Просмотрщик событий - Event Viewer

Журнал программы просмотра событий
Eventvwr icon.png
Главный экран средства просмотра событий Windows 10.png
Средство просмотра событий в Windows 10
Разработчики) Microsoft
Операционная система Майкрософт Виндоус
Наименование услуги Журнал событий Windows ( EventLog )
Тип Утилита
Веб-сайт www .microsoft .com  Отредактируйте это в Викиданных

Просмотр событий является компонентом Microsoft «s Windows NT операционной системы , что позволяет администраторам и пользователям просмотра журналов событий на локальном или удаленном компьютере. Приложения и компоненты операционной системы могут использовать эту централизованную службу журналов для отчетов о произошедших событиях, таких как сбой при запуске компонента или завершении действия. В Windows Vista Microsoft переработала систему событий.

Из-за того, что средство просмотра событий регулярно сообщает о незначительных ошибках запуска и обработки (которые на самом деле не наносят вреда или повреждения компьютеру), программное обеспечение часто используется мошенниками из службы технической поддержки, чтобы обмануть жертву, заставляя думать, что их компьютер содержит критически важные ошибки, требующие немедленной технической поддержки. Примером может служить поле «Административные события» в разделе «Пользовательские представления», в котором за месяц может быть зарегистрировано более тысячи ошибок или предупреждений.

Обзор

Windows NT поддерживает журналы событий с момента ее выпуска в 1993 году.

Средство просмотра событий использует идентификаторы событий для определения однозначно идентифицируемых событий, с которыми может столкнуться компьютер Windows. Например, при сбое аутентификации пользователя система может сгенерировать событие с идентификатором 672.

В Windows NT 4.0 добавлена ​​поддержка для определения «источников событий» (т. Е. Приложения, создавшего событие) и выполнения резервного копирования журналов.

В Windows 2000 добавлена ​​возможность для приложений создавать собственные источники журналов в дополнение к трем системным файлам журналов «Система», «Приложение» и «Безопасность». Windows 2000 также заменены окна просмотра событий NT4 с в консоли управления Microsoft (MMC) оснастку .

В Windows Server 2003 добавлены AuthzInstallSecurityEventSource() вызовы API, чтобы приложения могли регистрироваться в журналах событий безопасности и записывать записи аудита безопасности.

Версии Windows, основанные на ядре Windows NT 6.0 ( Windows Vista и Windows Server 2008 ), больше не имеют ограничения в 300 мегабайт для их общего размера. До NT 6.0 система открывала файлы на диске как файлы с отображением памяти в пространстве памяти ядра, которые использовали те же пулы памяти, что и другие компоненты ядра.

Файлы журнала программы просмотра событий с расширением имени файла evtx обычно появляются в таких каталогах, как C:\Windows\System32\winevt\Logs\

Интерфейс командной строки

eventquery.vbs, eventcreate, eventtrigger
Разработчики) Microsoft
Начальная версия 25 октября 2001 г . ; 19 лет назад  ( 2001-10-25 )
Операционная система Майкрософт Виндоус
Тип Командование
Лицензия Проприетарное коммерческое программное обеспечение
Веб-сайт документы .microsoft .com / en-us / windows-server / Administration / windows-commands / eventcreate

Windows XP представила набор из трех инструментов интерфейса командной строки , полезных для автоматизации задач:

  • eventquery.vbs - Официальный скрипт для запроса, фильтрации и вывода результатов на основе журналов событий. Снято с производства после XP.
  • eventcreate - команда (продолжение в Vista и 7) для записи пользовательских событий в журналы.
  • eventtriggers - команда для создания событийных задач. Прекращено после XP, заменено функцией «Прикрепить задачу к этому событию».

Виндоус виста

Средство просмотра событий состоит из переписанной архитектуры трассировки и регистрации событий в Windows Vista. Он был переписан вокруг структурированного формата журнала XML и определенного типа журнала, чтобы позволить приложениям более точно регистрировать события и упростить интерпретацию событий техническим специалистам службы поддержки и разработчикам.

XML-представление события можно просмотреть на вкладке « Подробности » в свойствах события. Также можно просмотреть все потенциальные события, их структуры, зарегистрированных издателей событий и их конфигурацию с помощью утилиты wevtutil , даже до того, как события будут запущены.

Существует большое количество различных типов журналов событий, включая административные, операционные, аналитические и отладочные журналы. При выборе узла « Журналы приложений» на панели « Область действия» отображаются многочисленные новые журналы событий с подкатегориями, в том числе многие из них, помеченные как журналы диагностики.

Часто повторяющиеся аналитические и отладочные события сохраняются непосредственно в файле трассировки, в то время как административные и рабочие события достаточно редки, чтобы обеспечить дополнительную обработку, не влияя на производительность системы, поэтому они доставляются в службу журнала событий.

События публикуются асинхронно, чтобы снизить влияние на производительность приложения публикации событий . Атрибуты событий также намного более подробны и показывают свойства EventID, Level, Task, Opcode и Keywords.

Пользователи могут фильтровать журналы событий по одному или нескольким критериям или по ограниченному выражению XPath 1.0 , а пользовательские представления могут быть созданы для одного или нескольких событий. Использование XPath в качестве языка запросов позволяет просматривать журналы, относящиеся только к определенной подсистеме или проблеме, связанной только с определенным компонентом, архивировать выбранные события и оперативно отправлять трассировки техническим специалистам.

Фильтрация с использованием XPath 1.0

  1. Открыть журнал событий Windows
  2. Разверните журналы Windows
  3. Выберите интересующий файл журнала (в примере ниже используется журнал событий безопасности )
  4. Щелкните правой кнопкой мыши журнал событий и выберите Фильтр текущего журнала ...
  5. Измените выбранную вкладку с « Фильтр» на « XML».
  6. Установите флажок " Редактировать запрос вручную".
  7. Вставьте запрос в текстовое поле. Примеры запросов можно найти ниже.

Вот примеры простых настраиваемых фильтров для журнала событий нового окна:

  1. Выберите все события в журнале событий безопасности, где задействованное имя учетной записи (TargetUserName) - «JUser».
    <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>
  2. Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData представляет собой строку «JUser».
    <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>
  3. Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData имеет значение «JUser» или «JDoe».
    <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>
  4. Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData имеет значение «JUser», а идентификатор события - «4471».
    <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID="4471"]] and *[EventData[Data="JUser"]]</Select></Query></QueryList>
  5. Реальный пример пакета Goldmine с двумя @Names
    <QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>

Предостережения:

Подписчики событий

Подписчики основных событий включают службу сборщика событий и планировщик заданий 2.0. Служба сборщика событий может автоматически пересылать журналы событий в другие удаленные системы под управлением Windows Vista , Windows Server 2008 или Windows Server 2003 R2 по настраиваемому расписанию. Журналы событий также можно просматривать удаленно с других компьютеров, или несколько журналов событий можно централизованно регистрировать и отслеживать без агента и управлять ими с одного компьютера. События также могут быть напрямую связаны с задачами, которые выполняются в обновленном планировщике задач и запускают автоматические действия при возникновении определенных событий.

Смотрите также

использованная литература

внешние ссылки