Просмотр событий

Просмотр событий
	компонент Windows
Просмотр событий
Тип компонента	Утилита
Включён в	Windows NT
Состояние	Актуальное

Просмотр событий (англ. Event Viewer) — компонент, включённый в состав операционных систем семейства Windows NT, разрабатываемых Microsoft, который позволяет администраторам просматривать лог событий на локальном компьютере или на удалённой машине. В Windows Vista Microsoft переработала систему событий.^[1]

Из-за регулярного предоставления отчётов о незначительных ошибках запуска и обработки событий (которые на самом деле не наносят вреда или урона компьютеру) программное обеспечение часто используется мошенниками под видом «технической поддержки», чтобы убедить пользователей, незнакомых с «Просмотром событий», в том, что их компьютер содержит критические ошибки и нуждается в немедленной технической поддержке. Примером может служить поле «Административные события» в разделе «Пользовательские представления», которое может содержать более тысячи ошибок или предупреждений, зарегистрированных в течение месяца.

Описание

В Windows NT журналы событий появились с момента выпуска в 1993 году. Приложения и компоненты операционной системы могут использовать эту централизованную службу журналов для сообщения о событиях, которые произошли, например, при запуске компонента или выполнении действия.

«Просмотр событий» использует идентификаторы событий для определения уникально идентифицируемых событий, с которыми может столкнуться компьютер на базе ОС Windows. Например, когда аутентификация пользователя завершается с ошибкой, система может генерировать идентификатор события 672.

Windows NT 4.0 получила поддержку определения «источников событий» (приложений, создавших событие) и выполнения резервных копий журналов.

В Windows 2000 добавлена возможность приложениям создавать свои собственные источники журналов в дополнение к трём системным

логам «Система», «Приложение» и «Безопасность». В Windows 2000 также заменено средство просмотра событий из Windows NT 4.0 консолью управления Microsoft

(MMC).

В Windows Server 2003 добавлены вызовы AuthzInstallSecurityEventSource () API, чтобы приложения могли регистрироваться с логами безопасности и записывать входы в аудит безопасности.^[2]

Версии Windows на базе ядра Windows NT 6.0 (Windows Vista и Windows Server 2008) больше не имеют ограничения в 300 МБ на общий размер логов. До ядра NT 6.0 система открывала файлы на диске как файлы с отображением памяти в пространстве памяти ядра, которые использовали те же пулы памяти, что и другие компоненты ядра. Файлы «Просмотра событий» с расширением .evtx обычно отображаются в каталоге, таком как C: \ Windows \ System32 \ winevt \ Logs \

Windows XP (командная строка)

Windows XP предоставляет набор из трёх инструментов командной строки, полезных для автоматизации задач:

eventquery.vbs — официальный скрипт для запроса, фильтрации и вывода результатов на основе логов событий. Убран в следующих Windows.
eventcreate — команда (продолжил развитие в Windows Vista и Windows 7) для размещения пользовательских логах событий.
eventtriggers — команда для создания задач, управляемых событиями. Убран в следующих Windows, заменён компонентом «Прикрепить задачу к этому событию» (англ. Attach task to this event).

Windows Vista

Средство просмотра событий состоит из переписанной архитектуры отслеживания событий и регистрации в Windows Vista.^[1] Оно было переписано в виде структурированного формата логов XML и определённого типа лога, чтобы позволить приложениям более точно регистрировать события и помогать специалистам технической поддержки и разработчикам понимать события. XML-представление события можно просмотреть во вкладке «Сведения» в свойствах события. Кроме того, можно просмотреть все потенциальные события, их структуры, зарегистрированных владельцев событий и их конфигурацию с помощью утилиты wevtutil, даже до начала событий. Существует большое количество логов событий различного типа, включая административные, операционные, аналитические и отладочные логи. Выбор узла «Логи приложений» на панели «Область» показывает множество новых подкатегорий логов событий, в том числе многие, помеченные как логи диагностики. Аналитические и отладочные события, которые являются высокочастотными, непосредственно сохраняются через файл трассировки, в то время как административные и операционные события нередки, чтобы обеспечить дополнительную обработку, не влияя на производительность системы, поэтому они доставляются в службу журнала событий. События публикуются асинхронно, чтобы снизить влияние производительности на приложение публикации событий. Атрибуты событий также намного более детализированы и отображают свойства «ID события», «Уровень», «Задача», «Код операции» и «Ключевые слова».

Пользователи могут фильтровать журналы событий по одному или нескольким критериям или ограниченным выражением XPath 1.0, а пользовательские представления могут быть созданы для одного или нескольких событий. Использование XPath в качестве языка запросов позволяет просматривать журналы, относящиеся только к определённой подсистеме или к проблеме только с определённым компонентом, архивировать события выбора и отправлять трассировки «на лету» в службу технической поддержки.

Подписчики событий

К числу основных подписчиков событий относятся службы «Сборщик событий» и «

Windows Server 2003 R2

согласно настраиваемому расписанию. Журналы событий также могут быть удалённо просмотрены с других компьютеров, или несколько журналов событий могут централизованно регистрироваться и контролироваться без агента и управляться с одного компьютера. События также могут быть непосредственно связаны с задачами, которые выполняются в изменённом планировщике заданий и запускают автоматические действия, когда происходят определённые события.

См. также

Планировщик задач
Консоль управления Microsoft

Примечания

↑ ¹ ² Windows Vista: New Tools for Event Management in Windows Vista (рус.). www.microsoft.com. Дата обращения: 18 января 2018. Архивировано из оригинала 17 декабря 2007 года.
↑ AuthzInstallSecurityEventSource function (Windows) (англ.). msdn2.microsoft.com. Дата обращения: 18 января 2018. Архивировано 20 декабря 2007 года.

Ссылки

Официальные:
- Документация разработчика для регистрации событий (Windows NT 3.1 — Windows XP), (Windows Vista)
- Описания событий безопасности Windows 2000 (Часть 1 из 2), (Часть 2 из 2)
- Windows Server 2003 Безопасность и — Угрозы и контрмеры — Глава 6: Журнал событий — Microsoft TechNet
- События и ошибки (Windows Server 2008) — Microsoft TechNet
Другие:
- Просмотр cобытий Windows Коммерческая утилита, которую можно запускать в Windows, Linux или OS X
- evtwalk Инструмент командной строки для извлечения событий и создания отчётов (изменения пароля, входа в систему, изменения часов, запуска /остановки системы, учётных данных) из журналов событий Windows.
- eventid.net — Содержит несколько тысяч записей журнала событий Windows и рекомендации по устранению неполадок для каждого из них.
Для разработчиков:
- Как записать в журнал событий с помощью Visual C #

[:0-1] ¹ ² Windows Vista: New Tools for Event Management in Windows Vista (рус.). www.microsoft.com. Дата обращения: 18 января 2018. Архивировано из оригинала 17 декабря 2007 года.

[2] AuthzInstallSecurityEventSource function (Windows) (англ.). msdn2.microsoft.com. Дата обращения: 18 января 2018. Архивировано 20 декабря 2007 года.

[1]

[2]

Просмотр событий
компонент Windows
Тип компонента	Утилита
Включён в	Windows NT
Состояние	Актуальное