Просмотр событий
компонент Windows | |
Просмотр событий | |
---|---|
Тип компонента | Утилита |
Включён в | Windows NT |
Состояние | Актуальное |
Просмотр событий (англ. Event Viewer) — компонент, включённый в состав операционных систем семейства Windows NT, разрабатываемых Microsoft, который позволяет администраторам просматривать лог событий на локальном компьютере или на удалённой машине. В Windows Vista Microsoft переработала систему событий.[1]
Из-за регулярного предоставления отчётов о незначительных ошибках запуска и обработки событий (которые на самом деле не наносят вреда или урона компьютеру) программное обеспечение часто используется мошенниками под видом «технической поддержки», чтобы убедить пользователей, незнакомых с «Просмотром событий», в том, что их компьютер содержит критические ошибки и нуждается в немедленной технической поддержке. Примером может служить поле «Административные события» в разделе «Пользовательские представления», которое может содержать более тысячи ошибок или предупреждений, зарегистрированных в течение месяца.
Описание
В Windows NT журналы событий появились с момента выпуска в 1993 году. Приложения и компоненты операционной системы могут использовать эту централизованную службу журналов для сообщения о событиях, которые произошли, например, при запуске компонента или выполнении действия.
«Просмотр событий» использует идентификаторы событий для определения уникально идентифицируемых событий, с которыми может столкнуться компьютер на базе ОС Windows. Например, когда аутентификация пользователя завершается с ошибкой, система может генерировать идентификатор события 672.
Windows NT 4.0 получила поддержку определения «источников событий» (приложений, создавших событие) и выполнения резервных копий журналов.
В Windows 2000 добавлена возможность приложениям создавать свои собственные источники журналов в дополнение к трём системным
В Windows Server 2003 добавлены вызовы AuthzInstallSecurityEventSource ()
API, чтобы приложения могли регистрироваться с логами безопасности и записывать входы в аудит безопасности.[2]
Версии Windows на базе ядра Windows NT 6.0 (Windows Vista и Windows Server 2008) больше не имеют ограничения в 300 МБ на общий размер логов. До ядра NT 6.0 система открывала файлы на диске как файлы с отображением памяти в пространстве памяти ядра, которые использовали те же пулы памяти, что и другие компоненты ядра. Файлы «Просмотра событий» с расширением .evtx
обычно отображаются в каталоге, таком как C: \ Windows \ System32 \ winevt \ Logs \
Windows XP (командная строка)
Windows XP предоставляет набор из трёх инструментов командной строки, полезных для автоматизации задач:
eventquery.vbs
— официальный скрипт для запроса, фильтрации и вывода результатов на основе логов событий. Убран в следующих Windows.eventcreate
— команда (продолжил развитие в Windows Vista и Windows 7) для размещения пользовательских логах событий.eventtriggers
— команда для создания задач, управляемых событиями. Убран в следующих Windows, заменён компонентом «Прикрепить задачу к этому событию» (англ. Attach task to this event).
Windows Vista
Средство просмотра событий состоит из переписанной архитектуры отслеживания событий и регистрации в Windows Vista.[1] Оно было переписано в виде структурированного формата логов XML и определённого типа лога, чтобы позволить приложениям более точно регистрировать события и помогать специалистам технической поддержки и разработчикам понимать события. XML-представление события можно просмотреть во вкладке «Сведения» в свойствах события. Кроме того, можно просмотреть все потенциальные события, их структуры, зарегистрированных владельцев событий и их конфигурацию с помощью утилиты wevtutil, даже до начала событий. Существует большое количество логов событий различного типа, включая административные, операционные, аналитические и отладочные логи. Выбор узла «Логи приложений» на панели «Область» показывает множество новых подкатегорий логов событий, в том числе многие, помеченные как логи диагностики. Аналитические и отладочные события, которые являются высокочастотными, непосредственно сохраняются через файл трассировки, в то время как административные и операционные события нередки, чтобы обеспечить дополнительную обработку, не влияя на производительность системы, поэтому они доставляются в службу журнала событий. События публикуются асинхронно, чтобы снизить влияние производительности на приложение публикации событий. Атрибуты событий также намного более детализированы и отображают свойства «ID события», «Уровень», «Задача», «Код операции» и «Ключевые слова».
Пользователи могут фильтровать журналы событий по одному или нескольким критериям или ограниченным выражением XPath 1.0, а пользовательские представления могут быть созданы для одного или нескольких событий. Использование XPath в качестве языка запросов позволяет просматривать журналы, относящиеся только к определённой подсистеме или к проблеме только с определённым компонентом, архивировать события выбора и отправлять трассировки «на лету» в службу технической поддержки.
Подписчики событий
К числу основных подписчиков событий относятся службы «Сборщик событий» и «
См. также
- Планировщик задач
- Консоль управления Microsoft
Примечания
- ↑ 1 2 Windows Vista: New Tools for Event Management in Windows Vista . www.microsoft.com. Дата обращения: 18 января 2018. Архивировано из оригинала 17 декабря 2007 года.
- ↑ AuthzInstallSecurityEventSource function (Windows) (англ.). msdn2.microsoft.com. Дата обращения: 18 января 2018. Архивировано 20 декабря 2007 года.
Ссылки
- Официальные:
- Документация разработчика для регистрации событий (Windows NT 3.1 — Windows XP), (Windows Vista)
- Описания событий безопасности Windows 2000 (Часть 1 из 2), (Часть 2 из 2)
- Windows Server 2003 Безопасность и — Угрозы и контрмеры — Глава 6: Журнал событий — Microsoft TechNet
- События и ошибки (Windows Server 2008) — Microsoft TechNet
- Другие:
- Просмотр cобытий Windows Коммерческая утилита, которую можно запускать в Windows, Linux или OS X
- evtwalk Инструмент командной строки для извлечения событий и создания отчётов (изменения пароля, входа в систему, изменения часов, запуска /остановки системы, учётных данных) из журналов событий Windows.
- eventid.net — Содержит несколько тысяч записей журнала событий Windows и рекомендации по устранению неполадок для каждого из них.
- Для разработчиков: