Il registro eventi di Windows è un record dettagliato delle notifiche di sistema, sicurezza e applicazioni memorizzate dal sistema operativo Windows che viene utilizzato dagli amministratori per diagnosticare problemi di sistema e prevedere problemi futuri.
Le applicazioni e il sistema operativo (OS) utilizzano questi registri eventi per registrare importanti azioni hardware e software che l’amministratore può utilizzare per risolvere i problemi con il sistema operativo. Il sistema operativo Windows tiene traccia di eventi specifici nei suoi file di registro, come installazioni di applicazioni, gestione della sicurezza, operazioni di configurazione del sistema all’avvio iniziale e problemi o errori.
Gli elementi di un registro eventi di Windows
Ogni evento in una voce di registro contiene le seguenti informazioni:
Data: la data in cui si è verificato l’evento.
Ora: l’ora in cui si è verificato l’evento.
Utente: Il nome utente dell’utente connesso alla macchina quando si è verificato l’evento.
Computer: il nome del computer.
ID evento: Un numero di identificazione di Windows che specifica il tipo di evento.
Fonte: Il programma o il componente che ha causato l’evento.
Tipo: il tipo di evento, incluse informazioni, avvisi, errori, audit di successo della sicurezza o audit di errore della sicurezza.
Per esempio, un evento di informazione potrebbe essere visualizzato come:
Informazioni 5/16/2018 8:41:15 AM Service Control Manager Nessuno 7036
Un evento di avviso simile:
Avviso 5/11/2018 10:29:47 AM Kernel-Analisi di Eventi 1 Registrazione
in confronto, un evento di errore potrebbe essere visualizzato come:
Errore 5/16/2018 8:41: 15 AM Service Control Manager 7001 Nessuno
Un evento critico potrebbe assomigliare a:
Critico 5/11/2018 8: 55: 02 AM Kernel-Power 41 (63)
Il tipo di informazioni memorizzate nei registri eventi di Windows
Il sistema operativo Windows registra gli eventi in cinque aree: applicazione, sicurezza, configurazione, sistema e eventi inoltrati. Windows memorizza i registri degli eventi nel C:\WINDOWS\system32\config \ cartella.
Gli eventi dell’applicazione si riferiscono a incidenti con il software installato sul computer locale. Se un’applicazione come Microsoft Word si blocca, il registro eventi di Windows creerà una voce di registro sul problema, il nome dell’applicazione e il motivo dell’arresto anomalo.
Gli eventi di sicurezza memorizzano le informazioni in base ai criteri di controllo del sistema Windows e gli eventi tipici memorizzati includono i tentativi di accesso e l’accesso alle risorse. Ad esempio, il registro di sicurezza memorizza un record quando il computer tenta di verificare le credenziali dell’account quando un utente tenta di accedere a una macchina.
Gli eventi di configurazione includono eventi incentrati sull’azienda relativi al controllo dei domini, ad esempio la posizione dei log dopo la configurazione del disco.
Gli eventi di sistema si riferiscono a incidenti su sistemi specifici di Windows, come lo stato dei driver di periferica.
Gli eventi inoltrati arrivano da altre macchine sulla stessa rete quando un amministratore desidera utilizzare un computer che raccoglie più log.
Utilizzo del visualizzatore eventi
Microsoft include il visualizzatore eventi nel sistema operativo Windows Server e client per visualizzare i registri eventi di Windows. Gli utenti accedono al visualizzatore eventi facendo clic sul pulsante Start e inserendo Visualizzatore eventi nel campo di ricerca. Gli utenti possono quindi selezionare e ispezionare il registro desiderato.
Windows classifica ogni evento con un livello di gravità. I livelli in ordine di gravità sono informazioni, avviso, errore e critico.
La maggior parte dei log sono costituiti da eventi basati sulle informazioni. I registri con questa voce di solito significano che l’evento si è verificato senza incidenti o problemi. Un esempio di un evento informativo basato sul sistema è l’evento 42, Kernel-Power che indica che il sistema sta entrando in modalità sleep.
Gli eventi a livello di avviso si basano su eventi particolari, come la mancanza di spazio di archiviazione. I messaggi di avviso possono attirare l’attenzione su potenziali problemi che potrebbero non richiedere un’azione immediata. Evento 51, Disco è un esempio di avviso basato sul sistema relativo a un errore di paging sull’unità della macchina.
Un livello di errore indica che un dispositivo potrebbe non essere riuscito a caricare o funzionare in modo prevedibile. Evento 5719, NETLOGON è un esempio di errore di sistema quando un computer non può configurare una sessione sicura con un controller di dominio.
Gli eventi di livello critico indicano i problemi più gravi. Evento ID 41, Kernel-Power è un esempio di un evento di sistema critico quando una macchina si riavvia senza un arresto pulito.
Altri strumenti per visualizzare i registri eventi di Windows
Microsoft fornisce anche l’utilità della riga di comando wevtutil nella cartella System32 che recupera i registri eventi, esegue query, esporta i registri, archivia i registri e cancella i registri.
Le utilità di terze parti che funzionano anche con i registri eventi di Windows includono SolarWinds Log & Event Manager, che fornisce correlazione e correzione degli eventi in tempo reale, monitoraggio dell’integrità dei file, monitoraggio dei dispositivi USB e rilevamento delle minacce. Log & Event Manager raccoglie automaticamente i log da server, applicazioni e dispositivi di rete.
ManageEngine EventLog Analyzer crea report personalizzati dai dati di registro e invia messaggi di testo e avvisi e-mail in tempo reale in base a eventi specifici.
Utilizzo di PowerShell per interrogare gli eventi
Microsoft crea i log degli eventi di Windows in formato XML (Extensible Markup Language) con un’estensione EVTX. XML fornisce informazioni più granulari e un formato coerente per i dati strutturati.
Gli amministratori possono creare complicate query XML con il cmdlet Get-WinEvent PowerShell per aggiungere o escludere eventi da una query.