Hogar
Problemas 
¿Es posible leer registros de Windows de forma remota? Visor de eventos en Windows Vista

¿Es posible leer registros de Windows de forma remota? Visor de eventos en Windows Vista

Hola a todos, el tema es cómo ver los registros de Windows. Creo que todo el mundo sabe qué son los registros, pero si de repente eres un principiante, entonces los registros son eventos del sistema que ocurren en el sistema operativo tanto de Windows como de Linux y que ayudan a rastrear qué, dónde, cuándo sucedió y quién lo hizo. Cualquier administrador del sistema Debe poder leer los registros de Windows.

Un ejemplo de la vida real es la situación en la que en uno de los servidores de IBM el disco falló y por apoyo técnico Recopilé registros del servidor para que pudieran diagnosticar el problema. El servicio Visor de eventos es responsable de recopilar y registrar registros en Windows. El Visor de eventos es una herramienta conveniente para obtener registros del sistema.

Cómo abrir en el Visor de eventos

Puede ingresar al complemento Visor de eventos de manera muy simple, adecuado para cualquier Versiones de Windows. Presiona los botones mágicos

Win+R e ingresa eventvwr.msc

Se abrirá una ventana del Visor de eventos de Windows en la que deberá expandir el elemento Registros de Windows. Repasemos cada una de las revistas.

La aplicación de registro contiene registros relacionados con los programas de su computadora. El registro se escribe cuando se inició el programa; si se inició con un error, esto también se reflejará aquí.

Se necesita un registro de auditoría para comprender quién hizo qué y cuándo. Por ejemplo, inició sesión o cerró sesión, intentó obtener acceso. Todas las auditorías de éxito o fracaso están escritas aquí.

El elemento Instalación registra registros de Windows sobre qué se instaló y cuándo, por ejemplo, programas o actualizaciones.

La revista más importante es el sistema. Todo lo más necesario e importante está escrito aquí. Por ejemplo, tuvo un bsod de pantalla azul y estos mensajes que están grabados aquí lo ayudarán a determinar su causa.

También hay registros de Windows para servicios más específicos, como DHCP o DNS. El Visor de eventos lo corta todo :).

Supongamos que tiene más de un millón de eventos en el registro de seguridad, probablemente inmediatamente se preguntará si hay filtrado, ya que verlos todos es masoquismo. Esto se proporciona en el visor de eventos; los registros de Windows se pueden filtrar cómodamente, dejando solo lo que se necesita. A la derecha, en el área Acciones, hay un botón Filtrar el registro actual.

Se le pedirá que especifique el nivel del evento:

  • Crítico
  • Error
  • Advertencia
  • Inteligencia
  • Detalles

Todo depende de la tarea de búsqueda; si buscas errores, entonces no tiene sentido otro tipo de mensajes. A continuación, para limitar el alcance de su búsqueda de visualización de eventos, puede especificar la fuente y el código del evento deseado.

Entonces, como puede ver, analizar los registros de Windows es muy simple: buscamos, encontramos, solucionamos. También puede ser útil limpieza rapida registros de ventanas:

Ver registros de Windows PowerShell

Sería extraño si PowerShell no pudiera hacer esto para mostrar los archivos de registro, abra PowerShell e ingrese el siguiente comando;

Get-EventLog -Nombre de registro "Sistema"

Como resultado, recibirá una lista de registros del sistema.

Lo mismo se puede hacer con otras revistas, por ejemplo Aplicaciones.

Get-EventLog -Nombre de registro "Aplicación"

pequeña lista de abreviaturas

  • Código de evento: ID de evento
  • Computadora - Nombre de la máquina
  • Número de secuencia del evento: datos, índice
  • Categoría de tareas - Categoría
  • Código de categoría - Número de categoría
  • Nivel - Tipo de entrada
  • Mensaje de evento - Mensaje
  • Fuente - Fuente
  • Fecha de generación del evento: cadena de reemplazo, ID de instancia, hora generada
  • Fecha de grabación del evento: TimeWritten
  • Usuario - Nombre de usuario
  • Sitio web
  • División - Contenedor

Instrucciones

Vídeo sobre el tema.

Muy a menudo, los usuarios del sistema operativo utilizan " revista eventos" Esta aplicación le permite realizar un seguimiento de fallas, errores y problemas en el sistema. Con esta herramienta, puede realizar pruebas de diagnóstico de funcionalidad, pero en algunos casos no es necesaria, por lo que debe eliminarse como un componente adicional.

necesitarás

  • Trabajar con el subprograma Visor de eventos.

Instrucciones

Sobre la existencia revista A eventos No todos los usuarios conocen el sistema operativo Windows. Podemos decir que es necesario estudiar el sistema en profundidad para llegar a este componente. Aunque es bastante fácil de encontrar si estás ejecutando Windows 7 o Vista de Windows. Abra el menú Inicio, active la barra de búsqueda e ingrese el comando "Ver eventos" En los resultados de la búsqueda, seleccione la primera línea y haga clic en ella.

El subprograma "Ver" aparecerá frente a usted. eventos" Este componente también se denomina complemento Ver. eventos" Antes de borrar " revista eventos", primero se debe abrir o crear (en algunos casos la opción para trabajar revista y discapacitados). para abrir revista y presione menú superior"Acción", en la lista del menú desplegable, seleccione "Abrir guardado revista».

En la ventana "Abrir guardado" que se abre revista"buscar el archivo" revista A eventos" Para encontrar rápidamente el archivo que necesita, utilice la barra lateral del Explorador. Vale la pena señalar que de forma predeterminada el sistema ofrece abrir varias extensiones, no cada una de las cuales corresponde revista Ud. En el cuadro de diálogo verá los siguientes formatos de archivo: evtx, evt y etl. extensión evtx – archivos eventos, extensión evt – archivos obsoletos eventos extensión etl - archivos revista y huellas.

Al seleccionar archivo requerido, haga clic en el botón "Abrir" en la esquina inferior derecha del cuadro de diálogo. Para eliminar un archivo abierto recientemente revista eventos, necesitas ir a tu revista Ud. Haga clic en el ícono del triángulo al lado de la carpeta Elementos guardados. revista s" en el lado izquierdo de la ventana, luego "Carpeta con archivos guardados revista amigo." Esta carpeta contendrá todo. revista s que fueron creados por el sistema.

Seleccionar revista eventos, frente al cual hay un icono de disquete. Haga clic derecho en el elemento seleccionado. De menú contextual seleccione "Eliminar". En la ventana que se abre, haga clic en "Sí" para confirmar la operación de eliminación.

El registro de eventos del sistema almacenado en una computadora remota o local solo se puede eliminar si tiene permiso para editar el registro. Con dicha eliminación, primero se borra el archivo con su contenido y luego todas las fuentes del registro.

necesitarás

  • - computadora;
  • - Habilidades de administración de sistemas.

Instrucciones

Inicie sesión con derechos de administrador. Para hacer esto necesitas tu usuario actual era miembro del grupo de “Administradores”, u obtenía la autoridad correspondiente mediante delegación. Si el ordenador está conectado, este procedimiento pueden ser realizados por miembros del grupo de Administradores de Dominio. Para garantizar la seguridad, utilice el comando "Ejecutar como".

Vaya al menú principal para eliminar eventos del registro, para ello haga clic en el botón “Inicio”, seleccione el comando “Panel de control”, haga doble clic en el icono “Administración”. En esta ventana, seleccione el icono "Visor de eventos" y haga doble clic en él, o presione el botón Enter.

Abra el Visor de eventos. En el árbol de esta consola, seleccione el registro que desea borrar. Vaya al menú "Acción", seleccione la opción "Borrar todos los eventos". Para guardar el registro antes de borrarlo, haga clic en el botón "Sí". Si el registro se guarda en un archivo, no se puede borrar de esta manera. Para borrar el registro, debe eliminar el archivo en el que está almacenado.

Eliminar entradas en el sistema operativo Windows 7 Para hacer esto, vaya al menú principal y seleccione “Panel de control”, luego seleccione la opción “Administración” de los componentes del panel. A continuación, seleccione el comando administrativo "Visor de eventos".

A continuación, abra la "Consola de administración MMC", para hacer esto, haga clic en el botón "Inicio", ingrese Mmc en el campo de búsqueda, presione Entrar. En el menú Consola, seleccione la opción Agregar o quitar complemento, o presione la combinación de teclas Ctrl+M. En el cuadro de diálogo, seleccione "Visor de eventos", haga clic en "Agregar", luego en "Finalizar" y "Aceptar".

Haga clic en Inicio, Ejecutar, escriba Eventvwr.msc. A continuación, vaya al menú "Acción" y seleccione "Borrar registro". Para guardar después de borrar, seleccione Guardar y borrar. Ingrese un nombre de archivo y haga clic en el botón "Guardar".

Vídeo sobre el tema.

Hoy en día, los sistemas operativos incluyen servicios especiales, mediante los cuales aplicación y programas del sistema Puede guardar datos sobre su trabajo en revistas especiales. Estos registros se denominan registros. Por razones de seguridad o para ahorrar espacio en disco, a veces es necesario borrar los registros.

necesitarás

  • - derechos de administrador o root en la máquina local.

Instrucciones

Seleccione la sección del registro de Windows que necesita limpiarse. Haga clic en el icono "Mi PC" en el escritorio y seleccione "Administrar..." en el menú contextual. O active el acceso directo "Administración de computadoras" ubicado en la carpeta "Administración" (puede acceder a él desde la ventana "Panel de control", abierta usando el elemento correspondiente en la sección "Configuración" del menú "Inicio"). Se iniciará la consola MMC.

En el árbol de Administración de equipos (local), expanda Utilidades y Visor de eventos. Seleccione elementos anidados y vea registros. Determine qué particiones deben limpiarse.

Windows 7 y Windows 10 monitorean constantemente el sistema para detectar situaciones inusuales o notables, como un servicio que no se ejecuta, la instalación de un dispositivo o un error de aplicación. Todas estas situaciones se denominan eventos y se registran en varios registros diferentes.

Por ejemplo, el Registro de aplicaciones almacena eventos relacionados con el funcionamiento de las aplicaciones, tanto programas del propio Windows 7 como de aplicaciones de terceros, y el Registro del sistema almacena eventos generados por sistema windows 7, 10 y componentes como controladores de dispositivos y servicios del sistema.

Cómo abrir el registro de eventos de Windows

Para abrir el registro de eventos en Windows, haga clic en el botón Comenzar ingresando la cadena en el campo de búsqueda visor de eventos y presionando la tecla<Ingresar>. La siguiente imagen muestra cómo se ve. pagina de inicio este complemento, que muestra el registro de eventos de Windows, una lista de nodos vistos recientemente y una variedad de acciones disponibles.

Ver el registro de eventos de Windows

El panel de la derecha ofrece tres secciones: Vistas personalizadas, Registros de Windows y Registros de aplicaciones y servicios.

La sección Vistas personalizadas enumera todos los tipos de eventos definidos en el sistema actual (que se analizan con más detalle un poco más adelante). Si realiza un filtrado en uno de los registros de eventos o crea una nueva vista de eventos, la nueva vista se guarda en esta sección.

La sección Registros de Windows muestra varias subsecciones, cuatro de las cuales representan los registros principales mantenidos por el propio sistema.

Los registros de eventos de la aplicación y del sistema deben verificarse periódicamente para detectar problemas existentes y advertencias de que puedan surgir problemas en el futuro. La seguridad de registros no es importante para los procedimientos de mantenimiento diarios. Sólo debe investigarlo si sospecha que se ha producido una violación de la seguridad informática, por ejemplo, para saber quién está iniciando sesión en el sistema.

El registro del sistema registra los errores del controlador del dispositivo, pero Windows 7 tiene otras herramientas que pueden ayudarle a investigar más fácilmente los problemas del dispositivo. Por ejemplo, Administrador de dispositivos, que muestra un icono para los dispositivos que tienen problemas y le permite ver una descripción de esos problemas abriendo las hojas de propiedades del dispositivo. También hay una utilidad Información del sistema (msinfo32.exe), que refleja información sobre todos los problemas con el equipo en las secciones Información del sistema > Recursos de hardware > Contención y uso compartido e información del sistema > Componentes > Dispositivos problemáticos.

Cuando selecciona un registro, aparece una lista de todos los eventos disponibles en ese registro en la ventana central, junto con información sobre la fecha y hora en que ocurrió cada evento, su origen, su tipo (Detalles, Advertencia o Error) y otros similares. información. A continuación se muestran los principales cambios y novedades de la interfaz. funcionalidad, que apareció en el Visor de eventos de Windows.

  • En el panel Área de visualización, los datos básicos del evento ahora se muestran en la pestaña General y ahora se muestran datos adicionales más específicos en la pestaña Detalles. Este panel se puede activar y desactivar seleccionando Ver área en el menú Ver.
  • Los datos del evento ahora se almacenan en formato XML. Puede ver su esquema seleccionando el interruptor Modo XML en la pestaña Detalles dentro del panel Área de visualización.
  • El comando Filtrar ahora le permite generar consultas en formato XML.
  • Al hacer clic en el enlace Crear vista personalizada ahora podrá crear una nueva vista basada en un registro de eventos específico, un tipo de evento específico, un ID de evento, etc.
  • Ahora puede vincular tareas a eventos haciendo clic primero en el evento de interés y luego en el enlace Vincular una tarea al evento y luego usando el asistente adecuado para crear la tarea requerida, lo que implica iniciar un programa o script, o enviar correo electrónico siempre que ocurra este evento.
  • Los eventos favoritos ahora se pueden guardar en el formato de archivo de eventos (.elf).

Las áreas de actividad más habituales, específicamente para las que se han creado productos de software especializados. 1s 8 online es contabilidad regulada, contabilidad comercial y de almacén, contabilidad de gestión y soluciones integrales.

La sección Registros de aplicaciones y servicios enumera los programas, características y servicios que admiten el formato de registro de eventos estándar, que es nuevo en Windows 7. Anteriormente, los registros de todos los elementos de esta sección se almacenaban en archivos separados. archivos de texto, al que no se podía acceder en versiones anteriores del complemento Visor de eventos excepto abriendo especialmente el archivo de registro.

Podría ser un servicio que no quiere iniciarse, la instalación de un dispositivo o un error de la aplicación. Los eventos se registran y almacenan en registros. Eventos de Windows y proporciona información histórica importante para ayudarle a monitorear su sistema, mantener la seguridad del sistema, solucionar errores y realizar diagnósticos. La información contenida en estos registros debe revisarse periódicamente. Debe monitorear periódicamente los registros de eventos y configurar su sistema operativo para guardar eventos importantes del sistema. Si es administrador de un servidor, debe monitorear la seguridad de sus sistemas, el funcionamiento normal de las aplicaciones y servicios, y también verificar el servidor en busca de errores que puedan afectar el rendimiento. Si eres usuario ordenador personal, entonces debe asegurarse de tener acceso a los registros apropiados que necesita para respaldar su sistema y solucionar errores.

El Visor de eventos es un complemento de Microsoft Management Console (MMC) que le permite ver y administrar registros de eventos. Esta es una herramienta indispensable para monitorear el rendimiento del sistema y solucionar problemas. El servicio que gestiona el registro de eventos se llama "Registro de eventos". Si se está ejecutando, Windows escribe datos importantes en los registros. Con el Visor de eventos, puede hacer lo siguiente:

Ver eventos de registros específicos;
Aplique filtros de eventos y guárdelos para usarlos más adelante como vistas personalizadas;
Crear y gestionar suscripciones a eventos;
Asigne acciones específicas a realizar cuando ocurra un evento específico.

Lanzamiento del Visor de eventos

Puede abrir el Visor de eventos de las siguientes maneras:
Haga clic en el botón "Inicio" para abrir el menú, abra "Panel de control", de la lista de componentes del panel de control seleccione "Herramientas administrativas" y de la lista de componentes administrativos debe seleccionar "Visor de eventos";
Abra "Consola de administración MMC". Para hacer esto, haga clic en el botón "Inicio", ingrese mmc en el campo de búsqueda y luego haga clic en el botón "Entrar". Se abrirá una consola MMC vacía. En el menú Consola, seleccione Agregar o quitar complemento o use el método abreviado de teclado Ctrl+M. En el cuadro de diálogo "Agregar y quitar complementos", seleccione el complemento "Visor de eventos" y haga clic en el botón "Agregar". Luego haga clic en el botón “Finalizar” y luego haga clic en el botón “Aceptar”;
Utilice la combinación de teclas WIN + R para abrir el cuadro de diálogo Ejecutar. En el cuadro de diálogo "Ejecutar", en el campo "Abrir", ingrese eventvwr.msc y haga clic en el botón "Aceptar" (agregaré por mi cuenta: ¿Por qué estos problemas? Simplemente presione INICIAR-BÚSQUEDA e ingrese estúpidamente EVENTO; INICIAR SESIÓN EN LETRAS RUSAS. Fije si es necesario a la barra de tareas y vea este registro.

Registros de eventos en Windows 7

En el sistema operativo, así como en Windows Vista, existen dos categorías de registros de eventos: registros y registros de aplicaciones y servicios. Registros: utilizados por el sistema operativo para registrar eventos de todo el sistema relacionados con el funcionamiento de las aplicaciones. componentes del sistema, seguridad y puesta en marcha. Y las aplicaciones y servicios utilizan los registros de aplicaciones y servicios para registrar eventos relacionados con su funcionamiento. Puede utilizar el Visor de eventos o un programa para administrar los registros de eventos. línea de comando wevtutil, que se discutirá en la segunda parte del artículo. Todos los tipos de registros se describen a continuación:
Aplicación: almacena eventos importantes asociados con una aplicación específica. Por ejemplo, Exchange Server almacena eventos relacionados con el reenvío de correo, incluidos eventos del almacén de información, buzones y ejecutar servicios. De forma predeterminada, se coloca en %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Seguridad- almacena eventos relacionados con la seguridad, como inicio/cierre de sesión del sistema, uso de privilegios y acceso a recursos. Por defecto se encuentra en %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Instalación- este registro registra eventos que ocurren durante la instalación y configuración Sistema operativo y sus componentes. De forma predeterminada, se encuentra en %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Sistema- almacena eventos del sistema operativo o sus componentes, como fallas al iniciar servicios o inicializar controladores, mensajes de todo el sistema y otros mensajes relacionados con el sistema en su conjunto. Por defecto se encuentra en %SystemRoot%\System32\Winevt\Logs\System.Evtx

Eventos reenviados- si está configurado el reenvío de eventos, este registro incluye eventos reenviados desde otros servidores. De forma predeterminada se coloca en %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx.

Explorador de Internet - este registro registra eventos que ocurren durante la instalación y el trabajo con navegador de internet Explorador. Por defecto se encuentra en %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

WindowsPowerShell- Este registro registra eventos relacionados con el uso de PowerShell. Por defecto se encuentra en %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Eventos de equipos- si está configurado el registro de eventos de hardware, los eventos generados por los dispositivos se registran en este registro. De forma predeterminada se coloca en %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx.

En Windows 7, la infraestructura que proporciona el registro de eventos se basa en XML, al igual que en Windows Vista. Los datos de cada evento corresponden a un esquema XML, lo que le permite acceder al código XML de cualquier evento. También puede crear consultas basadas en XML para recuperar datos de los registros. No se requieren conocimientos de XML para utilizar estas nuevas funciones. El Visor de eventos proporciona una interfaz gráfica sencilla para acceder a estas capacidades.

Propiedades del evento

Hay varias propiedades de eventos del Visor de eventos que se detallan a continuación:
La fuente es el programa que registró el evento. Puede ser el nombre de un programa (por ejemplo, "Exchange Server") o el nombre de un componente del sistema o una aplicación grande (por ejemplo, el nombre de un controlador). Por ejemplo, "Elnkii" significa controlador EtherLink II.

Código de evento es un número que identifica un tipo específico de evento. La primera línea de la descripción suele contener el nombre del tipo de evento. Por ejemplo, 6005 es el ID del evento que ocurre cuando se inicia el servicio de registro de eventos. En consecuencia, al comienzo de la descripción de este evento aparece la línea "Se ha iniciado el servicio de registro de eventos". El equipo de soporte puede utilizar el código del evento y el nombre de la fuente de grabación. producto de software para solucionar problemas.

Nivel- este es el nivel de importancia del evento. En los registros del sistema y de las aplicaciones, los eventos pueden tener los siguientes niveles de gravedad:

Notificación- denota un cambio en una aplicación o componente, como la aparición de un evento de información asociado con una acción exitosa, la creación de un recurso o el inicio de un servicio.
Advertencia- indica una advertencia general sobre un problema que podría afectar el servicio o provocar un problema más grave si no se atiende;
Error- indica que ha ocurrido un problema que puede afectar funciones externas a la aplicación o componente que causó el evento;
error crítico- indica que ha ocurrido una falla de la cual la aplicación o componente que inició el evento no puede recuperarse automáticamente;
Auditoría de éxitos- ejecución exitosa de acciones que usted monitorea mediante auditoría, como el uso de un privilegio;
Auditoría de fallas- no realizar acciones que usted monitorea mediante auditoría, como un error al iniciar sesión en el sistema.
Usuario- define la cuenta de usuario en cuyo nombre ocurrió este evento. Los usuarios incluyen entidades especiales como servicio local, servicio de red e inicio de sesión anónimo, así como cuentas de usuario reales. Este nombre es el identificador del cliente si el proceso del servidor realmente generó el evento, o el identificador principal si no se realiza ninguna suplantación. En algunos casos, la entrada del registro de seguridad contiene ambos ID. Este campo también puede contener N/A (N/A), si se encuentra en esta situación cuenta no aplicable. La suplantación ocurre en los casos en que un servidor permite que un proceso asuma los atributos de seguridad de otro proceso.

código de trabajo- contiene un valor numérico que identifica la operación o el punto dentro de la operación durante el cual ocurrió este evento. Por ejemplo, inicialización o cierre.

Revista- el nombre del registro en el que se registró este evento.

Categoría y tareas- define una categoría de evento, a veces utilizada para describir posteriormente una acción válida. Cada fuente de eventos tiene sus propias categorías. Por ejemplo, las siguientes categorías: inicio/cierre de sesión, privilegios de uso, políticas de cambio y administración de cuentas.

Palabras clave es un conjunto de categorías o etiquetas que se pueden utilizar para filtrar o buscar eventos. Por ejemplo: "Red", "Seguridad" o "Recurso no encontrado".

Computadora- identifica el nombre de la computadora en la que ocurrió el evento. Generalmente este es el nombre computadora local, pero también podría ser el nombre de la computadora que reenvió el evento o el nombre de la computadora local antes de que se cambiara.

Fecha y hora- determina la fecha y hora de aparición de este evento en el registro.

ID de proceso- representa el número de identificación del proceso que generó el evento. programa de computadora Representa sólo un conjunto pasivo de instrucciones, mientras que un proceso es la ejecución directa de estas instrucciones.

ID del hilo- representa el número de identificación del hilo que generó el evento. Un proceso generado en un sistema operativo puede constar de varios subprocesos que se ejecutan "en paralelo", es decir, sin un orden preestablecido en el tiempo. Al realizar algunas tareas, dicha división puede lograr un uso más eficiente de los recursos informáticos.

ID del procesador- representa el número de identificación del procesador que procesó el evento.

código de sesión es el número de identificación de sesión en el servidor terminal en el que ocurrió el evento.

Tiempo de funcionamiento en modo kernel- define el tiempo dedicado a ejecutar instrucciones en modo kernel, en unidades de tiempo de CPU. El modo kernel tiene acceso ilimitado a memoria del sistema y dispositivos externos. El núcleo del sistema NT se denomina núcleo híbrido o macronúcleo.

Tiempo de funcionamiento en modo usuario- define el tiempo dedicado a ejecutar instrucciones en modo usuario, en unidades de tiempo de CPU. El modo de usuario consta de subsistemas que pasan solicitudes de E/S al controlador del modo kernel apropiado a través del administrador de E/S.

carga de CPU es el tiempo dedicado a ejecutar instrucciones en modo usuario, en ticks de CPU.

Código de correlación: identifica la acción en el proceso para el cual se utiliza el evento. Este código se utiliza para especificar relaciones simples entre eventos. La correlación es una relación estadística entre dos o más variables aleatorias(o cantidades que puedan considerarse como tales con algún grado aceptable de precisión). En este caso, los cambios en una o más de estas cantidades conducen a un cambio sistemático en otra u otras cantidades.

ID de correlación relativa- define la acción relativa en el proceso para el cual se utiliza el evento

Trabajar con registros de eventos:

Visor de eventos
Para ver los eventos del registro de la aplicación, siga estos pasos:
En el árbol de la consola, seleccione "Registros de Windows";
Seleccione la revista Aplicaciones.

Es una buena idea revisar los registros de eventos del sistema y de la aplicación con frecuencia para buscar problemas y advertencias existentes que puedan indicar problemas futuros. Cuando selecciona un registro, la ventana del medio muestra los eventos disponibles, incluida la fecha, hora y fuente del evento, el nivel del evento y otros detalles.

El Panel de visualización muestra datos de eventos básicos en la pestaña General y datos de eventos específicos adicionales en la pestaña Detalles. Puede activar y desactivar este panel seleccionando el menú Ver y luego Ventana gráfica.

Para sistemas críticos, se recomienda mantener registros que se remontan a varios meses. Por regla general, resulta inconveniente asignar un tamaño a las revistas todo el tiempo para que quepa toda la información en ellas, este problema se puede solucionar de otra forma; Puede exportar registros a archivos ubicados en una carpeta específica. Para guardar el registro seleccionado, siga estos pasos:

En el árbol de la consola, seleccione el registro de eventos que desea guardar;
Seleccione el comando "Guardar eventos como" del menú "Acción" o seleccione el comando "Guardar todos los eventos como" del menú contextual del registro;
En el cuadro de diálogo "Guardar como" que aparece, seleccione la carpeta en la que desea guardar el archivo. Si necesita guardar el archivo en una nueva carpeta, puede crearlo directamente desde este cuadro de diálogo usando el menú contextual o el botón "Nueva carpeta" en la barra de acciones. En el campo "Tipo de archivo", debe seleccionar el formato de archivo deseado entre los disponibles: archivos de eventos - *.evtx, archivo xml - *.xml, texto delimitado por tabulaciones - *.txt, csv separado por comas - * .csv. En el campo "Nombre de archivo", ingrese un nombre y haga clic en el botón "Guardar". Para cancelar el guardado, haga clic en el botón “Cancelar”;
Si el registro de eventos no está destinado a ser visto en otra computadora, en el cuadro de diálogo "Mostrar información", deje la opción predeterminada "No mostrar información", y si el registro está destinado a ser visto en otra computadora, entonces en el Cuadro de diálogo "Mostrar información" " seleccione la opción "Mostrar información para los siguientes idiomas" y haga clic en el botón "Aceptar".

Borrar el registro de eventos

A veces es necesario borrar todos los registros de eventos para garantizar un análisis eficaz de las alertas y errores críticos Sistema operativo. Para borrar el registro seleccionado, siga estos pasos:
En el árbol de la consola, seleccione el registro de eventos que desea borrar;
Borre el registro utilizando uno de los siguientes métodos:
En el menú Acción, seleccione Borrar registro

Haga clic derecho en el registro seleccionado para abrir el menú contextual. En el menú contextual, seleccione "Borrar registro"
A continuación, puede borrar el registro o archivarlo si no lo ha hecho anteriormente:
Para borrar el registro de eventos sin guardar, haga clic en el botón "Borrar";
Para borrar el registro de eventos después de guardarlo, haga clic en el botón "Guardar y borrar". En el cuadro de diálogo "Guardar como" que aparece, seleccione la carpeta en la que desea guardar el archivo. Si necesita guardar el archivo en una nueva carpeta, puede crearlo directamente desde este cuadro de diálogo usando el menú contextual o el botón "Nueva carpeta" en la barra de acciones. En el campo "Nombre de archivo", ingrese un nombre y haga clic en el botón "Guardar". Para cancelar el guardado, haga clic en el botón "Cancelar".

Establecer el tamaño máximo de registro

Como se mencionó anteriormente, los registros de eventos se almacenan como archivos en la carpeta %SystemRoot%\System32\Winevt\Logs\. Por defecto, el tamaño máximo de estos archivos es limitado, pero puedes cambiarlo de la siguiente manera:


Seleccione Propiedades en el menú Acción o en el menú contextual del registro seleccionado.

En el campo "Tamaño máximo de registro (KB)", establezca el valor requerido usando un contador o configúrelo manualmente sin usar un contador. En este caso, el valor se redondeará al múltiplo de 64 KB más cercano porque el tamaño del archivo de registro debe ser un múltiplo de 64 KB y no puede ser inferior a 1024 KB.
Los eventos se almacenan en un archivo de registro que solo puede crecer hasta un tamaño máximo especificado. Una vez que el archivo alcance su tamaño máximo, la política de retención de registros determinará el procesamiento de los eventos entrantes. Las siguientes políticas de retención de registros están disponibles:
Vuelva a escribir los eventos si es necesario (primero los archivos antiguos); en este caso, se seguirán ingresando nuevas entradas en el registro una vez que esté lleno. Cada nuevo evento reemplaza al más antiguo del registro;

Archive el registro cuando esté lleno; no sobrescriba los eventos; en este caso, el archivo de registro se archiva automáticamente si es necesario. Los eventos obsoletos no se sobrescriben.

No sobrescriba eventos (borre el registro manualmente); en este caso, el registro se borra manualmente y no automáticamente.

Para seleccionar la política de retención de registros deseada, siga estos pasos:

En el árbol de la consola, seleccione el registro de eventos cuyo tamaño desea cambiar;
Seleccione el comando "Propiedades" del menú "Acción" o del menú contextual del registro seleccionado;
En la pestaña "General", en la sección "Cuando se alcance el tamaño máximo", seleccione la opción requerida y haga clic en el botón "Aceptar".
Activar el registro analítico y de depuración

Los registros analíticos y de depuración están inactivos de forma predeterminada. Una vez activados, se llenan rápidamente con una gran cantidad de eventos. Por este motivo, es recomendable habilitar estos registros durante un período de tiempo limitado para recopilar los datos necesarios para la resolución de problemas y luego deshabilitarlos nuevamente. Puede activar registros de la siguiente manera:

En el árbol de la consola, busque y seleccione el registro analítico o de depuración que desea activar;
Seleccione el comando "Propiedades" del menú "Acción" o del menú contextual del registro analítico o de depuración seleccionado;
En la pestaña "General", marque la opción "Habilitar registro"

Abrir y cerrar un diario guardado

Puede utilizar el Visor de eventos para abrir y ver registros guardados previamente. Puede abrir varios registros guardados al mismo tiempo y acceder a ellos en cualquier momento en el árbol de la consola. Un registro abierto en el Visor de eventos se puede cerrar sin eliminar la información que contiene. Para abrir un registro guardado, siga estos pasos:

Seleccione el comando "Abrir registro guardado" del menú "Acción" o del menú contextual en el árbol de la consola;
En el cuadro de diálogo Abrir registro guardado, navegue por el árbol de directorios para abrir la carpeta que contiene el archivo que desea. De forma predeterminada, el cuadro de diálogo mostrará todos los archivos de registro de eventos. Además, al abrir, puede seleccionar el tipo de archivos que desea mostrar en el cuadro de diálogo de apertura. Los tipos de archivos disponibles son archivos de registro de eventos (*.evtx, *.evt, *.etl), así como archivos de eventos (*.evtx), archivos de eventos heredados (*.evt) o archivos de registro de seguimiento (*.etl). . Una vez que haya encontrado el archivo de registro deseado, selecciónelo haciendo clic izquierdo sobre él, lo que colocará su nombre en el campo de nombre del archivo y haga clic en el botón "Abrir".

En el cuadro de diálogo "Abrir registro guardado", en el campo "Nombre", ingrese un nuevo nombre que se usará para el registro en el árbol de la consola. Se utiliza únicamente para mostrar el registro en el árbol de la consola y no cambia el nombre del archivo de registro. También puede utilizar un nombre de archivo de registro existente. En el campo Descripción, ingrese una descripción del registro. Se mostrará en el área central cuando se seleccione la carpeta de registro principal en el árbol de la consola;
Para crear una carpeta en la que se ubicará el registro guardado, haga clic en el botón "Crear carpeta". En el campo Nombre, ingrese el nombre de la carpeta en la que se ubicará el diario abierto y luego haga clic en Aceptar. Si no se selecciona ninguna carpeta principal, nueva carpeta se ubicará en la carpeta "Registros guardados"

Para que el registro de eventos abierto sea inaccesible para otros usuarios de computadoras, puede desmarcar la casilla de verificación "Todos los usuarios". Si esta casilla de verificación permanece activa, el registro abierto estará disponible para todos los usuarios, pero se requerirán derechos de administrador para eliminarlo del árbol de la consola;
Para abrir el registro, haga clic en el botón "Aceptar".
Para eliminar un registro abierto de su árbol de eventos, siga estos pasos:

En el árbol de la consola, seleccione el registro que desea eliminar;
Seleccione Eliminar en el menú Acción o en el menú contextual del registro seleccionado.

En el cuadro de diálogo "Visor de eventos", haga clic en el botón "Sí".

Conclusión

Esta parte del artículo, dedicada al complemento Visor de eventos, describe el complemento en sí y describe en detalle las operaciones más simples asociadas con el monitoreo y mantenimiento del sistema utilizando el Visor de eventos.

Problemas 

También te puede gustar