log de eventos Do Windows é um registro detalhado do sistema, de segurança e notificações do aplicativo armazenados pelo sistema operacional Windows, que é utilizado por administradores para diagnosticar problemas do sistema e prever problemas futuros.
os aplicativos e o sistema operacional (so) usam esses logs de eventos para registrar ações importantes de hardware e software que o administrador pode usar para solucionar problemas com o sistema operacional. O Sistema Operacional Windows rastreia eventos específicos em seus arquivos de log, como instalações de aplicativos, gerenciamento de segurança, operações de configuração do sistema na inicialização inicial e problemas ou erros.
Os elementos de um log de eventos do Windows
Cada evento em uma entrada de log contém as seguintes informações:
Data: a data em que O evento ocorreu.
tempo: a hora em que o evento ocorreu.
usuário: o nome de usuário do usuário conectado à máquina quando o evento ocorreu.
computador: o nome do computador.
ID do evento: Um número de identificação do Windows que especifica o tipo de Evento.
fonte: o programa ou componente que causou o evento.
tipo: o tipo de evento, incluindo informações, aviso, erro, auditoria de sucesso de segurança ou auditoria de falha de segurança.
Por exemplo, um evento de informação pode ser apresentada como:
Informações 5/16/2018 8:41:15 AM Gerenciador de Controle de Serviço 7036 Nenhum
Um evento de aviso pode parecer:
Aviso 5/11/2018 10:29:47 AM Kernel-Rastreamento de Eventos 1 Log
Por comparação, um evento de erro pode aparecer como:
Erro 5/16/2018 8:41:15 AM Gerenciador de Controle de Serviço 7001 Nenhum
Um evento crítico pode ser semelhante:
Crítica 5/11/2018 8:55:02 AM Kernel-Power 41 (63)
O tipo de informações armazenadas em logs de eventos do Windows
O sistema operacional Windows registros de eventos em cinco áreas: aplicação, de segurança, de instalação, de sistema e de eventos encaminhados. O Windows armazena logs de eventos no C:\WINDOWS\system32\config \ pasta.
eventos de aplicativos referem-se a incidentes com o software instalado no computador local. Se um aplicativo como o Microsoft Word travar, o log de eventos do Windows criará uma entrada de log sobre o problema, o nome do aplicativo e por que ele travou.
os Eventos de segurança armazenam informações com base nas políticas de auditoria do sistema Windows, e os eventos típicos armazenados incluem tentativas de login e acesso a recursos. Por exemplo, o log de segurança armazena um registro quando o computador tenta verificar as credenciais da conta quando um usuário tenta fazer logon em uma máquina.
os eventos de configuração incluem eventos focados na empresa relacionados ao controle de domínios, como a localização dos logs após uma configuração de disco.
os Eventos do sistema referem-se a incidentes em sistemas específicos do Windows, como o status dos drivers de dispositivo.
eventos encaminhados chegam de outras máquinas na mesma rede quando um administrador deseja usar um computador que reúne vários logs.
usando o Visualizador de eventos
a Microsoft inclui o Visualizador de Eventos em seu sistema operacional Windows Server e cliente para visualizar os logs de eventos do Windows. Os usuários acessam o Visualizador de eventos clicando no botão Iniciar e inserindo o Visualizador de Eventos no campo de pesquisa. Os usuários podem então selecionar e inspecionar o log desejado.
Windows categoriza cada evento com um nível de gravidade. Os níveis em ordem de gravidade são informações, aviso, erro e crítico.
a maioria dos logs consiste em eventos baseados em informações. Logs com esta entrada geralmente significam que o evento ocorreu sem incidente ou problema. Um exemplo de um evento de informação baseado no sistema é o evento 42, Kernel-Power que indica que o sistema está entrando no modo de suspensão.
os eventos de Nível de aviso são baseados em eventos específicos, como a falta de espaço de armazenamento. As mensagens de aviso podem chamar a atenção para possíveis problemas que podem não exigir ações imediatas. Evento 51, disco é um exemplo de um aviso baseado no sistema relacionado a um erro de paginação na unidade da máquina.
um nível de erro indica que um dispositivo pode ter falhado ao carregar ou operar esperado. Evento 5719, NETLOGON é um exemplo de erro do sistema quando um computador não pode configurar uma sessão segura com um controlador de domínio.
eventos de Nível Crítico indicam os problemas mais graves. ID de Evento 41, Kernel-Power é um exemplo de um evento crítico do sistema quando uma máquina é reinicializada sem um desligamento limpo.
Outras ferramentas para visualizar logs de eventos do Windows
a Microsoft também fornece o utilitário de linha de comando wevtutil na pasta System32 que recupera logs de eventos, executa consultas, exporta logs, logs de arquivos e logs claros.
utilitários de terceiros que também funcionam com logs de eventos do Windows incluem SolarWinds Log & Event Manager, que fornece correlação e correção de eventos em tempo real; monitoramento de integridade de arquivos; monitoramento de dispositivos USB; e detecção de ameaças. Log & o Event Manager coleta automaticamente logs de servidores, aplicativos e dispositivos de rede.
ManageEngine EventLog Analyzer cria relatórios personalizados a partir de dados de log e envia mensagens de texto Em tempo real e alertas de E-mail com base em eventos específicos.
usando o PowerShell para consultar eventos
a Microsoft cria logs de eventos do Windows no formato Extensible markup language (XML) com uma extensão EVTX. XML fornece informações mais granulares e um formato consistente para dados estruturados.Os administradores podem criar consultas XML complicadas com o cmdlet Get-WinEvent PowerShell para adicionar ou excluir eventos de uma consulta.