Это может быть служба, которая не хочет запускаться, установка устройства или ошибка в работе приложения. События регистрируются и сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах. Вам следует регулярно следить за журналами событий и настраивать операционную систему на сохранение важных системных событий. В том случае, если вы администратор серверов Windows, то необходимо следить за безопасностью их систем, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. Если вы пользователь персонального компьютера, то вам следует убедиться в том, что вам доступны соответствующие журналы, необходимые для поддержки своей системы и устранения ошибок.
Программа "Просмотр событий" представляет собой оснастку консоли управления Microsoft (MMC) и предназначена для просмотра и управления журналами событий. Это незаменимый инструмент для наблюдения за работоспособностью системы и устранения возникших неполадок. Служба Windows, которая управляет протоколированием событий, называется "Журнал событий". В том случае, если она запущена, Windows записывает важные данные в журналы. При помощи программы "Просмотр событий" вы можете выполнять следующие действия:
Просматривать события определенных журналов;
Применять фильтры событий и сохранять их для последующего использования в виде настраиваемых представлений;
Создавать подписки на события и управлять ими;
Назначать выполнение конкретных действий на возникновение определенного события.
Запуск приложения "Просмотр событий"
Приложение "Просмотр событий" можно открыть следующими способами:
Нажмите на кнопку "Пуск" для открытия меню, откройте "Панель управления", из списка компонентов панели управления выберите "Администрирование" и из списка административных компонентов стоит выбрать "Просмотр событий";
Откройте "Консоль управления MMC". Для этого нажмите на кнопку "Пуск", в поле поиска введите mmc, а затем нажмите на кнопку "Enter". Откроется пустая консоль MMC. В меню "Консоль" выберите команду "Добавить или удалить оснастку" или воспользуйтесь комбинацией клавиш Ctrl+M. В диалоге "Добавление и удаление оснасток" выберите оснастку "Просмотр событий" и нажмите на кнопку "Добавить". Затем нажмите на кнопку "Готово", а после этого - кнопку "ОК";
Воспользоваться комбинацией клавиш WIN +R для открытия диалога "Выполнить". В диалоговом окне "Выполнить", в поле "Открыть" введите eventvwr.msc и нажмите на кнопку "ОК";(От себя добавлю:На фиг эти заморочки?Просто жмете ПУСК-ПОИСК и тупо РУССКИМИ БУКВАМИ вводите ЖУРНАЛ СОБЫТИЙ. Закрепляете если надо на панель задач и смотрите этот журнал.
Журналы событий в Windows 7
В операционной системе Windows 7, так же как и в Windosw Vista, существуют две категории журналов событий: журналы Windows и журналы приложений и служб. Журналы Windows - используются операционной системой для регистрации общесистемных событий, связанных с работой приложений, системных компонентов, безопасностью и запуском. А журналы приложений и служб - используются приложениями и службами для регистрации событий, связанных с их работой. Для управления журналами событий можно использовать оснастку "Просмотр событий" или программу командной строки wevtutil, о которой будет рассказано во второй части статьи. Все типы журналов описаны ниже:
Приложение - хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.
Безопасность - хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx
Установка - в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.
Система - хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\System.Evtx
Пересылаемые события - если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx
Internet Explorer - в этот журнал записываются события, возникающие при настройке и работе с браузером Internet Explorer. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx
Windows PowerShell - в этом журнале регистрируются события, связанные с использованием оболочки PowerShell. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx
События оборудования - если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx
В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка "Просмотр событий" предоставляет простой графический интерфейс для доступа к этим возможностям.
Свойства событий
Существует несколько свойств событий оснастки "Просмотр событий", которые подробно описаны немного ниже:
Источник - это программа, зарегистрировавшая событие в журнале. Это может быть как имя программы (например, "Exchange Server"), так и название компонента системы или большого приложения (например, имя драйвера). Например, "Elnkii" означает драйвер EtherLink II.
Код события - это число, определяющее конкретный тип события. В первой строке описания обычно содержится название типа события. Например, 6005 - это идентификатор события, которое происходит при запуске службы ведения журналов событий. Соответственно, в начале описания этого события находится строка "Запущена служба журнала событий". Код события и имя источника записи могут использоваться представителями группы поддержки программного продукта для устранения неполадок.
Уровень - это уровень важности события. В журналах системы и приложений события могут иметь следующие уровни важности:
Уведомление - обозначает изменение в приложении или компоненте, такое как возникновение информационного события, связанного с успешным действием, создание ресурса или запуск службы.
Предупреждение - обозначает предупреждение общего характера на неполадку, способную повлиять на службу или привести к более серьезной проблеме, если оставить ее без внимания;
Ошибка - обозначает, что возникла проблема, которая может повлиять на функции, внешние по отношению к приложению или компоненту, вызвавшим событие;
Критическая ошибка - обозначает, что произошел сбой, после которого приложение или компонент, инициировавшие событие, не могут восстановиться автоматически;
Аудит успехов - успешное выполнение действий, которые вы отслеживаете через аудит, например использование какой-либо привилегии;
Аудит отказов - неудачное выполнение действий, которые вы отслеживаете через аудит, например ошибка при входе в систему.
Пользователь - определяет учетную запись пользователя, от имени которого возникло данное событие. К пользователям относятся особые сущности, например Local Service, Network Service и Anonymous Logon, а также учетные записи реальных пользователей. Это имя представляет собой идентификатор клиента, если событие фактически было вызвано серверным процессом, или основной идентификатор, если олицетворение не производится. В некоторых случаях запись журнала безопасности содержит оба идентификатора. А также в этом поле может стоять N/A (Н/Д), если в данной ситуации учетная запись неприменима. Олицетворение происходит в случаях, когда сервер позволяет одному процессу присвоить атрибуты безопасности другого процесса.
Рабочий код - содержит числовое значение, которое определяет операцию либо точку в пределах операции, при выполнении которой возникло данное событие. Например, инициализация или закрытие.
Журнал - имя журнала, в который было записано данное событие.
Категория и задачи - определяет категорию события, иногда используемую для последующего описания допустимого действия. У каждого источника событий свои категории. Например следующие категории: вход/выход, использование привилегий, изменение политики и управление учетной записью.
Ключевые слова - это набор категорий или меток, которые могут использоваться для фильтрации или поиска событий. Например: "Сеть", "Безопасность" или "Ресурс не найден".
Компьютер - идентифицирует имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но также может быть имя компьютера, переславшего событие, или имя локального компьютера до того, как оно было изменено.
Дата и время - определяет дату и время возникновения данного события в журнале.
ИД процесса - представляет идентификационный номер процесса, создавшего данное событие. Компьютерная программа представляет из себя только пассивную совокупность инструкций, в то время как процесс - это непосредственное выполнение этих инструкций
ИД потока - представляет идентификационный номер потока, создавшего данное событие. Процесс, порождённый в операционной системе, может состоять из нескольких потоков, выполняющихся "параллельно", то есть без предписанного порядка во времени. При выполнении некоторых задач такое разделение может достичь более эффективного использования ресурсов вычислительной машины
ИД процессора - представляет идентификационный номер процессора, обработавшего событие.
Код сеанса - это идентификационный номер сеанса на сервере терминалов, в котором произошло событие.
Время работы в режиме ядра - определяет время, потраченное на выполнение инструкций режима ядра, в единицах времени ЦП. Режим ядра имеет неограниченный доступ к системной памяти и внешним устройствам. Ядро системы NT называют гибридным ядром или макроядром.
Время работы в пользовательском режиме - определяет время, потраченное на выполнение инструкций пользовательского режима, в единицах времени ЦП. Режим пользователя состоит из подсистем, которые передают запросы ввода\вывода соответствующему драйверу режима ядра посредством менеджера Ввода-вывода.
Загруженность процессора - это время, потраченное на выполнение инструкций пользовательского режима, в тиках ЦП.
Код корреляции - определяет действие в процессе, для которого используется событие. Этот код используется для указания простых отношений между событиями. Корреляция - статистическая взаимосвязь двух или нескольких случайных величин (либо величин, которые можно с некоторой допустимой степенью точности считать таковыми). При этом, изменения одной или нескольких из этих величин приводят к систематическому изменению другой или других величин.
ИД относительной корреляции - определяет относительное действие в процессе, для которого используется событие
Работа с журналами событий:
Просмотр событий
Для того чтобы просмотреть события журнала приложений, выполните следующие действия:
В дереве консоли выберите "Журналы Windows";
Выберите журнал "Приложения".
Желательно почаще просматривать журналы событий "Приложение" и "Система" и изучать существующие проблемы и предупреждения, которые могут предвещать о проблемах в будещем. При выборе журнала в среднем окне отображаются доступные события, включая дату события, время и источник, уровень события и другие данные.
Панель "Область просмотра" показывает основные данные о событиях на вкладке "Общие", а дополнительные специфические данные - на вкладке "Подробности". Включить и выключить эту панель можно, выбрав меню "Вид", а затем команду "Область просмотра".
Для критических систем рекомендуется хранить журналы за последние несколько месяцев. Все время назначать журналам такой размер, чтобы в них умещалась вся информация, как правило, неудобно, решить эту задачу можно по-другому. Можно экспортировать журналы в файлы, распложенные в заданной папке. Для того чтобы сохранить выбранный журнал выполните следующие действия:
В дереве консоли выберите журнал событий, который нужно сохранить;
Выберите команду "Сохранить события как" из меню "Действие" или из контекстного меню журнала выберите команду "Сохранить все события как";
В появившемся диалоге "Сохранить как" выберите папку, в которую должен быть сохранен файл. Если требуется сохранить файл в новой папке, то ее можно создать непосредственно из этого диалога, используя контекстное меню или кнопку "Новая папка" на панели действий. В поле "Тип файла" нужно выбрать желаемый формат файла из доступных: файлы событий - *.evtx, xml-файл - *.xml, текст с разделением табуляции - *.txt, csv с разделением запятыми - *.csv. В поле "Имя файла" введите имя и нажмите на кнопку "Сохранить". Для отмены сохранения нажмите на кнопку "Отмена";
В том случае, если журнал событий не предназначен для просмотра на другом компьютере, в диалоговом окне "Отображать сведения" оставьте заданный по умолчанию вариант "Не отображать сведения", а если журнал предназначается для просмотра на другом компьютере, то в диалоговом окне "Отображать сведения" выберите вариант "Отображать сведения для следующих языков" и нажмите на кнопку "ОК".
Очистка журнала событий
Иногда приходится очищать заполненные журналы событий для обеспечения эффективного анализа предупреждений и критических ошибок операционной системы. Для того чтобы очистить выбранный журнал выполните следующие действия:
В дереве консоли выберите журнал событий, который требуется очистить;
Очистите журнал одним из следующих способов:
В меню "Действие" выберите команду "Очистить журнал"
На выбранном журнале нажмите правой кнопкой для открытия контекстного меню. В контекстном меню выберите команду "Очистить журнал"
Далее можно либо очистить журнал, либо заархивировать его в том случае, если это не было сделано ранее:
Чтобы очистить журнал событий без сохранения нажмите нажать на кнопку "Очистить";
Чтобы очистить журнал событий после его сохранения нажмите на кнопку "Сохранить и очистить". В появившемся диалоге "Сохранить как" выберите папку, в которую должен быть сохранен файл. Если требуется сохранить файл в новой папке, то ее можно создать непосредственно из этого диалога используя контекстное меню или кнопку "Новая папка" на панели действий. В поле "Имя файла" введите имя и нажмите на кнопку "Сохранить". Для отмены сохранения нужно нажать на кнопку "Отмена".
Установка максимального размера журнала
Как было сказано выше, журналы событий хранятся в виде файлов в папке %SystemRoot%\System32\Winevt\Logs\. По умолчанию максимальный размер этих файлов ограничен, но его можно изменить следующим способом:
В дереве консоли выберите журнал событий, для которого следует изменить размер;
Выберите команду "Свойства" из меню "Действие" или из контекстного меню выбранного журнала
В поле "Максимальный размер журнала (КБ)" установите требуемое значение при помощи счетчика или установите вручную без использования счетчика. В этом случае значение будет округлено до ближайшего числа, кратного 64 КБ так как размер файла журнала должен быть кратен 64 КБ и не может быть меньше 1024 КБ.
События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов. Доступны следующие политики сохранения журнала:
Переписывать события при необходимости (сначала старые файлы) - в этом случае новые записи продолжают заноситься в журнал после его заполнения. Каждое новое событие заменяет в журнале наиболее старое;
Архивировать журнал при заполнении; не переписывать события - в этом случае файл журнала автоматически архивируется при необходимости. Перезапись устаревших событий не выполняется.
Не переписывать события (очистить журнал вручную) - в этом случае журнал очищается вручную, а не автоматически.
Для того чтобы выбрать нужную политику сохранения журналов выполните следующие действия:
В дереве консоли выберите журнал событий, для которого следует изменить размер;
Выберите команду "Свойства" из меню "Действие" или из контекстного меню выбранного журнала;
На вкладке "Общие", в разделе "При достижении максимального размера" выберите требуемый параметр и нажмите на кнопку "ОК".
Активация аналитического и отладочного журнала
Аналитический и отладочный журналы по умолчанию неактивны. После активации они быстро заполняются большим количеством событий. По этой причине желательно активировать указанные журналы на ограниченный период времени для того, чтобы собрать необходимые для поиска и устранения неполадок данные, а затем снова их отключить. Активацию журналов можно выполнить следующим образом:
В дереве консоли найдите и выберите аналитический или отладочный журнал, который необходимо активировать;
Выберите команду "Свойства" из меню "Действие" или из контекстного меню выбранного аналитического или отладочного журнала;
На вкладке "Общие" установите флажок на опции "Включить ведение журнала"
Открытие и закрытие сохраненного журнала
При помощи оснастки "Просмотр событий" можно открывать и просматривать сохраненные ранее журналы. Одновременно можно открыть несколько сохраненных журналов и обращаться к ним в любое время в дереве консоли. Журнал, открытый в "Просмотре событий", может быть закрыт без удаления содержащихся в нем сведений. Для открытия сохраненного журнала выполните следующие действия:
Выберите команду "Открыть сохраненный журнал" в меню "Действие" или из контекстного меню в дереве консоли;
В диалоговом окне "Открыть сохраненный журнал", передвигаясь по дереву каталогов, откройте папку, содержащую нужный файл. По умолчанию в диалоговом окне будут выведены все файлы журналов событий. Также при открытии можно выбрать тип файлов, которые нужно отображать в диалоге открытия. Доступные типы файлов: файлы журнала событий (*.evtx, *.evt, *.etl), а также файлы событий (*.evtx), старые файлы событий (*.evt) или файлы журнала трассировки (*.etl). После того, как нужный файл журнала будет найден, выделите его, щелкнув на нем левой кнопкой мыши, что поместит его имя в строку для ввода имени файла и нажмите на кнопку "Открыть"
Для создания папки, в которой будет расположен сохраненный журнал, нажмите на кнопку "Создать папку". В поле "Имя" введите имя папки, в которой будет находиться открытый журнал, а затем нажмите кнопку "ОК". Если родительская папка не выбрана, новая папка будет расположена в папке "Сохраненные журналы"
Для того чтобы открытый журнал событий стал недоступным для других пользователей компьютера, вы можете снять флажок "Все пользователи". В том случае, если этот флажок останется активным, открытый журнал будет доступен всем пользователям, но для его удаления из дерева консоли потребуются права администратора;
Для открытия журнала, нажмите на кнопку "ОК".
Для того чтобы удалить открытый журнал их дерева событий, выполните следующие действия:
В дереве консоли выберите журнал, который следует удалить;
Выберите команду "Удалить" из меню "Действие" или из контекстного меню выбранного журнала
В диалоге "Просмотр событий" нажмите на кнопку "Да".
Заключение
В этой части статьи, посвященной оснастке "Просмотр событий", рассказывается о самой оснастке и подробно описаны простейшие операции, связанные с мониторингом и обслуживанием системы при помощи "Просмотра событий".