dziennik zdarzeń systemu Windows To szczegółowy zapis powiadomień systemowych, zabezpieczeń i aplikacji przechowywanych przez system operacyjny Windows, który jest używany przez administratorów do diagnozowania problemów systemowych i przewidywania przyszłych problemów.
aplikacje i system operacyjny (OS) używają tych dzienników zdarzeń do rejestrowania ważnych działań sprzętowych i programowych, których administrator może użyć do rozwiązywania problemów z systemem operacyjnym. System operacyjny Windows śledzi określone zdarzenia w plikach dziennika, takie jak instalacje aplikacji, Zarządzanie zabezpieczeniami, operacje konfiguracji systemu przy początkowym uruchomieniu oraz problemy lub błędy.
elementy dziennika zdarzeń systemu Windows
każde zdarzenie we wpisie dziennika zawiera następujące informacje:
Data: Data wystąpienia zdarzenia.
czas: czas wystąpienia zdarzenia.
User: nazwa użytkownika zalogowanego na maszynie podczas zdarzenia.
Komputer: Nazwa komputera.
Identyfikator zdarzenia: Numer identyfikacyjny systemu Windows określający typ zdarzenia.
źródło: program lub komponent, który spowodował Zdarzenie.
typ: typ zdarzenia, w tym informacje, ostrzeżenie, błąd, audyt sukcesu bezpieczeństwa lub audyt awarii bezpieczeństwa.
na przykład zdarzenie informacyjne może pojawić się jako:
informacje 16.05.2018 8:41:15 Menedżer kontroli usług 7036 brak
Zdarzenie ostrzegawcze może wyglądać tak:
Ostrzeżenie 11.05.2018 10:29:47 śledzenie zdarzeń Jądra 1 rejestrowanie
dla porównania, zdarzenie błędu może pojawić się jako:
błąd 16.05.2018 8:41: 15 AM Service Control Manager 7001 brak
krytyczne zdarzenie może przypominać:
krytyczne 5/11/2018 8: 55: 02 AM Kernel-Power 41 (63)
Typ informacji przechowywanych w dziennikach zdarzeń systemu Windows
system operacyjny Windows rejestruje zdarzenia w pięciu obszarach: aplikacja, bezpieczeństwo, konfiguracja, system i zdarzenia przekazywane dalej. Windows przechowuje dzienniki zdarzeń w C:\WINDOWS\system32\config \ folder.
Zdarzenia aplikacji dotyczą zdarzeń związanych z oprogramowaniem zainstalowanym na komputerze lokalnym. Jeśli aplikacja taka jak Microsoft Word ulegnie awarii, dziennik zdarzeń systemu Windows utworzy wpis dziennika dotyczący problemu, nazwy aplikacji i przyczyny awarii.
zdarzenia zabezpieczeń przechowują informacje w oparciu o zasady audytu systemu Windows, a typowe przechowywane zdarzenia obejmują próby logowania i dostęp do zasobów. Na przykład dziennik zabezpieczeń przechowuje rekord, gdy komputer próbuje zweryfikować poświadczenia konta, gdy użytkownik próbuje zalogować się na komputerze.
zdarzenia konfiguracji obejmują zdarzenia związane z kontrolą domen, takie jak lokalizacja logów po konfiguracji dysku.
zdarzenia systemowe odnoszą się do zdarzeń w systemach specyficznych dla systemu Windows, takich jak stan sterowników urządzeń.
przekazywane zdarzenia pochodzą z innych maszyn w tej samej sieci, gdy administrator chce użyć komputera, który gromadzi wiele dzienników.
Korzystanie z przeglądarki zdarzeń
Microsoft zawiera przeglądarkę zdarzeń w swoim systemie operacyjnym Windows Server i client, aby przeglądać dzienniki zdarzeń Windows. Użytkownicy uzyskują dostęp do przeglądarki zdarzeń poprzez kliknięcie przycisku Start i wpisanie przeglądarki zdarzeń w polu wyszukiwania. Użytkownicy mogą następnie wybrać i sprawdzić żądany dziennik.
System Windows kategoryzuje każde zdarzenie według poziomu ważności. Poziomy w kolejności ważności to informacje, ostrzeżenia, błędy i krytyczne.
Większość dzienników składa się ze zdarzeń opartych na informacjach. Logi z tym wpisem zazwyczaj oznaczają, że zdarzenie miało miejsce bez incydentu lub problemu. Przykładem zdarzenia informacyjnego opartego na systemie jest Zdarzenie 42, Kernel-Power, które wskazuje, że system wchodzi w tryb uśpienia.
zdarzenia poziomu ostrzegania są oparte na konkretnych zdarzeniach, takich jak brak miejsca na dysku. Komunikaty ostrzegawcze mogą zwracać uwagę na potencjalne problemy, które mogą nie wymagać natychmiastowego działania. Zdarzenie 51, dysk jest przykładem Ostrzeżenia systemowego związanego z błędem stronicowania na dysku komputera.
poziom błędu wskazuje, że urządzenie mogło nie załadować się lub działać zgodnie z oczekiwaniami. Zdarzenie 5719, NETLOGON jest przykładem błędu systemowego, gdy komputer nie może skonfigurować bezpiecznej sesji za pomocą kontrolera domeny.
zdarzenia krytyczne wskazują na najpoważniejsze problemy. Event ID 41, Kernel-Power jest przykładem krytycznego zdarzenia systemowego, gdy maszyna uruchamia się ponownie bez czystego wyłączenia.
Inne narzędzia do wyświetlania dzienników zdarzeń systemu Windows
Microsoft udostępnia również narzędzie wiersza poleceń wevtutil w folderze System32, które pobiera dzienniki zdarzeń, uruchamia zapytania, eksportuje dzienniki, archiwizuje dzienniki i wyczyszcza dzienniki.
narzędzia innych firm, które również współpracują z dziennikami zdarzeń systemu Windows, obejmują SolarWinds Log & Event Manager, który zapewnia korelację zdarzeń w czasie rzeczywistym i ich naprawę, monitorowanie integralności plików, monitorowanie urządzeń USB i wykrywanie zagrożeń. Log & Event Manager automatycznie zbiera logi z serwerów, aplikacji i urządzeń sieciowych.
ManageEngine EventLog Analyzer tworzy niestandardowe raporty z danych dziennika i wysyła w czasie rzeczywistym wiadomości tekstowe i alerty e-mail na podstawie określonych zdarzeń.
używanie PowerShell do odpytywania zdarzeń
Microsoft tworzy dzienniki zdarzeń systemu Windows w formacie extensible markup language (XML) z rozszerzeniem EVTX. XML zapewnia bardziej szczegółowe informacje i spójny format danych ustrukturyzowanych.
administratorzy mogą tworzyć skomplikowane zapytania XML za pomocą polecenia cmdlet Get-WinEvent PowerShell, aby dodawać lub wykluczać zdarzenia z zapytania.