Журналы событий Windows — часто задаваемые вопросы о журнале событий

Содержание
  1. Что такое журнал событий Windows? Журналы событий — это специальные файлы, в которых записываются важные события на вашем компьютере, например, когда пользователь входит в систему или когда программа обнаруживает ошибку . Когда бы ни происходили события такого типа, Windows записывает событие в журнал событий. Пользователи могут найти сведения в журналах событий полезными при устранении проблем с Windows и другими программами. В отличие от системного журнала UNIX, журнал событий Microsoft не является текстовым файлом, и его невозможно просмотреть с помощью простых текстовых редакторов. . Журнал событий Microsoft Windows представляет собой двоичный файл, состоящий из специальных записей — событий Windows. Microsoft Windows запускает службу журнала событий для управления журналами событий, настройки публикации событий и выполнения операций с журналами. Служба журнала событий Windows предоставляет специальный API, который позволяет приложениям поддерживать журналы событий и управлять ими. Журнал событий Windows был представлен в операционной системе Windows NT (версия 3.1) в 1993 году. Этот выпуск Windows поставлялся с три журнала Windows: журнал событий приложений, журнал системных событий и журнал событий безопасности. Современные версии Windows поставляются с более чем сотней журналов событий Windows, и сторонние приложения могут создавать и интегрировать в Windows, регистрируя свои собственные журналы событий. Как просматривать журналы событий? Вы можете просматривать журналы событий с помощью средства просмотра событий (поставляется с операционной системой Windows) или сторонних средств просмотра событий Windows. Мы рекомендуем использовать наше программное обеспечение Event Log Explorer — оно предоставляет множество расширенных функций для управления журналом событий. Что такое служба журнала событий Windows? Служба журнала событий Windows — это служба Windows, которая управляет событиями и журналами событий. Он поддерживает регистрацию событий, запросы событий, подписку на события, архивирование журналов событий и управление метаданными событий. Это помогает отображать события как в XML, так и в текстовом формате. Эта служба включена и запускается автоматически по умолчанию. Вы не должны останавливать или отключать эту службу. Остановка службы журнала событий Windows может поставить под угрозу безопасность и надежность системы. Что такое файлы журнала событий Windows? Служба журнала событий Windows позволяет пользователям сохранять (резервное копирование) журналы событий в файлы. Windows NT, 2000 и XP/2003 сохраняют журналы событий в формате EVT. Windows Vista/2008 и более поздние версии сохраняют журналы в формате EVTX. Наличие резервных файлов событий имеет важное значение для расследования инцидентов. Журналы событий Windows также являются файлами, но обычно они блокируются Windows (службой журнала событий), и эти файлы невозможно открыть в режиме реального времени. система. Но если компьютер запускается с другого диска или системный диск анализируемой машины подключен к другому компьютеру, вы можете читать журналы событий в виде файлов. Расположение журналов событий по умолчанию в Vista/2008 и более поздних версиях — «C: Windows System32 winevt Logs ». Средство просмотра событий Windows позволяет открывать файл событий следующим образом: Щелкните «Открыть сохраненный журнал» на панели действий средства просмотра событий.. Выберите файл журнала событий, и он появится в средстве просмотра событий Windows в виде журнала. Наше программное обеспечение Event Log Explorer также работает с файлами событий и делает это даже лучше, чем Event Viewer, например он позволяет читать даже поврежденные файлы событий. Что такое журнал событий приложений Windows? Журнал приложений содержит события, зарегистрированные приложениями или программами. Например, программа базы данных может записать файловую ошибку в журнал приложения. Разработчики программ решают, какие события следует регистрировать. Например. Microsoft SQL Server регистрирует сведения о важных событиях, связанных с SQL-сервером, например «нехватка памяти», «сбой резервного копирования» и т. д. Один журнал приложения обычно содержит события, зарегистрированные из разных источников (приложений), поэтому при анализе журнала приложений неправильно полагаться только на идентификатор события. Вы всегда должны полагаться на идентификатор события вместе с источником события. Некоторые приложения, такие как Internet Explorer, Power Shell, создают собственный журнал событий вместо использования журнала событий приложений Windows. Такие журналы выглядят точно так же, как стандартные журналы событий Windows, и средство просмотра событий (а также проводник журналов событий) может читать эти журналы событий. Журналы приложений обычно полезны для групп поддержки приложений. Что такое журнал системных событий Windows? Системный журнал содержит события, зарегистрированные компонентами системы Windows. Например, в системный журнал записывается сбой при загрузке драйвера или другого компонента системы во время запуска. Типы событий, регистрируемых компонентами системы, предопределены Windows. Как и в журнале приложений, в журнале системных событий перечислены события из разных источников (компонентов системы), поэтому при анализе системного журнала не следует полагаться только на идентификатор события, вместо этого следует полагаться на идентификатор события вместе с источником событий. Системные журналы необходимы системным администраторам и техническим специалистам. Что такое журнал событий безопасности Windows? Журнал безопасности также содержит такие события, как допустимые и недопустимые попытки входа в систему. как события, связанные с использованием ресурсов, например создание, открытие или удаление файлов или других объектов. Администраторы могут указать, какие события записываются в журнал безопасности. Например, если вы включили аудит входа в систему, попытки входа в систему записываются в журнал безопасности. Будьте осторожны с настройкой политики аудита. Например. Windows позволяет выполнять аудит доступа ко всем файлам на дисках NTFS таким образом, чтобы любой доступ к файлу регистрировался как новое событие. Это может вызвать сотню событий в секунду, переполнить журнал событий и снизить производительность системы. Поэтому при настройке политики доступа к аудиту убедитесь, что только определенные файлы и папки будут иметь свойства аудита. Журналы безопасности необходимы системным администраторам, администраторам безопасности и судебным экспертам.. Журнал событий Windows Определение Журнал событий Windows представляет собой подробную запись уведомлений системы, безопасности и приложений, сохраняемых операционной системой Windows. система, которая используется администраторами для диагностики системных проблем и прогнозирования будущих проблем. Приложения и операционная система (ОС) используют эти журналы событий для записи важных действий с оборудованием и программным обеспечением, которые администратор rator можно использовать для устранения проблем с операционной системой. Операционная система Windows отслеживает определенные события в своих файлах журнала, такие как установка приложений, управление безопасностью, операции настройки системы при первоначальном запуске, а также проблемы или ошибки. Элементы журнала событий Windows Каждое событие в записи журнала содержит следующую информацию: Дата: дата, когда произошло событие. Время: время, когда произошло событие. Пользователь: имя пользователя, выполнившего вход на машину, когда произошло событие. Компьютер: имя компьютера. Идентификатор события: идентификационный номер Windows, указывающий тип события. Источник: программа или компонент, вызвавший событие. Тип: тип события, включая информацию, предупреждение, ошибку, аудит успешной безопасности или аудит сбоев безопасности. Например, информационное событие может отображаться как: Информация 16.05.2018 8:41:15 Диспетчер управления службами 7036 Нет Событие предупреждения может выглядеть так e: Предупреждение 5/11/2018 10:29:47 AM Kernel-Event Tracing 1 Logging Для сравнения, событие ошибки может выглядеть так: Ошибка 16.05.2018 8:41:15 AM Service Control Manager 7001 Нет Критическое событие может выглядеть следующим образом: Критическое 5 /11/2018 8:55:02 AM Kernel-Power 41 (63) Тип информации, хранящейся в Журналы событий Windows Операционная система Windows записывает события в пяти областях: приложение, безопасность, настройка, система и перенаправленные события. Windows хранит журналы событий в папке C: WINDOWS system32 config . События приложений относятся к инцидентам с программным обеспечением, установленным на локальном компьютере. Если приложение, такое как Microsoft Word, вылетает из строя, то в журнале событий Windows будет создана запись о проблеме, названии приложения и причинах сбоя.. В событиях безопасности хранится информация на основе политик аудита системы Windows, и типичные сохраняемые события включают попытки входа в систему и доступ к ресурсам. Например, в журнале безопасности сохраняется запись, когда компьютер пытается проверить учетные данные, когда пользователь пытается войти в систему. События установки включают события, ориентированные на предприятие, связанные с контролем доменов. , например, расположение журналов после настройки диска. Системные события относятся к инцидентам в системах Windows, таких как состояние драйверов устройств. Пересылается события поступают с других машин в той же сети, когда администратор хочет использовать компьютер, который собирает несколько журналов. Использование Средство просмотра событий Microsoft включает средство просмотра событий в свою Windows Server и клиентскую операционную систему для просмотра журналов событий Windows. Пользователи получают доступ к средству просмотра событий, нажав кнопку «Пуск» и введя средство просмотра событий в поле поиска. Затем пользователи могут выбрать и просмотреть нужный журнал. Windows классифицирует каждое событие по уровню серьезности. Уровни серьезности: информация, предупреждение, ошибка и критическое. Большинство журналов состоят из событий, основанных на информации. Журналы с этой записью обычно означают, что событие произошло без инцидентов или проблем. Примером системного информационного события является событие 42, Kernel-Power, которое указывает, что система переходит в спящий режим. События уровня предупреждения основаны на определенных событиях, таких как нехватка места для хранения . Предупреждающие сообщения могут привлечь внимание к потенциальным проблемам, которые могут не требовать немедленных действий. Событие 51, Диск — это пример системного предупреждения, связанного с ошибкой подкачки на диске машины. Уровень ошибки указывает на то, что устройству, возможно, не удалось загрузить или работать должным образом. Событие 5719, NETLOGON — это пример системной ошибки, когда компьютер не может настроить безопасный сеанс с контроллером домена. События критического уровня указывают на самые серьезные проблемы. Событие с кодом 41, Kernel-Power, является примером критического системного события, когда машина перезагружается без полного выключения. Другие инструменты для просмотра журналов событий Windows Microsoft также предоставляет утилиту командной строки wevtutil в папке System32, которая извлекает журналы событий, выполняет запросы, экспортирует журналы, архивирует журналы и очищает журналы. Сторонние утилиты, которые также работают с журналами событий Windows, включают SolarWinds Log & Event Manager, который обеспечивает корреляцию событий в реальном времени и исправление; мониторинг целостности файлов; Мониторинг USB-устройств; и обнаружение угроз. Диспетчер журналов и событий автоматически собирает журналы с серверов, приложений и сетевых устройств.. ManageEngine EventLog Analyzer создает настраиваемые отчеты на основе данных журнала и отправляет в реальном времени текстовые сообщения и оповещения по электронной почте на основе определенных событий. Использование PowerShell для запроса событий Microsoft создает журналы событий Windows в формате расширяемого языка разметки (XML) с расширением EVTX. XML предоставляет более подробную информацию и согласованный формат для структурированных данных. Администраторы могут создавать сложные XML-запросы с помощью командлета Get-WinEvent PowerShell для добавления или исключения событий из запроса. Продолжить чтение о журнале событий Windows Log Parser Studio обеспечивает гибкость для устранения неполадок Exchange Фильтрация и запрос журналов событий Windows с помощью PowerShell Обновления для Sysinternals инструменты приносят пользу администраторам серверов Инструменты и советы по мониторингу центра обработки данных, чтобы держать ИТ в курсе Получите журнал событий Hyper-V с помощью командлета Get-EventLog. Подробнее об управлении инфраструктурой предприятия Создание функции ведения журнала PowerShell для устранения неполадок аналитика журнала VMware vRealize Log Insight (ранее vCenter Log Insight) Получите журнал событий Hyper-V с помощью командлета Get-EventLog
  2. Как просматривать журналы событий?
  3. Что такое служба журнала событий Windows?
  4. Что такое файлы журнала событий Windows?
  5. Что такое журнал событий приложений Windows?
  6. Что такое журнал системных событий Windows?
  7. Что такое журнал событий безопасности Windows?
  8. Журнал событий Windows
  9. Элементы журнала событий Windows
  10. Тип информации, хранящейся в Журналы событий Windows
  11. Использование Средство просмотра событий
  12. Другие инструменты для просмотра журналов событий Windows
  13. Использование PowerShell для запроса событий
  14. Продолжить чтение о журнале событий Windows
  15. Подробнее об управлении инфраструктурой предприятия

Что такое журнал событий Windows?

Журналы событий — это специальные файлы, в которых записываются важные события на вашем компьютере, например, когда пользователь входит в систему или когда программа обнаруживает ошибку . Когда бы ни происходили события такого типа, Windows записывает событие в журнал событий. Пользователи могут найти сведения в журналах событий полезными при устранении проблем с Windows и другими программами.

В отличие от системного журнала UNIX, журнал событий Microsoft не является текстовым файлом, и его невозможно просмотреть с помощью простых текстовых редакторов. . Журнал событий Microsoft Windows представляет собой двоичный файл, состоящий из специальных записей — событий Windows.

Microsoft Windows запускает службу журнала событий для управления журналами событий, настройки публикации событий и выполнения операций с журналами. Служба журнала событий Windows предоставляет специальный API, который позволяет приложениям поддерживать журналы событий и управлять ими.

Журнал событий Windows был представлен в операционной системе Windows NT (версия 3.1) в 1993 году. Этот выпуск Windows поставлялся с три журнала Windows: журнал событий приложений, журнал системных событий и журнал событий безопасности. Современные версии Windows поставляются с более чем сотней журналов событий Windows, и сторонние приложения могут создавать и интегрировать в Windows, регистрируя свои собственные журналы событий.

Как просматривать журналы событий?

Вы можете просматривать журналы событий с помощью средства просмотра событий (поставляется с операционной системой Windows) или сторонних средств просмотра событий Windows. Мы рекомендуем использовать наше программное обеспечение Event Log Explorer — оно предоставляет множество расширенных функций для управления журналом событий.

Что такое служба журнала событий Windows?

Служба журнала событий Windows — это служба Windows, которая управляет событиями и журналами событий. Он поддерживает регистрацию событий, запросы событий, подписку на события, архивирование журналов событий и управление метаданными событий. Это помогает отображать события как в XML, так и в текстовом формате. Эта служба включена и запускается автоматически по умолчанию. Вы не должны останавливать или отключать эту службу. Остановка службы журнала событий Windows может поставить под угрозу безопасность и надежность системы.

Что такое файлы журнала событий Windows?

Служба журнала событий Windows позволяет пользователям сохранять (резервное копирование) журналы событий в файлы. Windows NT, 2000 и XP/2003 сохраняют журналы событий в формате EVT. Windows Vista/2008 и более поздние версии сохраняют журналы в формате EVTX. Наличие резервных файлов событий имеет важное значение для расследования инцидентов.

Журналы событий Windows также являются файлами, но обычно они блокируются Windows (службой журнала событий), и эти файлы невозможно открыть в режиме реального времени. система. Но если компьютер запускается с другого диска или системный диск анализируемой машины подключен к другому компьютеру, вы можете читать журналы событий в виде файлов. Расположение журналов событий по умолчанию в Vista/2008 и более поздних версиях — «C: Windows System32 winevt Logs ». Средство просмотра событий Windows позволяет открывать файл событий следующим образом:

Щелкните «Открыть сохраненный журнал» на панели действий средства просмотра событий..

Выберите файл журнала событий, и он появится в средстве просмотра событий Windows в виде журнала.

Наше программное обеспечение Event Log Explorer также работает с файлами событий и делает это даже лучше, чем Event Viewer, например он позволяет читать даже поврежденные файлы событий.

Что такое журнал событий приложений Windows?

Журнал приложений содержит события, зарегистрированные приложениями или программами. Например, программа базы данных может записать файловую ошибку в журнал приложения. Разработчики программ решают, какие события следует регистрировать. Например. Microsoft SQL Server регистрирует сведения о важных событиях, связанных с SQL-сервером, например «нехватка памяти», «сбой резервного копирования» и т. д. Один журнал приложения обычно содержит события, зарегистрированные из разных источников (приложений), поэтому при анализе журнала приложений неправильно полагаться только на идентификатор события. Вы всегда должны полагаться на идентификатор события вместе с источником события. Некоторые приложения, такие как Internet Explorer, Power Shell, создают собственный журнал событий вместо использования журнала событий приложений Windows. Такие журналы выглядят точно так же, как стандартные журналы событий Windows, и средство просмотра событий (а также проводник журналов событий) может читать эти журналы событий. Журналы приложений обычно полезны для групп поддержки приложений.

Что такое журнал системных событий Windows?

Системный журнал содержит события, зарегистрированные компонентами системы Windows. Например, в системный журнал записывается сбой при загрузке драйвера или другого компонента системы во время запуска. Типы событий, регистрируемых компонентами системы, предопределены Windows. Как и в журнале приложений, в журнале системных событий перечислены события из разных источников (компонентов системы), поэтому при анализе системного журнала не следует полагаться только на идентификатор события, вместо этого следует полагаться на идентификатор события вместе с источником событий. Системные журналы необходимы системным администраторам и техническим специалистам.

Что такое журнал событий безопасности Windows?

Журнал безопасности также содержит такие события, как допустимые и недопустимые попытки входа в систему. как события, связанные с использованием ресурсов, например создание, открытие или удаление файлов или других объектов. Администраторы могут указать, какие события записываются в журнал безопасности. Например, если вы включили аудит входа в систему, попытки входа в систему записываются в журнал безопасности. Будьте осторожны с настройкой политики аудита. Например. Windows позволяет выполнять аудит доступа ко всем файлам на дисках NTFS таким образом, чтобы любой доступ к файлу регистрировался как новое событие. Это может вызвать сотню событий в секунду, переполнить журнал событий и снизить производительность системы. Поэтому при настройке политики доступа к аудиту убедитесь, что только определенные файлы и папки будут иметь свойства аудита. Журналы безопасности необходимы системным администраторам, администраторам безопасности и судебным экспертам..



Журнал событий Windows

Определение

Журнал событий Windows представляет собой подробную запись уведомлений системы, безопасности и приложений, сохраняемых операционной системой Windows. система, которая используется администраторами для диагностики системных проблем и прогнозирования будущих проблем.

Приложения и операционная система (ОС) используют эти журналы событий для записи важных действий с оборудованием и программным обеспечением, которые администратор rator можно использовать для устранения проблем с операционной системой. Операционная система Windows отслеживает определенные события в своих файлах журнала, такие как установка приложений, управление безопасностью, операции настройки системы при первоначальном запуске, а также проблемы или ошибки.

Элементы журнала событий Windows

Каждое событие в записи журнала содержит следующую информацию:

Дата: дата, когда произошло событие.

Время: время, когда произошло событие.

Пользователь: имя пользователя, выполнившего вход на машину, когда произошло событие.

Компьютер: имя компьютера.

Идентификатор события: идентификационный номер Windows, указывающий тип события.

Источник: программа или компонент, вызвавший событие.

Тип: тип события, включая информацию, предупреждение, ошибку, аудит успешной безопасности или аудит сбоев безопасности.

Например, информационное событие может отображаться как:

Информация 16.05.2018 8:41:15 Диспетчер управления службами 7036 Нет

Событие предупреждения может выглядеть так e:

Предупреждение 5/11/2018 10:29:47 AM Kernel-Event Tracing 1 Logging

Для сравнения, событие ошибки может выглядеть так:

Ошибка 16.05.2018 8:41:15 AM Service Control Manager 7001 Нет

Критическое событие может выглядеть следующим образом:

Критическое 5 /11/2018 8:55:02 AM Kernel-Power 41 (63)

Тип информации, хранящейся в Журналы событий Windows

Операционная система Windows записывает события в пяти областях: приложение, безопасность, настройка, система и перенаправленные события. Windows хранит журналы событий в папке C: WINDOWS system32 config .

События приложений относятся к инцидентам с программным обеспечением, установленным на локальном компьютере. Если приложение, такое как Microsoft Word, вылетает из строя, то в журнале событий Windows будет создана запись о проблеме, названии приложения и причинах сбоя..

В событиях безопасности хранится информация на основе политик аудита системы Windows, и типичные сохраняемые события включают попытки входа в систему и доступ к ресурсам. Например, в журнале безопасности сохраняется запись, когда компьютер пытается проверить учетные данные, когда пользователь пытается войти в систему.

События установки включают события, ориентированные на предприятие, связанные с контролем доменов. , например, расположение журналов после настройки диска.

Системные события относятся к инцидентам в системах Windows, таких как состояние драйверов устройств.

Пересылается события поступают с других машин в той же сети, когда администратор хочет использовать компьютер, который собирает несколько журналов.

Использование Средство просмотра событий

Microsoft включает средство просмотра событий в свою Windows Server и клиентскую операционную систему для просмотра журналов событий Windows. Пользователи получают доступ к средству просмотра событий, нажав кнопку «Пуск» и введя средство просмотра событий в поле поиска. Затем пользователи могут выбрать и просмотреть нужный журнал.

Windows классифицирует каждое событие по уровню серьезности. Уровни серьезности: информация, предупреждение, ошибка и критическое.

Большинство журналов состоят из событий, основанных на информации. Журналы с этой записью обычно означают, что событие произошло без инцидентов или проблем. Примером системного информационного события является событие 42, Kernel-Power, которое указывает, что система переходит в спящий режим.

События уровня предупреждения основаны на определенных событиях, таких как нехватка места для хранения . Предупреждающие сообщения могут привлечь внимание к потенциальным проблемам, которые могут не требовать немедленных действий. Событие 51, Диск — это пример системного предупреждения, связанного с ошибкой подкачки на диске машины.

Уровень ошибки указывает на то, что устройству, возможно, не удалось загрузить или работать должным образом. Событие 5719, NETLOGON — это пример системной ошибки, когда компьютер не может настроить безопасный сеанс с контроллером домена.

События критического уровня указывают на самые серьезные проблемы. Событие с кодом 41, Kernel-Power, является примером критического системного события, когда машина перезагружается без полного выключения.

Другие инструменты для просмотра журналов событий Windows

Microsoft также предоставляет утилиту командной строки wevtutil в папке System32, которая извлекает журналы событий, выполняет запросы, экспортирует журналы, архивирует журналы и очищает журналы.

Сторонние утилиты, которые также работают с журналами событий Windows, включают SolarWinds Log & Event Manager, который обеспечивает корреляцию событий в реальном времени и исправление; мониторинг целостности файлов; Мониторинг USB-устройств; и обнаружение угроз. Диспетчер журналов и событий автоматически собирает журналы с серверов, приложений и сетевых устройств..

ManageEngine EventLog Analyzer создает настраиваемые отчеты на основе данных журнала и отправляет в реальном времени текстовые сообщения и оповещения по электронной почте на основе определенных событий.

Использование PowerShell для запроса событий

Microsoft создает журналы событий Windows в формате расширяемого языка разметки (XML) с расширением EVTX. XML предоставляет более подробную информацию и согласованный формат для структурированных данных.

Администраторы могут создавать сложные XML-запросы с помощью командлета Get-WinEvent PowerShell для добавления или исключения событий из запроса.

Продолжить чтение о журнале событий Windows

  • Log Parser Studio обеспечивает гибкость для устранения неполадок Exchange
  • Фильтрация и запрос журналов событий Windows с помощью PowerShell
  • Обновления для Sysinternals инструменты приносят пользу администраторам серверов
  • Инструменты и советы по мониторингу центра обработки данных, чтобы держать ИТ в курсе
  • Получите журнал событий Hyper-V с помощью командлета Get-EventLog.

Подробнее об управлении инфраструктурой предприятия


  • Создание функции ведения журнала PowerShell для устранения неполадок

  • аналитика журнала

  • VMware vRealize Log Insight (ранее vCenter Log Insight)

  • Получите журнал событий Hyper-V с помощью командлета Get-EventLog
Оцените статью
clickpad.ru
Добавить комментарий