Вторник, 19.03.2024, 07:07
Приветствую Вас Гость

SYSTEM ADMINISTRATOR

Меню
Разделы
Друзья
Реклама
Наша кнопка
Опрос
Нужен ли нам форум?
Всего ответов: 64
Главная » 2011 » Апрель » 13 » Просмотр событий
20:25
Просмотр событий

В ОС Windows 2000/XP событием называют любое значительное происшествие в работе системы или приложения, о котором следует уведомить пользователей. В случае возникновения критических событий, таких как переполнение диска или неполадки с электропитанием, на экран монитора будет выведено сообщение. Остальные события, которые не требуют немедленных действий от пользователя, регистрируются в системных журналах. Служба регистрации событий в системных журналах активизируется автоматически при каждом запуске системы Windows 2000/XP. Остановить эту службу нельзя.

Для начала рассмотрим круг вопросов, связанных с наблюдением за правильной работой самой системы. Как уже было отмечено, системные события будут заноситься в специальный журнал, который называется "Журнал системы". В этот журнал заносятся события, которые регистрируются системными компонентами Windows 2000/XP. Например, в системный журнал записываются такие события, как сбой при загрузке драйвера или других системных компонентов при запуске системы. В системе Windows 2000/XP строго определен список типов событий, которые заносятся в системный журнал.

В системе Windows 2000/XP для просмотра системных журналов используется оснастка Просмотр событий. Для запуска оснастки выберите команду Панель управления /Производительность и обслуживание/Администрирование/Просмотр событий. Оснастка "Просмотр событий" также входит в состав оснастки "Управление компьютером" или ее можно добавить в консоли управления в виде изолированной оснастки. При добавлении этой оснастки в консоли можно в качестве целевого указать удаленный компьютер..

В журнале регистрируются следующие типы событий:

- Ошибка - событие регистрируется в случае возникновения серьезного события (такого как потеря данных или функциональных возможностей). Событие данного типа будет зарегистрировано, если невозможно загрузить какой-либо из сервисов в ходе запуска системы.

- Предупреждение. События, которые в момент записи в журнал не были особо существенными с точки зрения потери данных или функциональности, но могут привести к подобным проблемам в будущем. Например, если на диске осталось мало свободного места, в журнал заносится событие типа «Предупреждение».

- Уведомление. Событие, описывающее удачное завершение действия приложением, драйвером или службой. Например, после успешной загрузки драйвера, самой службы «Журнал событий» в журнал заносится событие типа «Уведомление».

Как вы можете видеть, в заголовке каждого события записаны следующие параметры:

  • тип события (Ошибка, Предупреждение, Уведомление.)
  • дата (день, в который наступило событие)
  • время (время в которое наступило событие по часам локального компьютера)
  • компьютер (компьютер на котором наступило событие, обычно это локальный компьютер)
  • пользователь (пользователь, действия которого привели к наступлению события)
  • источник (программа или служба, сделавшая запись в журнале)
  • категория (классификация события по источнику, вызвавшему его появление)
  • код события (идентификатор события, по идентификатору можно найти детальное описание события.)

Для просмотра дополнительной информации о событии выберите в меню Действие пункт Свойства (либо щелкните правой кнопкой мыши по выделенному событию и в контекстном меню выберите пункт Свойства). Будет открыто окно,

В этом окне можно видеть дополнительные данные по событиям:

  • Описание (некоторое текстовое описание, помогающее пользователю понять, что произошло в системе).
  • Данные (некоторые данные, обычно представленные в шестнадцатеричном виде, которые возвращает приложение, создавшее запись. Обычно имеют смысл лишь для службы поддержки)

Обычно описание события не очень информативно. Для детального анализа следует обратиться на сайт компании и дать запрос по коду события. Еще одна возможность это сайт www.eventid.net. Хотя сайт и на английском, там организована прекрасная система поиска описания события и хорошая база данных, в которой собраны не только разъяснения, но и если действия, которые необходимо предпринять в случае возникновения такого события. По многим событиям есть ссылки на документы Microsoft.

В случае если событие не требует детального описания или свое мнение по событию отсутствует, все равно есть ссылка типа "Q196452", по которой вы можете найти описание события на сайте Microsoft.

Самое доступное средство просмотреть описание события находится в пакете вспомогательных инструментов на дистрибутивном компакт диске. Запустите программу Setup.exe по пути X:\Support\Tools\, где Х - буква диска с дистрибутивом.

После инсталляции в меню ПУСК у вас появится следующее :

Пуск->Программы->Windows Support Tools

Здесь нужно выбрать пункт "Error and event messages" (сообщения о событиях и ошибках). Интерфейс программы такой же как и у обычного файла помощи. Можно через поиск найти событие по его коду или в содержании выберите Event log\System Event Log и просматривайте события по алфавиту.

Вернемся к нашему журналу. Вы видите что в системе существует еще два журнала, просматриваемых с помощью оснастки «Просмотр событий»: журнал приложений и журнал безопасности. Журнал приложений предназначен для того, чтобы любые приложения и службы на свое усмотрение записывали в этот журнал все, что им необходимо. Практически все сказанное выше о журнале «система» справедливо и относительно журнала приложений: в нем присутствуют события тех же трех типов, заголовок сообщений устроен точно так же, основное отличие этих двух журналов состоит в том, что в журнал «система» попадают записи о событиях ограниченного числа системных компонентов, а в журнал приложений могут попадать события от любого приложения или службы. Журнал «безопасность» будет рассмотрен ниже. Оснастка «Просмотр событий» позволяет просматривать и другие журналы.  А сейчас посмотрим, как можно управлять журналами.

Для изменения порядка сортировки событий – по возрастанию или по убыванию – щелкните в журнале кнопкой мыши по заголовку той колонки, по содержимому которой следует сортировать события. Для отмены установленного порядка сортировки щелкните по данному заголовку еще раз. Порядок сортировки по времени регистрации события можно установить с помощью меню Вид. Возможны два режима сортировки: в обратном хронологическом порядке (новые записи располагаются раньше - выше в таблице - старых записей) – флажок От новых к старым (операция по умолчания) или в прямом хронологическом порядке – флажок От старых к новым.

Когда вы открываете журнал, оснастка Просмотр событий отображает текущее содержимое журнала. Во время просмотра журнала информация не обновляется, если вы не запустите обновление. Если журнал не отображается в текущем окне, то информация автоматически обновляется.
Чтобы обновить выводимую информацию выберите в обзорной панели журнал, который вы собираетесь обновить. Затем в меню Действие укажите пункт обновить или, просто, нажмите клавишу (F5).

Если событий много, но вам известны некоторые параметры события, то можно воспользоваться поиском. Для поиска события в журнале в меню Вид щелкните команду Найти. В открывшемся окне можно установить следующие параметры поиска: по источнику, по категории, коду события, пользователю, компьютеру или описанию. Для начала поиска нажмите кнопку Найти далее. Для восстановления критериев поиска по умолчанию нажмите кнопку Восстановить по умолчанию.

Для того чтобы в большом списке событий можно было быстрее найти нужные события, используется фильтрация – выбор событий по некоторому признаку. Например, вы хотите отобразить только ошибки или события связанные с конкретным пользователем. Для фильтрации событий в журнале выберите в меню Вид пункт Фильтр.

Опции, применяемые в фильтре, интуитивно понятны. Помимо указания определенных параметров события можно задать и временной интервал, который вы желаете проанализировать, например, отобразить определенные события за последние два дня. По умолчанию выбирается весь период, по которому есть события в журнале.

Для возврата к опциям, установленным по умолчаниям, нажмите кнопку Восстановить умолчания. Для отмены фильтрации в меню Вид нажмите пункт Все записи.

Настройка параметров журнала.

Команда Свойства в меню Действие позволяет открыть окно свойств журнала. В этом окне можно установить параметры регистрации событий.

В поле Выводимое имя отображается текущее название журнала, которое можно изменить. Поле Имя журнала содержит путь к файлу журнала на диске компьютера. Журналы представленные в оснастке "Просмотр событий" по умолчанию имеют путь %systemroot%\system32\config и имена:
• SysEvent.Evt – журнал «система»
• AppEvent.Evt – журнал приложений
• SecEvent.Evt – журнал безопасности

Поле "Размер журнала позволяет задать максимальный размер журнала. Можно задавать желаемый максимальный размер журнала с шагом 64 Кбайт, максимальный размер журнала – 4 Гбайт. Не ограничивать размер журнала нельзя, так как это может привести к тому, что журналы займут все доступное место на диске, а хранение устаревшей информации не имеет практического смысла, с другой стороны, если события в журнале будут исчезать слишком рано, возможно потеря важной информации и проблемах системы.

Переключатель "По достижении максимального размера журнала:" служит для настройки журнала регистрации событий.

- Выберите положение "Затирать старые события по необходимости", если вы не собираетесь архивировать данный журнал. Преимущество – хранение максимально возможного (для данного размера журнала) количества старых записей, каждая новая запись приводит к удалению старой записи. Недостаток: очень много новых записей могут привести к стиранию даже недавних, и как следствие, важных записей.

- Если архивирование журнала производится с определенными интервалами, то выберите положение "Затирать события старее… дней" и укажите длительность интервала (в днях). При этом следует установить размер журнала (опция Максимальный размер журнала) достаточным для того, чтобы размер журнала в течение указанного периода не превысил установленное значение. Если установить очень большой максимальный размер журнала, то мы получим ситуацию достаточно оптимальную: максимальный размер журнала обычно не достигается, если же происходит непредвиденное и в журнал попадает множество новых записей, то, в отличие от предыдущего случая, в журнале окажутся все новые записи, кроме того, мы гарантированно найдем в журнале записи на известное количество дней назад.

- Если вы хотите сохранить в журнале все зарегистрированные события, то выберите положение Не затирать события (очистка журнала вручную). При этом вам будет необходимо вручную удалять события из журнала. Следует иметь в виду, что когда размер журнала достигнет максимально установленного значения, новые события будут игнорироваться. В политиках безопасности, которые мы будем изучать в дальнейшем можно запретить игнорировать события, но правда только для одного журнала "Журнал безопасности". В этом случае при полном заполнении журнала система просто перестанет отвечать на запросы и войти в нее сможет только администратор.

В случае необходимости восстановления параметров по умолчанию нажмите кнопку Восстановить умолчания. Для удаления событий из журнала нажмите кнопку Очистить журнал.

После установки всех параметров нажмите кнопку ОК.

Еще один важный момент который мы рассмотрим это сохранение журналов для возможности просмотра в дальнейшем. Архивирование журналов - необходимая операция особенно для серверов. Журналы можно сохранять с расширениями txt еvt или cvs. При архивировании журнала целиком сохраняется все его содержание, независимо от опций фильтрации. Журналы, которые сохраняются как файлы с расширением evt, сохраняют двоичные данные для всех событий. Журналы, которые сохраняются как текстовые файлы с расширениями txt или cvs, не содержат двоичных данных. Журналы, которые сохраняются в форматах txt или cvs в дальнейшем можно анализировать с применением средств сторонних производителей. В случае, если информация в журналах имеет большую ценность, то архивы необходимо зашифровывать и делать резервные копии. Для экономии дискового пространства сохраненные файла можно сжимать.

Для архивирования журнала выполните следующее:

1. В панели обзора выберите журнал, который вы будете архивировать.
2. В меню Действие выберите команду «Сохранить журнал как».
3. В открывшемся окне «Сохранить как» в поле «Имя файла» введите имя файла, в который будет заархивирован журнал.
4. В поле Тип файла выберите формат файла.

Для того чтобы открыть заархивированный журнал, выполните следующее:

1. В меню Действие выберите команду «Открыть файл журнала».
2. В списке Тип журнала выберите тип журнала, который требуется открыть.
3. В поле Имя файла введите имя журнала, которое будет отображено в окне консоли.
4. Нажмите кнопку ОК.

В оснастке Просмотр событий можно просматривать архивированный журнал только в том случае, если он сохранен в формате файла журнала еvt. Для открытого сохраненного журнала, как и для текущего можно пользоваться фильтром.

Еще одно очень важное замечание. Вы можете очистить журнал без сохранения. Очистить можно только весь журнал целиком, нельзя удалить из журнала отдельную запись о каком-либо событии.

В Windows XP есть возможность добавлять событие в журнал приложений или системы с помощью командной строки. Синтаксис и пример приведены ниже.

EVENTCREATE [/S (система) [/U (пользователь) [/P (пароль)]]] /ID (код_события) [/L (журнал)] [/SO (источник)] /T (тип) /D (описание)

Описание: Эта команда позволяет администратору создать запись об особом событии в указанном журнале событий.

Параметры: /S (система) Подключаемый удаленный компьютер.

/U [(домен)\](пользователь) Пользовательский контекст, в котором должна выполняться эта команда.

/P (пароль) Пароль для этого пользовательского контекста.

/L (журнал) Журнал, в котором следует создать событие.

/T (тип) Тип создаваемого события. Допустимые типы: SUCCESS, ERROR, WARNING, INFORMATION.

/SO (источник) Источник для этого события (если не указан, по умолчанию используется'eventcreate'). Допустимым источником является любая строка, представляющая приложение или компонент, создающий это событие. /ID (код_события) Код события для этого события. Допустимым кодом события является любое число в диапазоне от 1 до 1000.

/D (описание) Описание для создаваемого события.

Пример добавления  события:

**********************************************************************

D:\Documents and Settings\olegator)eventcreate /L System /t Information /id 123

/d "Перевел системное время на 2 мин"

УСПЕХ: событие 'Information' создано с журналом 'System'

Категория: Настройки | Просмотров: 3842 | Добавил: AinCross | Теги: Просмотр событий | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Регистрация
Поиск
Пользовательский поиск
Реклама
Архив записей
Календарь
«  Апрель 2011  »
ПнВтСрЧтПтСбВс
    123
45678910
11121314151617
18192021222324
252627282930
Считалки
Яндекс.Метрика

Онлайн всего: 1
Гостей: 1
Пользователей: 0