Windowsin tapahtumaloki on yksityiskohtainen tallenne Windows-käyttöjärjestelmän tallentamista järjestelmä -, turvallisuus-ja sovellusilmoituksista, joita järjestelmänvalvojat käyttävät järjestelmän ongelmien diagnosointiin ja tulevien ongelmien ennustamiseen.
sovellukset ja käyttöjärjestelmä käyttävät näitä tapahtumalokeja tallentaakseen tärkeitä laitteisto-ja ohjelmistotoimintoja, joita ylläpitäjä voi käyttää käyttöjärjestelmän ongelmien vianmääritykseen. Windows-käyttöjärjestelmä seuraa lokitiedostoissaan tiettyjä tapahtumia, kuten sovellusasennuksia, tietoturvan hallintaa, järjestelmän asennustoimintoja käynnistettäessä sekä ongelmia tai virheitä.
Windowsin tapahtumalokin elementit
jokainen lokimerkinnän tapahtuma sisältää seuraavat tiedot:
päivämäärä: tapahtuman päivämäärä.
aika: tapahtuma-aika.
käyttäjä: käyttäjän käyttäjätunnus kirjautui koneeseen tapahtuman sattuessa.
tietokone: tietokoneen nimi.
Tapahtuman tunnus: Windows-tunnistenumero, joka määrittää tapahtumatyypin.
lähde: tapahtuman aiheuttanut ohjelma tai komponentti.
Tyyppi: tapahtuman tyyppi, mukaan lukien tieto, varoitus, virhe, security success audit tai security failure audit.
esimerkiksi informaatiotapahtuma voi näkyä seuraavasti:
Information 5/16/2018 8:41:15 AM Service Control Manager 7036 Ei
varoitustapahtuma voi näyttää:
Varoitus 5/11/2018 10:29:47 am Kernel-Event Tracing 1 kirjautuminen
vertailun perusteella virhetapahtuma voi esiintyä seuraavasti:
virhe 5/16/2018 8:41: 15 AM Service Control Manager 7001 None
a critical event might remember:
Critical 5/11/2018 8:55: 02 am Kernel-Power 41 (63)
Windowsin tapahtumalokiin tallennettujen tietojen tyyppi
Windows-käyttöjärjestelmä tallentaa tapahtumia viideltä alueelta: sovellus, turvallisuus, asennus, järjestelmä ja välitetyt tapahtumat. Windows tallentaa tapahtumalokit C:\WINDOWS\system32\config\ – kansio.
sovellustapahtumat liittyvät tapauksiin, joissa ohjelmisto on asennettu paikalliseen tietokoneeseen. Jos sovellus, kuten Microsoft Word kaatuu, Windowsin tapahtumaloki luo lokimerkinnän ongelmasta, sovelluksen nimestä ja siitä, miksi se kaatui.
tietoturvatapahtumat tallentavat Windows-järjestelmän tarkastuskäytäntöihin perustuvia tietoja, ja tyypillisiä tallennettuja tapahtumia ovat kirjautumisyritykset ja resurssien käyttö. Suojauslokiin tallennetaan esimerkiksi tietue, kun tietokone yrittää tarkistaa tilitietoja, kun käyttäjä yrittää kirjautua koneeseen.
Asetustapahtumiin kuuluu yrityskeskeisiä tapahtumia, jotka liittyvät verkkotunnusten hallintaan, kuten lokien sijainti levykokoonpanon jälkeen.
järjestelmätapahtumat liittyvät Windows-tyyppisissä järjestelmissä tapahtuneisiin vaaratilanteisiin, kuten laiteajurien tilaan.
välitetyt tapahtumat saapuvat muista saman verkon koneista, kun ylläpitäjä haluaa käyttää tietokonetta, joka kerää useita lokeja.
käyttämällä Tapahtumienvalvontaa
Microsoft sisällyttää Tapahtumienvalvonnan Windows Server-ja client-käyttöjärjestelmäänsä Windowsin tapahtumalokien tarkasteluun. Käyttäjät pääsevät Tapahtumienvalvontaan klikkaamalla Käynnistä-painiketta ja syöttämällä Tapahtumienvalvonnan hakukenttään. Käyttäjät voivat sitten valita ja tarkastaa halutun lokin.
Windows luokittelee jokaisen tapahtuman vaikeusasteella. Vakavuusjärjestyksessä olevat tasot ovat informaatio, varoitus, virhe ja kriittinen.
useimmat lokit koostuvat tietopohjaisista tapahtumista. Lokit, joissa on tämä merkintä, tarkoittavat yleensä tapahtumaa ilman tapahtumaa tai ongelmaa. Esimerkki järjestelmäpohjaisesta informaatiotapahtumasta on tapahtuma 42, Kernel-Power, joka osoittaa järjestelmän olevan siirtymässä lepotilaan.
Varoitustason tapahtumat perustuvat tiettyihin tapahtumiin, kuten tallennustilan puutteeseen. Varoitusviesteillä voidaan kiinnittää huomiota mahdollisiin asioihin, jotka eivät välttämättä vaadi välittömiä toimia. Tapahtuma 51, levy on esimerkki järjestelmäpohjaisesta varoituksesta, joka liittyy hakuvirheeseen koneen asemalla.
virhetaso osoittaa, että laite ei ole voinut ladata tai toimia odotetusti. Tapahtuma 5719, NETLOGON on esimerkki järjestelmävirheestä, kun tietokone ei voi määrittää suojattua istuntoa toimialueen ohjaimella.
kriittisen tason tapahtumat viittaavat vakavimpiin ongelmiin. Tapahtuma ID 41, Kernel-Power on esimerkki kriittisestä järjestelmätapahtumasta, kun kone käynnistyy uudelleen ilman puhdasta sammutusta.
muut työkalut Windowsin tapahtumalokien katseluun
Microsoft tarjoaa System32-kansiossa myös wevtutil-komentorivityökalun, joka hakee tapahtumalokit, suorittaa kyselyt, vie lokit, arkistolokit ja tyhjentää lokit.
kolmannen osapuolen apuohjelmia, jotka toimivat myös Windowsin tapahtumalokien kanssa, ovat SolarWinds Log & Event Manager, joka tarjoaa reaaliaikaisen tapahtumakorrelaation ja korjaamisen; tiedostojen eheyden valvonta; USB-laitteen valvonta; ja uhkien havaitseminen. Loki & Tapahtumanhallinta kerää lokit automaattisesti palvelimilta, sovelluksilta ja verkkolaitteilta.
ManageEngine EventLog Analyzer rakentaa mukautettuja raportteja lokitiedoista ja lähettää reaaliaikaisia TEKSTIVIESTI-ja sähköpostihälytyksiä tiettyjen tapahtumien perusteella.
käyttäen Powershellia kyselyihin tapahtumista
Microsoft rakentaa Windowsin tapahtumalokit extensible markup language (XML) – muotoon EVTX-laajennuksella. XML tarjoaa rakeisempaa tietoa ja johdonmukaisen muodon strukturoidulle datalle.
järjestelmänvalvojat voivat rakentaa monimutkaisia XML-kyselyjä Get-WinEvent PowerShell cmdlet-ohjelmalla lisätäkseen tai poissulkiakseen tapahtumia kyselystä.