".

Ställa in maximal stockstorlek

Som nämnts ovan lagras händelseloggar som filer i mappen %SystemRoot%\System32\Winevt\Logs\. Som standard är den maximala storleken på dessa filer begränsad, men du kan ändra den på följande sätt:

1. Välj ett lag "Egenskaper" från menyn "Handling"
2. I fält "Maximal loggstorlek (KB)" ställ in önskat värde med en räknare eller ställ in manuellt utan att använda en räknare. I det här fallet avrundas värdet till närmaste multipel av 64 KB eftersom loggfilens storlek måste vara en multipel av 64 KB och får inte vara mindre än 1024 KB.

Händelser lagras i en loggfil som bara kan växa upp till en angiven maximal storlek. När filen når sin maximala storlek kommer behandlingen av inkommande händelser att avgöras av logglagringspolicyn. Följande logglagringspolicyer är tillgängliga:

Skriv om händelser vid behov (äldsta filer först)- i detta fall fortsätter nya poster att föras in i journalen efter att den är ifylld. Varje ny händelse ersätter den äldsta i loggen;

Arkivera loggen när den är ifylld; skriv inte om händelser- i detta fall arkiveras loggfilen automatiskt vid behov. Inaktuella händelser skrivs inte över.

Skriv inte över händelser (rensa loggen manuellt)- i detta fall rensas loggen manuellt och inte automatiskt.

För att välja önskad logglagringspolicy, följ dessa steg:

1. I konsolträdet, välj den händelselogg du vill ändra storlek på;
2. Välj ett lag "Egenskaper" från menyn "Handling" eller från snabbmenyn för den valda journalen;
3. På fliken "Är vanliga", I kapitel "När man når maximal storlek" välj önskad parameter och klicka på knappen "OK".

Aktiverar analys- och felsökningsloggen

Analytiska loggar och felsökningsloggar är inaktiva som standard. När de väl har aktiverats fylls de snabbt med ett stort antal händelser. Av denna anledning är det lämpligt att aktivera dessa loggar under en begränsad tidsperiod för att samla in de data som behövs för felsökning och sedan inaktivera dem igen. Du kan aktivera loggar enligt följande:

1. I konsolträdet, hitta och välj den analytiska eller felsökningslogg som du vill aktivera;
2. Välj ett lag "Egenskaper" från menyn "Handling" eller från snabbmenyn för den valda analytiska eller felsökningsloggen;
3. På fliken "Är vanliga" markera alternativrutan "Aktivera loggning"

Öppna och stänga en sparad journal

Använda utrustning "Loggboken" Du kan öppna och visa tidigare sparade loggar. Du kan öppna flera sparade loggar samtidigt och komma åt dem när som helst i konsolträdet. Tidningen öppnade i "Loggboken", kan stängas utan att radera informationen den innehåller. För att öppna en sparad logg, följ dessa steg:

1. Välj ett lag "Öppna sparad journal" på menyn "Handling" eller från snabbmenyn i konsolträdet;
2. 3. I dialogrutan "Öppna sparad journal", flytta längs katalogträdet, öppna mappen som innehåller önskad fil. Som standard visar dialogrutan alla händelseloggfiler. När du öppnar kan du också välja vilken typ av filer du vill visa i öppningsdialogrutan. Tillgängliga filtyper är händelseloggfiler (*.evtx, *.evt, *.etl), såväl som händelsefiler (*.evtx), äldre händelsefiler (*.evt) eller spårningsloggfiler (*.etl) . När den önskade loggfilen har hittats, välj den genom att vänsterklicka på den, vilket kommer att placera dess namn i filnamnsraden och klicka på knappen "Öppen".
3. I dialog "Öppna sparad journal", i fält "Namn" Ange ett nytt namn att använda för loggen i konsolträdet. Den används endast för att visa loggen i konsolträdet och ändrar inte loggfilens namn. Du kan också använda ett befintligt loggfilnamn. I fält "Beskrivning" ange en beskrivning för loggen. Den kommer att visas i det centrala området när den överordnade loggmappen väljs i konsolträdet;
4. För att skapa en mapp där den sparade loggen kommer att finnas, klicka på knappen "Skapa en mapp". I fält "Namn" ange namnet på mappen där den öppna loggen kommer att finnas och klicka sedan "OK". Om ingen överordnad mapp är vald, ny mapp kommer att finnas i mappen "Sparade loggar".
5. För att göra den öppna händelseloggen otillgänglig för andra datoranvändare kan du avmarkera "Alla användare". Om den här kryssrutan förblir aktiv kommer den öppna loggen att vara tillgänglig för alla användare, men administratörsrättigheter kommer att krävas för att ta bort den från konsolträdet;
6. För att öppna tidningen, klicka på knappen "OK".

Följ dessa steg för att ta bort en öppen logg från händelseträdet:

1. I konsolträdet, välj loggen som ska raderas;
2. Välj ett lag "Radera" från menyn "Handling" eller från snabbmenyn för den valda journalen;
3. I dialog "Loggboken" klicka på knappen "Ja".

Slutsats

Den här delen av artikeln, tillägnad snapin-modulen Event Viewer, talar om själva snapin-modulen och beskriver i detalj de enklaste operationerna i samband med övervakning och underhåll av systemet med hjälp av Event Viewer. Nästa del av artikeln kommer att utformas för erfarna Windows-användare. Det kommer att täcka uppgifter med anpassade vyer, filtrering, gruppering/sortering av händelser och hantering av prenumerationer.