Uy
Muammolar 
Windows jurnallarini masofadan o'qish mumkinmi? Windows Vista-da voqealarni ko'rish dasturi

Windows jurnallarini masofadan o'qish mumkinmi? Windows Vista-da voqealarni ko'rish dasturi

Hammaga salom, mavzu Windows jurnallarini qanday ko'rish haqida. O'ylaymanki, hamma jurnallar nima ekanligini biladi, lekin agar siz to'satdan yangi boshlovchi bo'lsangiz, u holda jurnallar Windows va Linux operatsion tizimida sodir bo'ladigan tizim hodisalari bo'lib, nima, qaerda va qachon sodir bo'lganligini va buni kim qilganligini kuzatishga yordam beradi. Har qanday tizim administratori Windows jurnallarini o'qiy olishi kerak.

Haqiqiy hayotdan misol, IBM serverlaridan birida disk ishlamay qolgan vaziyat texnik yordam Muammoni aniqlashlari uchun men server jurnallarini to'pladim. Voqealarni ko'rish xizmati Windows-da jurnallarni yig'ish va yozish uchun javobgardir. Voqealarni ko'rish dasturi tizim jurnallarini olish uchun qulay vositadir.

Voqealar ko'rish dasturida qanday ochish mumkin

Voqealar ko'rish dasturiga juda sodda tarzda kirishingiz mumkin, har biriga mos keladi Windows versiyalari. Sehrli tugmalarni bosing

Win + R va eventvwr.msc-ni kiriting

Windows Voqealar ko'rish oynasi ochiladi, unda siz Windows jurnallari elementini kengaytirishingiz kerak. Keling, har bir jurnalni ko'rib chiqaylik.

Jurnal ilovasi kompyuteringizdagi dasturlarga tegishli yozuvlarni o'z ichiga oladi. Jurnal dastur ishga tushirilganda yoziladi, agar u xato bilan ishga tushirilgan bo'lsa, u bu erda ham aks etadi.

Kim va qachon nima qilganini tushunish uchun audit jurnali kerak. Masalan, tizimga kirgan yoki tizimdan chiqqan, kirishga harakat qildi. Barcha muvaffaqiyat yoki muvaffaqiyatsizlik tekshiruvlari bu erda yozilgan.

O'rnatish elementi nima o'rnatilganligi va qachon, masalan, dasturlar yoki yangilanishlar haqida Windows jurnallarini yozib oladi.

Eng muhim jurnal - bu tizim. Bu erda barcha kerakli va muhim narsalar yozilgan. Misol uchun, sizda ko'k ekran bsod bor edi va bu erda yozilgan ushbu xabarlar uning sababini aniqlashga yordam beradi.

Bundan tashqari, DHCP yoki DNS kabi aniqroq xizmatlar uchun Windows jurnallari mavjud. Voqeani ko'rish dasturi hamma narsani kesadi :).

Aytaylik, sizda Xavfsizlik jurnalida milliondan ortiq voqealar mavjud bo'lsa, siz darhol filtrlash bormi degan savolni berishingiz mumkin, chunki ularning barchasini ko'rish masochizmdir. Bu hodisani ko'rish vositasida taqdim etilgan windows jurnallari faqat kerakli narsalarni qoldirib, qulay tarzda filtrlanishi mumkin; Harakatlar maydonining o'ng tomonida Joriy jurnalni filtrlash tugmasi mavjud.

Sizdan hodisa darajasini belgilash so'raladi:

  • Tanqidiy
  • Xato
  • Ogohlantirish
  • Intellekt
  • Tafsilotlar

Bularning barchasi qidiruv vazifasiga bog'liq bo'lsa, agar siz xatolarni qidirsangiz, boshqa turdagi xabarlarda hech qanday nuqta yo'q. Keyinchalik, hodisani ko'rish qidiruvi doirasini toraytirish uchun siz kerakli voqea manbasini va kodini belgilashingiz mumkin.

Shunday qilib, siz ko'rib turganingizdek, Windows jurnallarini tahlil qilish juda oddiy, biz qidiramiz, topamiz, hal qilamiz. Foydali ham bo'lishi mumkin tez tozalash Windows jurnallari:

Windows PowerShell jurnallarini ko'rish

Agar PowerShell jurnal fayllarini ko'rsata olmasa, PowerShell-ni oching va quyidagi buyruqni kiriting

Get-EventLog - "Tizim" log nomi

Natijada siz tizim jurnallari ro'yxatini olasiz

Xuddi shu narsani boshqa jurnallar uchun ham qilish mumkin, masalan, Ilovalar

Get-EventLog -Logname "Ilova"

qisqartmalarning kichik ro'yxati

  • Voqea kodi - EventID
  • Kompyuter - MachineName
  • Voqea tartib raqami - Ma'lumotlar, indeks
  • Vazifalar toifasi - Kategoriya
  • Kategoriya kodi - CategoryNumber
  • Daraja - kirish turi
  • Voqea xabari - Xabar
  • Manba - Manba
  • Voqeani yaratish sanasi - ReplacementString, InstanceID, TimeGenerated
  • Voqea qayd etilgan sana - TimeWritten
  • Foydalanuvchi - foydalanuvchi nomi
  • Veb-sayt
  • Bo'lim - konteyner

Ko'rsatmalar

Mavzu bo'yicha video

Ko'pincha operatsion tizim foydalanuvchilari "" dan foydalanadilar. jurnal voqealar" Ushbu dastur tizimdagi nosozliklar, xatolar va muammolarni kuzatish imkonini beradi. Ushbu vositadan foydalanib, siz funksionallik uchun diagnostika testlarini o'tkazishingiz mumkin, ammo ba'zi hollarda bu kerak emas, shuning uchun uni qo'shimcha komponent sifatida olib tashlash kerak.

Sizga kerak bo'ladi

  • Voqealarni ko'rish ilovasi bilan ishlash.

Ko'rsatmalar

Borliq haqida jurnal A voqealar Windows operatsion tizimi haqida hamma foydalanuvchilar bilmaydi. Aytishimiz mumkinki, ushbu komponentga o'tish uchun tizimni chuqur o'rganish kerak. Garchi siz Windows 7 yoki operatsion tizimda ishlayotganingizni topish juda oson Windows Vista. Boshlash menyusini oching, qidiruv panelini faollashtiring va "Ko'rish" buyrug'ini kiriting voqealar" Qidiruv natijalarida birinchi qatorni tanlang va ustiga bosing.

Sizning oldingizda "Ko'rish" ilovasi paydo bo'ladi. voqealar" Ushbu komponent shuningdek View qo'shimcha elementi deb ataladi. voqealar" Yo'q qilishdan oldin " jurnal voqealar", u avval ochilishi yoki yaratilishi kerak (ba'zi hollarda ishlash uchun variant jurnal va nogiron). Ochish uchun jurnal va bosing yuqori menyu"Harakat" ochiladigan menyu ro'yxatidan "Saqlanganlarni ochish" -ni tanlang jurnal».

Ochilgan "Saqlanganlarni ochish" oynasida jurnal"faylni toping" jurnal A voqealar" Kerakli faylni tezda topish uchun Explorer yon panelidan foydalaning. Shuni ta'kidlash kerakki, tizim sukut bo'yicha bir nechta kengaytmalarni ochishni taklif qiladi, ularning har biri mos kelmaydi jurnal u. Muloqot oynasida siz quyidagi fayl formatlarini ko'rasiz - evtx, evt va etl. evtx kengaytmasi - fayllar voqealar, evt kengaytmasi - eskirgan fayllar voqealar etl kengaytmasi - fayllar jurnal va izlar.

Tanlash orqali kerakli fayl, dialog oynasining pastki o'ng burchagidagi "Ochish" tugmasini bosing. Yaqinda ochilganni o'chirish uchun jurnal voqealar, o'zingizga borishingiz kerak jurnal u. Saqlangan elementlar papkasi yonidagi uchburchak belgisini bosing jurnal s" oynaning chap tomonida, keyin "Saqlangan papka jurnal ami." Ushbu papkada hamma narsa bo'ladi jurnal lar tizim tomonidan yaratilgan.

Tanlang jurnal voqealar, uning qarshisida floppi disk belgisi mavjud. Tanlangan elementni sichqonchaning o'ng tugmasi bilan bosing. Kimdan kontekst menyusi"O'chirish" ni tanlang. Ochilgan oynada o'chirish operatsiyasini tasdiqlash uchun "Ha" tugmasini bosing.

Masofaviy yoki mahalliy kompyuterda saqlangan tizim hodisalari jurnalini faqat ro'yxatga olish kitobini tahrirlash uchun ruxsatingiz bo'lsa, o'chirib tashlashingiz mumkin. Bunday o'chirish bilan avval uning mazmuni bilan fayl, so'ngra registrdagi barcha manbalar o'chiriladi.

Sizga kerak bo'ladi

  • - kompyuter;
  • - tizim boshqaruvi qobiliyatlari.

Ko'rsatmalar

Administrator huquqlari bilan tizimga kiring. Buni amalga oshirish uchun sizga kerak joriy foydalanuvchi“Administratorlar” guruhining a’zosi bo‘lgan yoki delegatsiya orqali tegishli vakolatga ega bo‘lgan. Agar kompyuter ulangan bo'lsa, ushbu protsedura Domen ma'murlari guruhi a'zolari tomonidan amalga oshirilishi mumkin. Xavfsizlikni ta'minlash uchun "Boshqa ishga tushirish" buyrug'idan foydalaning.

Jurnaldan voqealarni o'chirish uchun asosiy menyuga o'ting, buning uchun "Ishga tushirish" tugmasini bosing, "Boshqarish paneli" buyrug'ini tanlang, "Ma'muriyat" belgisini ikki marta bosing. Ushbu oynada "Voqeani ko'rish" belgisini tanlang va ustiga ikki marta bosing yoki Enter tugmasini bosing.

Voqealar ko'rish dasturini oching. Ushbu konsolning daraxtida tozalamoqchi bo'lgan jurnalni tanlang. "Harakat" menyusiga o'ting, "Barcha voqealarni o'chirish" opsiyasini tanlang. Tozalashdan oldin jurnalni saqlash uchun "Ha" tugmasini bosing. Agar jurnal faylga saqlangan bo'lsa, uni shu tarzda o'chirib bo'lmaydi. Jurnalni tozalash uchun u saqlangan faylni o'chirishingiz kerak.

Windows 7 operatsion tizimidagi yozuvlarni o'chiring, buning uchun asosiy menyuga o'ting va "Boshqarish paneli" ni tanlang, so'ngra panel komponentlaridan "Ma'muriyat" ni tanlang. Keyin, "Voqeani ko'rish" ma'muriy buyrug'ini tanlang.

Keyin, "MMC Management Console" ni oching, buning uchun "Ishga tushirish" tugmasini bosing, qidiruv maydoniga Mmc ni kiriting, Enter tugmasini bosing. Konsol menyusidan Qo'shish yoki o'chirish-ni tanlang yoki Crtl + M tugmalar birikmasini bosing. Muloqot oynasida "Voqeani ko'rish vositasi" ni tanlang, "Qo'shish", so'ng "Finish" va "OK" ni bosing.

Start, Run tugmasini bosing, Eventvwr.msc yozing. Keyin, "Harakat" menyusiga o'ting va "Jurnalni tozalash" ni tanlang. Tozalashdan keyin saqlash uchun Saqlash va tozalash-ni tanlang. Fayl nomini kiriting va "Saqlash" tugmasini bosing.

Mavzu bo'yicha video

Bugungi kunda operatsion tizimlar maxsus xizmatlarni o'z ichiga oladi, qaysi dastur yordamida va tizim dasturlari ishi haqidagi ma’lumotlarni maxsus jurnallarda saqlashi mumkin. Bunday jurnallar jurnallar deb ataladi. Xavfsizlik nuqtai nazaridan yoki diskda bo'sh joyni tejash uchun ba'zan jurnallarni tozalash kerak bo'ladi.

Sizga kerak bo'ladi

  • - mahalliy mashinada administrator yoki ildiz huquqlari.

Ko'rsatmalar

Tozalash kerak bo'lgan Windows jurnali bo'limini tanlang. Ish stolidagi "Mening kompyuterim" belgisini bosing va kontekst menyusidan "Boshqarish ..." ni tanlang. Yoki "Ma'muriyat" papkasida joylashgan "Kompyuterni boshqarish" yorlig'ini faollashtiring (siz unga "Ishga tushirish" menyusining "Sozlamalar" bo'limidagi tegishli element yordamida ochilgan "Boshqarish paneli" oynasidan o'tishingiz mumkin). MMC konsoli ishga tushadi.

Kompyuter boshqaruvi (Mahalliy) daraxtida Utilitalar va Voqealarni ko'rish dasturini kengaytiring. Ichki elementlarni tanlang va jurnallarni ko'ring. Qaysi qismlarni tozalash kerakligini aniqlang.

Windows 7 va Windows 10 har qanday noodatiy yoki e'tiborga molik holatlar, masalan, xizmat ishlamayotganligi, qurilma o'rnatilishi yoki dastur xatosi uchun tizimni doimiy ravishda kuzatib boradi. Bu holatlarning barchasi voqealar deb ataladi va bir nechta turli jurnallarda qayd etiladi.

Masalan, Ilovalar jurnali ilovalarning ishlashi bilan bog'liq voqealarni, Windows 7 ning o'zi va uchinchi tomon dasturlarini saqlaydi va tizim jurnali tomonidan yaratilgan voqealarni saqlaydi. Windows tizimi 7, 10 va qurilma drayverlari va tizim xizmatlari kabi komponentlar.

Windows voqealar jurnalini qanday ochish kerak

Windows-da voqealar jurnalini ochish uchun tugmani bosing Boshlash qidiruv maydoniga qatorni kiritish orqali voqea tomoshabin va tugmani bosing<Kirish>. Quyidagi rasmda uning qanday ko'rinishi ko'rsatilgan bosh sahifa Windows voqealar jurnalini, yaqinda ko'rilgan tugunlar ro'yxatini va turli mavjud amallarni ko'rsatadigan ushbu qo'shimcha qurilma.

Windows voqealar jurnalini ko'rish

O'ngdagi panel uchta bo'limni taklif qiladi: Maxsus ko'rinishlar, Windows jurnallari va ilovalar va xizmatlar jurnallari.

Maxsus ko'rinishlar bo'limida joriy tizimda belgilangan barcha hodisa turlari ro'yxati keltirilgan (bular biroz keyinroq batafsil muhokama qilinadi). Agar siz hodisa jurnallaridan birida filtrlashni amalga oshirsangiz yoki yangi hodisa ko'rinishini yaratsangiz, yangi ko'rinish ushbu bo'limda saqlanadi.

Windows jurnallari bo'limi bir nechta kichik bo'limlarni ko'rsatadi, ulardan to'rttasi tizimning o'zi tomonidan yuritiladigan asosiy jurnallarni ifodalaydi.

Ilova va tizim hodisalari jurnallarida mavjud muammolar va kelajakda yuzaga kelishi mumkin bo'lgan muammolar haqida ogohlantirishlar uchun muntazam ravishda tekshirilishi kerak. Kundalik texnik xizmat ko'rsatish protseduralari uchun jurnal xavfsizligi muhim emas. Masalan, tizimga kim kirayotganini bilish uchun kompyuter xavfsizligi buzilishidan shubhalansangizgina buni ko'rib chiqishingiz kerak.

Tizim jurnali qurilma drayveri xatolarini qayd qiladi, ammo Windows 7 da qurilma muammolarini osonroq tekshirishga yordam beradigan boshqa vositalar mavjud. Masalan, muammoga duch kelgan qurilmalar uchun belgini ko'rsatadigan va qurilma xususiyatlari varaqlarini ochish orqali ushbu muammolar tavsifini ko'rish imkonini beruvchi Qurilma menejeri. Bundan tashqari, yordamchi dastur mavjud Tizim ma'lumotlari (Msinfo32.exe), bo'limlarda jihozlar bilan bog'liq barcha muammolar haqidagi ma'lumotlarni aks ettiradi Tizim ma'lumotlari > Uskuna resurslari > Qarama-qarshilik va almashish va tizim ma'lumotlari > Komponentlar > Muammoli qurilmalar.

Jurnalni tanlaganingizda, markaziy oynada ushbu jurnaldagi barcha mavjud voqealar ro'yxati, shuningdek, har bir voqea sodir bo'lgan sana va vaqt, uning manbai, turi (Tafsilotlar, ogohlantirish yoki xato) va boshqa shunga o'xshash ma'lumotlar paydo bo'ladi. ma'lumot. Quyida asosiy interfeys o'zgarishlari va yangilari keltirilgan funksionallik, Windows-dagi Voqealarni ko'rish dasturida paydo bo'ldi.

  • Ko'rish maydoni panelida asosiy voqea ma'lumotlari endi "Umumiy" yorlig'ida, qo'shimcha, aniqroq ma'lumotlar esa "Tafsilotlar" yorlig'ida ko'rsatiladi. Ushbu panelni Ko'rish menyusidan Ko'rish maydonini tanlash orqali yoqish va o'chirish mumkin.
  • Hodisa ma'lumotlari endi XML formatida saqlanadi. Koʻrish maydoni panelidagi “Tafsilotlar” yorligʻida XML rejimini oʻzgartirish tugmachasini tanlash orqali ularning sxemasini koʻrishingiz mumkin.
  • Filtr buyrug'i endi so'rovlarni XML formatida yaratishga imkon beradi.
  • “Maxsus koʻrinish yaratish” havolasini bosish endi maʼlum bir voqea jurnali, muayyan hodisa turi, hodisa identifikatori va hokazolar asosida yangi koʻrinish yaratish imkonini beradi.
  • Endi siz vazifalarni voqealarga bog‘lashingiz mumkin, bunda avval qiziqish uyg‘otadigan hodisani, so‘ngra “Vazifani hodisaga bog‘lash” havolasini bosish orqali, so‘ngra dastur yoki skriptni ishga tushirish yoki jo‘natishni o‘z ichiga olgan kerakli vazifani yaratish uchun tegishli sehrgardan foydalaning. elektron pochta bu hodisa sodir bo'lganda.
  • Sevimli voqealar endi Voqealar fayli formatida (.elf) saqlanishi mumkin.

Faoliyatning eng keng tarqalgan yo'nalishlari, xususan, ular uchun maxsus dasturiy mahsulotlar yaratilgan. 1s 8 onlayn tartibga solinadigan buxgalteriya hisobi, savdo va ombor hisobi, boshqaruv hisobi va kompleks echimlar.

Ilovalar va xizmatlar jurnallari bo'limida Windows 7 da yangi bo'lgan standart hodisalar jurnali formatini qo'llab-quvvatlaydigan dasturlar, xususiyatlar va xizmatlar ro'yxati keltirilgan. Ilgari ushbu bo'limdagi barcha elementlar uchun jurnallar alohida saqlanadi. matnli fayllar, Voqealar ko'rish dasturining eski versiyalarida kirish mumkin emas edi, bundan tashqari jurnal faylini maxsus ochishdan tashqari.

Bu ishga tushirishni istamaydigan xizmat, qurilma o'rnatilishi yoki dastur xatosi bo'lishi mumkin. Voqealar qayd qilinadi va jurnallarda saqlanadi Windows voqealari va tizimingizni kuzatish, tizim xavfsizligini ta'minlash, xatolarni bartaraf etish va diagnostika qilishda yordam beradigan muhim tarixiy ma'lumotlarni taqdim eting. Ushbu jurnallardagi ma'lumotlar muntazam ravishda ko'rib chiqilishi kerak. Siz muntazam ravishda voqealar jurnallarini kuzatib borishingiz va muhim tizim voqealarini saqlash uchun operatsion tizimingizni sozlashingiz kerak. Agar siz server ma'muri bo'lsangiz, unda siz ularning tizimlarining xavfsizligini, ilovalar va xizmatlarning normal ishlashini kuzatishingiz kerak, shuningdek, serverda ishlashga putur etkazadigan xatolar mavjudligini tekshirishingiz kerak. Agar foydalanuvchi bo'lsangiz shaxsiy kompyuter, keyin tizimingizni qo'llab-quvvatlash va xatolarni bartaraf etish uchun kerak bo'lgan tegishli jurnallarga kirish huquqiga ega ekanligingizga ishonch hosil qilishingiz kerak.

Voqealarni ko'rish vositasi - bu Microsoft boshqaruv konsoli (MMC) qo'shimchasi bo'lib, u sizga voqealar jurnallarini ko'rish va boshqarish imkonini beradi. Bu tizimning ishlashini kuzatish va muammolarni bartaraf etish uchun ajralmas vositadir. Voqealar jurnalini boshqaradigan xizmat "Voqealar jurnali" deb ataladi. Agar u ishlayotgan bo'lsa, Windows muhim ma'lumotlarni jurnallarga yozadi. Voqealar ko'rish dasturidan foydalanib, quyidagilarni amalga oshirishingiz mumkin:

Muayyan jurnallardan voqealarni ko'rish;
Voqea filtrlarini qo'llang va ularni keyinchalik maxsus ko'rinishlar sifatida ishlatish uchun saqlang;
Tadbir obunalarini yaratish va boshqarish;
Muayyan hodisa sodir bo'lganda bajarilishi kerak bo'lgan aniq harakatlarni belgilang.

Voqealar ko'rish dasturi ishga tushirilmoqda

Voqealar ko'rish dasturini quyidagi yo'llar bilan ochishingiz mumkin:
Menyuni ochish uchun "Ishga tushirish" tugmasini bosing, "Boshqarish paneli" ni oching, boshqaruv paneli komponentlari ro'yxatidan "Ma'muriy asboblar" ni tanlang va ma'muriy komponentlar ro'yxatidan "Voqeani ko'rish" ni tanlang;
"MMC Management Console" ni oching. Buning uchun "Ishga tushirish" tugmasini bosing, qidiruv maydoniga mmc kiriting va keyin "Kirish" tugmasini bosing. Bo'sh MMC konsoli ochiladi. Konsol menyusidan Qo'shish yoki o'chirish-ni tanlang yoki Ctrl + M klaviatura yorliqlaridan foydalaning. "Qo'shimcha elementlarni qo'shish va o'chirish" dialog oynasida "Voqealar ko'rish vositasi" qo'shimchasini tanlang va "Qo'shish" tugmasini bosing. Keyin "Finish" tugmasini bosing va keyin "OK" tugmasini bosing;
Run dialog oynasini ochish uchun WIN + R tugmalar birikmasidan foydalaning. “Ishga tushirish” muloqot oynasidagi “Ochish” maydoniga eventvwr.msc ni kiriting va “OK” tugmasini bosing (men o‘zim qo‘shaman: Nega bunday muammolar bor? Shunchaki START-SEARCH tugmasini bosing va ahmoqona EVENT ni kiriting; RUS HARFLARIGA KIRISH, agar kerak bo'lsa, vazifalar paneliga qo'ying va ushbu jurnalga qarang.

Windows 7 da voqealar jurnallari

Operatsion tizimda, shuningdek Window Vista-da hodisalar jurnallarining ikkita toifasi mavjud: jurnallar va ilovalar va xizmat jurnallari. Jurnallar - operatsion tizim tomonidan ilovalarning ishlashi bilan bog'liq butun tizim voqealarini yozish uchun foydalaniladi; tizim komponentlari, xavfsizlik va ishga tushirish. Ilova va xizmat jurnallari esa ilovalar va xizmatlar tomonidan ularning ishlashi bilan bog'liq hodisalarni qayd etish uchun ishlatiladi. Voqealar jurnallarini boshqarish uchun Voqealarni ko'rish yoki dasturdan foydalanishingiz mumkin. buyruq qatori wevtutil, bu maqolaning ikkinchi qismida muhokama qilinadi. Barcha jurnal turlari quyida tavsiflangan:
Ilova - Muayyan ilova bilan bog'liq muhim voqealarni saqlaydi. Masalan, Exchange Server pochtani yo'naltirish bilan bog'liq voqealarni, shu jumladan ma'lumotlarni saqlash voqealarini saqlaydi, pochta qutilari va ishlaydigan xizmatlar. Odatiy bo'lib, u %SystemRoot%\System32\Winevt\Logs\Application.Evtx-ga joylashtirilgan.

Xavfsizlik- tizimga kirish/chiqish, imtiyozlardan foydalanish va manbalarga kirish kabi xavfsizlik bilan bog'liq hodisalarni saqlaydi. Odatiy bo'lib, u %SystemRoot%\System32\Winevt\Logs\Security.Evtx da joylashgan.

O'rnatish- bu jurnal o'rnatish va sozlash paytida sodir bo'lgan voqealarni qayd qiladi operatsion tizim va uning tarkibiy qismlari. Odatiy bo'lib, u %SystemRoot%\System32\Winevt\Logs\Setup.Evtx-da joylashgan.

Tizim- operatsion tizim yoki uning komponentlari hodisalarini, masalan, xizmatlarni ishga tushirish yoki drayverlarni ishga tushirishda xatolik, butun tizim bo'yicha xabarlar va umuman tizimga tegishli boshqa xabarlarni saqlaydi. Odatiy bo'lib, u %SystemRoot%\System32\Winevt\Logs\System.Evtx da joylashgan.

Yo'naltirilgan voqealar- agar hodisalarni yo'naltirish sozlangan bo'lsa, bu jurnal boshqa serverlardan yuborilgan voqealarni o'z ichiga oladi. Odatiy bo'lib, u %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx-ga joylashtirilgan.

Internet Explorer - bu jurnal o'rnatish va ishlash jarayonida sodir bo'lgan voqealarni qayd qiladi Internet-brauzer Explorer. Odatiy bo'lib, u %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx da joylashgan.

Windows PowerShell- Ushbu jurnal PowerShell-dan foydalanish bilan bog'liq voqealarni qayd etadi. Odatiy bo'lib, u %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx da joylashgan.

Uskunalar bilan bog'liq voqealar- agar apparat hodisalari jurnali sozlangan bo'lsa, qurilmalar tomonidan yaratilgan hodisalar ushbu jurnalda qayd etiladi. Odatiy bo'lib, u %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx-ga joylashtirilgan.

Windows 7 da voqealar jurnalini ta'minlovchi infratuzilma xuddi Windows Vista'da bo'lgani kabi XML ga asoslangan. Har bir hodisa ma'lumotlari XML sxemasiga mos keladi, bu sizga har qanday hodisaning XML kodiga kirish imkonini beradi. Shuningdek, jurnallardan ma'lumotlarni olish uchun XML-ga asoslangan so'rovlarni yaratishingiz mumkin. Ushbu yangi xususiyatlardan foydalanish uchun XML bilimi talab qilinmaydi. Voqealar ko'rish dasturi ushbu imkoniyatlarga kirish uchun oddiy grafik interfeysni taqdim etadi.

Tadbir xususiyatlari

Voqealarni ko'rish vositasining bir nechta hodisa xususiyatlari mavjud, ular quyida batafsil tavsiflanadi:
Manba voqeani qayd qilgan dastur hisoblanadi. Bu dastur nomi (masalan, "Exchange Server") yoki tizim komponenti yoki katta dastur nomi (masalan, drayver nomi) bo'lishi mumkin. Masalan, "Elnkii" EtherLink II drayverini anglatadi.

Tadbir kodi muayyan turdagi hodisani aniqlaydigan raqam. Tavsifning birinchi qatori odatda hodisa turi nomini o'z ichiga oladi. Masalan, 6005 Voqealar jurnali xizmati ishga tushganda sodir bo'ladigan hodisaning identifikatoridir. Shunga ko'ra, ushbu hodisa tavsifining boshida "Voqealar jurnali xizmati ishga tushirildi" qatori mavjud. Voqea kodi va yozuv manbasi nomidan qo'llab-quvvatlash jamoasi foydalanishi mumkin dasturiy mahsulot muammolarni bartaraf etish uchun.

Daraja- bu tadbirning ahamiyatlilik darajasi. Tizim va ilovalar jurnallarida hodisalar quyidagi jiddiylik darajalariga ega bo'lishi mumkin:

Bildirishnoma- dastur yoki komponentning o'zgarishini bildiradi, masalan, muvaffaqiyatli harakat, resurs yaratish yoki xizmatni ishga tushirish bilan bog'liq axborot hodisasining paydo bo'lishi.
Ogohlantirish- xizmatga ta'sir qilishi mumkin bo'lgan muammo haqida umumiy ogohlantirishni bildiradi yoki qarovsiz qoldirilgan taqdirda yanada jiddiy muammoga olib keladi;
Xato- hodisaga sabab bo'lgan dastur yoki komponentdan tashqari funktsiyalarga ta'sir qilishi mumkin bo'lgan muammo yuzaga kelganligini ko'rsatadi;
Kritik xato- hodisani boshlagan dastur yoki komponent avtomatik ravishda tiklana olmaydigan nosozlik yuz berganligini bildiradi;
Muvaffaqiyatlar auditi- imtiyozdan foydalanish kabi audit orqali nazorat qilinadigan harakatlarning muvaffaqiyatli bajarilishi;
Muvaffaqiyatsiz audit- tizimga kirishda xatolik kabi audit orqali nazorat qilinadigan harakatlarning bajarilmasligi.
Foydalanuvchi- ushbu voqea kimning nomidan sodir bo'lgan foydalanuvchi hisobini belgilaydi. Foydalanuvchilar mahalliy xizmat, tarmoq xizmati va anonim tizimga kirish kabi maxsus ob'ektlarni, shuningdek, haqiqiy foydalanuvchi hisoblarini o'z ichiga oladi. Bu nom mijoz identifikatori, agar voqea haqiqatan ham server jarayoni tomonidan qo'zg'atilgan bo'lsa yoki taqlid qilinmasa, asosiy identifikator hisoblanadi. Ba'zi hollarda xavfsizlik jurnali yozuvi ikkala identifikatorni ham o'z ichiga oladi. Agar shunday vaziyat bo'lsa, bu maydonda N/A (Yo'q) bo'lishi mumkin hisob qo'llanilmaydigan, qo'llab bo'lmaydigan. O'zini taqlid qilish server bir jarayonga boshqa jarayonning xavfsizlik atributlarini qabul qilishga ruxsat bergan hollarda yuzaga keladi.

Ishchi kod- ushbu hodisa sodir bo'lgan operatsiya ichidagi operatsiya yoki nuqtani aniqlaydigan raqamli qiymatni o'z ichiga oladi. Masalan, ishga tushirish yoki yopish.

Jurnal- ushbu hodisa qayd etilgan jurnalning nomi.

Kategoriya va vazifalar- hodisa toifasini belgilaydi, ba'zan keyinchalik amaldagi harakatni tasvirlash uchun ishlatiladi. Har bir voqea manbasining o'z toifalari mavjud. Masalan, quyidagi toifalar: tizimga kirish/chiqish, imtiyozlardan foydalanish, siyosatlarni o'zgartirish va hisobni boshqarish.

Kalit so'zlar hodisalarni filtrlash yoki qidirish uchun ishlatilishi mumkin bo'lgan toifalar yoki teglar to'plamidir. Masalan: "Tarmoq", "Xavfsizlik" yoki "Resurs topilmadi".

Kompyuter- voqea sodir bo'lgan kompyuter nomini aniqlaydi. Odatda bu nom mahalliy kompyuter, lekin voqeani boshqargan kompyuterning nomi yoki u o'zgartirilishidan oldingi mahalliy kompyuterning nomi ham bo'lishi mumkin.

Sana va vaqt- jurnalda ushbu voqea sodir bo'lgan sana va vaqtni belgilaydi.

Jarayon identifikatori- hodisani yaratgan jarayonning identifikatsiya raqamini ifodalaydi. Kompyuter dasturi Faqat passiv ko'rsatmalar to'plamini ifodalaydi, jarayon esa bu ko'rsatmalarning bevosita bajarilishidir

Mavzu identifikatori- hodisani yaratgan ipning identifikatsiya raqamini ifodalaydi. Operatsion tizimda paydo bo'lgan jarayon "parallel", ya'ni o'z vaqtida belgilangan tartibsiz ishlaydigan bir nechta iplardan iborat bo'lishi mumkin. Ba'zi vazifalarni bajarishda bunday bo'linish kompyuter resurslaridan samaraliroq foydalanishga erishishi mumkin

Protsessor identifikatori- hodisani qayta ishlagan protsessorning identifikatsiya raqamini ifodalaydi.

Seans kodi voqea sodir bo'lgan terminal serveridagi seans identifikatsiya raqami.

Yadro rejimining ishlash vaqti- yadro rejimi ko'rsatmalarini bajarish uchun sarflangan vaqtni CPU vaqt birliklarida belgilaydi. Yadro rejimi cheksiz kirish huquqiga ega tizim xotirasi va tashqi qurilmalar. NT tizimi yadrosi gibrid yadro yoki makroyadro deb ataladi.

Foydalanuvchi rejimida ishlash vaqti- foydalanuvchi rejimi ko'rsatmalarini bajarish uchun sarflangan vaqtni CPU vaqti birliklarida belgilaydi. Foydalanuvchi rejimi kiritish-chiqarish so'rovlarini tegishli yadro rejimi drayveriga kiritish-chiqarish menejeri orqali uzatuvchi quyi tizimlardan iborat.

CPU yuki CPU belgilarida foydalanuvchi rejimi ko'rsatmalarini bajarish uchun sarflangan vaqt.

Korrelyatsiya kodi - hodisa qo'llaniladigan jarayondagi harakatni aniqlaydi. Ushbu kod hodisalar orasidagi oddiy munosabatlarni belgilash uchun ishlatiladi. Korrelyatsiya - bu ikki yoki undan ortiq statistik munosabatlar tasodifiy o'zgaruvchilar(yoki qabul qilinadigan aniqlik darajasi bilan shunday deb hisoblanishi mumkin bo'lgan miqdorlar). Bunday holda, bir yoki bir nechta bu miqdorlarning o'zgarishi boshqa yoki boshqa miqdorlarning tizimli o'zgarishiga olib keladi.

Nisbiy korrelyatsiya identifikatori- hodisa ishlatilayotgan jarayondagi nisbiy harakatni belgilaydi

Voqea jurnallari bilan ishlash:

Voqealarni ko'rish vositasi
Ilova jurnali voqealarini ko'rish uchun quyidagi amallarni bajaring:
Konsol daraxtida "Windows jurnallari" ni tanlang;
Ilovalar jurnalini tanlang.

Mavjud muammolar va kelajakdagi muammolarni ko'rsatishi mumkin bo'lgan ogohlantirishlarni izlash uchun Ilova va tizim hodisalari jurnallarini tez-tez ko'rib chiqish yaxshi fikrdir. Jurnalni tanlaganingizda, o'rta oynada mavjud voqealar, jumladan, voqea sanasi, vaqti va manbasi, voqea darajasi va boshqa tafsilotlar ko'rsatiladi.

Ko‘rish paneli “Umumiy” yorlig‘ida asosiy voqea ma’lumotlarini va “Tafsilotlar” yorlig‘ida qo‘shimcha maxsus hodisa ma’lumotlarini ko‘rsatadi. Ko‘rish menyusini, keyin esa Viewport ni tanlash orqali ushbu panelni yoqish va o‘chirish mumkin.

Muhim tizimlar uchun jurnallarni bir necha oy orqaga qaytarish tavsiya etiladi. Qoidaga ko'ra, jurnallarga har doim o'lcham qo'yish noqulaydir, shunda barcha ma'lumotlar ularga mos keladi, bu muammoni boshqa yo'l bilan hal qilish mumkin; Jurnallarni belgilangan papkada joylashgan fayllarga eksport qilishingiz mumkin. Tanlangan jurnalni saqlash uchun quyidagi amallarni bajaring:

Konsol daraxtida saqlamoqchi bo'lgan voqealar jurnalini tanlang;
“Harakat” menyusidan “Voqealarni shunday saqlash” buyrug‘ini tanlang yoki jurnal kontekst menyusidan “Barcha hodisalarni shunday saqlash” buyrug‘ini tanlang;
Ko'rsatilgan "Boshqa saqlash" dialog oynasida fayl saqlanishi kerak bo'lgan papkani tanlang. Agar siz faylni yangi jildda saqlashingiz kerak bo'lsa, uni kontekst menyusi yoki harakatlar panelidagi "Yangi jild" tugmasi yordamida to'g'ridan-to'g'ri ushbu muloqot oynasidan yaratishingiz mumkin. "Fayl turi" maydonida mavjud bo'lganlardan kerakli fayl formatini tanlashingiz kerak: voqea fayllari - *.evtx, xml fayl - *.xml, yorliq bilan ajratilgan matn - *.txt, vergul bilan ajratilgan csv - * .csv. "Fayl nomi" maydoniga nom kiriting va "Saqlash" tugmasini bosing. Saqlashni bekor qilish uchun "Bekor qilish" tugmasini bosing;
Agar voqealar jurnali boshqa kompyuterda ko'rish uchun mo'ljallanmagan bo'lsa, "Ma'lumotni ko'rsatish" dialog oynasida standart "Ma'lumotni ko'rsatma" opsiyasini qoldiring va agar jurnal boshqa kompyuterda ko'rish uchun mo'ljallangan bo'lsa, u holda "Ma'lumotni ko'rsatish" dialog oynasida "Quyidagi tillar uchun ma'lumotlarni ko'rsatish" opsiyasini tanlang va "OK" tugmasini bosing.

Voqealar jurnalini tozalash

Ba'zan ogohlantirishlarning samarali tahlilini ta'minlash uchun to'liq voqea jurnallarini tozalash kerak va tanqidiy xatolar operatsion tizim. Tanlangan jurnalni tozalash uchun quyidagi amallarni bajaring:
Konsol daraxtida tozalamoqchi bo'lgan voqealar jurnalini tanlang;
Quyidagi usullardan biri yordamida jurnalni tozalang:
Harakatlar menyusidan Jurnalni tozalash-ni tanlang

Kontekst menyusini ochish uchun tanlangan jurnalni o'ng tugmasini bosing. Kontekst menyusida "Jurnalni tozalash" -ni tanlang.
Keyinchalik, jurnalni tozalashingiz yoki agar bu ilgari bajarilmagan bo'lsa, uni arxivlashingiz mumkin:
Hodisalar jurnalini saqlamasdan tozalash uchun "O'chirish" tugmasini bosing;
Hodisalar jurnalini saqlangandan keyin tozalash uchun "Saqlash va tozalash" tugmasini bosing. Ko'rsatilgan "Boshqa saqlash" dialog oynasida fayl saqlanishi kerak bo'lgan papkani tanlang. Agar siz faylni yangi papkada saqlashingiz kerak bo'lsa, uni kontekst menyusi yoki harakatlar panelidagi "Yangi jild" tugmasi yordamida to'g'ridan-to'g'ri ushbu muloqot oynasidan yaratishingiz mumkin. "Fayl nomi" maydoniga nom kiriting va "Saqlash" tugmasini bosing. Saqlashni bekor qilish uchun "Bekor qilish" tugmasini bosing.

Maksimal jurnal hajmini o'rnatish

Yuqorida aytib o'tilganidek, voqea jurnallari fayl sifatida %SystemRoot%\System32\Winevt\Logs\ jildida saqlanadi. Odatiy bo'lib, ushbu fayllarning maksimal hajmi cheklangan, ammo uni quyidagi tarzda o'zgartirishingiz mumkin:


Harakatlar menyusidan yoki tanlangan jurnalning kontekst menyusidan Xususiyatlar-ni tanlang

"Maksimal jurnal hajmi (KB)" maydonida hisoblagich yordamida kerakli qiymatni o'rnating yoki hisoblagichdan foydalanmasdan qo'lda o'rnating. Bunday holda, qiymat 64 KBning eng yaqin karraligacha yaxlitlanadi, chunki jurnal fayli hajmi 64 KB ga ko'paytirilishi kerak va 1024 KB dan kam bo'lmasligi kerak.
Voqealar faqat belgilangan maksimal hajmgacha o'sishi mumkin bo'lgan jurnal faylida saqlanadi. Fayl maksimal hajmiga yetganda, kiruvchi hodisalarni qayta ishlash jurnalni saqlash siyosati bilan belgilanadi. Quyidagi jurnalni saqlash siyosatlari mavjud:
Agar kerak bo'lsa, voqealarni qayta yozing (avval eski fayllar) - bu holda jurnal to'ldirilganidan keyin yangi yozuvlar kiritilishi davom etadi. Har bir yangi hodisa jurnaldagi eng eskisini almashtiradi;

To'ldirilganda jurnalni arxivlash; hodisalarni qayta yozmang - bu holda, agar kerak bo'lsa, jurnal fayli avtomatik ravishda arxivlanadi. Eskirgan voqealar ustiga yozilmaydi.

Hodisalarni qayta yozmang (jurnalni qo'lda tozalash) - bu holda jurnal avtomatik ravishda emas, balki qo'lda tozalanadi.

Kerakli jurnalni saqlash siyosatini tanlash uchun quyidagi amallarni bajaring:

Konsol daraxtida o'lchamini o'zgartirmoqchi bo'lgan voqealar jurnalini tanlang;
"Action" menyusidan yoki tanlangan jurnalning kontekst menyusidan "Xususiyatlar" buyrug'ini tanlang;
"Umumiy" yorlig'ida "Maksimal o'lchamga erishilganda" bo'limida kerakli variantni tanlang va "OK" tugmasini bosing.
Analitik va disk raskadrovka jurnalini faollashtirish

Analitik va disk raskadrovka jurnallari sukut bo'yicha faol emas. Faollashtirilgandan so'ng, ular tezda ko'p sonli voqealar bilan to'ldiriladi. Shu sababli, muammolarni bartaraf etish uchun zarur bo'lgan ma'lumotlarni to'plash uchun ushbu jurnallarni cheklangan vaqt davomida yoqish va keyin ularni qayta o'chirish tavsiya etiladi. Jurnallarni quyidagi tarzda faollashtirishingiz mumkin:

Konsol daraxtida faollashtirmoqchi bo'lgan tahliliy yoki disk raskadrovka jurnalini toping va tanlang;
"Action" menyusidan yoki tanlangan analitik yoki disk raskadrovka jurnalining kontekst menyusidan "Xususiyatlar" buyrug'ini tanlang;
"Umumiy" yorlig'ida "Kirishni yoqish" opsiyasini belgilang

Saqlangan jurnalni ochish va yopish

Oldin saqlangan jurnallarni ochish va ko'rish uchun Voqealar ko'rish dasturidan foydalanishingiz mumkin. Siz bir vaqtning o'zida bir nechta saqlangan jurnallarni ochishingiz va konsol daraxtida istalgan vaqtda ularga kirishingiz mumkin. Voqealar ko'rish dasturida ochilgan jurnalni o'z ichiga olgan ma'lumotlarni o'chirmasdan yopish mumkin. Saqlangan jurnalni ochish uchun quyidagi amallarni bajaring:

"Action" menyusidan yoki konsol daraxtidagi kontekst menyusidan "Saqlangan jurnalni ochish" buyrug'ini tanlang;
Saqlangan jurnalni ochish dialog oynasida kerakli faylni o'z ichiga olgan papkani ochish uchun katalog daraxti bo'ylab harakatlaning. Odatiy bo'lib, dialog oynasi barcha voqealar jurnali fayllarini ko'rsatadi. Bundan tashqari, ochishda siz ochilish dialogida ko'rsatmoqchi bo'lgan fayllar turini tanlashingiz mumkin. Mavjud fayl turlari: hodisalar jurnali fayllari (*.evtx, *.evt, *.etl), shuningdek, voqea fayllari (*.evtx), eski voqea fayllari (*.evt) yoki kuzatuv jurnali fayllari (*.etl) . Kerakli jurnal fayli topilgandan so'ng, uni sichqonchaning chap tugmasi bilan tanlang, bu uning nomini fayl nomi maydoniga joylashtiradi va "Ochish" tugmasini bosing.

"Saqlangan jurnalni ochish" dialog oynasida "Ism" maydoniga konsol daraxtidagi jurnal uchun ishlatiladigan yangi nomni kiriting. U faqat jurnalni konsol daraxtida ko'rsatish uchun ishlatiladi va jurnal fayli nomini o'zgartirmaydi. Siz mavjud jurnal nomidan ham foydalanishingiz mumkin. Tavsif maydoniga jurnalning tavsifini kiriting. Konsol daraxtida ota-ona jurnali papkasi tanlanganda u markaziy maydonda ko'rsatiladi;
Saqlangan jurnal joylashgan papkani yaratish uchun "Jildni yaratish" tugmasini bosing. Nom maydoniga ochiq jurnal joylashgan papka nomini kiriting va OK tugmasini bosing. Hech qanday ota jild tanlanmagan bo'lsa, yangi papka"Saqlangan jurnallar" papkasida joylashgan bo'ladi

Ochiq hodisalar jurnalini boshqa kompyuter foydalanuvchilari ko'ra olmasligi uchun "Barcha foydalanuvchilar" katagiga belgini olib tashlashingiz mumkin. Agar ushbu belgilash katakchasi faol bo'lib qolsa, ochiq jurnal barcha foydalanuvchilar uchun mavjud bo'ladi, lekin uni konsol daraxtidan o'chirish uchun administrator huquqlari talab qilinadi;
Jurnalni ochish uchun "OK" tugmasini bosing.
Ochiq jurnalni hodisalar daraxtidan o'chirish uchun quyidagi amallarni bajaring:

Konsol daraxtida o'chiriladigan jurnalni tanlang;
Harakatlar menyusidan yoki tanlangan jurnalning kontekst menyusidan O'chirish-ni tanlang

"Voqeani ko'rish vositasi" dialog oynasida "Ha" tugmasini bosing.

Xulosa

Maqolaning Voqealarni ko'rish dasturiga bag'ishlangan ushbu qismida qo'shimcha qurilmaning o'zi tasvirlangan va Event Viewer yordamida tizimni kuzatish va saqlash bilan bog'liq eng oddiy operatsiyalar batafsil tavsiflangan.

Muammolar 

Sizga ham yoqishi mumkin