Просмотрщик событий - Event Viewer
Разработчики) | Microsoft |
---|---|
Операционная система | Майкрософт Виндоус |
Наименование услуги | Журнал событий Windows ( EventLog ) |
Тип | Утилита |
Веб-сайт |
www |
Просмотр событий является компонентом Microsoft «s Windows NT операционной системы , что позволяет администраторам и пользователям просмотра журналов событий на локальном или удаленном компьютере. Приложения и компоненты операционной системы могут использовать эту централизованную службу журналов для отчетов о произошедших событиях, таких как сбой при запуске компонента или завершении действия. В Windows Vista Microsoft переработала систему событий.
Из-за того, что средство просмотра событий регулярно сообщает о незначительных ошибках запуска и обработки (которые на самом деле не наносят вреда или повреждения компьютеру), программное обеспечение часто используется мошенниками из службы технической поддержки, чтобы обмануть жертву, заставляя думать, что их компьютер содержит критически важные ошибки, требующие немедленной технической поддержки. Примером может служить поле «Административные события» в разделе «Пользовательские представления», в котором за месяц может быть зарегистрировано более тысячи ошибок или предупреждений.
Обзор
Windows NT поддерживает журналы событий с момента ее выпуска в 1993 году.
Средство просмотра событий использует идентификаторы событий для определения однозначно идентифицируемых событий, с которыми может столкнуться компьютер Windows. Например, при сбое аутентификации пользователя система может сгенерировать событие с идентификатором 672.
В Windows NT 4.0 добавлена поддержка для определения «источников событий» (т. Е. Приложения, создавшего событие) и выполнения резервного копирования журналов.
В Windows 2000 добавлена возможность для приложений создавать собственные источники журналов в дополнение к трем системным файлам журналов «Система», «Приложение» и «Безопасность». Windows 2000 также заменены окна просмотра событий NT4 с в консоли управления Microsoft (MMC) оснастку .
В Windows Server 2003 добавлены AuthzInstallSecurityEventSource()
вызовы API, чтобы приложения могли регистрироваться в журналах событий безопасности и записывать записи аудита безопасности.
Версии Windows, основанные на ядре Windows NT 6.0 ( Windows Vista и Windows Server 2008 ), больше не имеют ограничения в 300 мегабайт для их общего размера. До NT 6.0 система открывала файлы на диске как файлы с отображением памяти в пространстве памяти ядра, которые использовали те же пулы памяти, что и другие компоненты ядра.
Файлы журнала программы просмотра событий с расширением имени файла evtx
обычно появляются в таких каталогах, как C:\Windows\System32\winevt\Logs\
Интерфейс командной строки
Разработчики) | Microsoft |
---|---|
Начальная версия | 25 октября 2001 г . |
Операционная система | Майкрософт Виндоус |
Тип | Командование |
Лицензия | Проприетарное коммерческое программное обеспечение |
Веб-сайт | документы |
Windows XP представила набор из трех инструментов интерфейса командной строки , полезных для автоматизации задач:
-
eventquery.vbs
- Официальный скрипт для запроса, фильтрации и вывода результатов на основе журналов событий. Снято с производства после XP. -
eventcreate
- команда (продолжение в Vista и 7) для записи пользовательских событий в журналы. -
eventtriggers
- команда для создания событийных задач. Прекращено после XP, заменено функцией «Прикрепить задачу к этому событию».
Виндоус виста
Средство просмотра событий состоит из переписанной архитектуры трассировки и регистрации событий в Windows Vista. Он был переписан вокруг структурированного формата журнала XML и определенного типа журнала, чтобы позволить приложениям более точно регистрировать события и упростить интерпретацию событий техническим специалистам службы поддержки и разработчикам.
XML-представление события можно просмотреть на вкладке « Подробности » в свойствах события. Также можно просмотреть все потенциальные события, их структуры, зарегистрированных издателей событий и их конфигурацию с помощью утилиты wevtutil , даже до того, как события будут запущены.
Существует большое количество различных типов журналов событий, включая административные, операционные, аналитические и отладочные журналы. При выборе узла « Журналы приложений» на панели « Область действия» отображаются многочисленные новые журналы событий с подкатегориями, в том числе многие из них, помеченные как журналы диагностики.
Часто повторяющиеся аналитические и отладочные события сохраняются непосредственно в файле трассировки, в то время как административные и рабочие события достаточно редки, чтобы обеспечить дополнительную обработку, не влияя на производительность системы, поэтому они доставляются в службу журнала событий.
События публикуются асинхронно, чтобы снизить влияние на производительность приложения публикации событий . Атрибуты событий также намного более подробны и показывают свойства EventID, Level, Task, Opcode и Keywords.
Пользователи могут фильтровать журналы событий по одному или нескольким критериям или по ограниченному выражению XPath 1.0 , а пользовательские представления могут быть созданы для одного или нескольких событий. Использование XPath в качестве языка запросов позволяет просматривать журналы, относящиеся только к определенной подсистеме или проблеме, связанной только с определенным компонентом, архивировать выбранные события и оперативно отправлять трассировки техническим специалистам.
Фильтрация с использованием XPath 1.0
- Открыть журнал событий Windows
- Разверните журналы Windows
- Выберите интересующий файл журнала (в примере ниже используется журнал событий безопасности )
- Щелкните правой кнопкой мыши журнал событий и выберите Фильтр текущего журнала ...
- Измените выбранную вкладку с « Фильтр» на « XML».
- Установите флажок " Редактировать запрос вручную".
- Вставьте запрос в текстовое поле. Примеры запросов можно найти ниже.
Вот примеры простых настраиваемых фильтров для журнала событий нового окна:
- Выберите все события в журнале событий безопасности, где задействованное имя учетной записи (TargetUserName) - «JUser».
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>
- Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData представляет собой строку «JUser».
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>
- Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData имеет значение «JUser» или «JDoe».
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>
- Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData имеет значение «JUser», а идентификатор события - «4471».
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID="4471"]] and *[EventData[Data="JUser"]]</Select></Query></QueryList>
- Реальный пример пакета Goldmine с двумя @Names
<QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>
Предостережения:
- Существуют ограничения на реализацию XPath в Microsoft.
- Запросы с использованием строковых функций XPath приведут к ошибке
Подписчики событий
Подписчики основных событий включают службу сборщика событий и планировщик заданий 2.0. Служба сборщика событий может автоматически пересылать журналы событий в другие удаленные системы под управлением Windows Vista , Windows Server 2008 или Windows Server 2003 R2 по настраиваемому расписанию. Журналы событий также можно просматривать удаленно с других компьютеров, или несколько журналов событий можно централизованно регистрировать и отслеживать без агента и управлять ими с одного компьютера. События также могут быть напрямую связаны с задачами, которые выполняются в обновленном планировщике задач и запускают автоматические действия при возникновении определенных событий.
Смотрите также
использованная литература
внешние ссылки
- Официальные источники:
- Документация разработчика для регистрации событий (от NT 3.1 до XP) , (Windows Vista)
- Описания событий безопасности Windows 2000 (часть 1 из 2) , (часть 2 из 2)
- Безопасность Windows Server 2003 - Угрозы и меры противодействия - Глава 6: Журнал событий из Microsoft TechNet
- События и ошибки (Windows Server 2008) в Microsoft TechNet
- Другой:
- eventid.net - содержит несколько тысяч записей журнала событий Windows вместе с предложениями по устранению неполадок для каждой из них.