Protokoly událostí systému Windows 8.1. Co je Prohlížeč událostí ve Windows a jak jej můžete používat. Jaká je popisovaná aplikace?

Protokoly událostí systému Windows 8.1. Co je Prohlížeč událostí ve Windows a jak jej můžete používat. Jaká je popisovaná aplikace?

Windows je poměrně složitý operační systém a sledování všech procesů včetně chyb je pro nezkušeného uživatele obtížné.

Pro tyto účely v samotném OS protokolování zajištěno vše, co se děje a všechny akce v systému. Tento protokol můžete zobrazit a zobrazit pomocí Prohlížeče událostí systému Windows.

Zobrazení Prohlížeče událostí systému Windows

Informace o provozu operačního systému můžete zobrazit dvěma způsoby:

  • Pomocí cmd ( příkazový řádek);
  • Používáním ovládací panely.

Chcete-li zavolat na řádek cmd, můžete použít klávesová zkratka Win+R nebo si projděte známý řetězec: Start - Všechny programy - Příslušenství - Příkazový řádek.

V okně, které se otevře, zadejte sekvenci eventvwr.msc

Nebo přes Start - Ovládací panely - Systém a údržba - Správa.

Na ploše se zobrazí hlavní okno nástroje. Vyberte položku "".

Nelekejte se, pokud jsou v seznamu chyby. I v perfektně fungujícím systému se mohou objevit podobné zprávy. Ve většině případů jsou izolované a způsobené drobnými aplikačními závadami.

S největší pravděpodobností nebudou popisy chyb pro běžného uživatele nic znamenat. Zobrazení protokolů může správci systému nebo „pokročilému“ uživateli pomoci porozumět systémovým selháním, ke kterým dochází.

Jak používat zobrazení

Jaké informace se lze z časopisu dozvědět? Pokud váš počítač systematicky produkuje chyby, náhodně se restartuje nebo zobrazuje „modrou obrazovku smrti“, systém zaznamenává všechny události, které vedly k poruše. Při prohlížení informací můžete zjistit kdy která služba, ovladač nebo hardwarová součást způsobila konkrétní chybu. Na základě těchto informací lze přijmout nezbytná opatření k odstranění porušení.

Kromě informací o chybách lze protokol použít k jiným účelům. Můžete odkazovat na jakoukoli událost, která se v systému vyskytne provedení konkrétního úkolu. To umožní v budoucnu, pokud nastane podobná situace, automaticky plnit nastavenou podmínku.

K tomu stačí na libovolném prvku ze seznamu kontextové menu volání klikněte pravým tlačítkem a vyberte " Propojit úkol».

Vymazání protokolu událostí

Odstranění všech informací z deníku také není obtížné. Chcete-li to provést, v levém bloku okna protokolu vyberte prvek stromu nabídky, který je třeba vymazat, kliknutím pravým tlačítkem myši vyvolejte kontextovou nabídku - “ Vymazat protokol»

Myslím, že každý uživatel, který pracuje s počítačem, se setkal s problémy a chybami. Je čas, abyste se naučili číst protokol událostí Windows, který zobrazuje zprávy z aplikací a samotného systému: chyby, informační zprávy, varování. Obsahuje informace o událostech, které systém považoval za zaznamenávání pro správce. Jen tak, pro případ, že jste hasič.

V běžně operačním systému sem uživatel cestu nezná – prostě není potřeba. Když se však ve Windows objeví chyby (lagy), existuje mnoho důvodů, proč se podívat sem, naštěstí je zde co učit.

Kde je protokol událostí?

Nejrychleji se k němu dostanete zadáním do vyhledávacího pole po stisknutí klávesy VYHRÁT slova „protokoly událostí“. A klikněte na příslušný odkaz:

Nebo zadejte Start - příkaz eventvwr.msc. výchozí, Prohlížeč událostí otevře karty, včetně souhrnu administrativních událostí, kde jsou uvedeny informace podle důležitosti pro správce. Nejdůležitější z nich Kritické typ události. Projděte se po úseku Protokoly systému Windows, klíčové adresáře Aplikace A Systém.

Vše, co se v systému děje, je zaznamenáno v několika dokumentech. A s největší pravděpodobností tam najdete několik chyb. To ještě nic neznamená. Pokud je systém stabilní, tyto chyby nejsou kritické a nikdy vás nebudou obtěžovat. Mimochodem, můžete se podívat blíže - chyby se ukládají pro programy, které nebyly v počítači dlouhou dobu.

Hra byla uzavřena pomocí kláves Alt + F4 - máma zřejmě vstoupila do místnosti.

Teoreticky je i jiným programům řečeno, aby do Žurnálu zaznamenávaly důležité i méně důležité události, ale pokud si pamatuji, tak to téměř nedělají.

Čtenáři se již může zdát, že Věstníku není třeba věnovat pozornost.

Protokol pomůže pozornému a ohleduplnému uživateli v případech vážných poruch, například když se systém objeví nebo se neočekávaně restartuje. Proto lze v protokolu snadno detekovat „mrtvého“ řidiče. Stačí se pozorně podívat na červené ikony, které se u nápisu objevují Kritická úroveň a odeberte určený ovladač nebo možná přemýšlejte o výměně zařízení.

zatím se nic zlého nestalo

a zde je již vše vážné: počítač se vypnul

Hledáme potřebné události: procesy a protokoly výsledků

Po nějaké době práce jsme si například všimli, že se myš zasekla, některé složky chyběly a cesty nefungovaly: první známka vzhledu na disku. Chcete-li s nimi pracovat, musíte postupně spustit nástroj pro kontrolu stavu disku chkdsk /f, který začne fungovat po restartu, a poté zkontrolujeme integritu souborového systému samotného Windows sfc /scannow. Na výsledky práce těchto i dalších utilit se tedy můžete podívat ve stejném časopise:

Protože jeden z těchto nástrojů je systémem spouštěn pouze před spuštěním (pro svazek, který obsahuje tento systém), má smysl hledat výsledky pomocí příznaku Wininit(z Vyhrát dows Init alizace).

Jak se naučit číst protokol událostí systému Windows?

Nemusíte však hádat. Microsoft má oficiální stránku podpory pro systémové zprávy. Pokud máte zájem o konkrétní akci, můžete navštívit webové stránky:

Velmi dobrou službou, která vám pomůže číst protokol událostí Windows, je však podle mého názoru služba

V Rusku nemá obdoby, ale pro ty, kteří mluví anglicky a jsou prostě zvědaví, ukážu, jak ji používat. Ve výše uvedeném příkladu tedy na stránce služby zadejte do polí kód chyby a službu, která jej způsobila:

Zbývá pouze zadat naše výrazy do vyhledávání kliknutím na tlačítko Hledat a na stránce s vysvětlením chyby se zobrazí výsledky. Formálně nebudou o moc podrobnější než vysvětlivky, které uvádí samotný Žurnál, nicméně pokud rolujete dolů po stránce s výsledky, pak v popisu v angličtině uvidíte odkaz na jakési fórum s hotovými řešeními problém nebo důvody, se kterými se uživatelé již setkali, když došlo k chybě stejného názvu. Vše je v angličtině. Musel jsem studovat... A abych byl upřímný, váš skromný služebník se málokdy dostane dál než na tyto stránky: něco podobného se už někde stalo.

Jako vždy není prohlížení protokolu událostí všelékem. Uživatele však může ušetřit nesmyslného dohadování tím, že ušetří spoustu času hledáním problému.

Protokol událostí systému Windows – jak jej vymazat?

Takže jsme se s problémy vypořádali, systém je stabilní. Pak se zbavme zbytečných záznamů v deníku: pokud jste navštívili deník, mohli jste pozorovat určitý nepořádek, pokud jde o počet záznamů v něm.

Existuje několik metod čištění. Můžete to udělat pomocí prostředí Windows PowerShell:

Wevtutil el | Foreach-Object(Write-Host "Clearing $_"; wevtutil cl "$_")

Přes konzoli můžete:

Pro /f %x v ("wevtutil el") proveďte wevtutil cl "%x"

Nabídnu vám malý skript, který můžete umístit do textového dokumentu a uložit s příponou .netopýr. Zavolal jsem své protokoly čištění (spusťte konečný soubor s právy správce):

Zde je skript:

@echo off PRO /F "tokens=1,2*" %%V IN ("bcdedit") NASTAVTE adminTest=%%V IF (%adminTest%)==(Přístup) goto noAdmin for /F "tokens=* " %%G v ("wevtutil.exe el") DO (call:do_clear "%%G") echo. echo goto theEnd:do_clear echo clearing %1 wevtutil.exe cl %1 goto:eof:noAdmin exit

Počkejte, až skript skončí, okno konzoly se samo zavře:

Pomocí protokolu událostí systému Windows 7 nebo XP můžete vyřešit většinu problémů s počítačem.

Zaznamenává nejen vše, co se děje, ale také uvádí důvody, proč k problémům dochází.

Jediná špatná věc je, že někdy jsou poskytovány v kódech a musíte hledat dešifrování v celé síti.

Návod - kde se nachází protokol windows?

V něm najdeme jedno slovo „administrace“ a klikneme na něj.

Co by vás na něm mělo zajímat? Na levé straně je rozšířené menu. V něm naproti řádku „Protokoly Windows“ klikněte na malý trojúhelník a vyberte systém.

Nyní můžete vidět všechny chyby na vašem počítači. Lze je snadno najít. Jsou v horním okně, označeny červenými tečkami (kruhy), méně důležité - žluté - to jsou varování.

Spodní okno ukazuje příčiny problémů. Obvykle je pro začátečníky nemožné na ně přijít sami.

Proto z toho, co je tam naznačeno, formulujte logicky správnou otázku a hledejte odpověď ve vyhledávači.

Nyní víte, kde je protokol událostí systému Windows - mnoho nedostatků (chyby, poruchy), se správným přístupem to můžete v extrémních případech vyřešit sami, kontaktujte službu a ukažte odborníkům, co je napsáno ve spodním okně.

Ahoj všichni, téma je jak zobrazit protokoly windows. Myslím, že každý ví, co jsou protokoly, ale pokud jste náhle začátečník, pak protokoly jsou systémové události vyskytující se v operačním systému Windows i Linux, které pomáhají sledovat, co, kde a kdy se stalo a kdo to udělal. Každý správce systému musí být schopen číst protokoly Windows.

Příkladem z reálného života je situace, kdy selhal disk na jednom ze serverů IBM a pro technickou podporu jsem shromáždil logy serveru, aby mohli diagnostikovat problém. Služba Prohlížeč událostí je zodpovědná za shromažďování a záznam protokolů v systému Windows. Prohlížeč událostí je pohodlný nástroj pro získávání systémových protokolů.

Jak otevřít v prohlížeči událostí

Do modulu snap-in Prohlížeč událostí můžete přejít velmi jednoduše, vhodný pro jakoukoli verzi Windows. Stiskněte magická tlačítka

Win+R a zadejte eventvwr.msc

Otevře se okno Windows Event Viewer, ve kterém je třeba rozbalit položku Windows Logs. Pojďme si projít každý z časopisů.

Aplikace Log obsahuje záznamy související s programy ve vašem počítači. Protokol se zapisuje při spuštění programu, pokud byl spuštěn s chybou, pak se to projeví i zde.

Protokol auditu je nutný k pochopení toho, kdo co a kdy udělal. Například přihlášení nebo odhlášení se pokusili získat přístup. Všechny audity úspěchu či neúspěchu jsou psány zde.

Položka Instalace zaznamenává protokoly Windows o tom, co bylo nainstalováno a kdy, například programy nebo aktualizace.

Nejdůležitější časopis je systém. Zde jsou sepsány všechny nejnutnější a nejdůležitější věci. Například jste měli modrou obrazovku bsod a tyto zprávy, které jsou zde zaznamenány, vám pomohou určit její příčinu.

Existují také protokoly Windows pro specifičtější služby, jako je DHCP nebo DNS. Prohlížeč událostí seká všechno :).

Předpokládejme, že máte v protokolu zabezpečení více než milion událostí, pravděpodobně si okamžitě položíte otázku, zda existuje filtrování, protože prohlížet všechny je masochismus. To je zajištěno v prohlížeči událostí, protokoly oken lze pohodlně odfiltrovat a ponechat pouze to, co je potřeba. Vpravo v oblasti Akce je tlačítko Filtrovat aktuální protokol.

Budete požádáni o zadání úrovně události:

  • Kritické
  • Chyba
  • Varování
  • inteligence
  • Podrobnosti

Vše závisí na vyhledávací úloze, pokud hledáte chyby, pak jiné typy zpráv nemají smysl. Dále, abyste zúžili rozsah vyhledávání pro zobrazení událostí, můžete zadat požadovaný zdroj a kód události.

Jak tedy vidíte, analýza protokolů Windows je velmi jednoduchá, hledáme, nacházíme, řešíme. Užitečné může být také rychlé vymazání protokolů Windows:

Zobrazení protokolů Windows PowerShell

Bylo by divné, kdyby to PowerShell nemohl udělat a zobrazit soubory protokolu, otevřete PowerShell a zadejte následující příkaz

Get-EventLog -Logname "System"

V důsledku toho obdržíte seznam systémových protokolů

Totéž lze udělat pro jiné časopisy, například Aplikace

Get-EventLog - Přihlašovací jméno "Aplikace"

malý seznam zkratek

  • Kód události - EventID
  • Počítač - MachineName
  • Pořadové číslo události - Data, Index
  • Kategorie úkolů - Kategorie
  • Kód kategorie - CategoryNumber
  • Úroveň - EntryType
  • Zpráva o události - Zpráva
  • Zdroj - Zdroj
  • Datum generování události - ReplacementString, InstanceID, TimeGenerated
  • Datum záznamu události – TimeWritten
  • Uživatel – Uživatelské jméno
  • webová stránka
  • Divize - Kontejner

Chcete-li například zobrazit události v příkazovém shellu pouze se sloupci „Úroveň“, „Datum záznamu události“, „Zdroj“, „Kód události“, „Kategorie“ a „Zpráva události“ pro protokol „Systém“, spusťte příkaz:

Get-EventLog –LogName ‚Systém‘ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

Pokud potřebujete zobrazit podrobněji, nahraďte Format-Table za Format-List

Get-EventLog –LogName ‚Systém‘ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Jak vidíte, formát je již čitelnější.

Můžete také filtrovat protokoly, například zobrazit posledních 20 zpráv

Get-EventLog – Přihlašovací jméno „Systém“ – Nejnovější 20

Další produkty

Sběr událostí můžete také automatizovat pomocí nástrojů, jako jsou:

  • Monitorovací komplex Zabbix
  • Prostřednictvím odesílání událostí pomocí systému Windows na server kolektoru
  • Prostřednictvím auditovací sady Netwrix
  • Pokud máte SCOM, může agregovat všechny protokoly platformy Windows
  • Jakékoli DLP systémy

Ať už se tedy rozhodnete pro zobrazení událostí systému Windows použít prohlížeč událostí nebo PowerShell, je to na vás. Materiál stránek

Vzdálené prohlížení protokolů

  • První metoda

Není to tak dávno, co operační systém Windows Server 2019 představil komponentu vzdálené správy Windows Admin Center. Umožňuje vám vzdáleně ovládat počítač nebo server, o kterém jsem již mluvil podrobněji. Zde chci ukázat, že jeho instalací na vaši pracovní stanici se můžete připojit z prohlížeče k jiným počítačům a snadno prohlížet jejich protokoly událostí, a tak studovat protokoly Windows. V mém příkladu bude server SVT2019S01, Najdeme jej v seznamu dostupných a připojíme se (připomenu, že takto jsme provedli vzdálené nastavení sítě ve Windows).

Dále vyberte kartu „Události“, vyberte požadovaný protokol v mém příkladu, chci vidět všechny protokoly systému. Z mého pohledu je zde prohlížení všeho mnohem pohodlnější než prohlížení událostí. Výhodou je, že to můžete udělat z jakéhokoli telefonu nebo tabletu. V pravém rohu je pohodlný vyhledávací formulář

Pokud potřebujete protokoly filtrovat přesněji, můžete použít tlačítko filtru.

Zde můžete také vybrat úroveň události, například ponechat pouze kritické a chyby, nastavit časový rozsah, kód události a zdroj.

Zde je příklad filtrování podle události 19.

Velmi pohodlné je exportovat celý protokol do formátu evxt, který lze následně snadno otevřít přes protokol událostí. Centrum pro správu systému Windows je tedy výkonným nástrojem pro prohlížení protokolů.

  • Druhá metoda

Druhým způsobem, jak vzdáleně zobrazit protokoly Windows, je použít modul snap-in Správa počítače nebo stejný „Prohlížeč událostí“. Chcete-li zobrazit protokoly Windows na jiném počítači nebo serveru, klikněte v modulu snap-in pravým tlačítkem myši na horní položku a z kontextové nabídky vyberte „“.

Označujeme název jiného počítače, v mém příkladu to bude SVT2019S01

Pokud je vše v pořádku a nedochází k blokování firewallem nebo antivirem, budete přesměrováni na vzdálené prohlížení událostí. Pokud dojde k blokování, zobrazí se zpráva, že neprotéká provoz COM+.

Chci také poznamenat, že existují celé systémy agregace protokolů, jako je Zabbix nebo SCOM, ale toto je jiná úroveň úloh.

Operační systém Windows 7 neustále monitoruje různé významné události, ke kterým ve vašem systému dochází. V systému Microsoft Windows událost je jakýkoli incident v operačním systému, který je zaznamenán nebo vyžaduje upozornění pro uživatele nebo správce. Může to být služba, která se nechce spustit, instalace zařízení nebo chyba aplikace. Události se zaznamenávají a ukládají do protokolů událostí systému Windows a poskytují důležité historické informace, které vám pomohou monitorovat váš systém, udržovat zabezpečení systému, odstraňovat chyby a provádět diagnostiku. Informace obsažené v těchto protokolech by měly být pravidelně kontrolovány. Měli byste pravidelně sledovat protokoly událostí a nakonfigurovat operační systém tak, aby ukládal důležité systémové události. Pokud jste správcem serverů Windows, musíte sledovat zabezpečení jejich systémů, normální provoz aplikací a služeb a také zkontrolovat, zda server neobsahuje chyby, které mohou zhoršit výkon. Pokud používáte osobní počítač, měli byste se ujistit, že máte přístup k příslušným protokolům, které potřebujete k podpoře vašeho systému a odstraňování chyb.

Program "Prohlížeč událostí" je modul snap-in konzoly Microsoft Management Console (MMC) pro prohlížení a správu protokolů událostí. Jedná se o nepostradatelný nástroj pro sledování výkonu systému a odstraňování problémů. Je volána služba Windows, která spravuje protokolování událostí "Protokol událostí". Pokud je spuštěn, Windows zapisuje důležitá data do protokolů. Pomocí programu "Prohlížeč událostí" můžete provést následující:

  • Zobrazení událostí z konkrétních protokolů;
  • Použijte filtry událostí a uložte je pro pozdější použití jako vlastní zobrazení;
  • Vytvářejte a spravujte předplatné událostí;
  • Přiřaďte konkrétní akce, které se mají provést, když nastane konkrétní událost.

Spuštění Prohlížeče událostí

aplikace "Prohlížeč událostí" lze otevřít následujícími způsoby:

Protokoly událostí ve Windows 7

V operačním systému Windows 7 a také v systému Windows Vista existují dvě kategorie protokolů událostí: Protokoly systému Windows A aplikační a servisní protokoly. Protokoly systému Windows- používá operační systém k zaznamenávání celosystémových událostí souvisejících s provozem aplikací, systémových komponent, zabezpečením a spouštěním. A aplikační a servisní protokoly- používají aplikace a služby k zaznamenávání událostí souvisejících s jejich provozem. Modul snap-in můžete použít ke správě protokolů událostí "Prohlížeč událostí" nebo program příkazového řádku wevtutil, o kterém bude řeč v druhé části článku. Všechny typy protokolů jsou popsány níže:

aplikace- ukládá důležité události související s konkrétní aplikací. Exchange Server například ukládá události související s předáváním pošty, včetně událostí pro úložiště informací, poštovní schránky a spuštěné služby. Ve výchozím nastavení je umístěn v %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Bezpečnost- ukládá události související se zabezpečením, jako je přihlášení/odhlášení systému, použití oprávnění a přístupy ke zdrojům. Ve výchozím nastavení je umístěn v %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Instalace- Tento protokol zaznamenává události, ke kterým dojde během instalace a konfigurace operačního systému a jeho součástí. Ve výchozím nastavení je umístěn v %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Systém- ukládá události operačního systému nebo jeho součástí, jako jsou selhání při spuštění služeb nebo inicializace ovladačů, celosystémové zprávy a další zprávy související se systémem jako celkem. Ve výchozím nastavení je umístěn v %SystemRoot%\System32\Winevt\Logs\System.Evtx

Předané události- pokud je nakonfigurováno předávání událostí, tento protokol obsahuje události předávané z jiných serverů. Ve výchozím nastavení je umístěn v %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

internet Explorer- tento protokol zaznamenává události, ke kterým dochází při nastavování a práci s prohlížečem Internet Explorer. Ve výchozím nastavení je umístěn v %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- Tento protokol zaznamenává události související s používáním PowerShellu. Ve výchozím nastavení je umístěn v %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Vybavení Události- pokud je nakonfigurováno protokolování hardwarových událostí, události generované zařízeními se zaznamenávají do tohoto protokolu. Ve výchozím nastavení je umístěn v %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

Ve Windows 7 je infrastruktura, která poskytuje protokolování událostí, založena na XML, stejně jako ve Windows Vista. Každá data události odpovídají schématu XML, což vám umožňuje přístup ke kódu XML jakékoli události. Můžete také vytvářet dotazy založené na XML pro načítání dat z protokolů. K použití těchto nových funkcí není nutná žádná znalost XML. Zařízení "Prohlížeč událostí" poskytuje jednoduché grafické rozhraní pro přístup k těmto funkcím.

Vlastnosti události

Existuje několik vlastností události snap-in "Prohlížeč událostí", které jsou podrobně popsány níže:

Zdroj je program, který událost zaznamenal. Může to být buď název programu (například „Exchange Server“) nebo název systémové součásti nebo velké aplikace (například název ovladače). Například „Elnkii“ znamená ovladač EtherLink II.

Kód události je číslo, které identifikuje konkrétní typ události. První řádek popisu obvykle obsahuje název typu události. Například 6005 je ID události, ke které dojde při spuštění služby Protokolování událostí. V souladu s tím je na začátku popisu této události řádek „Služba protokolu událostí byla spuštěna“. Kód události a název zdroje záznamu může tým podpory softwarových produktů použít k řešení problémů.

Úroveň- toto je úroveň důležitosti události. V protokolech systému a aplikací mohou mít události následující úrovně závažnosti:

  • Oznámení- označuje změnu v aplikaci nebo komponentě, jako je výskyt informační události spojené s úspěšnou akcí, vytvořením zdroje nebo spuštěním služby.
  • Varování- označuje obecné varování o problému, který by mohl ovlivnit servis nebo vést k závažnějšímu problému, pokud by byl ponechán bez dozoru;
  • Chyba- označuje, že nastal problém, který může ovlivnit funkce mimo aplikaci nebo komponentu, která událost způsobila;
  • Kritická chyba- označuje, že došlo k selhání, ze kterého se aplikace nebo komponenta, která událost iniciovala, nemůže automaticky obnovit;
  • Audit úspěchů- úspěšné provedení akcí, které monitorujete prostřednictvím auditu, jako je použití oprávnění;
  • Audit selhání- selhání při provádění akcí, které monitorujete prostřednictvím auditování, jako je chybové přihlášení do systému.

Uživatel- definuje uživatelský účet, jehož jménem k této události došlo. Mezi uživatele patří speciální entity, jako je Local Service, Network Service a Anonymous Logon, a také skutečné uživatelské účty. Toto jméno je identifikátor klienta, pokud byla událost skutečně vyvolána procesem serveru, nebo primární identifikátor, pokud není provedeno žádné zosobnění. V některých případech obsahuje položka protokolu zabezpečení obě ID. Toto pole může také obsahovat N/A, pokud účet není v této situaci použitelný. K zosobnění dochází v případech, kdy server umožňuje jednomu procesu převzít atributy zabezpečení jiného procesu.

Pracovní kód- obsahuje číselnou hodnotu, která identifikuje operaci nebo bod v rámci operace, během které k této události došlo. Například inicializace nebo zavření.

Časopis- název protokolu, ve kterém byla tato událost zaznamenána.

Kategorie a úkoly- definuje kategorii události, někdy se používá k následnému popisu platné akce. Každý zdroj událostí má své vlastní kategorie. Například následující kategorie: přihlášení/odhlášení, uživatelská oprávnění, změna zásad a správa účtu.

Klíčová slova je sada kategorií nebo značek, které lze použít k filtrování nebo vyhledávání událostí. Například: „Síť“, „Zabezpečení“ nebo „Zdroj nenalezen“.

Počítač- identifikuje název počítače, na kterém k události došlo. Obvykle se jedná o název místního počítače, ale může to být také název počítače, který událost přeposlal, nebo název místního počítače před její úpravou.

datum a čas- určuje datum a čas výskytu této události v protokolu.

ID procesu- představuje identifikační číslo procesu, který událost vygeneroval. Počítačový program je pouze pasivní sadou instrukcí, zatímco proces je přímé provádění těchto instrukcí

ID streamu- představuje identifikační číslo vlákna, které událost vygenerovalo. Proces vytvořený v operačním systému se může skládat z několika vláken běžících „paralelně“, to znamená bez předepsaného pořadí v čase. Při plnění některých úkolů lze tímto rozdělením dosáhnout efektivnějšího využití počítačových zdrojů

ID procesoru- představuje identifikační číslo procesoru, který událost zpracoval.

Kód relace je identifikační číslo relace na terminálovém serveru, na kterém k události došlo.

Provozní doba režimu jádra- definuje čas strávený prováděním instrukcí režimu jádra v jednotkách času CPU. Režim jádra má neomezený přístup k systémové paměti a externím zařízením. Jádro systému NT se nazývá hybridní jádro nebo makrokernel.

Provozní doba v uživatelském režimu- definuje čas strávený prováděním instrukcí uživatelského režimu v jednotkách času CPU. Uživatelský režim se skládá ze subsystémů, které předávají I/O požadavky příslušnému ovladači režimu jádra prostřednictvím I/O manažera.

zatížení CPU je čas strávený prováděním instrukcí uživatelského režimu v CPU ticks.

Korelační kód- definuje akci v procesu, pro kterou je událost použita. Tento kód se používá k určení jednoduchých vztahů mezi událostmi. Korelace je statistický vztah mezi dvěma nebo více náhodnými proměnnými (nebo hodnotami, které lze za takové považovat s určitou přijatelnou mírou přesnosti). Navíc změny v jedné nebo více z těchto veličin vedou k systematické změně jiné nebo jiné veličiny.

ID relativní korelace- definuje relativní akci v procesu, pro kterou je událost použita

Práce s protokoly událostí

Prohlížeč událostí

Na dalším snímku obrazovky můžete vidět protokol "aplikace", kde najdete informace o událostech, posledních zobrazeních a dostupných akcích. Chcete-li zobrazit události protokolu aplikace, postupujte takto:

  1. Ve stromu konzoly vyberte "Protokoly Windows";
  2. Vyberte časopis "aplikace".

Je vhodné kontrolovat protokoly událostí častěji "Aplikace" A "Systém" a zkoumat stávající problémy a varování, která mohou předznamenat budoucí problémy. Když vyberete protokol, prostřední okno zobrazí dostupné události, včetně data, času a zdroje události, úrovně události a dalších podrobností.

Panel "výřez" zobrazuje základní údaje o události na záložce "Jsou běžné" a další konkrétní údaje jsou na kartě "Podrobnosti". Tento panel můžete zapnout a vypnout výběrem nabídky "Pohled" a pak příkaz "výřez".

U kritických systémů se doporučuje uchovávat záznamy několik měsíců zpět. Zpravidla je nepohodlné přiřazovat časopisům neustále velikost, aby se do nich vešly všechny informace, tento problém lze vyřešit jiným způsobem. Protokoly můžete exportovat do souborů umístěných v určené složce. Chcete-li uložit vybraný protokol, postupujte takto:

  1. Ve stromu konzoly vyberte protokol událostí, který chcete uložit;
  2. Vyberte tým "Uložit události jako" z nabídky "Akce" nebo z kontextové nabídky protokolu vyberte příkaz "Uložit všechny události jako";
  3. V dialogovém okně, které se objeví "Uložit jako" vyberte složku, kam se má soubor uložit. Pokud potřebujete soubor uložit do nové složky, můžete jej vytvořit přímo z tohoto dialogu pomocí kontextové nabídky nebo tlačítka "Nová složka" na liště akcí. V terénu "Typ souboru" musíte vybrat požadovaný formát souboru z dostupných souborů: soubory událostí - *.evtx, soubor xml - *.xml, text oddělený tabulátory - *.txt, csv oddělený čárkami - *.csv. V terénu "Název souboru" "Uložit". Chcete-li ukládání zrušit, klepněte na tlačítko "Zrušení";
  4. V případě, že protokol událostí není určen k prohlížení na jiném počítači, v dialogovém okně "Zobrazit podrobnosti" ponechte výchozí možnost "Nezobrazovat informace" a pokud má být protokol zobrazen na jiném počítači, pak v dialogovém okně "Zobrazit podrobnosti" Vyberte možnost "Zobrazit informace pro následující jazyky" a klikněte na tlačítko "OK".

Vymazání protokolu událostí

Někdy je nutné vymazat úplné protokoly událostí, aby byla zajištěna účinná analýza varování a kritických chyb operačního systému. Chcete-li vymazat vybraný protokol, postupujte takto:

  1. Ve stromu konzoly vyberte protokol událostí, který chcete vymazat;
  2. Vymažte protokol jedním z následujících způsobů:
    • V nabídce "Akce" vybrat tým "Vymazat protokol";
    • Kliknutím pravým tlačítkem myši na vybraný protokol otevřete místní nabídku. V kontextové nabídce vyberte příkaz "Vymazat protokol";
  3. Dále můžete protokol buď vymazat, nebo jej archivovat, pokud tak nebylo provedeno dříve:
    • Chcete-li vymazat protokol událostí bez uložení, klikněte na tlačítko "Průhledná";
    • Chcete-li protokol událostí po uložení vymazat, klikněte na tlačítko "Uložit a vymazat". V dialogovém okně, které se objeví "Uložit jako" vyberte složku, kam se má soubor uložit. Pokud potřebujete soubor uložit do nové složky, můžete jej vytvořit přímo z tohoto dialogu pomocí kontextové nabídky nebo tlačítka "Nová složka" na liště akcí. V terénu "Název souboru" zadejte jméno a klikněte na tlačítko "Uložit". Pro zrušení ukládání klikněte na tlačítko "Zrušení".

Nastavení maximální velikosti protokolu

Jak bylo uvedeno výše, protokoly událostí jsou uloženy jako soubory ve složce %SystemRoot%\System32\Winevt\Logs\. Ve výchozím nastavení je maximální velikost těchto souborů omezena, ale můžete ji změnit následujícím způsobem:

  1. Vyberte tým "Vlastnosti" z nabídky "Akce"
  2. V terénu "Maximální velikost protokolu (kB)" nastavte požadovanou hodnotu pomocí počítadla nebo nastavte ručně bez použití počítadla. V tomto případě bude hodnota zaokrouhlena na nejbližší násobek 64 kB, protože velikost souboru protokolu musí být násobkem 64 kB a nesmí být menší než 1024 kB.

Události se ukládají do souboru protokolu, který může narůst pouze do určené maximální velikosti. Jakmile soubor dosáhne své maximální velikosti, bude zpracování příchozích událostí určeno zásadou uchovávání protokolu. K dispozici jsou následující zásady uchovávání protokolů:

V případě potřeby přepište události (nejstarší soubory jako první)- v tomto případě se do deníku po jeho naplnění nadále zapisují nové záznamy. Každá nová událost nahradí nejstarší událost v protokolu;

Archivujte protokol po vyplnění; události nepřepisujte- v tomto případě je soubor protokolu v případě potřeby automaticky archivován. Zastarané události se nepřepisují.

Nepřepisovat události (vymazat protokol ručně)- v tomto případě se protokol vymaže ručně a ne automaticky.

Chcete-li vybrat požadovanou zásadu uchovávání protokolu, postupujte takto:

  1. Ve stromu konzoly vyberte protokol událostí, jehož velikost chcete změnit;
  2. Vyberte tým "Vlastnosti" z nabídky "Akce" nebo z kontextové nabídky vybraného časopisu;
  3. Na kartě "Jsou běžné", V kapitole "Při dosažení maximální velikosti" vyberte požadovaný parametr a klikněte na tlačítko "OK".

Aktivace protokolu analýzy a ladění

Analytické protokoly a protokoly ladění jsou ve výchozím nastavení neaktivní. Po aktivaci se rychle zaplní velkým množstvím událostí. Z tohoto důvodu je vhodné povolit tyto protokoly na omezenou dobu pro shromažďování dat potřebných pro odstraňování problémů a poté je znovu zakázat. Protokoly můžete aktivovat následovně:

  1. Ve stromu konzoly vyhledejte a vyberte analytický protokol nebo protokol ladění, který chcete aktivovat;
  2. Vyberte tým "Vlastnosti" z nabídky "Akce" nebo z kontextového menu vybraného analytického nebo ladicího protokolu;
  3. Na kartě "Jsou běžné" zaškrtněte políčko možnosti "Povolit protokolování"

Otevírání a zavírání uloženého deníku

Použití zařízení "Prohlížeč událostí" Můžete otevřít a zobrazit dříve uložené protokoly. Můžete otevřít více uložených protokolů současně a kdykoli k nim přistupovat ve stromu konzoly. Časopis se otevřel "Prohlížeč událostí", lze zavřít bez odstranění informací, které obsahuje. Chcete-li otevřít uložený protokol, postupujte takto:

  1. Vyberte tým "Otevřít uložený deník" v nabídce "Akce" nebo z kontextové nabídky ve stromu konzoly;
  2. 3. V dialogovém okně "Otevřít uložený deník", procházením stromem adresářů otevřete složku obsahující požadovaný soubor. Ve výchozím nastavení se v dialogovém okně zobrazí všechny soubory protokolu událostí. Při otevírání můžete také vybrat typ souborů, které chcete zobrazit v dialogovém okně otevírání. Dostupné typy souborů jsou soubory protokolu událostí (*.evtx, *.evt, *.etl), stejně jako soubory událostí (*.evtx), starší soubory událostí (*.evt) nebo soubory protokolu trasování (*.etl) . Jakmile najdete požadovaný soubor protokolu, vyberte jej kliknutím levým tlačítkem myši na něj, čímž se jeho název umístí do řádku s názvem souboru a klikněte na tlačítko "OTEVŘENO".
  3. V dialogu "Otevřít uložený deník", v terénu "Název" Zadejte nový název pro protokol ve stromu konzoly. Používá se pouze k zobrazení protokolu ve stromu konzoly a nemění název souboru protokolu. Můžete také použít existující název souboru protokolu. V terénu "Popis" zadejte popis protokolu. Zobrazí se v centrální oblasti, když je ve stromu konzoly vybrána nadřazená složka protokolu;
  4. Chcete-li vytvořit složku, ve které bude uložen uložený protokol, klikněte na tlačítko "Vytvořit složku". V terénu "Název" zadejte název složky, ve které se bude nacházet otevřený protokol, a poté klepněte "OK". Pokud není vybrána nadřazená složka, bude nová složka umístěna ve složce "Uložené protokoly".
  5. Chcete-li, aby otevřený protokol událostí nebyl přístupný ostatním uživatelům počítačů, můžete zrušit zaškrtnutí políčka "Všichni uživatelé". Pokud toto zaškrtávací políčko zůstane aktivní, otevřený protokol bude dostupný všem uživatelům, ale k jeho odstranění ze stromu konzoly budou vyžadována práva správce;
  6. Časopis otevřete kliknutím na tlačítko "OK".

Chcete-li odstranit otevřený protokol ze stromu událostí, postupujte takto:

  1. Ve stromu konzoly vyberte protokol, který chcete odstranit;
  2. Vyberte tým "Vymazat" z nabídky "Akce" nebo z kontextové nabídky vybraného časopisu;
  3. V dialogu "Prohlížeč událostí" klikněte na tlačítko "Ano".

Závěr

Tato část článku, věnovaná modulu snap-in Prohlížeč událostí, hovoří o samotném modulu snap-in a podrobně popisuje nejjednodušší operace spojené s monitorováním a údržbou systému pomocí Prohlížeče událostí. Další část článku bude určena pro zkušené uživatele Windows. Bude zahrnovat úkoly s vlastními zobrazeními, filtrováním, seskupováním/tříděním událostí a správou předplatných.



Oblíbené v kategorii:
Jak zkombinovat vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přeneste kontakty do nového telefonu Android
Přeneste kontakty do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

poslední články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Horní