Zdarzenia w systemie Windows 7. Przeglądanie zdarzeń w systemie Windows Vista

Ogromne cześć wszystkim!!

Dla nikogo nie jest już tajemnicą, że w systemie operacyjnym Windows SEVEN, tak jak w Windows Vista, istnieją dwie kategorie dzienników zdarzeń: dzienniki aplikacji i usług oraz dzienniki systemu Windows.

Dzienniki Windows - system operacyjny używa do rejestrowania zdarzeń systemowych, które są związane z działaniem komponentów systemu, aplikacji, bezpieczeństwa i uruchamiania. Logi aplikacji i usług – aplikacje i usługi służą do rejestrowania zdarzeń związanych z ich pracą. Aby zarządzać dziennikami zdarzeń, możesz użyć przystawki Podgląd zdarzeń lub wiersz poleceń wewtutil
Chcę się zastanowić, jak możesz pracować z dziennikami zdarzeń:
Aby wyświetlić te same zdarzenia w dzienniku aplikacji, musimy wykonać następujące kroki:
Wybierz "Dzienniki Windows" w drzewie konsoli.
Wybierz dziennik „Aplikacje”.
Jeśli to możliwe, dobrym pomysłem jest częste przeglądanie dzienników zdarzeń systemu i aplikacji oraz szukanie problemów i ostrzeżeń, które mogą przewidywać problemy w przyszłości. W środkowym oknie wyświetlane są dostępne zdarzenia po wybraniu dziennika, w tym data zdarzenia, poziom zdarzenia, godzina i źródło itp.
Okienko rzutni pokazuje dane zdarzeń na karcie Ogólne, a karta Szczegóły pokazuje dodatkowe określone dane.

Ten panel można włączać i wyłączać, wybierając menu Widok, a następnie polecenie Rzutnia.
Zaleca się przechowywanie dzienników przez kilka ostatnie miesiące dla krytycznych systemów. Z reguły nie jest zbyt wygodne przypisywanie magazynom takiej wielkości, aby zmieściły się w nich wszystkie informacje, dlatego problem ten można rozwiązać w inny sposób. Logi można eksportować do plików znajdujących się w określonym folderze. Aby zapisać wybrany dziennik, wykonaj następujące czynności:
Wybierz dziennik zdarzeń do zapisania w drzewie konsoli;
Wybierz polecenie „Zapisz zdarzenia jako” z menu „Akcja” lub wybierz polecenie „Zapisz wszystkie zdarzenia jako” z menu kontekstowego dziennika;
W oknie dialogowym „Zapisz jako” wybierz folder, w którym plik ma zostać zapisany. Jeśli chcesz zapisać plik w nowym folderze, możesz go utworzyć bezpośrednio z tego okna dialogowego, korzystając z menu kontekstowego lub przycisku „Nowy folder” na pasku akcji. W polu „Typ pliku” wybierz żądany format pliku z dostępnych: pliki zdarzeń - *.evtx, plik xml - *.xml, tekst oddzielony tabulatorami - *.txt, csv oddzielony przecinkami - *.csv. Wpisz nazwę w polu „Nazwa pliku” i kliknij przycisk „Zapisz”. Kliknij przycisk „Anuluj”, aby anulować zapisywanie.
Jeśli dziennik zdarzeń nie jest przeznaczony do przeglądania na innym komputerze, pozostaw domyślną opcję „Nie wyświetlaj informacji” w oknie dialogowym „Wyświetl informacje”, a jeśli dziennik ma być wyświetlany na innym komputerze, w „ Wyświetl informacje” wybierz opcję „Wyświetl informacje dla następujące języki” i kliknij przycisk „OK”.
Jak pracować z dziennikami zdarzeń:
Podgląd zdarzeń
Jeśli chcesz wyświetlić zdarzenia dziennika aplikacji, wykonaj następujące kroki:
Wybierz "Dzienniki Windows" w drzewie konsoli;
Wybierz dziennik aplikacji.
Zaleca się przejrzenie dzienników zdarzeń systemu i aplikacji oraz zbadanie wszelkich problemów i ostrzeżeń. Wybranie dziennika wyświetla dostępne zdarzenia w środkowym oknie.
Panel Viewport wyświetli podstawowe dane zdarzenia na karcie Ogólne, a dodatkowe dane zostaną wyświetlone na karcie Szczegóły. Możesz włączać i wyłączać ten panel, wybierając menu „Widok” i polecenie „Wyświetl obszar”.
W przypadku krytycznych systemów zaleca się przechowywanie dzienników z ostatnich miesięcy.

Z reguły niewygodne jest przypisywanie czasopismom takiej wielkości, aby wszystkie informacje się w nich mieściły, z reguły problem ten można rozwiązać w inny sposób. Dzienniki można eksportować do plików znajdujących się w określonym folderze.Aby zapisać wybrany dziennik, wykonaj następujące czynności:
W drzewie konsoli wybierz dziennik zdarzeń do zapisania;
Wybierz polecenie „Zapisz zdarzenia jako” z menu „Akcja” lub wybierz polecenie „Zapisz wszystkie zdarzenia jako” z menu dziennika;
W oknie dialogowym „Zapisz jako” wybierz folder, w którym plik ma zostać zapisany. Jeśli plik musi zostać zapisany w nowym folderze, można go utworzyć z tego okna dialogowego za pomocą menu kontekstowego lub przycisku „Nowy folder” na pasku akcji. W polu „Typ pliku” wybierz żądany format pliku spośród sugerowanych: pliki zdarzeń - *.evtx, tekst oddzielony tabulatorami - *.txt,
plik xml - *.xml,
csv oddzielone przecinkami - *.csv. Wpisz nazwę w polu „Nazwa pliku” i kliknij przycisk „Zapisz”. Aby anulować zapisywanie, kliknij „Anuluj”; W przypadku, gdy dziennik zdarzeń nie jest przeznaczony do przeglądania na innym komputerze, w oknie dialogowym „Wyświetl informacje” pozostaw opcję „Nie wyświetlaj informacji” ustawioną domyślnie, a jeśli dziennik ma być wyświetlany na innym komputerze komputera, a następnie w oknie dialogowym „Wyświetl informacje” wybierz „Wyświetl informacje dla następujących języków” i kliknij przycisk OK.
Czyszczenie dziennika zdarzeń
Wybierz dziennik zdarzeń w drzewie konsoli do wyczyszczenia; Wyczyść dziennik w jeden z następujących sposobów:
Z menu „Akcja” wybierz „Wyczyść dziennik”
W wybranym dzienniku kliknij prawym przyciskiem myszy, aby otworzyć menu kontekstowe. W menu kontekstowym wybierz polecenie „Wyczyść dziennik”
Następnie możesz wyczyścić dziennik lub zarchiwizować go, jeśli nie zostało to zrobione wcześniej:
Jeśli dziennik zdarzeń zostanie wyczyszczony bez zapisywania, kliknij przycisk „Wyczyść”;
Aby wyczyścić dziennik zdarzeń po jego zapisaniu, kliknij „Zapisz i wyczyść”. W oknie dialogowym „Zapisz jako” wybierz folder, w którym plik ma zostać zapisany. Jeśli chcesz zapisać plik w nowym folderze, możesz go utworzyć w tym oknie dialogowym za pomocą menu kontekstowego lub przycisku „Nowy folder” na pasku akcji. Wprowadź nazwę w polu Nazwa pliku i kliknij Zapisz. Aby anulować zapis, naciśnij "Anuluj" Uff, wszystko wydaje się być w porządku, ale jeśli nie jest jasne, czekam na Twoje komentarze.

To wszystko i do zobaczenia wkrótce....

Może to być usługa, która nie chce się uruchomić, instalacja urządzenia lub błąd aplikacji. Zdarzenia są rejestrowane i przechowywane w dziennikach zdarzeń systemu Windows i dostarczają ważnych informacji historycznych, które pomagają monitorować system, utrzymywać bezpieczeństwo systemu, rozwiązywać problemy i przeprowadzać diagnostykę. Informacje zawarte w tych logach powinny być regularnie przeglądane. Należy regularnie monitorować dzienniki zdarzeń i konfigurować system operacyjny w celu zapisywania ważnych zdarzeń systemowych. Jeśli jesteś administratorem serwera Windows, musisz monitorować bezpieczeństwo ich systemów, normalne działanie aplikacji i usług, a także sprawdzać serwer pod kątem błędów, które mogą obniżyć wydajność. Jeśli jesteś użytkownikiem komputera PC, powinieneś upewnić się, że masz dostęp do odpowiednich dzienników potrzebnych do utrzymania systemu i rozwiązywania problemów.

Podgląd zdarzeń to przystawka Microsoft Management Console (MMC) do przeglądania dzienników zdarzeń i zarządzania nimi. Jest to niezbędne narzędzie do monitorowania stanu systemu i rozwiązywania problemów. Usługa systemu Windows, która zarządza rejestrowaniem zdarzeń, nosi nazwę „Dziennik zdarzeń”. Jeśli jest uruchomiony, system Windows zapisuje w dziennikach ważne dane. Dzięki Podglądowi zdarzeń możesz wykonać następujące czynności:

Zobacz zdarzenia z określonych dzienników;
Zastosuj filtry zdarzeń i zapisz je do późniejszego wykorzystania jako widoki niestandardowe;
Twórz subskrypcje wydarzeń i zarządzaj nimi;
Przypisz wykonanie określonych czynności do wystąpienia określonego zdarzenia.

Uruchamianie przeglądarki zdarzeń

Aplikację Event Viewer można otworzyć w następujący sposób:
Kliknij przycisk „Start”, aby otworzyć menu, otwórz „Panel sterowania”, wybierz „Narzędzia administracyjne” z listy składników panelu sterowania i wybierz „Podgląd zdarzeń” z listy składników administracyjnych;
Otwórz „Konsolę zarządzania MMC”. Aby to zrobić, kliknij przycisk „Start”, wpisz mmc w polu wyszukiwania, a następnie naciśnij przycisk „Enter”. Otworzy się pusta konsola MMC. Z menu Konsola wybierz polecenie Dodaj lub usuń przystawkę lub użyj skrótu klawiaturowego Ctrl+M. W oknie dialogowym „Dodaj/usuń przystawki” wybierz przystawkę „Podgląd zdarzeń” i kliknij przycisk „Dodaj”. Następnie kliknij przycisk „Zakończ”, a następnie przycisk „OK”;
Użyj kombinacji klawiszy WIN + R, aby otworzyć okno dialogowe „Uruchom”. W oknie dialogowym „Uruchom” w polu „Otwórz” wpisz eventvwr.msc i kliknij przycisk „OK”, przejdź do paska zadań i zobacz ten dziennik.

Dzienniki zdarzeń w systemie Windows 7

W systemie operacyjnym Windows 7, a także w systemie Windows Vista, istnieją dwie kategorie dzienników zdarzeń: dzienniki systemu Windows oraz dzienniki aplikacji i usług. Dzienniki systemu Windows — używane przez system operacyjny do rejestrowania ogólnosystemowych zdarzeń związanych z działaniem aplikacji, składników systemu, bezpieczeństwem i uruchamianiem. Dzienniki aplikacji i usług są wykorzystywane przez aplikacje i usługi do rejestrowania zdarzeń związanych z ich działaniem. Do zarządzania dziennikami zdarzeń można użyć przystawki Podgląd zdarzeń lub narzędzia wiersza polecenia wevtutil, które omówię w części 2 tego artykułu. Wszystkie typy dzienników są opisane poniżej:
Aplikacja - przechowuje ważne zdarzenia związane z konkretną aplikacją. Na przykład Exchange Server przechowuje zdarzenia związane z przekazywaniem poczty, w tym zdarzenia dotyczące przechowywania informacji, zdarzenia skrzynek pocztowych i uruchomione usługi. Domyślna lokalizacja to %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Bezpieczeństwo- Przechowuje zdarzenia związane z bezpieczeństwem, takie jak logowanie/wylogowanie, użycie uprawnień i dostęp do zasobów. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Instalacja- ten dziennik rejestruje zdarzenia, które występują podczas instalacji i konfiguracji system operacyjny i jego składniki. Domyślna lokalizacja to %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

System- przechowuje zdarzenia systemu operacyjnego lub jego komponentów, takie jak awarie uruchamiania usług lub inicjalizacji sterowników, komunikaty ogólnosystemowe i inne komunikaty związane z systemem jako całością. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\System.Evtx

Zdarzenia przekazane- jeśli skonfigurowano przekazywanie zdarzeń, ten dziennik zawiera zdarzenia przekazywane z innych serwerów. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- ten dziennik rejestruje zdarzenia, które występują podczas konfigurowania i pracy z przeglądarką Internet Explorer. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell— Zdarzenia związane z użyciem powłoki PowerShell są rejestrowane w tym dzienniku. Domyślnie znajduje się w %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Imprezy sprzętowe- jeśli skonfigurowana jest rejestracja zdarzeń urządzeń, zdarzenia generowane przez urządzenia są zapisywane w tym dzienniku. Domyślnie umieszczony w %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

W systemie Windows 7 infrastruktura rejestrowania zdarzeń jest oparta na języku XML, podobnie jak w systemie Windows Vista. Dane dla każdego zdarzenia są zgodne ze schematem XML, co umożliwia dostęp do kodu XML dla dowolnego zdarzenia. Ponadto można tworzyć zapytania oparte na języku XML, aby pobierać dane z dzienników. Do korzystania z tych nowych funkcji nie jest wymagana znajomość języka XML. Przystawka Podgląd zdarzeń zapewnia prosty interfejs graficzny umożliwiający dostęp do tych funkcji.

Właściwości wydarzenia

Istnieje kilka właściwości zdarzeń Podglądu zdarzeń, które są szczegółowo opisane poniżej:
Źródłem jest program, który zarejestrował zdarzenie. Może to być nazwa programu (na przykład „Serwer Exchange”) lub nazwa systemu lub dużego składnika aplikacji (na przykład nazwa sterownika). Na przykład „Elnkii” oznacza sterownik EtherLink II.

Kod wydarzenia to liczba określająca konkretny typ zdarzenia. Pierwsza linia opisu zwykle zawiera nazwę typu zdarzenia. Na przykład 6005 to identyfikator zdarzenia, który występuje po uruchomieniu usługi rejestrowania zdarzeń. W związku z tym na początku opisu tego zdarzenia znajduje się wiersz „Uruchomiona usługa dziennika zdarzeń”. Identyfikator zdarzenia i nazwa źródła rekordu mogą być używane przez zespół wsparcia produktu oprogramowania do celów rozwiązywania problemów.

Poziom to poziom ważności wydarzenia. W dziennikach systemowych i aplikacji zdarzenia mogą mieć następujące poziomy ważności:

Powiadomienie- oznacza zmianę w aplikacji lub komponencie, taką jak wystąpienie zdarzenia informacyjnego związanego z udaną akcją, utworzeniem zasobu lub uruchomieniem usługi.
Ostrzeżenie- wskazuje ogólne ostrzeżenie o problemie, który może mieć wpływ na usługę lub prowadzić do poważniejszego problemu, jeśli zostanie pozostawiony bez opieki;
Błąd- wskazuje, że wystąpił problem, który może wpływać na funkcje zewnętrzne aplikacji lub komponentu, który wywołał zdarzenie;
Błąd krytyczny- wskazuje, że wystąpiła awaria, z której aplikacja lub składnik, który wywołał zdarzenie, nie może odzyskać automatycznie;
Audyt sukcesu- Pomyślne ukończenie działań śledzonych przez audyt, takich jak korzystanie z przywileju;
Audyt awarii- niepowodzenie działań, które śledzisz poprzez audyt, takie jak niepowodzenie logowania.
Użytkownik- określa konto użytkownika, w imieniu którego miało miejsce to zdarzenie. Użytkownicy obejmują określone podmioty, takie jak usługa lokalna, usługa sieciowa i logowanie anonimowe, a także konta rzeczywistych użytkowników. Ta nazwa jest identyfikatorem klienta, jeśli zdarzenie zostało faktycznie wywołane przez proces serwera, lub identyfikatorem głównym, jeśli nie ma miejsca personifikacja. W niektórych przypadkach wpis w dzienniku zabezpieczeń zawiera oba identyfikatory. A także w tym polu może być N/A (N/A), jeśli w takiej sytuacji Rachunek nie dotyczy. Personifikacja ma miejsce, gdy serwer zezwala jednemu procesowi na przypisanie atrybutów bezpieczeństwa innego procesu.

Kod roboczy- zawiera wartość numeryczna A, który określa operację lub punkt w operacji, która wyzwoliła to zdarzenie. Na przykład inicjowanie lub zamykanie.

Czasopismo- nazwa dziennika, w którym zostało zarejestrowane to zdarzenie.

Kategoria i zadania- określa kategorię zdarzenia, czasami używaną do dalszego opisania ważnej akcji. Każde źródło zdarzenia ma swoje własne kategorie. Na przykład następujące kategorie to: logowanie/wylogowanie, korzystanie z uprawnień, zmiana zasad i zarządzanie kontem.

Słowa kluczowe to zestaw kategorii lub etykiet, których można używać do filtrowania lub wyszukiwania zdarzeń. Na przykład: „Sieć”, „Zabezpieczenia” lub „Nie znaleziono zasobu”.

Komputer- identyfikuje nazwę komputera, na którym wystąpiło zdarzenie. Jest to zwykle nazwa komputera lokalnego, ale może to być również nazwa komputera, który przesłał zdarzenie, lub nazwa komputera lokalnego przed zmianą.

Data i godzina- określa datę i godzinę wystąpienia tego zdarzenia w logu.

Identyfikator procesu- reprezentuje numer identyfikacyjny procesu, który wygenerował to zdarzenie. program komputerowy jest tylko pasywnym zbiorem instrukcji, podczas gdy proces jest bezpośrednim wykonaniem tych instrukcji

Identyfikator wątku- reprezentuje numer identyfikacyjny wątku, który utworzył to zdarzenie. Proces utworzony w systemie operacyjnym może składać się z kilku wątków działających „równolegle”, to znaczy bez określonej kolejności w czasie. W przypadku niektórych zadań ten rozdział może zapewnić bardziej efektywne wykorzystanie zasobów komputera.

Identyfikator procesora- reprezentuje numer identyfikacyjny procesora, który przetworzył zdarzenie.

Identyfikator sesji to numer identyfikacyjny sesji na serwerze terminali, w której wystąpiło zdarzenie.

Czas jądra Określa czas spędzony na wykonywaniu instrukcji trybu jądra, w jednostkach czasu procesora. Tryb jądra ma nieograniczony dostęp do pamięci systemowej i urządzeń zewnętrznych. Jądro systemu NT nazywa się jądrem hybrydowym lub makrojądrem.

Czas pracy w trybie użytkownika Określa czas spędzony na wykonywaniu instrukcji trybu użytkownika w jednostkach czasu procesora. Tryb użytkownika składa się z podsystemów, które przekazują żądania we/wy do odpowiedniego sterownika trybu jądra za pośrednictwem menedżera we/wy.

Obciążenie procesora to czas spędzony na wykonywaniu instrukcji trybu użytkownika w taktach procesora.

Kod korelacji — identyfikuje akcję w procesie, dla którego zdarzenie jest używane. Ten kod jest używany do określenia proste relacje między wydarzeniami. Korelacja – statystyczna zależność między dwoma lub więcej zmienne losowe(lub wartości, które można uznać za takie z pewnym akceptowalnym stopniem dokładności). Jednocześnie zmiany jednej lub więcej z tych wielkości prowadzą do systematycznej zmiany innych lub innych wielkości.

Względny identyfikator korelacji- definiuje względne działanie w procesie, w którym zdarzenie jest wykorzystywane

Praca z dziennikami zdarzeń:

Podgląd zdarzeń
Aby wyświetlić zdarzenia dziennika aplikacji, wykonaj następujące kroki:
W drzewie konsoli wybierz „Dzienniki systemu Windows”;
Wybierz dziennik aplikacji.

Dobrym pomysłem jest częste przeglądanie dzienników zdarzeń „Aplikacji” i „Systemu” oraz sprawdzanie istniejących problemów i ostrzeżeń, które mogą zwiastować problemy w przyszłości. Po wybraniu dziennika w środkowym oknie wyświetlane są dostępne zdarzenia, w tym data zdarzenia, godzina i źródło, poziom zdarzenia i inne.

Panel Viewport pokazuje podstawowe dane o zdarzeniach na karcie Ogólne oraz dodatkowe dane szczegółowe na karcie Szczegóły. Możesz włączać i wyłączać ten panel, wybierając menu Widok, a następnie polecenie Rzutnia.

W przypadku systemów krytycznych zaleca się prowadzenie dzienników z ostatnich kilku miesięcy. Z reguły przypisywanie logom takiej wielkości, aby wszystkie informacje się w nich mieściły, jest niewygodne, z reguły problem ten można rozwiązać w inny sposób. Dzienniki można eksportować do plików znajdujących się w określonym folderze. Aby zapisać wybrany dziennik, wykonaj następujące czynności:

W drzewie konsoli wybierz dziennik zdarzeń, który chcesz zapisać;
Wybierz polecenie „Zapisz zdarzenia jako” z menu „Akcja” lub wybierz polecenie „Zapisz wszystkie zdarzenia jako” z menu kontekstowego dziennika;
W wyświetlonym oknie dialogowym „Zapisz jako” wybierz folder, w którym plik ma zostać zapisany. Jeśli chcesz zapisać plik w nowym folderze, możesz go utworzyć bezpośrednio z tego okna dialogowego, korzystając z menu kontekstowego lub przycisku „Nowy folder” na pasku akcji. W polu „Typ pliku” wybierz żądany format pliku z dostępnych: pliki zdarzeń - *.evtx, plik xml - *.xml, tekst oddzielony tabulatorami - *.txt, csv oddzielony przecinkami - *.csv. Wpisz nazwę w polu „Nazwa pliku” i kliknij przycisk „Zapisz”. Aby anulować zapisywanie, kliknij przycisk „Anuluj”;
Jeśli dziennik zdarzeń nie jest przeznaczony do przeglądania na innym komputerze, pozostaw domyślną opcję „Nie wyświetlaj informacji” w oknie dialogowym „Wyświetl szczegóły”, a jeśli dziennik ma być wyświetlany na innym komputerze, w „ Wyświetl szczegóły" w oknie dialogowym " wybierz opcję "Wyświetl informacje dla następujących języków" i kliknij przycisk "OK".

Czyszczenie dziennika zdarzeń

Czasami konieczne jest wyczyszczenie pełnych dzienników zdarzeń, aby zapewnić skuteczną analizę ostrzeżeń systemu operacyjnego i błędów krytycznych. Aby wyczyścić wybrany dziennik, wykonaj następujące czynności:
W drzewie konsoli wybierz dziennik zdarzeń, który chcesz wyczyścić;
Wyczyść dziennik w jeden z następujących sposobów:
Z menu Akcja wybierz Wyczyść dziennik

W wybranym dzienniku kliknij prawym przyciskiem myszy, aby otworzyć menu kontekstowe. W menu kontekstowym wybierz polecenie „Wyczyść dziennik”
Następnie możesz wyczyścić dziennik lub zarchiwizować go, jeśli nie zostało to zrobione wcześniej:
Aby wyczyścić dziennik zdarzeń bez zapisywania, kliknij przycisk „Wyczyść”;
Aby wyczyścić dziennik zdarzeń po jego zapisaniu, kliknij przycisk „Zapisz i wyczyść”. W wyświetlonym oknie dialogowym „Zapisz jako” wybierz folder, w którym plik ma zostać zapisany. Jeśli chcesz zapisać plik w nowym folderze, możesz go utworzyć bezpośrednio z tego okna dialogowego, korzystając z menu kontekstowego lub przycisku „Nowy folder” na pasku akcji. Wpisz nazwę w polu „Nazwa pliku” i kliknij przycisk „Zapisz”. Aby anulować zapisywanie, kliknij przycisk „Anuluj”.

Ustawianie maksymalnego rozmiaru dziennika

Jak wspomniano powyżej, dzienniki zdarzeń są przechowywane jako pliki w folderze %SystemRoot%\System32\Winevt\Logs\. Domyślnie maksymalny rozmiar tych plików jest ograniczony, ale możesz go zmienić w następujący sposób:

Wybierz polecenie „Właściwości” z menu „Działanie” lub z menu kontekstowego wybranego dziennika

W polu „Maksymalny rozmiar dziennika (KB)” ustaw wymaganą wartość za pomocą licznika lub ustaw ją ręcznie bez korzystania z licznika. W takim przypadku wartość zostanie zaokrąglona w górę do najbliższej wielokrotności 64 KB, ponieważ rozmiar pliku dziennika musi być wielokrotnością 64 KB i nie może być mniejszy niż 1024 KB.
Zdarzenia są przechowywane w pliku dziennika, który może rozrosnąć się tylko do określonego maksymalnego rozmiaru. Gdy plik osiągnie maksymalny rozmiar, przetwarzanie przychodzących zdarzeń będzie określane przez zasady przechowywania dzienników. Dostępne są następujące zasady przechowywania dzienników:
Przepisz zdarzenia w razie potrzeby (najpierw stare pliki) - w takim przypadku nowe wpisy są nadal zapisywane w dzienniku po jego zapełnieniu. Każde nowe zdarzenie zastępuje najstarsze w dzienniku;

Dziennik archiwum, gdy jest pełny; nie przepisuj zdarzeń - w takim przypadku plik dziennika jest automatycznie archiwizowany w razie potrzeby. Nieaktualne wydarzenia nie są nadpisywane.

Nie zapisuj ponownie zdarzeń (ręczne czyszczenie dziennika) – w tym przypadku dziennik jest czyszczony ręcznie, a nie automatycznie.

Aby wybrać żądaną zasadę przechowywania dzienników, wykonaj następujące kroki:

W drzewie konsoli wybierz dziennik zdarzeń, którego rozmiar chcesz zmienić;
Wybierz polecenie „Właściwości” z menu „Akcja” lub z menu kontekstowego wybranego dziennika;
Na karcie „Ogólne” w sekcji „Po osiągnięciu maksymalnego rozmiaru” wybierz żądaną opcję i kliknij przycisk „OK”.
Włącz logowanie analityczne i debugowania

Dzienniki analityczne i debugowania są domyślnie wyłączone. Po aktywacji szybko się zapełniają. duża ilość wydarzenia. Z tego powodu wskazane jest włączenie tych dzienników na określony czas w celu zebrania danych niezbędnych do rozwiązywania problemów, a następnie ponowne ich wyłączenie. Logi można aktywować w następujący sposób:

W drzewie konsoli znajdź i wybierz dziennik analityczny lub debugowania, który chcesz aktywować;
Wybierz polecenie „Właściwości” z menu „Akcja” lub z menu kontekstowego wybranego dziennika analitycznego lub debugowania;
Na karcie Ogólne zaznacz pole obok „Włącz rejestrowanie”

Otwieranie i zamykanie zapisanego dziennika

Możesz użyć przystawki Podgląd zdarzeń, aby otworzyć i wyświetlić wcześniej zapisane dzienniki. Możesz otworzyć wiele zapisanych dzienników jednocześnie i uzyskać do nich dostęp w dowolnym momencie w drzewie konsoli. Dziennik otwarty w Podglądzie zdarzeń można zamknąć bez usuwania zawartych w nim informacji. Aby otworzyć zapisany dziennik, wykonaj następujące czynności:

Wybierz polecenie „Otwórz zapisany dziennik” z menu „Akcja” lub z menu kontekstowego w drzewie konsoli;
W oknie dialogowym Otwórz zapisany dziennik przejdź przez drzewo katalogów, aby otworzyć folder zawierający żądany plik. Domyślnie wszystkie pliki dziennika zdarzeń będą wyświetlane w oknie dialogowym. Ponadto podczas otwierania możesz wybrać typ plików, które chcesz wyświetlić w otwartym oknie dialogowym. Dostępne typy plików to: pliki dziennika zdarzeń (*.evtx, *.evt, *.etl), a także pliki zdarzeń (*.evtx), starsze pliki zdarzeń (*.evt) lub pliki dziennika śledzenia (*.etl ). Po znalezieniu żądanego pliku dziennika wybierz go, klikając go lewym przyciskiem myszy, co spowoduje umieszczenie jego nazwy w wierszu do wpisania nazwy pliku i kliknij przycisk „Otwórz”

W oknie dialogowym Otwórz zapisany dziennik w polu Nazwa wprowadź nową nazwę, która będzie używana dla dziennika w drzewie konsoli. Jest używany tylko do reprezentowania dziennika w drzewie konsoli, a nazwa pliku dziennika nie jest zmieniana.Można również użyć istniejąca nazwa plik dziennika. W polu Opis wprowadź opis dziennika. Zostanie wyświetlony w środkowym panelu, gdy nadrzędny folder dziennika zostanie podświetlony w drzewie konsoli;
Aby utworzyć folder, w którym będzie się znajdował zapisany dziennik, kliknij przycisk „Utwórz folder”. W polu „Nazwa” wpisz nazwę folderu, który będzie zawierał otwarty magazyn, a następnie kliknij OK. Jeśli nie zostanie wybrany żaden folder nadrzędny, nowy folder zostanie umieszczony w folderze Zapisane dzienniki

Aby otwarty dziennik zdarzeń był niedostępny dla innych użytkowników komputera, możesz odznaczyć pole „Wszyscy użytkownicy”. Jeśli to pole wyboru pozostanie aktywne, otwarty dziennik będzie dostępny dla wszystkich użytkowników, ale do usunięcia go z drzewa konsoli będą wymagane uprawnienia administratora;
Aby otworzyć dziennik, kliknij przycisk „OK”.
Aby usunąć otwarty dziennik drzewa zdarzeń, wykonaj następujące czynności:

W drzewie konsoli wybierz dziennik, który chcesz usunąć;
Wybierz polecenie „Usuń” z menu „Działanie” lub z menu kontekstowego wybranego dziennika

W oknie „Przeglądarka zdarzeń” kliknij przycisk „Tak”.

Wniosek

W tej części artykułu o przystawce Podgląd zdarzeń przedstawiono samą przystawkę i szczegółowo opisano podstawowe operacje związane z monitorowaniem i konserwacją systemu za pomocą Podglądu zdarzeń.

System operacyjny Windows w wersji 7 wprowadza funkcję śledzenia ważne wydarzenia występujące w działaniu programów systemowych. W firmie Microsoft termin „zdarzenia” odnosi się do wszelkich zdarzeń w systemie, które są rejestrowane w specjalny magazyn i sygnalizować się użytkownikom lub administratorom. Może to być narzędzie, które nie chce się uruchomić, aplikacje, które ulegają awarii lub urządzenia, które nie instalują się poprawnie. Wszystkie incydenty rejestrują i zapisują dziennik zdarzeń systemu Windows 7. Lokalizuje również i pokazuje wszystkie działania w porządek chronologiczny, pomaga przeprowadzić kontrolę systemu, zapewnia bezpieczeństwo systemu operacyjnego, koryguje błędy i diagnozuje cały system.

Należy okresowo przeglądać ten dziennik w poszukiwaniu nowych informacji i skonfigurować system tak, aby zapisywał ważne dane.

Windows 7 - programy

Aplikacja komputerowa Podgląd zdarzeń jest główną częścią narzędzi narzędziowych firmy Microsoft, które są przeznaczone do monitorowania i przeglądania dziennika zdarzeń. To jest niezbędne narzędzie monitorować kondycję systemu i eliminować pojawiające się błędy. Narzędzie systemu Windows, które zarządza dokumentacją incydentów, nosi nazwę Dziennik zdarzeń. Jeśli ta usługa jest uruchomiona, zaczyna zbierać i rejestrować wszystkie ważne dane w swoim archiwum. Dziennik zdarzeń systemu Windows 7 umożliwia wykonanie następujących czynności:

Przeglądanie danych zapisanych w archiwum;

Korzystanie z różnych filtrów zdarzeń i zapisywanie ich do dalszego wykorzystania w ustawieniach systemu;

Tworzenie abonamentu na konkretne incydenty i zarządzanie nimi;

Przydzielać pewne działania kiedy wystąpią jakiekolwiek zdarzenia.

Jak otworzyć dziennik zdarzeń systemu Windows 7?

Program odpowiedzialny za rejestrację incydentów uruchamiany jest w następujący sposób:

1. Menu jest aktywowane przez naciśnięcie przycisku „Start” w lewym dolnym rogu monitora, następnie otwiera się „Panel sterowania”. Na liście kontrolek wybierz "Administracja" i już w tym podmenu kliknij "Podgląd zdarzeń".

2. Istnieje inny sposób przeglądania dziennika zdarzeń systemu Windows 7. Aby to zrobić, przejdź do menu Start, wpisz mmc w polu wyszukiwania i wyślij żądanie wyszukiwania plików. Następnie otworzy się tabela MMC, w której należy wybrać akapit wskazujący na dodanie i usunięcie przystawek. Następnie do głównego okna dodawana jest przeglądarka zdarzeń.

Jaka jest opisana aplikacja?

W systemach operacyjnych Windows 7 i Vista instalowane są dwa rodzaje dzienników zdarzeń: archiwa systemowe i dziennik aplikacji serwisowej. Pierwsza opcja służy do przechwytywania incydentów ogólnosystemowych, które są związane z wydajnością różnych aplikacji, uruchamianiem i bezpieczeństwem. Druga opcja odpowiada za rejestrowanie wydarzeń z ich pracy. Do kontroli i zarządzania wszystkimi danymi usługa „Dziennik zdarzeń” wykorzystuje zakładkę „Widok”, która dzieli się na następujące pozycje:

Aplikacja - w tym miejscu zapisywane są zdarzenia związane z konkretnym programem. Na przykład usługi pocztowe przechowują w tym miejscu historię przesyłania informacji, różne zdarzenia w skrzynkach pocztowych i tak dalej.

Pozycja „Bezpieczeństwo” zapisuje wszystkie dane związane z logowaniem i wylogowywaniem się z systemu, korzystaniem z funkcji administracyjnych i dostępem do zasobów.

Instalacja — ten dziennik zdarzeń systemu Windows 7 rejestruje dane, które występują podczas instalacji i konfiguracji systemu oraz jego aplikacji.

System - przechwytuje wszystkie zdarzenia OS, takie jak nieuruchomienie aplikacji serwisowych lub podczas instalacji i aktualizacji sterowników urządzeń, różne komunikaty związane z działaniem całego systemu.

Zdarzenia przekazane - jeśli ta pozycja jest skonfigurowana, to przechowuje informacje pochodzące z innych serwerów.

Inne podpunkty menu głównego

Również w menu „Administracja”, w którym znajduje się dziennik zdarzeń w systemie Windows 7, znajdują się takie dodatkowe elementy:

Internet Explorer - w tym miejscu rejestrowane są zdarzenia, które występują podczas działania i konfiguracji przeglądarki o tej samej nazwie.

Windows PowerShell — w tym folderze są rejestrowane incydenty związane z użyciem powłoki PowerShell.

Zdarzenia sprzętowe - jeżeli ta pozycja jest skonfigurowana, to dane generowane przez urządzenia są rejestrowane.

Cała struktura „siódemki”, która zapewnia zapis wszystkich zdarzeń, oparta jest na typie „Vista” na XML. Ale aby użyć programu dziennika zdarzeń w Windows 7, nie musisz wiedzieć, jak używać tego kodu. Aplikacja Event Viewer zrobi wszystko sama, zapewniając wygodną i prostą tabelę z pozycjami menu.

Charakterystyka incydentu

Użytkownik, który chce wiedzieć, jak przeglądać dziennik zdarzeń systemu Windows 7, musi również zrozumieć charakterystykę danych, które chce wyświetlić. W końcu są różne właściwości niektóre zdarzenia opisane w Podglądzie zdarzeń. Te funkcje zostaną omówione poniżej:

Źródła - program przechwytujący zdarzenia w dzienniku. W tym miejscu zapisywane są nazwy aplikacji lub sterowników, które miały wpływ na konkretne zdarzenie.

Kod zdarzenia - zestaw liczb, które określają rodzaj zdarzenia. Ten kod źródłowy i nazwa zdarzenia są używane przez dział pomocy technicznej oprogramowania systemowego do naprawiania błędów i rozwiązywania problemów z oprogramowaniem.

Poziom - stopień ważności wydarzenia. Dziennik zdarzeń systemowych zawiera sześć poziomów incydentów:

1. Wiadomość.

2. Ostrożność.

3. Błąd.

4. Niebezpieczny błąd.

5. Monitorowanie udane operacje do poprawiania błędów.

6. Audyt nieudanych działań.

Użytkownicy - przechwytuje dane kont, w imieniu których doszło do incydentu. Mogą to być nazwy różnych usług, a także prawdziwi użytkownicy.

Data i godzina – rejestruje czas wystąpienia zdarzenia.

Istnieje wiele innych zdarzeń, które występują podczas działania systemu operacyjnego. Wszystkie incydenty są wyświetlane w „Przeglądarce zdarzeń” wraz z opisem wszystkich powiązanych danych informacyjnych.

Jak pracować z dziennikiem zdarzeń?

Wysoko ważny punkt w ochronie systemu przed awariami i zawieszaniem się jest okresowy przegląd dziennika „Aplikacji”, który rejestruje informacje o incydentach, ostatnich akcjach z danym programem, a także zapewnia wybór dostępnych operacji.

Wchodząc do dziennika zdarzeń systemu Windows 7, w podmenu „Aplikacja” można zobaczyć listę wszystkich programów, które spowodowały różne negatywne zdarzenia w systemie, czas i datę ich wystąpienia, źródło oraz stopień problemu.

Odpowiedzi użytkowników na wydarzenia

Po nauczeniu się, jak otworzyć dziennik zdarzeń systemu Windows 7 i jak z niego korzystać, powinieneś dowiedzieć się, jak złożyć wniosek za pomocą tej przydatnej aplikacji Harmonogram zadań. Aby to zrobić, kliknij prawym przyciskiem myszy dowolne zdarzenie i w oknie, które się otworzy, wybierz menu umożliwiające powiązanie zadania ze zdarzeniem. Następnym razem, gdy taki incydent wystąpi w systemie, system operacyjny automatycznie uruchomi zainstalowane zadanie, aby przetworzyć błąd i go naprawić.

Błąd w logu nie jest powodem do paniki

Jeśli podczas przeglądania dziennika zdarzeń systemu Windows 7 zobaczysz sporadyczne błędy systemu lub ostrzeżenia, nie powinieneś się tym martwić i panikować. Nawet przy doskonale działającym komputerze można rejestrować różne błędy i awarie, z których większość nie stanowi poważnego zagrożenia dla zdrowia komputera.

Opisywana przez nas aplikacja została stworzona w celu ułatwienia administratorowi systemu kontroli komputerów i rozwiązywania pojawiających się problemów.

Wniosek

Na podstawie powyższego staje się jasne, że dziennik zdarzeń jest sposobem, który umożliwia programom i systemowi rejestrowanie i zapisywanie wszystkich zdarzeń na komputerze w jednym miejscu. Ten dziennik przechowuje wszystkie błędy operacyjne, komunikaty i ostrzeżenia z aplikacji systemowych.

Gdzie znajduje się dziennik zdarzeń w systemie Windows 7, jak go otworzyć, jak z niego korzystać, jak naprawić błędy, które się pojawiły - tego wszystkiego dowiedzieliśmy się z tego artykułu. Ale wielu zapyta: „Po co nam to, nie jesteśmy administratorami systemów, nie programistami, ale zwykłymi użytkownikami, którzy jak gdyby nie potrzebują tej wiedzy?” Ale to podejście jest błędne. W końcu, gdy ktoś zachoruje na coś, przed pójściem do lekarza próbuje się wyleczyć w taki czy inny sposób. I wielu często to robi. Podobnie komputer, który jest organizmem cyfrowym, może „zachorować”, a ten artykuł pokazuje jeden ze sposobów, jak zdiagnozować przyczynę takiej „choroby”, na podstawie wyników takiego „badania”, można podjąć właściwą decyzję o metodach późniejszego „leczenia”.

Tak więc informacja o sposobie przeglądania zdarzeń przyda się nie tylko inżynierowi systemowemu, ale także zwykłemu użytkownikowi.

Instrukcja

Czasopismo otwiera się w oknie „Przeglądarka zdarzeń”, w którym przechowywane są dzienniki zdarzeń systemowych i programowych oraz zdarzeń bezpieczeństwa na komputerze. Za pomocą tego okna możesz nie tylko otrzymywać informacje o zdarzeniach, ale także zarządzać logami. Aby otworzyć okno Podglądu zdarzeń, musisz zrobić kilka rzeczy.

Kliknij przycisk „Start” w lewym dolnym rogu ekranu lub klawisz Windows na klawiaturze (klawisz flagi). W rozwiniętym menu należy wybrać pozycję „Panel sterowania” (w zależności od ustawień menu „Start” pozycja może być dostępna od razu lub znajdować się w menu „Ustawienia”).

W Panelu sterowania przejdź do kategorii Wydajność i konserwacja i wybierz ikonę Narzędzia administracyjne, klikając ją lewym przyciskiem myszy. Jeśli „Panel sterowania” ma klasyczny wygląd, ikona, której szukasz, jest dostępna natychmiast.

Wybierz skrót „Podgląd zdarzeń” w folderze „Administracja”, otworzy się żądane okno. Można to nazwać w inny sposób. Przejdź do katalogu C: (lub innego dysku z systemem) / Dokumenty i ustawienia / Wszyscy użytkownicy (lub określone konto) / Menu główne / Programy / Administracja i wybierz skrót Podgląd zdarzeń.

W oknie, które się otworzy, będziesz mógł przeglądać i zarządzać różnymi dziennikami. Wybierz żądany dziennik (Aplikacja, Zabezpieczenia, System, Internet Explorer itd.) w lewej części okna, klikając go lewym przyciskiem myszy. W prawej części okna zobaczysz listę wszystkich zdarzeń zapisanych w logu. Każde wydarzenie można wyświetlić, klikając je dwukrotnie lewym przyciskiem myszy.

Aby zarządzać zdarzeniami, użyj pozycji menu „Działania” lub wywołaj menu kontekstowe, klikając prawym przyciskiem myszy wymagany dziennik. Aby zamknąć okno „Przeglądarka zdarzeń”, wybierz pozycję „Konsola” w górnym pasku menu i polecenie „Wyjdź” lub kliknij ikonę [x] w prawym górnym rogu okna.

Źródła:

• gdzie mogę znaleźć dziennik pracy?

Redakcje niektórych czasopism wolą publikować swoje wydania na oficjalnych stronach internetowych. Dostęp może być pełny lub częściowy, płatny lub bezpłatny. Czasami odwiedzający witrynę mogą w ten sposób czytać tylko te czasopisma, które są już wyprzedane w kioskach.

Instrukcja

Upewnij się, że jesteś obsługiwany przez nieograniczonego dostawcę danych. Wejdź na oficjalną stronę czasopisma, które chcesz przeczytać w formie elektronicznej. Spróbuj znaleźć dalej strona główna na tej stronie link o nazwie „Archiwum”. Śledź ten link.

Zobaczysz listę roczników czasopism dostępnych do przeglądania. Wybierz najpierw rok, a potem miesiąc. Następnie pojawi się link do pobrania lokalnej kopii czasopisma, lista artykułów lub stron do przeglądania indywidualnie (w formie tekstowej lub graficznej) lub okno wtyczki (Flash, Adobe Reader lub Djview). Jeśli niezbędna wtyczka nie jest zainstalowana na Twoim komputerze, pobierz ją z oficjalnej strony producenta i zainstaluj.

Jeżeli serwis przewiduje możliwość pobierania numerów czasopisma na dysk twardy użytkownika, pobierz jedno z wydań, a następnie, poprzez rozszerzenie otrzymanego pliku, określ, który program jest wymagany do jego wyświetlenia. Najczęściej jest to Acrobat Reader lub Djview. Czasami pliki są umieszczane w archiwach, na przykład w formacie ZIP. Pamiętaj, że możliwość bezpłatnego pobierania czasopism nie daje Ci prawa do publikowania ich w innych witrynach.

Oto, co się ze mną dzieje:

mój użytkownik nie przychodzi do mnie,

ale chodzą w bezczynnym zgiełku

różne nie takie same…

Co to jest dziennik zdarzeń

Wszystko, co się dzieje, jest pod kontrolą Okna(kliknięcie , naciśnięcie klawisza, uruchomienie programu…), są zdarzeniami ( wydarzenia). Najważniejsze (pod względem Okna!) zdarzenia (np. problemy ze sprzętem, aplikacją i systemem) są rejestrowane przez system operacyjny w tzw dzienniki zdarzeń.

Jak przeglądać dzienniki zdarzeń

Windows Vista+: Start –> Panel sterowania –> Narzędzia administracyjne –> Podgląd zdarzeń.

Windows XP: Start –> Ustawienia –> Panel sterowania –> Narzędzia administracyjne –> Podgląd zdarzeń(lub Start -> Bieg -> w oknie Uruchomienie programu w pole tekstowe otwarty wejść eventvwr.msc /s –> Kliknij OK).

Główne rodzaje magazynów:

– dziennik aplikacji(zawiera dane związane z działaniem aplikacji i programów. Wpisy w tym logu są tworzone przez same aplikacje. Zdarzenia wpisywane do logu aplikacji są określane przez twórców odpowiednich aplikacji);

– dziennik bezpieczeństwa(zawiera zapisy zdarzeń takich jak udane i nieudane próby dostępu do systemu, a także zdarzeń związanych z wykorzystaniem zasobów, takich jak tworzenie, otwieranie i usuwanie plików i innych obiektów. Decyduj o zdarzeniach, które są rejestrowane w zabezpieczeniach log , zaakceptowany przez administratora. Np. po włączeniu audytu logowań wszystkie próby logowania są logowane do logu bezpieczeństwa);

– dziennik systemowy(zawiera wpisy o zdarzeniach dokonane przez komponenty systemu operacyjnego) Okna. Na przykład dziennik systemowy rejestruje awarie podczas rozruchu lub inne składniki systemu podczas uruchamiania systemu).

Wyświetla się Podgląd zdarzeń wydarzenia następujących typów:

– błąd(poważne trudności, takie jak utrata danych lub funkcjonalności. Jeśli usługa nie załaduje się przy starcie, rejestrowany jest komunikat o błędzie. Wpisy błędów są oznaczone kółkiem z krzyżykiem w środku);

– ostrzeżenie(zdarzenia, które nie były znaczące w momencie zapisywania do dziennika, ale mogą prowadzić do trudności w przyszłości. Na przykład, jeśli na dysku pozostało za mało wolna przestrzeń, zostanie zarejestrowane ostrzeżenie. Ostrzeżenia są oznaczone trójkątem z wykrzyknikiem);

– powiadomienie(zdarzenie opisujące pomyślne zakończenie akcji przez aplikację lub usługę. Na przykład, po pomyślnym pobraniu, zdarzenie powiadomienia jest rejestrowane. Powiadomienia są oznaczone kółkiem z „ogonem” i literą „i” w środku);

– audyt sukcesu(zdarzenie odpowiadające pomyślnie zakończonej akcji związanej z utrzymaniem bezpieczeństwa systemu. Np. w przypadku udanego logowania użytkownika rejestrowane jest zdarzenie typu „Audyt sukcesu”);

– audyt niepowodzeń(zdarzenie odpowiadające nieudanej akcji związanej z utrzymaniem bezpieczeństwa systemu. Np. w przypadku nieudanej próby dostępu użytkownika do dysku sieciowego, rejestrowane jest zdarzenie typu „Audyt awarii”).

Jak używać dzienników zdarzeń do rozwiązywania problemów

Dokładna analiza dzienników zdarzeń pomaga zapobiegać problemom z systemem i określać ich przyczyny. Na przykład, jeśli w dzienniku jest ostrzeżenie, że dysk można odczytać lub zapisać w sektorze tylko po kilku próbach, ten sektor może wkrótce stać się bezużyteczny.

Dzienniki mogą również pomóc w rozwiązywaniu problemów związanych z wydajnością aplikacji. Na przykład, jeśli program ulegnie awarii, w dzienniku aplikacji zwykle znajdują się wpisy dotyczące zdarzeń, które spowodowały jego awarię.

Czytanie dzienników zdarzeń to święty (codzienny!) obowiązek programistów i administratorów systemu. Często, nawet dla zwykłego użytkownika, przeglądanie tych logów może znacznie ułatwić życie, ułatwiając komunikację z zarządzanymi Okna przyjemniejsza i wydajniejsza!

Uwagi

1. Usługa dziennika zdarzeń uruchamia się automatycznie przy starcie Okna.