Jurnalul de evenimente Windows este o înregistrare detaliată a notificărilor de sistem, securitate și aplicații stocate de sistemul de operare Windows care este utilizat de administratori pentru a diagnostica problemele de sistem și pentru a prezice problemele viitoare.
aplicațiile și sistemul de operare (OS) utilizează aceste jurnale de evenimente pentru a înregistra acțiuni hardware și software importante pe care administratorul le poate utiliza pentru a depana problemele cu sistemul de operare. Sistemul de operare Windows urmărește anumite evenimente din fișierele jurnal, cum ar fi instalările aplicațiilor, gestionarea securității, operațiunile de configurare a sistemului la pornirea inițială și problemele sau erorile.
elementele unui jurnal de evenimente Windows
fiecare eveniment dintr-o intrare de jurnal conține următoarele informații:
Date: data la care a avut loc evenimentul.
ora: ora la care a avut loc evenimentul.
utilizator: numele de utilizator al utilizatorului conectat la aparat atunci când a avut loc evenimentul.
Computer: numele computerului.
ID eveniment: Un număr de identificare Windows care specifică tipul de eveniment.
Sursa: programul sau componenta care a provocat evenimentul.
Tip: Tipul de eveniment, inclusiv informații, avertizare, eroare, audit de succes de securitate sau audit de eșec de securitate.
de exemplu, un eveniment de informare ar putea apărea ca:
informații 5/16/2018 8:41:15 am Service Control Manager 7036 nici unul
un eveniment de avertizare ar putea arăta ca:
avertizare 5/11/2018 10:29:47 Am Kernel-Event Tracing 1 logare
prin comparație, un eveniment de eroare poate apărea ca:
eroare 5/16/2018 8:41: 15 am Service Control Manager 7001 nici unul
un eveniment critic s-ar putea asemăna:
critic 5/11/2018 8:55:02 Am Kernel-putere 41 (63)
tipul de informații stocate în jurnalele de evenimente Windows
sistemul de operare Windows înregistrează evenimente în cinci domenii: aplicație, Securitate, Configurare, sistem și evenimente redirecționate. Windows stochează jurnalele de evenimente în C:\WINDOWS\system32\config \ dosar.
evenimentele aplicației se referă la incidente cu software-ul instalat pe computerul local. Dacă o aplicație precum Microsoft Word se blochează, atunci Jurnalul de evenimente Windows va crea o intrare de jurnal despre problemă, numele aplicației și motivul pentru care s-a prăbușit.
evenimentele de securitate stochează informații pe baza politicilor de audit ale sistemului Windows, iar evenimentele tipice stocate includ încercările de conectare și accesul la resurse. De exemplu, jurnalul de securitate stochează o înregistrare atunci când computerul încearcă să verifice acreditările contului atunci când un utilizator încearcă să se conecteze la o mașină.
evenimentele de configurare includ evenimente axate pe întreprindere referitoare la controlul domeniilor, cum ar fi locația jurnalelor după o configurație de disc.
evenimentele de sistem se referă la incidente pe sisteme specifice Windows, cum ar fi starea driverelor de dispozitiv.
evenimentele redirecționate sosesc de la alte mașini din aceeași rețea atunci când un administrator dorește să utilizeze un computer care adună mai multe jurnale.
utilizarea Vizualizatorului de evenimente
Microsoft include vizualizatorul de evenimente în sistemul său de operare Windows Server și client pentru a vizualiza jurnalele de evenimente Windows. Utilizatorii accesează vizualizatorul de evenimente făcând clic pe butonul Start și introducând vizualizatorul de evenimente în câmpul de căutare. Utilizatorii pot apoi să selecteze și să inspecteze Jurnalul dorit.
Windows clasifică fiecare eveniment cu un nivel de severitate. Nivelurile în ordinea severității sunt informații, avertizare, eroare și critică.
majoritatea jurnalelor constau în evenimente bazate pe informații. Jurnalele cu această intrare înseamnă de obicei evenimentul a avut loc fără incidente sau probleme. Un exemplu de eveniment Informațional bazat pe sistem este evenimentul 42, Kernel-Power, care indică faptul că sistemul intră în modul de repaus.
evenimentele de nivel de avertizare se bazează pe evenimente particulare, cum ar fi lipsa spațiului de stocare. Mesajele de avertizare pot atrage atenția asupra problemelor potențiale care ar putea să nu necesite acțiuni imediate. Evenimentul 51, discul este un exemplu de avertizare bazată pe sistem legată de o eroare de paginare pe unitatea mașinii.
un nivel de eroare indică faptul că este posibil ca un dispozitiv să nu fi reușit să se încarce sau să funcționeze în mod așteptat. Eveniment 5719, NETLOGON este un exemplu de eroare de sistem atunci când un computer nu poate configura o sesiune securizată cu un controler de domeniu.
evenimentele de nivel critic indică cele mai grave probleme. Event ID 41, Kernel-Power este un exemplu de eveniment de sistem critic atunci când o mașină repornește fără o oprire curată.
alte instrumente pentru a vizualiza jurnalele de evenimente Windows
Microsoft oferă, de asemenea, utilitarul de linie de comandă wevtutil în folderul System32 care preia jurnalele de evenimente, execută interogări, exportă jurnalele, jurnalele de arhive și jurnalele clare.
utilitățile terță parte care funcționează și cu jurnalele de evenimente Windows includ SolarWinds Log & Event Manager, care oferă corelarea și remedierea evenimentelor în timp real; monitorizarea integrității fișierelor; monitorizarea dispozitivului USB; și detectarea amenințărilor. Log & Event Manager colectează automat jurnalele de la servere, aplicații și dispozitive de rețea.
ManageEngine EventLog Analyzer construiește rapoarte personalizate din datele de jurnal și trimite mesaje text în timp real și alerte prin e-mail bazate pe evenimente specifice.
utilizarea PowerShell pentru a interoga evenimente
Microsoft construiește jurnalele de evenimente Windows în format Extensible markup language (XML) cu o extensie EVTX. XML oferă informații mai granulare și un format consistent pentru date structurate.
administratorii pot construi interogări XML complicate cu cmdletul Get-WinEvent PowerShell pentru a adăuga sau exclude evenimente dintr-o interogare.