A Windows eseménynapló a Windows operációs rendszer által tárolt rendszer -, biztonsági és Alkalmazásértesítések részletes nyilvántartása, amelyet a rendszergazdák a rendszerproblémák diagnosztizálására és a jövőbeli problémák előrejelzésére használnak.
az alkalmazások és az operációs rendszer (OS) ezeket az eseménynaplókat olyan fontos hardver-és szoftverműveletek rögzítésére használja, amelyekkel a rendszergazda elháríthatja az operációs rendszerrel kapcsolatos problémákat. A Windows operációs rendszer naplófájljaiban nyomon követi az egyes eseményeket, például az alkalmazások telepítését, a biztonságkezelést, a rendszerbeállítási műveleteket az első indításkor, valamint a problémákat vagy hibákat.
Windows eseménynapló elemei
a naplóbejegyzés minden eseménye a következő információkat tartalmazza:
Dátum: az esemény bekövetkezésének dátuma.
idő: az esemény bekövetkezésének ideje.
felhasználó: annak a Felhasználónak a felhasználóneve, aki az esemény bekövetkezésekor bejelentkezett a gépre.
számítógép: a számítógép Neve.
Eseményazonosító: Az esemény típusát meghatározó Windows azonosító szám.
forrás: az eseményt okozó program vagy összetevő.
típus: az esemény típusa, beleértve az információkat, figyelmeztetést, hibát, biztonsági siker auditot vagy biztonsági hiba auditot.
például egy Információs esemény a következőképpen jelenhet meg:
információ 5/16/2018 8:41:15 am Service Control Manager 7036 None
egy figyelmeztető esemény így nézhet ki:
figyelmeztetés 5/11/2018 10:29:47 AM Kernel-Eseménykövetés 1 naplózás
összehasonlításképpen, egy hibaesemény a következőképpen jelenhet meg:
5/16/2018 hiba 8:41: 15 am Service Control Manager 7001 None
egy kritikus esemény hasonlíthat:
kritikus 5/11/2018 8:55:02 AM Kernel-Power 41 (63)
A Windows eseménynaplókban tárolt információ típusa
A Windows operációs rendszer öt területen rögzíti az eseményeket: alkalmazás, biztonság, beállítás, rendszer és továbbított események. A Windows tárolja az eseménynaplókat a C:\WINDOWS\system32\config \ mappa.
az alkalmazásesemények a helyi számítógépre telepített szoftverrel kapcsolatos eseményekre vonatkoznak. Ha egy alkalmazás, például a Microsoft Word összeomlik, akkor a Windows eseménynapló naplóbejegyzést hoz létre a problémáról, az alkalmazás nevéről és az összeomlás okáról.
a biztonsági események a Windows rendszer ellenőrzési irányelvei alapján tárolnak információkat, és a tárolt Tipikus események közé tartoznak a bejelentkezési kísérletek és az erőforrás-hozzáférés. A biztonsági napló például akkor tárol egy rekordot, amikor a számítógép megpróbálja ellenőrizni a fiók hitelesítő adatait, amikor egy felhasználó megpróbál bejelentkezni egy gépre.
a beállítási események közé tartoznak a tartományok vezérlésével kapcsolatos vállalati szintű események, például a naplók helye a lemezkonfiguráció után.
a rendszeresemények A Windows-specifikus rendszereken bekövetkező eseményekhez kapcsolódnak, például az eszközillesztők állapotához.
a továbbított események ugyanazon a hálózaton lévő más gépekről érkeznek, amikor egy rendszergazda több naplót gyűjtő számítógépet akar használni.
az Eseménynapló használata
a Microsoft az Eseménynaplót a Windows Server és client operációs rendszerébe is beépíti a Windows eseménynaplók megtekintéséhez. A felhasználók a Start gombra kattintva érhetik el az Eseménynaplót, majd beírják az Eseménynaplót a keresőmezőbe. A felhasználók ezután kiválaszthatják és megvizsgálhatják a kívánt naplót.
A Windows minden eseményt súlyossági szinttel kategorizál. A súlyossági sorrend a következő: információ, figyelmeztetés, hiba és kritikus.
a legtöbb napló információalapú eseményekből áll. Az ezzel a bejegyzéssel ellátott naplók általában azt jelentik, hogy az esemény incidens vagy probléma nélkül történt. A rendszeralapú információs eseményre példa a 42. esemény, a Kernel-Power, amely jelzi, hogy a rendszer alvó üzemmódba lép.
a figyelmeztető szintű események bizonyos eseményeken alapulnak, például a tárhely hiánya. A figyelmeztető üzenetek felhívhatják a figyelmet olyan lehetséges problémákra, amelyek nem igényelnek azonnali intézkedést. Esemény 51, Disk egy példa a rendszer-alapú figyelmeztetés kapcsolatos lapozási hiba a gép meghajtóján.
a hibaszint azt jelzi, hogy az eszköz nem tudott betölteni vagy várhatóan működni. Esemény 5719, NETLOGON egy példa a rendszer hiba, amikor a számítógép nem tudja beállítani a biztonságos munkamenet tartományvezérlővel.
kritikus szintű események jelzik a legsúlyosabb problémákat. Eseményazonosító 41, Kernel-Power egy példa egy kritikus rendszereseményre, amikor a gép tiszta leállítás nélkül újraindul.
egyéb eszközök A Windows eseménynaplók megtekintéséhez
a Microsoft a Wevtutil parancssori segédprogramot is biztosítja a System32 mappában, amely letölti az eseménynaplókat, lekérdezéseket futtat, exportálja a naplókat, archiválja a naplókat és törli a naplókat.
A Windows eseménynaplókkal is működő, harmadik féltől származó segédprogramok közé tartozik a SolarWinds Log & Event Manager, amely valós idejű eseménykorrelációt és helyreállítást, fájlintegritás-felügyeletet, USB-eszközfigyelést és fenyegetésérzékelést biztosít. Log & az Event Manager automatikusan összegyűjti a naplókat a szerverekről, alkalmazásokból és hálózati eszközökről.
a ManageEngine EventLog Analyzer egyedi jelentéseket készít a naplóadatokból, és valós idejű szöveges üzeneteket és e-mail értesítéseket küld konkrét események alapján.
a PowerShell használata események lekérdezéséhez
a Microsoft Windows eseménynaplókat épít extensible markup language (XML) formátumban, EVTX kiterjesztéssel. Az XML részletesebb információkat és konzisztens formátumot biztosít a strukturált adatok számára.
a rendszergazdák bonyolult XML-lekérdezéseket készíthetnek a Get-WinEvent PowerShell parancsmag segítségével, hogy eseményeket adjanak hozzá vagy kizárjanak egy lekérdezésből.