Обзор "Просмотра событий" операционной системы Windows 7 (Часть 2)

Источник: oszone

Введение

В предыдущей части статьи рассказывалось о базовых концепциях программы Windows 7 "Просмотр событий". В этой статье речь пойдет о настраиваемых представлениях, сортировке, группировке, фильтрации, а также о подписках на события.

В предыдущих версиях системных утилит "Просмотр событий" уже имелась возможность фильтрации событий непосредственно в журнале событий, для создания которой требовалось указывать определенное количество правил. Они в свою очередь определяли всего-навсего отображение или скрытие правил в журнале событий. Начиная с операционной системы Windows Vista, фильтрация событий стала одним из преимуществ в функционале данной утилиты, которая позволяет фильтровать события для исключения или включения их в набор результатов. Вы можете создать набор правил, который будут использоваться при отборе событий из указанных источников, и отображении только тех событий, свойства которых удовлетворяют указанным правилам. В свою очередь, сортировка по типу упрощает отделение сообщений о критических ошибках от предупреждений и прочих сообщений, сортировка по источнику - отслеживание событий из определенных источников, а сортировка по коду - выявление повторяющихся событий.

Использование фильтров в большинстве случаев существенно экономит время при поиске неисправностей и отладке системных ошибок. Сохранять проделанную работу и созданные фильтры позволяют настраиваемые представления. Сохраненный фильтр называется настраиваемым представлением, который создан на основе XPath-запросов. XPath - это язык запросов, позволяющий обращаться к определенным частям XML-документов. В просмотре событий XPath-выражения используются для поиска и выборки элементов журналов событий в отфильтрованное представление.

Чтобы создать настраиваемое или отфильтрованное представление в просмотре событий, скопируйте XPath-запрос и сохраните его в файле пользовательского представления просмотра событий. Запустив этот запрос снова, можно воссоздать соответствующее настраиваемое представление или фильтр на любом компьютере с новыми операционными системами.

При помощи программы "Просмотр событий" можно использовать централизованную регистрацию событий с использованием механизма пересылки событий и копирования журналов, которые ведутся на разных компьютерах, в централизованное хранилище, где можно анализировать сразу все журналы. Данный механизм, который практически не изменился со времен создания операционной системы Windows Vista, позволяет вам пересылать сведения о событиях на любой компьютер, который выполняет протоколирование событий. В связи с этим, можно проводить анализ в реальном времени для обнаружения попыток несанкционированного проникновения на компьютеры организации, а также домашней локальной сети.

Если говорить вкратце, то сама настройка централизованной регистрации событий выполняется в несколько этапов. Сначала нужно настроить сбор и пересылку событий, а затем назначается сервер сбора событий и на нем определяются подписки, для каждого компьютера с указанными журналами и типами событий. После создания и активации подписки начинается процесс получения событий, которые можно просматривать и обрабатывать точно таким же образом, как и любые локальные события. Поскольку протокол пересылки событий использует стандартные протоколы HTTP и HTTPS, то вполне возможна пересылка событий через любые брандмауэры при условии, что на них открыты TCP-порты 80 и 443. А за сам процесс передачи и сбора информации отвечают служба удаленного управления Windows (WinRM) и служба сбора событий Windows (Wecsvc).

Все события, которые записываются в журнал событий, содержат ссылку на веб-сайт корпорации Microsoft или тот веб-сайт, который вы указываете при создании своего собственного события. Во время просмотра любого события вы можете перейти по ссылке "Веб-справка журнала" для перехода на веб-страницу с информацией о данном событии. Если требуется связать со ссылкой "Веб-справка журнала" URL-адрес веб-сайта, отличного от сайта Microsoft, то можно либо указать нужный URL-адрес в системном реестре, либо указать URL-адрес в манифесте инструментария для издателя.

Настраиваемые представления

Как говорилось выше, некоторые фильтры, которые сохраняются под определенными именами, называются настраиваемыми представлениями. После того как будут созданы и сохранены настраиваемые представления, их можно использовать в дальнейшем без повторного создания соответствующего фильтра. Просмотр событий автоматически создает фильтр представления журналов и помещает его в узел "Настраиваемые представления". Выбрав тот же созданный по умолчанию фильтр "События управления", у вас есть возможность получить полный список ошибок и предупреждений, собранных из всех журналов. При открытии настраиваемого представления для отображения событий используется фильтр, который применялся при создании указанного представления. Настраиваемые представления можно импортировать и экспортировать, а также разрешить использовать их другим пользователям и на других компьютерах. Далее рассматриваются основные операции, которые можно выполнить с настраиваемыми представлениями.

Файл настраиваемого представления содержит XPath-запрос, который отображается на вкладке "XML". У членов группы "Читатели журнала событий", администраторам и другим пользователям, обладающими соответствующими разрешениями, есть доступ на выполнение запросов и просмотр событий на удаленном компьютере.

Создание настраиваемого представления

Для того чтобы создать настраиваемое представление, выполните следующие действия:

  1. Откройте "Просмотр событий";
  2. Перейдите в узел "Настраиваемые представления" и выберите команду "Создать настраиваемое представление" из меню действий или из контекстного меню узла;
  3. В диалоговом окне "Создание настраиваемого представления" с помощью раскрывающегося списка "Дата" задайте период времени, который вас интересует. Доступны следующие варианты: "В любое время", "За последний час", "За последние 12 часов", "За последние 24 часа", "За последние 7 дней" и "За последние 30 дней". При отсутствии требуемых параметров из рыскрывающегося списка выберите "Настраиваемый диапазон". В диалоговом окне "Настраиваемый диапазон" укажите дату и время начала и окончания периода, в котором были зарегистрированы искомые события и нажмите кнопку ОК;
  4. При помощи флажков "Уровень события" вы можете указать тот уровень события, который вам нужен для анализа, а с помощью параметра "Подробности" можно получить дополнительную информацию;
  5. Свое настраиваемое представление можно создавать для указанного набора журналов или набора источников событий, а именно:
    • Список "Журналы событий" позволяет выбрать журналы для включения в представление. Чтобы выбрать несколько журналов, установите соответствующие флажки. Все неотмеченные журналы событий будут игнорироваться.
    • Список "Источник событий" позволяет указывать непосредственно источники. События из этих источников будут включаться в представление. Для того чтобы выбрать несколько источников, установите соответствующие флажки. Все неотмеченные источники будут игнорироваться.
  6. В поле "Коды событий" введите те коды событий, которые будут отображаться в представлении. Для того чтобы ввести несколько кодов одновременно, используйте запятую. Чтобы включить целый диапазон кодов, например от 2185 до 2697, введите 2185-2697. Если требуется, чтобы из списка были исключены события с определенными кодами, введите коды этих событий со знаком минус. Например, для отображения событий с кодами от 2185 до 2697 за исключением кода 2392, введите 2185-2697,-2392;
  7. В раскрывающемся списке "Категория задачи" установите флажки, соответствующие категориям задач, которые необходимо включить в представление;
  8. В раскрывающемся списке "Ключевые слова" установите флажки, соответствующие ключевым словам, которые необходимо включить в представление;
  9. Поля "Пользователь" и "Компьютеры" позволяют выбрать пользователей и компьютеры, для которых применяется текущее представление. Если эти параметры не заданы, то анализируются те события, которые генерируются всеми пользователями и компьютерами;
  10. Нажмите на кнопку "ОК", чтобы закрыть диалоговое окно "Создание настраиваемого представления". Отобразится следующее диалоговое окно - "Сохранение фильтра и настраиваемое представление", в котором нужно указать место для сохранения настраиваемого представления. В поле "Описание" вы можете добавить описание для своего настраиваемого представления. По умолчанию настраиваемые представления помещаются в узел "Настраиваемые представления". Для создания папки, в которой будет расположено представление, нажмите на кнопку "Создать папку". В поле "Имя" введите имя папки, в которой будет располагаться ваше представление, а затем нажмите на кнопку "ОК". Для того чтобы открытый журнал событий стал недоступным для других пользователей компьютера, вы можете снять флажок "Все пользователи". В том случае, если этот флажок останется активным, открытый журнал будет доступен всем пользователям, но для его удаления из дерева консоли потребуются права администратора;

Отображение настраиваемых XML-представлений

Как говорилось выше, настраиваемые представления - это именованные фильтры, созданные на основе XPath-запросов. Соответственно, настраиваемые представления, как и другие фильтры в журнале событий, основаны на использовании XML. После создания настраиваемого представления в программе "Просмотр событий" можно просмотреть XML-код, использующийся для создания запроса. Для отображения настраиваемых XML-представлений выполните следующие действия:

  1. В дереве консоли выберите нужное настраиваемое представление;
  2. Выберите команду "Свойства" из меню "Действие" или из контекстного меню выбранного представления;
  3. В диалоге "Название_представления - свойства" нажмите на кнопку "Изменить фильтр";
  4. Перейдите на вкладку XML, где в представленном текстовом поле отображается XPath-запрос, на основе которого создано само представление.

Импорт настраиваемых представлений

При помощи утилиты "Просмотр событий", представления в виде XML-файлов можно импортировать в связи с тем, что настраиваемые представления являются XML-файлами со стандартным разрешением XML. С помощью этой функции представления можно сделать доступными для других пользователей и компьютеров. Для того чтобы импортировать настраиваемые представления, выполните следующие действия:

  1. В дереве консоли перейдите на узел "Настраиваемые представления";
  2. Выберите команду "Импорт настраиваемого представления" из меню "Действие" или из контекстного меню;
  3. В окне "Импорт настраиваемого представления", передвигаясь по дереву каталогов, откройте папку, содержащую нужный файл. В диалоговом окне будут выведены XML-файлы. После того, как нужный файл журнала будет найден, выделите его, щелкнув на нем левой кнопкой мыши, что поместит его имя в строку для ввода имени файла и нажмите на кнопку "Открыть";
  4. Если требуется обеспечить доступ всех пользователей, которые работают на компьютере, к какому-либо настраиваемому представлению, установите флажок "Все пользователи" и нажмите на кнопку "ОК".

Экспорт настраиваемых представлений

Для последующего импорта настраиваемых представлений для других пользователей и компьютеров в программе "Просмотр событий" можно экспортировать созданные представления в XML-файлы. Для того чтобы экспортировать настраиваемые представления, выполните следующие действия:

  1. В дереве консоли перейдите на узел "Настраиваемые представления" и выберите нужное для экспорта представление;
  2. Выберите команду "Экспортировать настраиваемое представление" из меню "Действие" или из контекстного меню представления;
  3. В появившемся диалоге "Сохранить как" выберите папку, в которую должен быть сохранен файл. Если требуется сохранить файл в новой папке, то ее можно создать непосредственно из этого диалога, используя контекстное меню или кнопку "Новая папка" на панели действий. В поле "Имя файла" введите имя и нажмите на кнопку "Сохранить". Для отмены сохранения нажмите на кнопку "Отмена";

Фильтрация и сортировка

Одной из ключевых особенностей использования программы "Просмотр событий" является способность фильтровать, сортировать, группировать и изменять порядок следования событий. Это можно назвать организацией презентаций событий для исключения или включения их в набор результатов. Сортировка событий значительно упрощает отделение сообщений о критических ошибках от прочих сообщений, отслеживает события из определенных источников, а также выявляет повторяющиеся события. Фильтрация в основном предназначена для анализа конкретных событий, которые можно отбирать по заданным критериям. При помощи группировки можно отображать все события, которые были созданы, например, одним и тем же источником. Об этом функционале рассказывается в этом разделе данного руководства.

Фильтрация событий

Для облегчения просмотра событий в выбранном журнале, программа "Просмотр событий" позволяет использовать гибкий механизм фильтрации. К сожалению, фильтры предназначены только для временного просмотра и при последующем просмотре журнала, для которого применялся фильтр, он будет сброшен. Для того чтобы фильтр можно было применять в последующие разы, можно создавать настраиваемые представления, о которых говорилось выше. Для фильтрации отображаемых событий выполните следующие действия:

  1. В дереве консоли перейдите на журнал, который нужно отфильтровать;
  2. Выберите команду "Фильтр текущего журнала" из меню "Действие" или из контекстного меню журнала;
  3. Далее фильтр настраивается точно так же, как и для настраиваемых представлений, что описывалось выше;
  4. Нажмите на кнопку "ОК" для того чтобы закрыть диалоговое окно "Фильтровать текущий журнал".

Для того чтобы отменить действия фильтра, выберите команду "Очистить фильтр" из меню "Действие" или из контекстного меню журнала.

Сортировка событий

Сортировка - это алгоритм для упорядочения элементов в списке. В случае, когда элемент списка имеет несколько полей, поле, служащее критерием порядка, называется ключом сортировки. В программе "Просмотр событий" в качестве ключа выступают столбцы, которые отображены в главном окне программы. В зависимости от того, какие столбцы свойств событий программы "Просмотр событий" вы выбрали для отображения просматриваемых событий, данные можно отсортировать следующим образом:

  1. В дереве консоли перейдите на журнал, сохраненный журнал или настраиваемое представление, которое нужно отсортировать;
  2. Для выполнения сортировки, нажмите левой кнопкой мыши на заголовке любого журнала. Для сортировки событий в обратном порядке, нажмите левой кнопкой мыши повторно на том же заголовке.

К сожалению, после сохранения журнала в файл, порядок сортировки сохранен не будет.

Группировка событий

При группировке элементов управления они объединяются так, чтобы с ними можно было работать как с одним элементом управления. Например, можно изменять размеры всех элементов управления в группе или перемещать их как одно целое. Несмотря на все хорошие качества сортировки событий, результаты сортировки могут содержать огромные, что значительно усложняет работу с событиями. В связи с этим была разработана такая функция, как группировка событий, которая собирает указанные события в группы, что значительно упрощает поиск нужных данных. Для того чтобы сгруппировать события по определенному свойству, сделайте следующее:

  1. В дереве консоли перейдите на журнал, сохраненный журнал или настраиваемое представление, которое нужно сгруппировать;
  2. Щелкните правой кнопкой мыши для вызова контекстного меню и выберите команду "Группировать события по этому столбцу". Для того чтобы отменить группировку, нажмите на правую кнопку мыши на любом заголовке столбцов и выберите команду "Удалить группировку событий".

К сожалению, "Просмотр событий" позволяет группировать данные только по одному столбцу, то есть поддерживает один уровень группировки.

Порядок следования свойств событий

В первой части текущего руководства я рассказывал о том, какие существуют свойства событий и как их можно выбирать. Здесь я объясню, как можно изменять порядок следования свойств событий для их отображения в программе. Изменить их порядок можно следующим образом:

  1. В дереве консоли перейдите на журнал, сохраненный журнал или настраиваемое представление;
  2. Щелкните правой кнопкой мыши для вызова контекстного меню и выберите команду "Добавить или удалить столбцы";
  3. В диалоговом окне "Добавление и удаление столбцов" в списке "Доступные столбцы" отображены те столбцы, которые можно добавить при помощи кнопки "Добавить ->", а удалять ненужные столбцы можно из поля "Отображаемые столбцы" при помощи кнопки "<- Удалить". Нужное положение столбцов можно задавать при помощи кнопок "Вверх" или "Вниз".

Порядок столбцов сохранится даже после перезапуска программы.

Подписка на события

Как говорилось выше, программа "Просмотр событий" позволяет просматривать события всех компьютеров локальной сети на любом компьютере, даже удаленном. Система может получать копии событий, зарегистрированных на различных удаленных компьютерах, и сохранять их локально. Для реализации этих действий нужно создавать пересылки и сбор событий, а также создавать подписки.

Для пересылки событий необходимо включить и настроить ее на компьютерах, а затем определить подписки. Для того чтобы настроить пересылку и сбор пересылаемых событий, выполните следующие действия:

  1. Войдите в систему всех компьютеров-сборщиков и компьютеров-источников событий. Для этого желательно использовать учетную запись домена с правами администратора.
  2. Настройте автоматический запуск с задержкой для службы "Удаленное управление Windows", далее WinRM;
  3. Запустите службу WinRM;
  4. Создайте прослушиватель WinRM;
  5. Добавьте учетную запись компьютера-сборщика данных к локальной группе "Администраторы" на каждом компьютере-источнике событий;
  6. Разрешите исключение брандмауэра WinRM, если в системе включен брандмауэр.

Подробно о настройке компьютеров для пересылки и сбора событий средствами командной строки будет рассказано в третей части статьи.

Создание подписок

После настройки пересылки и сбора событий на компьютерах для того чтобы можно было получать пересылаемые события, создайте одну или несколько подписок на события. Для того чтобы создать подписку на события, выполните следующие действия:

  1. На компьютере, который будет выполнять сбор событий, войдите в систему с правами администратора и откройте оснастку "Просмотр событий". Затем или нажмите правой кнопкой мыши на узле "Просмотр событий" для вызова контекстного меню и выберите команду "Подключиться к другому компьютеру", или в диалоговом окне "Выбор компьютера" введите имя, IP-адрес или полное доменное имя нужного компьютера в поле "Другой компьютер" и нажмите на кнопку "ОК";
  2. Нажмите правой кнопкой мыши на узле "Подписки" и из контекстного меню выберите команду "Создать подписку";

  3. В окне "Свойства подписки" введите имя подписки в поле "Название подписки". При желании в поле "Описание" можете ввести описание для созданной подписки;
  4. В диалоге создания подписок по умолчанию конечным журналом является "Пересылаемые события". Имя журнала можно изменить в том случае, если это необходимо.
  5. Для указания компьютера, пересылающего события на сервер, нажмите на кнопку "Выберите компьютеры" и в появившемся диалоговом окне выберите "Добавить доменный компьютер". В этом окне выберите нужный компьютер, после чего нажать на кнопку "ОК";
  6. Нажмите на кнопку "Выбрать события" и выберите команду "Изменить" для открытия "Фильтра запроса".
  7. Выберите уровень событий при помощи флажков "Уровень событий". Для того чтобы отфильтровать один или несколько журналов, поставьте переключатель на опцию "По журналу" и в списке "Журналы событий" выберите нужные для вас журналы. В том случае, если вам будет нужно отфильтровывать журналы по источнику событий, то вы можете выбрать источники из списка "Источники событий". Параметр "По источнику" лучше оставить включенным.
  8. Изначально служба сборщика событий использует для чтения исходных журналов учетную запись компьютера-сборщика событий. Для того чтобы указать другие учетные данные, нажмите на кнопку "Дополнительно". В диалоговом окне "Дополнительные параметры подписки" установите переключатель на учетную запись пользователя - "Определенный пользователь", а затем нажмите на кнопку "Пользователь и пароль", где нужно будет ввести учетные данные. Нажмите на кнопку "ОК".
  9. Нажмите на кнопку "ОК". Подписка будет создана и добавлена в узел "Подписки" и, если операция была успешной, подписка будет иметь состояние "Активный".


Управление подписками

После того как будет создана подписка, копьютеры-источники будут пересылать события, которые располагаются в заданных журналах. Для просмотра подписок в программе "Просмотр событий" выберите узел "Подписки". Из перечня подписок выберите нужную для вас и выберите команду из меню "Действие" или из контекстного меню подписки. Доступны следующие команды:

  • Свойства - открывает диалог настройки свойств подписки. Здесь можно изменить все свойства выбранной подписки, кроме имени и типа.
  • Отключить - отключает выбранную подписку, прекращая пересылку и сбор событий.
  • Включить - включает отключенную подписку, после чего возобновляется пересылка и сбор событий.
  • Состояние выполнения - выводит состояние выполнения подписки.
  • Удалить - удаляет выбранную подписку.

Веб-справка журнала

Как было сказано выше, все события, которые записываются в журнал событий, содержат ссылку на веб-сайт корпорации Microsoft или то веб-сайт, который указал пользователь при создании своего собственного события. Для того чтобы связать "Веб-справку журнала" с URL-адресом веб-сайта, отличного от веб-сайта корпорации Майкрософт, можно либо изменить определенные параметры в системном реестре, либо указать нужный URL-адрес в манифесте инструментария для издателя. В том случае, если URL-адреса были изменены и в системном реестре, и в манифестах инструментария, то URL-адрес, указанный в реестре будет переопределять все другие адреса.

Указание URL-адреса в реестре

В системном реестре, за URL-адрес, связанный со ссылкой "Веб-справка журнала" отвечает раздел HKLM\Software\Microsoft\Windows NT\CurrentVersion\EventViewer\. В этом разделе реестра можно найти следующие три параметра:

  • MicrosoftRedirectionProgram - Указывает программу для отображения сведений, возвращенных с веб-сайта, который связан со ссылкой "Веб-справка журнала" журнала событий.
  • MicrosoftRedirectionProgramCommandLineParameters - Указывает параметры, передаваемые программе, которая указана в параметре MicrosoftRedirectionProgram.
  • MicrosoftRedirectionURL - Указывает URL-адрес, связанный со ссылкой "Веб-справка журнала". Значение по умолчанию: http://go.microsoft.com/fwlink/events.asp .

Указание URL-адреса в манифесте инструментария

URL-адрес для ссылки "Веб-справка журнала" событий можно также указывать и в манифесте инструментария, о подробном создании которого будет рассказано в одной из следующих статей. Для этого необходимо добавить в элемент provider атрибут helpLink. В следующем примере показан атрибут helpLink, заданный для элемента provider.

<provider name="Microsoft-Windows-EventLogSamplePublisher"
guid="{1db28f2e-8f80-4027-8c5a-a11f7f10f62d}"
symbol="MICROSOFT_SAMPLE_PUBLISHER"
resourceFileName="C:\temp\Publisher.exe"
messageFileName="C:\temp\Publisher.exe"
helpLink="http://mydomain.com">

Заключение

В этой части статьи, посвященной программе "Просмотр событий" подробно рассмотрены операции, которые можно выполнять с настраиваемыми представлениями, фильтрацией, сортировкой и группровкой, управление подписками и пересылками событий, а также изменение URL-адреса веб-справки журнала. В следующей, заключительной части я расскажу о том, как можно выполнять различные операции, связанные с управлением событиями при помощи командной строки и Windows PowerShell.


Страница сайта http://test.interface.ru
Оригинал находится по адресу http://test.interface.ru/home.asp?artId=22748