Огляд Перегляду подій операційної системи Windows 7

Огляд “Перегляд подій” операційної системи Windows 7 (Частина 1)

* Введення
* Запуск програми «Перегляд подій»
* Журнали подій у Windows 7
* Властивості подій
* Робота з журналами подій
o Перегляд подій
o Очищення журналу подій
o Встановлення максимального розміру журналу
o Активація аналітичного і налагоджувального журналу
o Відкриття і закриття журналу збереженого
* Висновок

Введення

Операційна система Windows 7 постійно стежить за різними гідними уваги подіями, що виникають у вашій системі. У Microsoft Windows подія (event) – це будь-яка подія в операційній системі, яке записується в журнал або вимагає повідомлення користувачів або адміністраторів. Це може бути служба, яка не хоче запускатися, установка пристрою або помилка у роботі програми. Події реєструються і зберігаються в журналах подій Windows і надають важливі хронологічні відомості, що допомагають вести моніторинг системи, підтримувати її безпеку, усувати помилки і виконувати діагностику. Необхідно регулярно аналізувати інформацію, що міститься в цих журналах. Вам слід регулярно стежити за журналами подій та налаштовувати операційну систему на збереження важливих системних подій. У тому випадку, якщо ви адміністратор серверів Windows, то необхідно слідкувати за безпекою їх систем, нормальною роботою додатків і сервісів, а також перевіряти сервер на наявність помилок, здатних погіршити продуктивність. Якщо ви користувач персонального комп’ютера, то вам слід переконатися в тому, що вам доступні відповідні журнали, необхідні для підтримки своєї системи і усунення помилок.

Програма «Перегляд подій» являє собою вікно консолі керування Microsoft (MMC) і призначена для перегляду і управління журналами подій. Це незамінний інструмент для спостереження за працездатністю системи та усунення виниклих несправностей. Служба Windows, яка управляє протоколюванням подій, називається «Журнал подій». У тому випадку, якщо вона запущена, Windows записує важливі дані в журнали. За допомогою програми «Перегляд подій» ви можете виконувати наступні дії:

* Переглядати події певних журналів;
* Застосовувати фільтри подій і зберігати їх для подальшого використання у вигляді настроювані подання;
* Створювати підписки на події і керувати ними;
* Призначати виконання конкретних дій на виникнення певної події.

Запуск програми «Перегляд подій»

Додаток «Перегляд подій» можна відкрити такими способами:

* Натисніть на кнопку «Пуск» для відкриття меню, відкрийте «Панель управління», зі списку компонентів панелі керування виберіть пункт «Адміністрування» і зі списку адміністративних компонентів варто вибрати «Перегляд подій»;
* Відкрийте «Консоль керування MMC». Для цього натисніть кнопку Пуск, у полі пошуку введіть mmc, а потім натисніть на кнопку «Enter». Відкриється порожня консоль MMC. У меню «Консоль» виберіть команду «Додати або видалити оснастку» або скористайтеся комбінацією клавіш Ctrl+M. В діалозі «Додавання і видалення оснастки» виберіть вікно «Перегляд подій» і натисніть на кнопку «Додати». Потім натисніть на кнопку «Готово», а після цього – кнопку «ОК»;
* Скористатися комбінацією клавіш *+R для відкриття діалогу «Виконати». У діалоговому вікні «Виконати» в поле «Відкрити» введіть eventvwr.msc і натисніть на кнопку «ОК»;

Журнали подій у Windows 7

В операційній системі Windows 7, так само як і в Windosw Vista, існують дві категорії журналів подій: журнали Windows і журнали додатків і служб. Журнали Windows – використовуються операційною системою для реєстрації загальносистемних подій, пов’язаних з роботою програм, системних компонентів, безпекою та запуском. А журнали додатків і служб використовуються додатками та службами для реєстрації подій, пов’язаних з їх роботою. Для управління журналами подій можна використовувати вікно «Перегляд подій» або програму командного рядка wevtutil, про яку буде розказано в другій частині статті. Всі типи журналів описані нижче:

Додаток – зберігає важливі події, пов’язані з конкретним додатком. Наприклад, Exchange Server зберігає події, що відносяться до пересилання пошти, в тому числі події інформаційного сховища, поштових скриньок і запущених служб. За замовчуванням поміщається в %SystemRoot%System32WinevtLogsApplication.Evtx.

Безпека – зберігає події, пов’язані з безпекою, такі як вхід/вихід із системи, використання привілеїв і звернення до ресурсів. За замовчуванням поміщається в %SystemRoot%System32WinevtLogsSecurity.Evtx

Установка – у цей журнал записуються події, що виникають при установці та налаштування операційної системи і її компонентів. За замовчуванням розміщується в %SystemRoot%System32WinevtLogsSetup.Evtx.

Система – зберігає події операційної системи або її компонентів, наприклад невдачі при запусках служб або ініціалізації драйверів, загальносистемні повідомлення та інші повідомлення, що відносяться до системи в цілому. За замовчуванням поміщається в %SystemRoot%System32WinevtLogsSystem.Evtx

Пересилаються події – якщо налаштована пересилання подій, в цей журнал потрапляють події, що надсилаються з інших серверів. За замовчуванням поміщається в %SystemRoot%System32WinevtLogsForwardedEvents.Evtx

Internet Explorer – у цей журнал записуються події, що виникають при налаштуванні і роботі з браузером Internet Explorer. За замовчуванням поміщається в %SystemRoot%System32WinevtLogsInternetExplorer.Evtx

Windows PowerShell – у цьому журналі реєструються події, пов’язані з використанням оболонки PowerShell. За замовчуванням розміщується в %SystemRoot%System32WinevtLogsWindowsPowerShwll.Evtx

Події обладнання – якщо налаштована реєстрація подій обладнання, у цей журнал записуються події, що генеруються пристроями. За замовчуванням поміщається в %SystemRoot%System32WinevtLogsHardwareEvent.Evtx

У Windows 7 інфраструктура, що забезпечує реєстрацію подій, заснована також як і в Windows Vista на XML. Дані про кожну подію відповідають XML-схемою, що дозволяє отримати доступ до XML-коду будь-якої події. Крім того, можна створювати засновані на XML-запити для отримання даних з журналів. Для використання цих нових можливостей не потрібні знання про XML. Оснащення «Перегляд подій» надає простий графічний інтерфейс для доступу до цих можливостей.
Властивості подій

Існує кілька властивостей подій оснастки «Перегляд подій», які докладно описані трохи нижче:

Джерело – це програма, яка зареєструвала подія в журналі. Це може бути як ім’я програми (наприклад, «Exchange»), так і назва компонента системи або великого додатка (наприклад, ім’я драйвера). Наприклад, «Elnkii» означає драйвер EtherLink II.

Код події – це число, що визначає конкретний тип події. У першому рядку опису зазвичай міститься назва типу події. Наприклад, 6005 – це ідентифікатор події, яка відбувається під час запуску служби ведення журналів подій. Відповідно, на початку опису цієї події знаходиться рядок «Запущена служба журналу подій». Код події і ім’я джерела записи можуть використовуватися представниками групи підтримки програмного продукту для усунення неполадок.

Рівень – це рівень важливості події. У журналах системи і додатків події можуть мати наступні рівні важливості:

* Повідомлення – позначає зміну в додатку або компоненті, таке як виникнення інформаційного події, пов’язаного з успішним дією, створення ресурсу або запуск служби.
* Попередження – позначає попередження загального характеру на проблему, здатну вплинути на службу або призвести до більш серйозної проблеми, якщо залишити її без уваги;
* Помилка – позначає, що виникла проблема, яка може вплинути на функції, зовнішні по відношенню до додатка або компонента, що викликав подія;
* Критична помилка – позначає, що стався збій, після якого додаток або компонент, що ініціювали подія, не можуть відновитися автоматично;
* Аудит успіхів – успішне виконання дій, які ви відстежуєте через аудит, наприклад, використання якої-небудь привілеї;
* Аудит відмов – невдале виконання дій, які ви відстежуєте через аудит, наприклад помилка при вході в систему.

Користувач визначає обліковий запис користувача, від імені якого виникло дане подія. До користувачів ставляться особливі сутності, наприклад Local Service Network Service і Anonymous Logon, а також облікові записи реальних користувачів. Це ім’я являє собою ідентифікатор клієнта, якщо подія фактично було викликано серверним процесом, або основний ідентифікатор, якщо уособлення не проводиться. В деяких випадках запис журналу безпеки містить обидва ідентифікатора. А також в цьому полі може стояти N/A (Н/Д), якщо в даній ситуації обліковий запис незастосовна. Уособлення відбувається у випадках, коли сервер дозволяє одному процесу присвоїти атрибути безпеки іншого процесу.

Робочий код – містить числове значення, яке визначає операцію або крапку в межах операції, при виконанні якої виникла ця подія. Наприклад, ініціалізація або закриття.

Журнал – ім’я журналу, який було записано дана подія.

Категорія і завдання – визначає категорію події, іноді використовується для подальшого опису допустимого дії. У кожного джерела подій свої категорії. Наприклад такі категорії: вхід/вихід, використання привілеїв, зміна політики і керування обліковим записом.

Ключові слова – це набір категорій або міток, які можуть використовуватися для фільтрації або пошуку подій. Наприклад: «Мережа», «Безпека» або «Ресурс не знайдено».

Комп’ютер – ідентифікує ім’я комп’ютера, на якому відбулася подія. Зазвичай це ім’я локального комп’ютера, але також може бути ім’я комп’ютера, переславшего подія, або ім’я локального комп’ютера до того, як воно було змінено.

Дата і час – визначає дату і час виникнення даної події в журналі.

ІДЕНТИФІКАТОР процесу – являє ідентифікаційний номер процесу, який створив дану подію. Комп’ютерна програма являє з себе тільки пасивну сукупність інструкцій, в той час як процес – це безпосереднє виконання цих інструкцій

ІД потоку – являє ідентифікаційний номер потоку, який створив дану подію. Процес, породжений в операційній системі, може складатися з декількох потоків, що виконуються «паралельно», тобто без встановленого порядку у часі. При виконанні деяких завдань такий поділ може досягти більш ефективного використання ресурсів обчислювальної машини

ІД процесора – являє ідентифікаційний номер процесора, опрацював подія.

Код сеансу – це ідентифікаційний номер сеансу на сервері терміналів, в якому відбулася подія.

Час роботи в режимі ядра – визначає час, витрачений на виконання інструкцій режиму ядра, в одиницях часу ЦП. Режим ядра має необмежений доступ до системної пам’яті і зовнішніх пристроїв. Ядро системи NT називають гібридним ядром або макроядром.

Час роботи у режимі користувача – визначає час, витрачений на виконання інструкцій користувальницького режиму, в одиницях часу ЦП. Режим користувача складається з підсистем, які передають запити вводавывода відповідного драйвера режиму ядра за допомогою менеджера Вводу-виводу.

Завантаженість процесора – це час, витрачений на виконання інструкцій користувальницького режиму, в твк ЦП.

Код кореляції – визначає дію в процесі, для якого використовується подія. Цей код використовується для вказівки простих відносин між подіями. Кореляція – статистичний взаємозв’язок двох або декількох випадкових величин (або величин, які можна з деякою допустимої ступенем точності вважати такими). При цьому, зміни однієї або декількох з цих величин призводять до систематичної зміни іншої або інших величин.

ІД відносної кореляції – визначає відносне дію в процесі, для якого використовується подія
Робота з журналами подій
Перегляд подій

На наступному скріншоті можна побачити журнал «Додатки», в якому можна дізнатися відомості про події, недавніх уявленнях і доступних діях. Для того щоб переглянути події журналу додатків, виконайте наступні дії:

1. У дереві консолі виберіть «Журнали Windows»;
2. Виберіть журнал «Додатки».

Бажано частіше проглядати журнали подій «Додаток» і «Система» і вивчати існуючі проблеми та попередження, які можуть провіщати про проблеми в майбутньому. При виборі журналу в середньому вікні відображаються події, включаючи дату події, час і джерело, рівень події та інші дані.

Панель «Область перегляду» показує основні дані про події на вкладці «Загальні», а додаткові специфічні дані – на вкладці «Подробиці». Включити і вимкнути цю панель можна, вибравши меню «Вид», а потім команду «Область перегляду».

Для критичних систем рекомендується зберігати журнали за останні кілька місяців. Весь час призначати журналам такий розмір, щоб у них вміщувалася вся інформація, як правило, незручно, вирішити цю задачу можна по-іншому. Можна експортувати журнали файли, розташовані у заданій папці. Для того щоб зберегти вибраний журнал виконайте наступні дії:

1. У дереві консолі виберіть журнал подій, який потрібно зберегти;
2. Виберіть команду «Зберегти події як» з меню «Дія» або з контекстного меню журналу виберіть команду «Зберегти всі події як»;
3. У діалоговому вікні «Зберегти як» виберіть папку, в яку повинен бути збережений файл. Якщо потрібно зберегти файл у новій папці, то її можна створити безпосередньо з цього діалогу, використовуючи контекстне меню або кнопку «Нова папка» на панелі дій. В полі «Тип файлу» потрібно вибрати бажаний формат файлу з доступних файли подій – *.evtx, xml-файл – *.xml, текст із роздільниками табуляції *.txt, csv, розділені комами – *.csv. У полі «Ім’я файлу» введіть ім’я і натисніть на кнопку «Зберегти». Для скасування збереження натисніть на кнопку «Скасувати»;
4. У тому випадку, якщо журнал подій не призначений для перегляду на іншому комп’ютері в діалоговому вікні «Відображати» залишіть за замовчуванням варіант «Не відображати відомості», а якщо журнал призначається для перегляду на іншому комп’ютері, то в діалоговому вікні «Відображати» виберіть пункт «Показувати відомості для наступних мов» і натисніть на кнопку «ОК».

Очищення журналу подій

Іноді доводиться очищати заповнені журнали подій для забезпечення ефективного аналізу попереджень та критичних помилок операційної системи. Для того щоб очистити обраний журнал виконайте наступні дії:

1. У дереві консолі виберіть журнал подій, який потрібно очистити;
2. Очистіть журнал одним з наступних способів:
* В меню «дії», виберіть команду «Очистити журнал»;
* На обраному журналі натисніть правою кнопкою для відкриття контекстного меню. У контекстному меню виберіть команду «Очистити журнал»;

3. Далі можна очистити журнал, або запакувати його в тому разі, якщо це не було зроблено раніше:
* Щоб очистити журнал подій без збереження натисніть натиснути на кнопку «Очистити»;
* Щоб очистити журнал подій після збереження натисніть на кнопку «Зберегти і очистити». У діалоговому вікні «Зберегти як» виберіть папку, в яку повинен бути збережений файл. Якщо потрібно зберегти файл у новій папці, то її можна створити безпосередньо з цього діалогу використовуючи контекстне меню або кнопку «Нова папка» на панелі дій. У полі «Ім’я файлу» введіть ім’я і натисніть на кнопку «Зберегти». Для скасування збереження потрібно натиснути на кнопку «Скасувати».

Встановлення максимального розміру журналу

Як було сказано вище, журнали подій зберігаються у вигляді файлів у папці %SystemRoot%System32WinevtLogs. Максимальний розмір цих файлів обмежений, але його можна змінити наступним способом:

1. У дереві консолі виберіть журнал подій, для якого слід змінити розмір;
2. Виберіть команду «Свойства» з меню «Дія» або з контекстного меню обраного журналу;

3. У полі «Максимальний розмір журналу (КБ)» встановіть необхідне значення за допомогою лічильника або встановіть вручну без лічильника. В цьому випадку значення заокруглюється до найближчого числа, кратного 64 КБ так як розмір файлу журналу повинен бути кратний 64 КБ і не може бути менше 1024 КБ.

Події зберігаються у файлі журналу, розмір якого може збільшуватися тільки до заданого максимального значення. Після досягнення файлом максимального розміру, обробка вступників подій буде визначатися політикою зберігання журналів. Доступні наступні політики збереження журналу:

Переписувати події при необхідності (спочатку старі файли) – в цьому випадку нові записи продовжують заноситися в журнал після його заповнення. Кожне нове подія замінює в журналі найбільш старе;

Архівувати журнал при заповненні; не переписувати події – в цьому випадку файл журналу автоматично зберігається при необхідності. Перезапис застарілих подій не виконується.

Не переписувати події (очистити журнал вручну) – в цьому випадку журнал очищається вручну, а не автоматично.

Для того щоб вибрати потрібну політику збереження журналів виконайте наступні дії:

1. У дереві консолі виберіть журнал подій, для якого слід змінити розмір;
2. Виберіть команду «Свойства» з меню «Дія» або з контекстного меню обраного журналу;
3. На вкладці «Загальні», в розділі «При досягненні максимального розміру» виберіть потрібний параметр і натисніть на кнопку «ОК».

Активація аналітичного і налагоджувального журналу

Аналітичний і налагоджувальний журнали за замовчуванням неактивні. Після активації вони швидко заповнюються великою кількістю подій. З цієї причини бажано активувати зазначені журнали на обмежений період часу для того, щоб зібрати необхідні для пошуку і усунення неполадок дані, а потім знову їх відключити. Активацію журналів можна виконати наступним чином:

1. У дереві консолі знайдіть і виберіть аналітичний або налагоджувальний журнал, який необхідно активувати;
2. Виберіть команду «Свойства» з меню «Дія» або з контекстного меню вибраного аналітичного або налагоджувальної журналу;
3. На вкладці «Общие» прапорець на опції «Включити ведення журналу»

Відкриття і закриття журналу збереженого

За допомогою оснастки «Перегляд подій» можна відкривати та переглядати збережені раніше журнали. Одночасно можна відкрити кілька збережених журналів і звертатися до них у будь-який час в дереві консолі. Журнал, відкритий у «Перегляд подій», може бути закритий без видалення містяться в ньому відомостей. Для відкриття збереженого журналу виконайте наступні дії:

1. Виберіть команду «Відкрити збережений журнал» в меню «Дія» або з контекстного меню у дереві консолі;
2. 3. У діалоговому вікні «Відкрити збережений журнал», пересуваючись по дереву каталогів, відкрийте папку, що містить потрібний файл. За замовчуванням у діалоговому вікні будуть виведені всі файли журналів подій. Також при відкритті можна вибрати тип файлів, які потрібно відображати в діалозі відкриття. Доступні типи файлів: файли журналу подій (*.evtx, *.evt, *.etl), а також файли подій (*.evtx), старі файли подій (*.evt) або файли журналу трасування (*.etl). Після того, як потрібний файл журналу буде знайдений, виділіть його, клацнувши на ньому лівою кнопкою миші, що помістить його ім’я в рядок для введення імені файлу і натисніть на кнопку «Відкрити».

3. У діалозі «Відкрити збережений журнал», в полі «Ім’я» введіть нове ім’я, яке буде використовуватися для журналу у дереві консолі. Воно використовується тільки для представлення журналу в дереві консолі і ім’я файлу журналу при цьому не змінюється Можна також використовувати існуюче ім’я файлу журналу. У полі Опис введіть опис журналу. Воно буде відображатися в центральній області при виділенні батьківської папки журналу в дереві консолі;
4. Для створення папки, в якій буде розташований збережений журнал, натисніть на кнопку «Створити папку». В поле «Ім’я» введіть ім’я папки, в якій буде перебувати відкритий журнал, а потім натисніть кнопку «ОК». Якщо батьківська тека не обрана, нова папка буде розташована в папці Збережені журнали».

5. Для того щоб відкритий журнал подій став недоступним для інших користувачів комп’ютера, ви можете зняти прапорець «Всі користувачі». У тому випадку, якщо цей прапорець залишиться активним, відкритий журнал буде доступний всім користувачам, але для його видалення з дерева консолі будуть потрібні права адміністратора;
6. Для відкриття журналу, натисніть кнопку «ОК».

Для того щоб видалити відкритий журнал дерева подій, виконайте наступні дії:

1. У дереві консолі виберіть журнал, який потрібно видалити;
2. Виберіть команду «Видалити» з меню «Дія» або з контекстного меню обраного журналу;

3. У діалозі «Перегляд подій» натисніть на кнопку «Так».

Висновок

У цій частині статті, присвяченій оснащенні «Перегляд подій», розповідається про саму оснащенні і докладно описані найпростіші операції, що пов’язані з моніторингом та обслуговуванням системи за допомогою «Перегляд подій». Наступна частина статті буде розрахована для досвідчених користувачів Windows. В ній будуть описані завдання з власними уявленнями, фільтрування, групування/сортування подій і управління підписками.
Продовження випливає.

Стаття опублікована з дозволу автора . Оригінальний стиль автора збережено.
Автор: Dmitry_Bulanov
Джерело: Dmitry Bulanovdimanb.spaces.live.com
Опубліковано: 10.11.2009
acerfans.ru