protokol událostí systému Windows je podrobný záznam oznámení systému, zabezpečení a aplikací uložených operačním systémem Windows, který administrátoři používají k diagnostice systémových problémů a předpovídání budoucích problémů.
aplikace a operační systém (OS) používají tyto protokoly událostí k zaznamenávání důležitých hardwarových a softwarových akcí, které může správce použít k řešení problémů s operačním systémem. Operační systém Windows sleduje konkrétní události ve svých souborech protokolu, jako jsou instalace aplikací, Správa zabezpečení, operace nastavení systému při počátečním spuštění a problémy nebo chyby.
prvky protokolu událostí systému Windows
každá událost v záznamu protokolu obsahuje následující informace:
datum: datum, kdy došlo k události.
čas: čas, kdy k události došlo.
uživatel: uživatelské jméno uživatele přihlášeného do počítače, když došlo k události.
počítač: název počítače.
ID události: Identifikační číslo systému Windows, které určuje typ události.
zdroj: program nebo součást, která událost způsobila.
typ: typ události, včetně informací, varování, chyby, auditu úspěšnosti zabezpečení nebo auditu selhání zabezpečení.
například Informační událost se může zobrazit jako:
informace 5/16/2018 8: 41: 15 am Service Control Manager 7036 Žádný
varovná událost může vypadat jako:
varování 5/11/2018 10: 29: 47 am Kernel-event Tracing 1 protokolování
pro srovnání se může zobrazit chybová událost jako:
chyba 5/16/2018 8:41: 15 am Service Control Manager 7001 None
kritická událost se může podobat:
kritická 5/11/2018 8: 55: 02 am Kernel-Power 41 (63)
typ informací uložených v protokolech událostí systému Windows
operační systém Windows zaznamenává události v pěti oblastech: aplikace, zabezpečení, Nastavení, Systém a přeposlané události. Windows ukládá protokoly událostí v C:\WINDOWS\system32\config\ složka.
Události Aplikace se týkají incidentů se softwarem nainstalovaným v místním počítači. Pokud dojde k selhání aplikace, jako je Microsoft Word, pak protokol událostí systému Windows vytvoří záznam protokolu o problému, názvu aplikace a proč havaroval.
bezpečnostní události ukládají informace na základě zásad auditu systému Windows a typické uložené události zahrnují pokusy o přihlášení a přístup k prostředkům. Například protokol zabezpečení ukládá záznam, když se počítač pokusí ověřit pověření účtu, když se uživatel pokusí přihlásit k počítači.
události nastavení zahrnují události zaměřené na podniky týkající se řízení domén, jako je umístění protokolů po konfiguraci disku.
systémové události se týkají incidentů v systémech specifických pro Windows, jako je stav ovladačů zařízení.
přeposlané události přicházejí z jiných počítačů ve stejné síti, když správce chce používat počítač, který shromažďuje více protokolů.
pomocí Prohlížeče událostí
společnost Microsoft zahrnuje Prohlížeč událostí ve svém operačním systému Windows Server a klient pro zobrazení protokolů událostí systému Windows. Uživatelé přistupují k Prohlížeči událostí kliknutím na tlačítko Start a zadáním Prohlížeče událostí do vyhledávacího pole. Uživatelé pak mohou vybrat a zkontrolovat požadovaný protokol.
Windows kategorizuje každou událost s úrovní závažnosti. Úrovně v pořadí podle závažnosti jsou informace, varování, chyby a kritické.
většina protokolů se skládá z událostí založených na informacích. Protokoly s touto položkou obvykle znamenají, že k události došlo bez incidentu nebo problému. Příkladem systémové informační události je událost 42, Kernel-Power, která označuje, že systém vstupuje do režimu spánku.
události na úrovni varování jsou založeny na konkrétních událostech, jako je nedostatek úložného prostoru. Varovné zprávy mohou upozornit na potenciální problémy, které nemusí vyžadovat okamžitou akci. Event 51, Disk je příkladem systémového varování týkajícího se chyby stránkování na jednotce stroje.
úroveň chyby indikuje, že se zařízení pravděpodobně nepodařilo načíst nebo pracovat očekávaně. Událost 5719, NETLOGON je příkladem systémové chyby, když počítač nemůže nakonfigurovat zabezpečenou relaci s řadičem domény.
události kritické úrovně naznačují nejzávažnější problémy. ID události 41, Kernel-Power je příkladem kritické systémové události, když se počítač restartuje bez čistého vypnutí.
další nástroje pro zobrazení protokolů událostí systému Windows
společnost Microsoft také poskytuje nástroj příkazového řádku wevtutil ve složce System32, který načítá protokoly událostí, spouští dotazy, exportuje protokoly, protokoly archivů a jasné protokoly.
nástroje třetích stran, které také pracují s protokoly událostí systému Windows, zahrnují SolarWinds Log & Event Manager, který poskytuje korelaci a nápravu událostí v reálném čase; monitorování integrity souborů; monitorování zařízení USB a detekci hrozeb. Log & Event Manager automaticky shromažďuje protokoly ze serverů, aplikací a síťových zařízení.
ManageEngine EventLog Analyzer vytváří vlastní zprávy z dat protokolu a odesílá textové zprávy a e-mailové upozornění v reálném čase na základě konkrétních událostí.
použití PowerShell k dotazování událostí
společnost Microsoft vytváří protokoly událostí systému Windows ve formátu Extensible markup language (XML) s příponou EVTX. XML poskytuje podrobnější informace a konzistentní formát pro strukturovaná data.
Administrátoři mohou vytvářet složité dotazy XML pomocí rutiny get-WinEvent PowerShell pro přidání nebo vyloučení událostí z dotazu.