Unde găsiți jurnalul de evenimente al aplicației pe computer. Vizualizator de evenimente în Windows Vista

23.09.2019

Sistemul de operare Windows, versiunea șapte, a implementat o funcție de urmărire a evenimentelor importante care au loc la locul de muncă.La Microsoft, conceptul de „evenimente” înseamnă orice incidente din sistem care sunt înregistrate într-un jurnal special și semnalate utilizatorilor sau administratorilor. Acesta ar putea fi un program utilitar care nu dorește să ruleze, o aplicație care se blochează sau dispozitive care nu sunt instalate corect. Toate incidentele sunt înregistrate și salvate în jurnal evenimente Windows 7. De asemenea, aranjează și arată toate activitățile din ordine cronologica, ajută la efectuarea monitorizării sistemului, asigură siguranța sistemului de operare, corectează erorile și diagnostichează întregul sistem.

Ar trebui să revizuiți periodic acest jurnal pentru informații noi și să configurați sistemul pentru a salva date importante.

Fereastra 7 - programe

Aplicația de computer Vizualizare evenimente este partea principală a utilitarelor Microsoft care sunt concepute pentru a monitoriza și vizualiza jurnalul de evenimente. Acesta este un instrument necesar pentru monitorizarea performanței sistemului și eliminarea erorilor care apar. Utilitarul Windows care gestionează documentarea incidentelor se numește Jurnal de evenimente. Dacă acest serviciu este pornit, atunci începe să colecteze și să înregistreze toate datele importante din arhiva sa. Jurnalul de evenimente Windows 7 vă permite următoarele acțiuni:

Vizualizarea datelor înregistrate în arhivă;

Utilizarea diferitelor filtre de evenimente și salvarea acestora pentru utilizare ulterioară în setările sistemului;

Crearea și gestionarea abonamentelor pentru incidente specifice;

Alocați acțiuni specifice atunci când apar anumite evenimente.

Cum se deschide jurnalul de evenimente Windows 7?

Programul responsabil cu înregistrarea incidentelor este lansat după cum urmează:

1. Meniul este activat prin apăsarea butonului „Start” din colțul din stânga jos al monitorului, apoi se deschide „Panou de control”. În lista de controale, selectați „Administrare” și în acest submeniu faceți clic pe „Vizualizator de evenimente”.

2. Există o altă modalitate de a vizualiza jurnalul de evenimente Windows 7. Pentru a face acest lucru, accesați meniul Start, tastați mmc în fereastra de căutare și trimiteți o solicitare de căutare a fișierului. Apoi, se va deschide tabelul MMC, unde trebuie să selectați paragraful care indică adăugarea și eliminarea echipamentelor. Apoi „Event Viewer” este adăugat în fereastra principală.

Care este aplicația descrisă?

În sistemele de operare Windows 7 și Vista, sunt instalate două evenimente: arhivele de sistem și jurnalul de service al aplicației. Prima opțiune este utilizată pentru a captura incidente la nivel de sistem care sunt legate de performanța diferitelor aplicații, de pornire și de securitate. A doua opțiune este responsabilă pentru înregistrarea evenimentelor muncii lor. Pentru a controla și gestiona toate datele, serviciul Jurnal de evenimente utilizează fila Vizualizare, care este împărțită în următoarele elemente:

Aplicație - evenimentele care sunt asociate cu un anumit program sunt stocate aici. De exemplu, serviciile poștale stochează în acest loc istoricul trimiterii de informații, diverse evenimente în cutiile poștale și așa mai departe.

Elementul „Securitate” stochează toate datele legate de conectarea și deconectarea din sistem, utilizând capabilități administrative și accesând resurse.

Instalare - acest jurnal de evenimente Windows 7 înregistrează datele care apar în timpul instalării și configurării sistemului și aplicațiilor acestuia.

Sistem - înregistrează toate evenimentele sistemului de operare, precum defecțiuni la lansarea aplicațiilor de service sau la instalarea și actualizarea driverelor de dispozitiv, diverse mesaje privind funcționarea întregului sistem.

Evenimente redirecționate - dacă acest element este configurat, atunci stochează informații care provin de la alte servere.

Alte sub-articole din meniul principal

De asemenea, în meniul „Administrare”, unde se află jurnalul de evenimente din Windows 7, există următoarele elemente suplimentare:

Internet Explorer - evenimentele care apar în timpul funcționării și configurării browserului cu același nume sunt înregistrate aici.

Windows PowerShell - incidentele legate de utilizarea PowerShell sunt înregistrate în acest folder.

Evenimente echipamente - dacă acest element este configurat, atunci datele generate de dispozitive sunt înregistrate.

Întreaga structură a celor „șapte”, care asigură înregistrarea tuturor evenimentelor, se bazează pe tipul Vista pe XML. Dar pentru a utiliza programul de jurnal de evenimente din Window 7, nu trebuie să știți cum să utilizați acest cod. Aplicația Event Viewer va face totul singură, oferind un tabel convenabil și simplu cu elemente de meniu.

Caracteristicile incidentului

Un utilizator care dorește să știe cum să vizualizeze jurnalul de evenimente Windows 7 trebuie să înțeleagă și caracteristicile datelor pe care dorește să le vizualizeze. La urma urmei, există proprietăți diverse anumite incidente descrise în „Event Viewer”. Ne vom uita la aceste caracteristici mai jos:

Surse - un program care înregistrează evenimente într-un jurnal. Numele aplicațiilor sau driverelor care au influențat un anumit incident sunt înregistrate aici.

Codul evenimentului este un set de numere care determină tipul incidentului. Se utilizează acest cod și numele sursei evenimentului suport tehnic suport de sistem pentru și eliminarea defecțiunilor software.

Nivel - gradul de importanță al evenimentului. Jurnalul de evenimente de sistem are șase niveluri de incidente:

1. Mesaj.

2. Atenție.

3. Eroare.

4. Greșeală periculoasă.

5. Monitorizarea reușite a operațiunilor de corectare a erorilor.

6. Auditul acțiunilor nereușite.

Utilizatori - înregistrează date din conturi în numele cărora pot exista nume ale diverselor servicii, precum și utilizatori reali.

Data și ora - înregistrează momentul producerii evenimentului.

Există multe alte evenimente care au loc în timp ce sistemul de operare rulează. Toate incidentele sunt afișate în „Event Viewer” cu o descriere a tuturor informațiilor aferente.

Cum se lucrează cu jurnalul de evenimente?

Foarte punct important Pentru a proteja sistemul de blocări și blocări, este să revizuiți periodic jurnalul „Aplicație”, care înregistrează informații despre incidente, acțiuni recente cu un anumit program și oferă, de asemenea, o gamă de operațiuni disponibile.

Accesând jurnalul de evenimente Windows 7, în submeniul „Aplicație” puteți vedea o listă cu toate programele care au provocat diverse evenimente negative în sistem, ora și data apariției lor, sursa și gradul problemei.

Răspunsurile utilizatorilor la evenimente

După ce ați învățat cum să deschideți jurnalul de evenimente Windows 7 și cum să îl utilizați, ar trebui să învățați în continuare cum să utilizați aplicația Task Scheduler cu această aplicație utilă. Pentru a face acest lucru, trebuie să faceți clic dreapta pe orice incident și, în fereastra care se deschide, selectați meniul pentru conectarea unei sarcini la un eveniment. ÎN data viitoare, când apare un astfel de incident în sistem, sistemul de operare va lansa automat sarcina instalată pentru a procesa eroarea și a o corecta.

O eroare în jurnal nu este un motiv de panică

Dacă, în timp ce vă uitați la jurnalul de evenimente de sistem Windows 7, vedeți erori de sistem sau avertismente care apar periodic, atunci nu ar trebui să vă faceți griji sau să vă panicați în legătură cu acest lucru. Chiar și cu un computer care funcționează perfect, pot fi înregistrate diverse erori și defecțiuni, dintre care majoritatea nu reprezintă o amenințare serioasă pentru performanța computerului.

Aplicația pe care o descriem a fost creată pentru a facilita administratorului de sistem controlul computerelor și depanarea problemelor emergente.

Concluzie

Pe baza tuturor celor de mai sus, devine clar că jurnalul de evenimente este o modalitate care permite programelor și sistemului să înregistreze și să salveze toate evenimentele de pe computer într-un singur loc. Acest jurnal stochează toate erorile operaționale, mesajele și avertismentele din aplicațiile de sistem.

Unde este jurnalul de evenimente în Windows 7, cum să îl deschideți, cum să îl utilizați, cum să corectăm erorile care apar - toate acestea am aflat din acest articol. Dar mulți se vor întreba: „De ce avem nevoie de asta, nu suntem administratori de sistem, nu programatori, ci utilizatori obișnuiți care par să nu aibă nevoie de aceste cunoștințe?” Dar această abordare este greșită. La urma urmei, atunci când o persoană se îmbolnăvește de ceva, înainte de a merge la medic, încearcă să se vindece într-un fel sau altul. Și mulți reușesc adesea. De asemenea, un computer, care este un organism digital, se poate „imbolnavi”, iar acest articol arată una dintre modalitățile de diagnosticare a cauzei unei astfel de „boli”, pe baza rezultatelor unui astfel de „examen” pe care le putem accepta. solutie corecta despre metodele de „tratament” ulterior.

Deci informațiile despre metoda de vizualizare a evenimentelor vor fi utile nu numai specialistului de sistem, ci și utilizatorului obișnuit.

Sistemul de operare Windows 7 monitorizează în mod constant diverse demn de atentie evenimente care au loc pe sistemul dvs. Pe Microsoft Windows eveniment este orice incident în sistemul de operare care este înregistrat sau necesită notificare utilizatorilor sau administratorilor. Acesta ar putea fi un serviciu care nu dorește să pornească, o instalare a dispozitivului sau o eroare a aplicației. Evenimentele sunt înregistrate și stocate în jurnalele de evenimente Windows și oferă informații istorice importante care vă ajută să vă monitorizați sistemul, să mențineți securitatea sistemului, să depanați erorile și să efectuați diagnostice. Informațiile conținute în aceste jurnaluri ar trebui revizuite în mod regulat. Ar trebui să monitorizați în mod regulat jurnalele de evenimente și să configurați sistemul de operare pentru a salva evenimentele importante ale sistemului. Dacă sunteți administrator de server Windows, trebuie să monitorizați securitatea sistemelor lor, operatie normala aplicații și servicii și verificați serverul pentru erori care ar putea degrada performanța. Dacă sunteți un utilizator de computer personal, ar trebui să vă asigurați că aveți acces la jurnalele adecvate de care aveți nevoie pentru a vă susține sistemul și pentru a remedia erorile.

Program "Vizualizator de eveniment" este un snap-in Microsoft Management Console (MMC) pentru vizualizarea și gestionarea jurnalelor de evenimente. Acesta este un instrument indispensabil pentru monitorizarea performanței sistemului și depanarea problemelor. Serviciul Windows care gestionează înregistrarea evenimentelor este numit „Jurnalul evenimentelor”. Dacă rulează, Windows scrie date importante în jurnalele. Folosind programul "Vizualizator de eveniment" puteți face următoarele:

Vizualizați evenimente din jurnale specifice;
Aplicați filtre de evenimente și salvați-le pentru utilizare ulterioară ca vizualizări personalizate;
Creați și gestionați abonamente la evenimente;
Alocați acțiuni specifice care trebuie efectuate atunci când are loc un anumit eveniment.

Lansarea Vizualizatorului de evenimente

Aplicație "Vizualizator de eveniment" poate fi deschis în următoarele moduri:

Jurnalele de evenimente în Windows 7

În sistemul de operare Windows 7, precum și în Windows Vista, există două categorii de jurnale de evenimente: Jurnalele WindowsȘi jurnalele de aplicații și servicii. Jurnalele Windows- utilizat de sistemul de operare pentru a înregistra evenimente la nivelul întregului sistem legate de funcționarea aplicațiilor, componentelor sistemului, securitate și pornire. A jurnalele de aplicații și servicii- utilizate de aplicații și servicii pentru a înregistra evenimente legate de funcționarea acestora. Puteți folosi snap-in-ul pentru a gestiona jurnalele de evenimente "Vizualizator de eveniment" sau program Linie de comanda wevtutil, despre care va fi discutat în partea a doua a articolului. Toate tipurile de jurnal sunt descrise mai jos:

Aplicație- stochează evenimente importante legate de o anumită aplicație. De exemplu, Exchange Server stochează evenimente legate de redirecționarea e-mailurilor, inclusiv evenimente pentru depozitul de informații, cutiile poștale și serviciile care rulează. Implicit este plasat în %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Siguranță- stochează evenimente legate de securitate, cum ar fi autentificarea/deconectarea sistemului, utilizarea privilegiilor și accesările la resurse. În mod implicit, se află în %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Instalare- Acest jurnal înregistrează evenimentele care au loc în timpul instalării și configurării sistemului de operare și a componentelor acestuia. În mod implicit, se află în %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Sistem- stochează evenimente ale sistemului de operare sau ale componentelor acestuia, cum ar fi eșecurile la pornirea serviciilor sau inițializarea driverelor, mesaje la nivelul întregului sistem și alte mesaje legate de sistem în ansamblu. În mod implicit, se află în %SystemRoot%\System32\Winevt\Logs\System.Evtx

Evenimente transmise- dacă este configurată redirecționarea evenimentelor, acest jurnal include evenimente redirecționate de la alte servere. În mod implicit, este plasat în %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- acest jurnal înregistrează evenimentele care apar la configurarea și lucrul cu browser-ul Internet Explorer. În mod implicit, se află în %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- Acest jurnal înregistrează evenimente legate de utilizarea PowerShell. În mod implicit, se află în %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Evenimente cu echipamente- dacă înregistrarea evenimentelor hardware este configurată, evenimentele generate de dispozitive sunt înregistrate în acest jurnal. În mod implicit, este plasat în %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

În Windows 7, infrastructura care oferă înregistrarea evenimentelor se bazează pe XML, la fel ca în Windows Vista. Datele fiecărui eveniment corespund unei scheme XML, permițându-vă să accesați codul XML al oricărui eveniment. De asemenea, puteți crea interogări bazate pe XML pentru a prelua date din jurnale. Nu sunt necesare cunoștințe de XML pentru a utiliza aceste noi funcții. Echipamente "Vizualizator de eveniment" oferă o interfață grafică simplă pentru a accesa aceste caracteristici.

Proprietăți eveniment

Există mai multe proprietăți pentru evenimente snap-in "Vizualizator de eveniment", care sunt descrise în detaliu mai jos:

Sursă este programul care a înregistrat evenimentul. Acesta poate fi fie numele unui program (de exemplu, „Exchange Server”), fie numele unei componente de sistem sau al unei aplicații mari (de exemplu, numele unui driver). De exemplu, „Elnkii” înseamnă driverul EtherLink II.

Cod eveniment este un număr care identifică un anumit tip de eveniment. Prima linie a descrierii conține de obicei numele tipului de eveniment. De exemplu, 6005 este ID-ul evenimentului care are loc la pornirea serviciului de înregistrare a evenimentelor. În consecință, la începutul descrierii acestui eveniment există linia „Serviciul de jurnal de evenimente a fost pornit”. Codul evenimentului și numele sursei de înregistrare pot fi folosite de echipa de asistență pentru produse software pentru a depana problemele.

Nivel- acesta este nivelul de importanță al evenimentului. În jurnalele de sistem și de aplicații, evenimentele pot avea următoarele niveluri de severitate:

Notificare- denotă o schimbare într-o aplicație sau componentă, cum ar fi apariția unui eveniment informațional asociat cu o acțiune reușită, crearea unei resurse sau pornirea unui serviciu.
Avertizare- indică un avertisment general pentru o problemă care ar putea afecta service-ul sau poate duce la o problemă mai gravă dacă este lăsată nesupravegheată;
Eroare- indică faptul că a apărut o problemă care poate afecta funcții externe aplicației sau componentei care a provocat evenimentul;
Eroare critica- indică faptul că a avut loc o eroare din care aplicația sau componenta care a inițiat evenimentul nu se poate recupera automat;
Auditul succeselor- executarea cu succes a acțiunilor pe care le monitorizați prin audit, cum ar fi utilizarea unui privilegiu;
Auditul eșecului- neefectuarea acțiunilor pe care le monitorizați prin auditare, cum ar fi o eroare de conectare în sistem.

Utilizator- definește contul de utilizator în numele căruia a avut loc acest eveniment. Utilizatorii includ entități speciale, cum ar fi serviciul local, serviciul de rețea și conectarea anonimă, precum și conturi de utilizator reale. Acest nume este identificatorul clientului dacă evenimentul a fost de fapt declanșat de un proces de server sau identificatorul principal dacă nu se efectuează uzurparea identității. În unele cazuri, intrarea din jurnalul de securitate conține ambele ID-uri. Acest câmp poate conține și N/A (N/A), dacă se află în această situație Cont nu se aplică. Uzurparea identității are loc în cazurile în care un server permite unui proces să-și asume atributele de securitate ale altui proces.

Cod de lucru- contine valoare numerica, care definește operația sau punctul din cadrul operațiunii în timpul căruia a avut loc acest eveniment. De exemplu, inițializare sau închidere.

Revistă- numele jurnalului în care a fost înregistrat acest eveniment.

Categorie și sarcini- definește o categorie de eveniment, uneori folosită pentru descrierea ulterioară acțiune admisibilă. Fiecare sursă de eveniment are propriile categorii. De exemplu, următoarele categorii: autentificare/deconectare, privilegii de utilizare, politici de modificare și gestionarea contului.

Cuvinte cheie este un set de categorii sau etichete care pot fi folosite pentru a filtra sau a căuta evenimente. De exemplu: „Rețea”, „Securitate” sau „Resursa nu a fost găsită”.

Calculator- identifică numele computerului pe care a avut loc evenimentul. Acesta este de obicei numele computerului local, dar poate fi și numele computerului care a transmis evenimentul sau numele computerului local înainte ca acesta să fie modificat.

data si ora- determină data și ora apariției acestui eveniment în jurnal.

ID proces- reprezintă numărul de identificare al procesului care a generat evenimentul. Program de calculator reprezintă doar un set pasiv de instrucțiuni, în timp ce un proces este execuția directă a acestor instrucțiuni

ID-ul fluxului- reprezinta numarul de identificare al thread-ului care a generat evenimentul. Un proces generat într-un sistem de operare poate consta din mai multe fire care rulează „în paralel”, adică fără o ordine prescrisă în timp. Pentru unele sarcini, această separare poate realiza mai mult utilizare eficientă resurse informatice

ID procesor- reprezinta numarul de identificare al procesorului care a procesat evenimentul.

Cod de sesiune este numărul de identificare a sesiunii de pe serverul terminal în care a avut loc evenimentul.

Timp de funcționare în modul Kernel- definește timpul petrecut în executarea instrucțiunilor în modul kernel, în unități de timp CPU. Modul Kernel are acces nerestricționat la memoria sistemului și la dispozitivele externe. Nucleul sistemului NT este numit nucleu hibrid sau macrokernel.

Timp de funcționare în modul utilizator- definește timpul petrecut în executarea instrucțiunilor în modul utilizator, în unități de timp CPU. Modul utilizator constă din subsisteme care transmit cererile I/O driverului corespunzător modului kernel prin intermediul managerului I/O.

sarcina procesorului este timpul petrecut executând instrucțiunile modului utilizator, în ticks CPU.

Cod de corelare- definește acțiunea din procesul pentru care este utilizat evenimentul. Acest cod este folosit pentru a specifica relații simple între evenimente. Corelația este o relație statistică între două sau mai multe variabile aleatoare(sau cantități care pot fi considerate ca atare cu un anumit grad acceptabil de precizie). Mai mult, modificările uneia sau mai multor dintre aceste cantități conduc la o modificare sistematică a unei alte cantități sau a altor cantități.

ID corelație relativă- definește o acțiune relativă în procesul pentru care este utilizat evenimentul

Lucrul cu jurnalele de evenimente

Vizualizator de eveniment

În următoarea captură de ecran puteți vedea jurnalul „Aplicații”, unde puteți găsi informații despre evenimente, vizualizări recente și acțiuni disponibile. Pentru a vizualiza evenimentele din jurnalul de aplicații, urmați acești pași:

În arborele consolei, selectați „Jurnalele Windows”;
Selectați o revistă „Aplicații”.

Este recomandabil să revizuiți mai des jurnalele de evenimente "Aplicație"Și "Sistem"și să examineze problemele existente și avertismentele care pot prefigura probleme viitoare. Când selectați un jurnal, fereastra din mijloc afișează evenimentele disponibile, inclusiv data evenimentului, ora și sursa, nivelul evenimentului și alte detalii.

Panou „Vizualizare” afișează datele de bază ale evenimentului în filă "Sunt comune", iar date specifice suplimentare sunt în filă "Detalii". Puteți activa și dezactiva acest panou selectând meniul "Vedere" iar apoi comanda „Vizualizare”.

Pentru sistemele critice, se recomandă păstrarea jurnalelor cu câteva luni înapoi. De regulă, este incomod să atribuiți o dimensiune revistelor tot timpul, astfel încât toate informațiile să încapă în ele; această problemă poate fi rezolvată într-un alt mod. Puteți exporta jurnalele în fișiere situate într-un folder specificat. Pentru a salva jurnalul selectat, urmați acești pași:

În arborele consolei, selectați jurnalul de evenimente pe care doriți să îl salvați;
Selectați o echipă „Salvați evenimentele ca” din meniu "Acțiune" sau din meniul contextual jurnal selectați comanda „Salvați toate evenimentele ca”;
În dialogul care apare "Salvează ca" selectați folderul în care ar trebui să fie salvat fișierul. Dacă trebuie să salvați fișierul într-un folder nou, îl puteți crea direct din acest dialog folosind meniul contextual sau butonul "Dosar nou" pe bara de acțiuni. În câmp "Tip fișier" trebuie să selectați formatul de fișier dorit dintre cele disponibile: fișiere de evenimente - *.evtx, fișier xml - *.xml, text delimitat de tabulatori - *.txt, csv separat prin virgulă - *.csv. În câmp "Nume de fișier" "Salva". Pentru a anula salvarea, faceți clic pe butonul "Anulare";
În cazul în care jurnalul de evenimente nu este destinat a fi vizualizat pe alt computer, în caseta de dialog „Afișează detalii” lăsați opțiunea implicită „Nu afișați informații”, iar dacă jurnalul este destinat să fie vizualizat pe alt computer, atunci în caseta de dialog „Afișează detalii” selecteaza o optiune „Afișați informații pentru următoarele limbi”și faceți clic pe butonul "BINE".

Stergerea jurnalului de evenimente

Uneori trebuie să ștergeți jurnalele complete de evenimente pentru a vă asigura analiză eficientă avertismente și erori critice ale sistemului de operare. Pentru a șterge jurnalul selectat, urmați acești pași:

În arborele consolei, selectați jurnalul de evenimente pe care doriți să îl ștergeți;
Ștergeți jurnalul folosind una dintre următoarele metode:
- În meniu "Acțiune" alege echipa "Curăță Jurnalul";
- Faceți clic dreapta pe jurnalul selectat pentru a deschide meniul contextual. În meniul contextual, selectați comanda "Curăță Jurnalul";
Apoi, puteți fie să ștergeți jurnalul, fie să îl arhivați dacă acest lucru nu a fost făcut anterior:
- Pentru a șterge jurnalul de evenimente fără a salva, faceți clic pe butonul "Clar";
- Pentru a șterge jurnalul de evenimente după ce l-ați salvat, faceți clic pe butonul „Salvați și ștergeți”. În dialogul care apare "Salvează ca" selectați folderul în care ar trebui să fie salvat fișierul. Dacă trebuie să salvați fișierul într-un folder nou, îl puteți crea direct din acest dialog folosind meniul contextual sau butonul "Dosar nou" pe bara de acțiuni. În câmp "Nume de fișier" introduceți un nume și faceți clic pe butonul "Salva". Pentru a anula salvarea, faceți clic pe butonul "Anulare".

Setarea dimensiunii maxime a jurnalului

După cum sa menționat mai sus, jurnalele de evenimente sunt stocate ca fișiere în folderul %SystemRoot%\System32\Winevt\Logs\. În mod implicit, dimensiunea maximă a acestor fișiere este limitată, dar o puteți modifica în felul următor:

Selectați o echipă „Proprietăți” din meniu "Acțiune"
În câmp „Dimensiunea maximă a jurnalului (KB)” setați valoarea necesară folosind un contor sau setați manual fără a utiliza un contor. În acest caz, valoarea va fi rotunjită la cel mai apropiat multiplu de 64 KB, deoarece dimensiunea fișierului jurnal trebuie să fie un multiplu de 64 KB și nu poate fi mai mică de 1024 KB.

Evenimentele sunt stocate într-un fișier jurnal care poate crește doar până la o dimensiune maximă specificată. Odată ce fișierul atinge dimensiunea maximă, procesarea evenimentelor primite va fi determinată de politica de păstrare a jurnalelor. Sunt disponibile următoarele politici de păstrare a jurnalelor:

Rescrie evenimentele dacă este necesar (în primul rând cele mai vechi fișiere)- în acest caz, înregistrările noi continuă să fie introduse în jurnal după ce acesta este completat. Fiecare eveniment nou îl înlocuiește pe cel mai vechi din jurnal;

Arhivați jurnalul când este completat; nu rescrie evenimentele- în acest caz, fișierul jurnal este arhivat automat dacă este necesar. Evenimentele învechite nu sunt suprascrise.

Nu suprascrieți evenimentele (ștergeți manual jurnalul)- în acest caz, jurnalul este șters manual și nu automat.

Pentru a selecta politica de păstrare a jurnalelor dorită, urmați acești pași:

În arborele consolei, selectați jurnalul de evenimente pe care doriți să îl redimensionați;
Selectați o echipă „Proprietăți” din meniu "Acțiune" sau din meniul contextual al jurnalului selectat;
Pe fila "Sunt comune", În capitolul „La atingerea dimensiunii maxime” selectați parametrul necesar și faceți clic pe butonul "BINE".

Activarea jurnalului analitic și de depanare

Jurnalele analitice și de depanare sunt inactive în mod implicit. Odată activate, se umplu rapid o cantitate mare evenimente. Din acest motiv, este recomandabil să activați aceste jurnale pentru o perioadă limitată de timp pentru a colecta datele necesare pentru depanare și apoi să le dezactivați din nou. Puteți activa jurnalele după cum urmează:

În arborele consolei, găsiți și selectați jurnalul analitic sau de depanare pe care doriți să îl activați;
Selectați o echipă „Proprietăți” din meniu "Acțiune" sau din meniul contextual al jurnalului analitic sau de depanare selectat;
Pe fila "Sunt comune" bifați caseta de opțiuni „Activați înregistrarea”

Deschiderea și închiderea unui jurnal salvat

Utilizarea echipamentelor "Vizualizator de eveniment" Puteți deschide și vizualiza jurnalele salvate anterior. Puteți deschide mai multe jurnale salvate în același timp și le puteți accesa în orice moment în arborele consolei. Revista deschisă în "Vizualizator de eveniment", poate fi închis fără a șterge informațiile pe care le conține. Pentru a deschide un jurnal salvat, urmați acești pași:

Selectați o echipă „Deschideți jurnalul salvat”în meniu "Acțiune" sau din meniul contextual din arborele consolei;
3. În caseta de dialog „Deschideți jurnalul salvat”, deplasându-se prin arborele de directoare, deschideți folderul care conține fișierul dorit. În mod implicit, caseta de dialog va afișa toate fișierele jurnal de evenimente. De asemenea, la deschidere, puteți selecta tipul de fișiere pe care doriți să le afișați în dialogul de deschidere. Tipurile de fișiere disponibile sunt fișiere jurnal de evenimente (*.evtx, *.evt, *.etl), precum și fișiere de evenimente (*.evtx), fișiere de evenimente vechi (*.evt) sau fișiere de jurnal de urmărire (*.etl) . Odată ce fișierul jurnal dorit a fost găsit, selectați-l făcând clic stânga pe el, care va plasa numele său în linia de nume de fișier și faceți clic pe butonul "Deschis".
În dialog „Deschideți jurnalul salvat”, în câmp "Nume" Introduceți un nume nou de utilizat pentru jurnal în arborele consolei. Este folosit doar pentru a afișa jurnalul în arborele consolei și nu modifică numele fișierului jurnal. Puteți utiliza, de asemenea, un nume de fișier jurnal existent. În câmp "Descriere" introduceți o descriere pentru jurnal. Acesta va fi afișat în zona centrală atunci când folderul de jurnal părinte este selectat în arborele consolei;
Pentru a crea un folder în care va fi localizat jurnalul salvat, faceți clic pe butonul „Creează un folder”. În câmp "Nume" introduceți numele folderului în care va fi localizat jurnalul deschis, apoi faceți clic "BINE". Dacă nu este selectat un folder părinte, noul folder va fi localizat în dosar „Jurnalele salvate”.
Pentru a face jurnalul de evenimente deschis inaccesibil pentru alți utilizatori de computer, puteți debifa "Toți utilizatorii". Dacă această casetă de selectare rămâne activă, jurnalul deschis va fi disponibil pentru toți utilizatorii, dar vor fi necesare drepturi de administrator pentru a-l șterge din arborele consolei;
Pentru a deschide revista, faceți clic pe butonul "BINE".

Pentru a șterge un jurnal deschis din arborele de evenimente, urmați acești pași:

În arborele consolei, selectați jurnalul de șters;
Selectați o echipă "Șterge" din meniu "Acțiune" sau din meniul contextual al jurnalului selectat;
În dialog "Vizualizator de eveniment" faceți clic pe butonul "Da".

Concluzie

Această parte a articolului, dedicată snap-in-ului Event Viewer, vorbește despre snap-in-ul în sine și descrie în detaliu cele mai simple operațiuni asociate cu monitorizarea și întreținerea sistemului folosind Event Viewer. Următoarea parte a articolului va fi calculată pentru utilizatori experimentați Windows. Acesta va acoperi sarcini cu vizualizări personalizate, filtrare, grupare/sortare evenimente și gestionarea abonamentelor.

Orice sistem de operare GUI modern se bazează pe evenimente. Același lucru este valabil și pentru software-ul dezvoltat pentru astfel de sisteme de operare. Evenimentul este piatra de temelie a acestei infrastructuri. Evenimentele înseamnă nu numai activități interactive utilizator, dar și rezultatele diferitelor procese de sistem ascunse de ochii operatorului de sistem care apasă butoanele și face clic pe taste.

Evenimentele pot fi încorporate, adică cele care sunt predefinite de arhitectură și cele create de administrator sau dezvoltator. În articolul nostru ne vom uita la clasificarea evenimentelor în Windows, instrumentele pentru înregistrarea și vizualizarea lor, precum și metodele de lucru cu acestea.

Interfața pentru vizualizarea evenimentelor care au avut loc în sistem se numește „jurnal de sistem”. Intrările de jurnal sunt create ca urmare a anumitor acțiuni ale programului sau ale utilizatorului care sunt înregistrate ca evenimente de către sistemul de operare. Desigur, nu toate acțiunile sunt înregistrate în jurnal. Sunt prea mulți pentru asta.

De exemplu, mutarea mouse-ului chiar și a unui pixel generează deja o excepție software și ar putea fi procesată de sistemul de operare, ceea ce, în esență, este ceea ce se întâmplă - astfel de acțiuni nu intră în jurnal. Dar avertismentele sistemului de securitate sunt înregistrate, deoarece constituie informații critice.

Windows vă permite să reglați lista excepțiilor critice ale sistemului. Într-o oarecare măsură, sunteți liber să decideți ce anume să vă conectați și de ce informații vă puteți descurca. Pentru a vă face o idee despre acest lucru, iată câteva dintre operațiunile standard de jurnal:

Vezi lista de evenimente.
Filtrarea listei după anumite criterii.
Crearea de „declanșatoare” pentru reacțiile la procesele din sistem – așa-numitul „abonament”.
Atribuirea unui tip de reacție la un anumit eveniment.

Cum se vede?

Pentru a vizualiza conținutul jurnalului, trebuie să lansați aplicația corespunzătoare. Acest lucru se face astfel:

Accesați meniul „Start” => „Panou de control”.
Selectați secțiunea „Administrare”.
În această secțiune, faceți clic pe numele componentei „Event Viewer”.
Programul se va lansa cu o fereastră aspectul caracteristic- așa-numitul „echipament”. Acest echipament este interfața vizuală pentru protocolul nostru.

Același lucru se poate realiza dacă tastați mmc în fereastra „Run” (numită din același meniu „Start”). Această comandă va lansa o interfață comună pentru toate snap-in-urile, în care va trebui să accesați meniul „Console” => „Adăugați sau eliminați snap-in-uri” și să îl apelați pe cel de care aveți nevoie din lista tuturor snap-in-urilor . În cea de-a șaptea versiune de Windows, toate acestea se fac în același mod ca în cea anterioară. Fereastra „Run” poate fi apelată și folosind comanda rapidă de la tastatură „Win” + „R” - rezultatul va fi același. Ca urmare a manipulărilor noastre, va apărea o fereastră ca aceasta:

Clasificarea evenimentelor OS

În continuare, vom clasifica intrările de jurnal în funcție de semnificația lor pentru utilizator. Evenimentele sunt împărțite în cele generate de sistemul de operare în sine și cele care provin din aplicații și servicii. Cu toate acestea, o astfel de clasificare nu ține cont de sensul fenomenelor înregistrate. Gruparea lor mai detaliată este următoarea:

Toate datele sunt stocate în formatul XML popular, așa că este nevoie de un wrapper precum un jurnal de evenimente pentru a le citi și procesa. Vizualizarea directă a evenimentelor din sistemul Windows 7 în fișiere, deși posibilă, este extrem de dificilă. Cu toate acestea, nu este nevoie să faceți acest lucru, deoarece jurnalul de evenimente Windows 7 o face pentru noi.

Opțiuni de postare

Fiecare intrare din jurnalul sistemului de operare Windows are un set uniform de parametri care îi caracterizează proprietățile: un pointer către sursa de origine, un cod special de identificare, un grad de criticitate și multe altele.

Acesta ar putea fi un serviciu care nu dorește să pornească, o instalare a dispozitivului sau o eroare a aplicației. Evenimentele sunt înregistrate și stocate în jurnalele de evenimente Windows și oferă informații istorice importante care vă ajută să vă monitorizați sistemul, să mențineți securitatea sistemului, să depanați erorile și să efectuați diagnostice. Informațiile conținute în aceste jurnaluri ar trebui revizuite în mod regulat. Ar trebui să monitorizați în mod regulat jurnalele de evenimente și să configurați sistemul de operare pentru a salva evenimentele importante ale sistemului. Dacă sunteți administrator de server Windows, atunci trebuie să monitorizați securitatea sistemelor lor, funcționarea normală a aplicațiilor și serviciilor și, de asemenea, să verificați serverul pentru erori care pot afecta performanța. Dacă sunteți un utilizator de computer personal, ar trebui să vă asigurați că aveți acces la jurnalele adecvate de care aveți nevoie pentru a vă susține sistemul și pentru a remedia erorile.

Event Viewer este un snap-in Microsoft Management Console (MMC) care vă permite să vizualizați și să gestionați jurnalele de evenimente. Acesta este un instrument indispensabil pentru monitorizarea performanței sistemului și depanarea problemelor. Serviciul Windows care gestionează înregistrarea evenimentelor se numește Event Logging. Dacă rulează, Windows scrie date importante în jurnalele. Folosind Vizualizatorul de evenimente, puteți face următoarele:

Vizualizați evenimente din jurnale specifice;
Aplicați filtre de evenimente și salvați-le pentru utilizare ulterioară ca vizualizări personalizate;
Creați și gestionați abonamente la evenimente;
Alocați acțiuni specifice care trebuie efectuate atunci când are loc un anumit eveniment.

Lansarea Vizualizatorului de evenimente

Puteți deschide Vizualizatorul de evenimente în următoarele moduri:
Faceți clic pe butonul „Start” pentru a deschide meniul, deschideți „Panou de control”, din lista de componente ale panoului de control selectați „Instrumente administrative” iar din lista de componente administrative trebuie să selectați „Vizualizator de evenimente”;
Deschideți „Consola de administrare MMC”. Pentru a face acest lucru, faceți clic pe butonul „Start”, introduceți mmc în câmpul de căutare, apoi faceți clic pe butonul „Enter”. Se va deschide o consolă MMC goală. Din meniul Consolă, selectați Adăugați sau Eliminați Snap-In sau utilizați comanda rapidă de la tastatură Ctrl+M. În caseta de dialog „Adăugați și eliminați snap-in-uri”, selectați snap-in-ul „Event Viewer” și faceți clic pe butonul „Adăugați”. Apoi faceți clic pe butonul „Finish”, apoi faceți clic pe butonul „OK”;
Utilizați combinația de taste WIN + R pentru a deschide dialogul Run. În caseta de dialog „Run”, în câmpul „Open”, introduceți eventvwr.msc și faceți clic pe butonul „OK”; (voi adăuga pe cont propriu: De ce aceste probleme? Doar apăsați START-SEARCH și introduceți prostește EVENT CONECTAȚI-VĂ LITRESELE RUSE. Fixați dacă este necesar în bara de activități și vedeți acest jurnal.

Jurnalele de evenimente în Windows 7

În sistemul de operare Windows 7, precum și în Windows Vista, există două categorii de jurnale de evenimente: jurnalele Windows și jurnalele de aplicații și servicii. Jurnalele Windows - utilizate de sistemul de operare pentru a înregistra evenimente la nivelul întregului sistem legate de funcționarea aplicațiilor, componentelor sistemului, securitate și pornire. Iar jurnalele de aplicații și servicii sunt folosite de aplicații și servicii pentru a înregistra evenimente legate de funcționarea lor. Pentru a gestiona jurnalele de evenimente, puteți utiliza snap-in-ul Event Viewer sau instrumentul de linie de comandă wevtutil, care va fi discutat în a doua parte a articolului. Toate tipurile de jurnal sunt descrise mai jos:
Aplicație - Stochează evenimente importante asociate cu o anumită aplicație. De exemplu, Exchange Server stochează evenimente legate de redirecționarea e-mailurilor, inclusiv evenimente pentru depozitul de informații, cutiile poștale și serviciile care rulează. Implicit este plasat în %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Windows PowerShell- Acest jurnal înregistrează evenimente legate de utilizarea PowerShell. În mod implicit, se află în %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

În Windows 7, infrastructura care oferă înregistrarea evenimentelor se bazează pe XML, la fel ca în Windows Vista. Datele fiecărui eveniment corespund unei scheme XML, permițându-vă să accesați codul XML al oricărui eveniment. De asemenea, puteți crea interogări bazate pe XML pentru a prelua date din jurnale. Nu sunt necesare cunoștințe de XML pentru a utiliza aceste noi funcții. Event Viewer oferă o interfață grafică simplă pentru a accesa aceste capabilități.

Proprietăți eveniment

Există mai multe proprietăți ale evenimentelor Vizualizatorului de evenimente care sunt detaliate mai jos:
Sursa este programul care a înregistrat evenimentul. Acesta poate fi fie numele unui program (de exemplu, „Exchange Server”), fie numele unei componente de sistem sau al unei aplicații mari (de exemplu, numele unui driver). De exemplu, „Elnkii” înseamnă driverul EtherLink II.

Nivel- acesta este nivelul de importanță al evenimentului. În jurnalele de sistem și de aplicații, evenimentele pot avea următoarele niveluri de severitate:

Notificare- denotă o schimbare într-o aplicație sau componentă, cum ar fi apariția unui eveniment informațional asociat cu o acțiune reușită, crearea unei resurse sau pornirea unui serviciu.
Avertizare- indică un avertisment general despre o problemă care ar putea afecta service-ul sau poate duce la o problemă mai gravă dacă este lăsată nesupravegheată;
Eroare- indică faptul că a apărut o problemă care poate afecta funcții externe aplicației sau componentei care a provocat evenimentul;
Eroare critica- indică faptul că a avut loc o eroare din care aplicația sau componenta care a inițiat evenimentul nu se poate recupera automat;
Auditul succeselor- executarea cu succes a acțiunilor pe care le monitorizați prin audit, cum ar fi utilizarea unui privilegiu;
Auditul eșecului- neefectuarea acțiunilor pe care le monitorizați prin auditare, cum ar fi o eroare de conectare în sistem.
Utilizator- definește contul de utilizator în numele căruia a avut loc acest eveniment. Utilizatorii includ entități speciale, cum ar fi serviciul local, serviciul de rețea și conectarea anonimă, precum și conturi de utilizator reale. Acest nume este identificatorul clientului dacă evenimentul a fost de fapt declanșat de un proces de server sau identificatorul principal dacă nu se efectuează uzurparea identității. În unele cazuri, intrarea din jurnalul de securitate conține ambele ID-uri. Acest câmp poate conține și N/A dacă contul nu este aplicabil în această situație. Uzurparea identității are loc în cazurile în care un server permite unui proces să-și asume atributele de securitate ale altui proces.

Cod de lucru- conține o valoare numerică care identifică operația sau punctul din cadrul operației în timpul căreia a avut loc acest eveniment. De exemplu, inițializare sau închidere.

Revistă- numele jurnalului în care a fost înregistrat acest eveniment.

Categorie și sarcini- definește o categorie de eveniment, uneori folosită pentru a descrie ulterior o acțiune validă. Fiecare sursă de eveniment are propriile categorii. De exemplu, următoarele categorii: autentificare/deconectare, privilegii de utilizare, politici de modificare și gestionarea contului.

Cuvinte cheie este un set de categorii sau etichete care pot fi folosite pentru a filtra sau a căuta evenimente. De exemplu: „Rețea”, „Securitate” sau „Resursa nu a fost găsită”.

data si ora- determină data și ora apariției acestui eveniment în jurnal.

ID proces- reprezintă numărul de identificare al procesului care a generat evenimentul. Un program de calculator este doar un set pasiv de instrucțiuni, în timp ce un proces este execuția directă a acestor instrucțiuni

ID-ul fluxului- reprezinta numarul de identificare al thread-ului care a generat evenimentul. Un proces generat într-un sistem de operare poate consta din mai multe fire care rulează „în paralel”, adică fără o ordine prescrisă în timp. La îndeplinirea unor sarcini, o astfel de diviziune poate realiza o utilizare mai eficientă a resurselor computerului

ID procesor- reprezinta numarul de identificare al procesorului care a procesat evenimentul.

Cod de sesiune este numărul de identificare a sesiunii de pe serverul terminal în care a avut loc evenimentul.

sarcina procesorului este timpul petrecut executând instrucțiunile modului utilizator, în ticks CPU.

Cod de corelație - identifică acțiunea din procesul pentru care este utilizat evenimentul. Acest cod este folosit pentru a specifica relații simple între evenimente. Corelația este o relație statistică între două sau mai multe variabile aleatoare (sau valori care pot fi considerate ca atare cu un grad acceptabil de acuratețe). Mai mult, modificările uneia sau mai multor dintre aceste cantități conduc la o modificare sistematică a unei alte cantități sau a altor cantități.

ID corelație relativă- definește o acțiune relativă în procesul pentru care este utilizat evenimentul

Lucrul cu jurnalele de evenimente:

Vizualizator de eveniment
Pentru a vizualiza evenimentele din jurnalul de aplicații, urmați acești pași:
În arborele consolei, selectați „Jurnalele Windows”;
Selectați revista Aplicații.

Este o idee bună să examinați frecvent jurnalele de evenimente de aplicație și sistem pentru a căuta probleme existente și avertismente care pot indica probleme viitoare. Când selectați un jurnal, fereastra din mijloc afișează evenimentele disponibile, inclusiv data evenimentului, ora și sursa, nivelul evenimentului și alte detalii.

Panoul Viewport afișează date de bază despre evenimente în fila General și date suplimentare despre evenimente specifice în fila Detalii. Puteți activa și dezactiva acest panou selectând meniul View și apoi Viewport.

În arborele consolei, selectați jurnalul de evenimente pe care doriți să îl salvați;
Selectați comanda „Salvare evenimente ca” din meniul „Acțiune” sau selectați comanda „Salvare toate evenimentele ca” din meniul contextual jurnal;
În dialogul „Salvare ca” care apare, selectați folderul în care ar trebui să fie salvat fișierul. Dacă trebuie să salvați fișierul într-un folder nou, îl puteți crea direct din acest dialog folosind meniul contextual sau butonul „New Folder” din bara de acțiuni. În câmpul „Tip de fișier”, trebuie să selectați formatul de fișier dorit dintre cele disponibile: fișiere de evenimente - *.evtx, fișier xml - *.xml, text delimitat de tabulatori - *.txt, csv separat prin virgulă - * .csv. În câmpul „Nume fișier”, introduceți un nume și faceți clic pe butonul „Salvare”. Pentru a anula salvarea, faceți clic pe butonul „Anulare”;
Dacă jurnalul de evenimente nu este destinat să fie vizualizat pe alt computer, în caseta de dialog „Afișare informații”, lăsați opțiunea implicită „Nu afișați informații”, iar dacă jurnalul este destinat să fie vizualizat pe alt computer, atunci în Caseta de dialog „Afișare informații” „ selectați opțiunea „Afișare informații pentru următoarele limbi” și faceți clic pe butonul „OK”.

Stergerea jurnalului de evenimente

Uneori este necesar să ștergeți jurnalele complete de evenimente pentru a asigura o analiză eficientă a avertismentelor și a erorilor critice ale sistemului de operare. Pentru a șterge jurnalul selectat, urmați acești pași:
În arborele consolei, selectați jurnalul de evenimente pe care doriți să îl ștergeți;
Ștergeți jurnalul folosind una dintre următoarele metode:
Din meniul Acțiune, selectați Clear Log

Faceți clic dreapta pe jurnalul selectat pentru a deschide meniul contextual. În meniul contextual, selectați comanda „Ștergeți jurnalul”.
Apoi, puteți fie să ștergeți jurnalul, fie să îl arhivați dacă acest lucru nu a fost făcut anterior:
Pentru a șterge jurnalul de evenimente fără a salva, faceți clic pe butonul „Șterge”;
Pentru a șterge jurnalul de evenimente după ce l-ați salvat, faceți clic pe butonul „Salvați și ștergeți”. În dialogul „Salvare ca” care apare, selectați folderul în care ar trebui să fie salvat fișierul. Dacă trebuie să salvați fișierul într-un folder nou, îl puteți crea direct din acest dialog folosind meniul contextual sau butonul „New Folder” din bara de acțiuni. În câmpul „Nume fișier”, introduceți un nume și faceți clic pe butonul „Salvare”. Pentru a anula salvarea, faceți clic pe butonul „Anulare”.

Setarea dimensiunii maxime a jurnalului

Selectați Proprietăți din meniul Acțiune sau din meniul contextual al jurnalului selectat

În câmpul „Dimensiunea maximă a jurnalului (KB)”, setați valoarea necesară folosind un contor sau setați-o manual fără a utiliza un contor. În acest caz, valoarea va fi rotunjită la cel mai apropiat multiplu de 64 KB, deoarece dimensiunea fișierului jurnal trebuie să fie un multiplu de 64 KB și nu poate fi mai mică de 1024 KB.
Evenimentele sunt stocate într-un fișier jurnal care poate crește doar până la o dimensiune maximă specificată. Odată ce fișierul atinge dimensiunea maximă, procesarea evenimentelor primite va fi determinată de politica de păstrare a jurnalelor. Sunt disponibile următoarele politici de păstrare a jurnalelor:
Rescrie evenimentele dacă este necesar (în primul rând fișierele vechi) - în acest caz, noile intrări continuă să fie introduse în jurnal după ce acesta este plin. Fiecare eveniment nou îl înlocuiește pe cel mai vechi din jurnal;

Arhivați jurnalul când este completat; nu suprascrieți evenimentele - în acest caz fișierul jurnal este arhivat automat dacă este necesar. Evenimentele învechite nu sunt suprascrise.

Nu suprascrieți evenimentele (ștergeți manual jurnalul) - în acest caz, jurnalul este șters manual și nu automat.

Pentru a selecta politica de păstrare a jurnalelor dorită, urmați acești pași:

În arborele consolei, selectați jurnalul de evenimente pe care doriți să îl redimensionați;
Selectați comanda „Proprietăți” din meniul „Acțiune” sau din meniul contextual al jurnalului selectat;
În fila „General”, în secțiunea „Când se atinge dimensiunea maximă”, selectați opțiunea necesară și faceți clic pe butonul „OK”.
Activarea jurnalului analitic și de depanare

Jurnalele analitice și de depanare sunt inactive în mod implicit. Odată activate, acestea se umplu rapid cu un număr mare de evenimente. Din acest motiv, este recomandabil să activați aceste jurnale pentru o perioadă limitată de timp pentru a colecta datele necesare pentru depanare și apoi să le dezactivați din nou. Puteți activa jurnalele după cum urmează:

În arborele consolei, găsiți și selectați jurnalul analitic sau de depanare pe care doriți să îl activați;
Selectați comanda „Proprietăți” din meniul „Acțiune” sau din meniul contextual al jurnalului analitic sau de depanare selectat;
În fila „General”, bifați opțiunea „Activați înregistrarea în jurnal”.

Deschiderea și închiderea unui jurnal salvat

Puteți utiliza Event Viewer pentru a deschide și a vizualiza jurnalele salvate anterior. Puteți deschide mai multe jurnale salvate în același timp și le puteți accesa în orice moment în arborele consolei. Un jurnal deschis în Vizualizatorul de evenimente poate fi închis fără a șterge informațiile pe care le conține. Pentru a deschide un jurnal salvat, urmați acești pași:

Selectați comanda „Deschideți jurnalul salvat” din meniul „Acțiune” sau din meniul contextual din arborele consolei;
În caseta de dialog Deschidere jurnal salvat, navigați prin arborele de directoare pentru a deschide folderul care conține fișierul dorit. În mod implicit, caseta de dialog va afișa toate fișierele jurnal de evenimente. De asemenea, la deschidere, puteți selecta tipul de fișiere pe care doriți să le afișați în dialogul de deschidere. Tipurile de fișiere disponibile sunt fișiere jurnal de evenimente (*.evtx, *.evt, *.etl), precum și fișiere de evenimente (*.evtx), fișiere de evenimente vechi (*.evt) sau fișiere de jurnal de urmărire (*.etl) . Odată ce fișierul jurnal dorit a fost găsit, selectați-l făcând clic stânga pe el, care va plasa numele său în câmpul cu numele fișierului și faceți clic pe butonul „Deschidere”.

În dialogul „Deschideți jurnalul salvat”, în câmpul „Nume”, introduceți un nume nou care va fi folosit pentru jurnal în arborele consolei. Este folosit doar pentru a afișa jurnalul în arborele consolei și nu modifică numele fișierului jurnal. Puteți utiliza, de asemenea, un nume de fișier jurnal existent. În câmpul Descriere, introduceți o descriere a jurnalului. Acesta va fi afișat în zona centrală atunci când folderul de jurnal părinte este selectat în arborele consolei;
Pentru a crea un folder în care va fi localizat jurnalul salvat, faceți clic pe butonul „Creare folder”. În câmpul Nume, introduceți numele folderului în care va fi localizat jurnalul deschis, apoi faceți clic pe OK. Dacă nu este selectat un folder părinte, noul folder va fi localizat în folderul Jurnale salvate

Pentru a face jurnalul de evenimente deschis inaccesibil pentru alți utilizatori de computer, puteți debifa caseta de selectare „Toți utilizatorii”. Dacă această casetă de selectare rămâne activă, jurnalul deschis va fi disponibil pentru toți utilizatorii, dar vor fi necesare drepturi de administrator pentru a-l șterge din arborele consolei;
Pentru a deschide jurnalul, faceți clic pe butonul „OK”.
Pentru a șterge un jurnal deschis din arborele lor de evenimente, urmați acești pași:

În arborele consolei, selectați jurnalul de șters;
Selectați Ștergere din meniul Acțiune sau din meniul contextual al jurnalului selectat

În dialogul „Vizualizator de evenimente”, faceți clic pe butonul „Da”.

Concluzie

Această parte a articolului, dedicată snap-in-ului Event Viewer, descrie snap-in-ul în sine și descrie în detaliu operațiunile simple asociate cu monitorizarea și întreținerea sistemului folosind Event Viewer.

Sistemul de operare Windows, versiunea șapte, are o funcție de urmărire a evenimentelor importante care apar în funcționarea programelor de sistem. La Microsoft, conceptul de „evenimente” se referă la orice incidente din sistem care sunt înregistrate într-un jurnal special și semnalate utilizatorilor sau administratorilor. Acesta ar putea fi un program utilitar care nu dorește să ruleze, o aplicație care se blochează sau dispozitive care nu sunt instalate corect. Toate incidentele sunt înregistrate și salvate de jurnalul de evenimente Windows 7. De asemenea, aranjează și arată toate acțiunile în ordine cronologică, ajută la efectuarea controlului sistemului, asigură securitatea sistemului de operare, corectează erorile și diagnostichează întregul sistem.

Ar trebui să revizuiți periodic acest jurnal pentru informații noi și să configurați sistemul pentru a salva date importante.

Fereastra 7 - programe

Vizualizarea datelor înregistrate în arhivă;

Utilizarea diferitelor filtre de evenimente și salvarea acestora pentru utilizare ulterioară în setările sistemului;

Crearea și gestionarea abonamentelor pentru incidente specifice;

Alocați acțiuni specifice atunci când apar anumite evenimente.

Cum se deschide jurnalul de evenimente Windows 7?

Programul responsabil cu înregistrarea incidentelor este lansat după cum urmează:

Care este aplicația descrisă?

Sistemele de operare Windows 7 și Vista au două tipuri de jurnale de evenimente: arhive de sistem și jurnal de servicii pentru aplicații. Prima opțiune este utilizată pentru a captura incidente la nivel de sistem care sunt legate de performanța diferitelor aplicații, de pornire și de securitate. A doua opțiune este responsabilă pentru înregistrarea evenimentelor muncii lor. Pentru a controla și gestiona toate datele, serviciul Jurnal de evenimente utilizează fila Vizualizare, care este împărțită în următoarele elemente:

Aplicație – evenimentele care sunt asociate cu un anumit program sunt stocate aici. De exemplu, serviciile poștale stochează în acest loc istoricul trimiterii de informații, diverse evenimente în cutiile poștale și așa mai departe.

Elementul „Securitate” stochează toate datele legate de conectarea și deconectarea din sistem, utilizând capabilități administrative și accesând resurse.

Instalare - Acest jurnal de evenimente Windows 7 înregistrează datele care apar în timpul instalării și configurării sistemului și aplicațiilor acestuia.

Evenimente redirecționate – dacă acest element este configurat, atunci stochează informații care provin de la alte servere.

Alte sub-articole din meniul principal

De asemenea, în meniul „Administrare”, unde se află jurnalul de evenimente din Windows 7, există următoarele elemente suplimentare:

Internet Explorer – aici sunt înregistrate evenimentele care au loc în timpul funcționării și configurării browserului cu același nume.

Windows PowerShell – incidentele legate de utilizarea PowerShell sunt înregistrate în acest folder.

Evenimente echipamente – dacă acest element este configurat, atunci datele generate de dispozitive sunt înregistrate.

Caracteristicile incidentului

Un utilizator care dorește să știe cum să vizualizeze jurnalul de evenimente Windows 7 trebuie să înțeleagă și caracteristicile datelor pe care dorește să le vizualizeze. La urma urmei, există diferite proprietăți ale anumitor incidente descrise în „Event Viewer”. Ne vom uita la aceste caracteristici mai jos:

Surse – un program care înregistrează evenimente într-un jurnal. Numele aplicațiilor sau driverelor care au influențat un anumit incident sunt înregistrate aici.

Codul evenimentului este un set de numere care determină tipul incidentului. Acest cod și numele sursei evenimentului sunt utilizate de asistența tehnică a software-ului de sistem pentru a corecta erorile și a rezolva erorile software.

Nivel – gradul de importanță al evenimentului. Jurnalul de evenimente de sistem are șase niveluri de incidente:

1. Mesaj.

2. Atenție.

3. Eroare.

4. Greșeală periculoasă.

5. Monitorizarea reușite a operațiunilor de corectare a erorilor.

6. Auditul acțiunilor nereușite.

Utilizatori – înregistrează datele conturilor în numele cărora s-a produs incidentul. Acestea pot fi numele diverselor servicii, precum și utilizatori reali.

Data și ora – înregistrează momentul în care a avut loc evenimentul.

Există multe alte evenimente care au loc în timp ce sistemul de operare rulează. Toate incidentele sunt afișate în „Event Viewer” cu o descriere a tuturor informațiilor aferente.

Cum se lucrează cu jurnalul de evenimente?

Un punct foarte important în protejarea sistemului de blocări și blocări este revizuirea periodică a jurnalului „Aplicație”, care înregistrează informații despre incidente, acțiuni recente cu un anumit program și oferă, de asemenea, o selecție de operațiuni disponibile.

Răspunsurile utilizatorilor la evenimente

După ce ați învățat cum să deschideți jurnalul de evenimente Windows 7 și cum să îl utilizați, ar trebui să învățați în continuare cum să utilizați aplicația Task Scheduler cu această aplicație utilă. Pentru a face acest lucru, trebuie să faceți clic dreapta pe orice incident și, în fereastra care se deschide, selectați meniul pentru conectarea unei sarcini la un eveniment. Data viitoare când apare un astfel de incident în sistem, sistemul de operare va lansa automat sarcina instalată pentru a procesa eroarea și a o corecta.

O eroare în jurnal nu este un motiv de panică

Aplicația pe care o descriem a fost creată pentru a facilita administratorului de sistem controlul computerelor și depanarea problemelor emergente.

Concluzie

Unde este jurnalul de evenimente în Windows 7, cum să îl deschideți, cum să îl utilizați, cum să corectăm erorile care apar - toate acestea am aflat din acest articol. Dar mulți se vor întreba: „De ce avem nevoie de asta, nu suntem administratori de sistem, nu programatori, ci utilizatori obișnuiți care par să nu aibă nevoie de aceste cunoștințe?” Dar această abordare este greșită. La urma urmei, atunci când o persoană se îmbolnăvește de ceva, înainte de a merge la medic, încearcă să se vindece într-un fel sau altul. Și mulți reușesc adesea. De asemenea, un computer, care este un organism digital, se poate „imbolnavi”, iar acest articol arată una dintre modalitățile de a diagnostica cauza unei astfel de „boli”; pe baza rezultatelor unui astfel de „examen”, puteți face decizia corectă cu privire la metodele de „tratament” ulterioare.

Deci informațiile despre metoda de vizualizare a evenimentelor vor fi utile nu numai specialistului de sistem, ci și utilizatorului obișnuit.

Articole similare: