vinduer hændelseslog er en detaljeret registrering af system -, sikkerheds-og applikationsmeddelelser, der er gemt af vinduer-operativsystemet, og som bruges af administratorer til at diagnosticere systemproblemer og forudsige fremtidige problemer.
programmer og operativsystemet (OS) brug disse hændelseslogfiler til at registrere vigtige handlinger, som administratoren kan bruge til fejlfinding af problemer med operativsystemet. Operativsystemet sporer specifikke begivenheder i sine logfiler, såsom applikationsinstallationer, sikkerhedsstyring, systemopsætningsoperationer ved første opstart og problemer eller fejl.
elementerne i en hændelseslog
hver begivenhed i en logpost indeholder følgende oplysninger:
dato: datoen, hvor begivenheden fandt sted.
tid: tidspunktet for begivenheden.
bruger: Brugernavnet på den bruger, der var logget på maskinen, da begivenheden fandt sted.
Computer: navnet på computeren.
begivenheds-ID: Et vindue identifikationsnummer, der angiver hændelsestypen.
Kilde: det program eller den komponent, der forårsagede begivenheden.
Type: begivenhedstypen, herunder information, Advarsel, fejl, revision af sikkerhedssucces eller revision af sikkerhedsfejl.
for eksempel kan en informationshændelse vises som:
Information 5/16/2018 8:41:15 am Service Control Manager 7036 ingen
en advarselshændelse kan se ud:
advarsel 5/11/2018 10:29:47 AM Kernel-hændelsessporing 1 logning
til sammenligning, en fejlhændelse kan vises som:
fejl 5/16/2018 8:41: 15 am Service Control Manager 7001 ingen
en kritisk begivenhed kan ligne:
kritisk 5/11/2018 8: 55: 02 am Kernel-strøm 41 (63)
den type oplysninger, der er gemt i hændelseslogfiler
operativsystemet registrerer begivenheder i fem områder: applikation, sikkerhed, Opsætning, System og videresendte begivenheder. Gemmer hændelseslogfiler i C:\WINDOWS\system32\config \ mappe.
applikationsbegivenheder vedrører hændelser med programmet installeret på den lokale computer. Hvis et program som Microsoft-ord går ned, opretter hændelsesloggen en logindgang om problemet, applikationsnavnet og hvorfor det styrtede ned.
Sikkerhedsbegivenheder lagrer oplysninger baseret på systemets overvågningspolitikker, og de typiske hændelser, der gemmes, omfatter loginforsøg og adgang til ressourcer. For eksempel gemmer sikkerhedsloggen en post, når computeren forsøger at bekræfte kontooplysninger, når en bruger forsøger at logge på en maskine.
Opsætningshændelser omfatter virksomhedsfokuserede hændelser vedrørende styring af domæner, f.eks. placeringen af logfiler efter en diskkonfiguration.
systemhændelser vedrører hændelser på vinduer-specifikke systemer, såsom status for enhedsdrivere.
videresendte begivenheder ankommer fra andre maskiner på det samme netværk, når en administrator ønsker at bruge en computer, der samler flere logfiler.
brug af Begivenhedsviseren
Microsoft inkluderer Begivenhedsviseren i sit operativsystem til at få vist hændelseslogfiler. Brugere får adgang til Begivenhedsviseren ved at klikke på knappen Start og indtaste Begivenhedsviseren i søgefeltet. Brugere kan derefter vælge og inspicere den ønskede log.
vinduer kategoriserer hver begivenhed med et alvorlighedsniveau. Niveauerne i rækkefølge efter sværhedsgrad er information, Advarsel, fejl og kritisk.
de fleste logfiler består af informationsbaserede begivenheder. Logfiler med denne post betyder normalt, at begivenheden opstod uden hændelse eller problem. Et eksempel på en systembaseret informationshændelse er Begivenhed 42, kernekraft, der angiver, at systemet går i dvaletilstand.
hændelser på advarselsniveau er baseret på bestemte begivenheder, f.eks. manglende lagerplads. Advarselsmeddelelser kan gøre opmærksom på potentielle problemer, der muligvis ikke kræver øjeblikkelig handling. Begivenhed 51, Disk er et eksempel på en systembaseret advarsel relateret til en personsøgningsfejl på maskinens drev.
et fejlniveau angiver, at en enhed muligvis ikke har indlæst eller fungerer forventet. Begivenhed 5719, NETLOGON er et eksempel på en systemfejl, når en computer ikke kan konfigurere en sikker session med en domænecontroller.
kritiske niveauhændelser angiver de mest alvorlige problemer. Event ID 41, Kernel-strøm er et eksempel på en kritisk systemhændelse, når en maskine genstarter uden en ren nedlukning.
andre værktøjer til visning af hændelseslogfiler
Microsoft leverer også kommandolinjeværktøjet i mappen System32, der henter hændelseslogfiler, kører forespørgsler, eksporterer logfiler, arkiverer logfiler og rydder logfiler.
tredjepartsværktøjer, der også arbejder med hændelseslogfiler, omfatter Solvindlog & Event Manager, som giver realtidskorrelation og afhjælpning af hændelser; overvågning af filintegritet; overvågning af USB-enheder og trusselsregistrering. Log & Event Manager indsamler automatisk logfiler fra servere, applikationer og netværksenheder.
ManageEngine EventLog analysator bygger brugerdefinerede rapporter fra logdata og sender real-time SMS og e-mail advarsler baseret på specifikke begivenheder.
brug af e-mail til at forespørge begivenheder
Microsoft bygger hændelseslogfiler i format, der kan udvides til markupsprog. Det giver mere detaljerede oplysninger og et ensartet format for strukturerede data.
administratorer kan oprette komplicerede forespørgsler med cmdlet for at tilføje eller ekskludere begivenheder fra en forespørgsel.