Windows händelseloggen är en detaljerad registrering av system -, säkerhets-och applikationsmeddelanden som lagras av Windows operativsystem som används av administratörer för att diagnostisera systemproblem och förutsäga framtida problem.
program och operativsystem (OS) använder dessa händelseloggar för att spela in viktiga hårdvaru-och programvaruåtgärder som administratören kan använda för att felsöka problem med operativsystemet. Windows-operativsystemet spårar specifika händelser i sina loggfiler, till exempel programinstallationer, säkerhetshantering, systeminstallationsoperationer vid första start och problem eller fel.
elementen i en Windows-händelselogg
varje händelse i en loggpost innehåller följande information:
Datum: det datum händelsen inträffade.
tid: tiden då händelsen inträffade.
användare: användarnamnet för användaren loggade in på maskinen när händelsen inträffade.
dator: namnet på datorn.
Händelse-ID: Ett Windows-identifieringsnummer som anger händelsetypen.
källa: programmet eller komponenten som orsakade händelsen.
Typ: typ av händelse, inklusive information, Varning, fel, säkerhetsframgångsrevision eller säkerhetsfelrevision.
till exempel kan en informationshändelse visas som:
Information 5/16/2018 8:41:15 am Service Control Manager 7036 ingen
en varningshändelse kan se ut som:
Varning 5/11/2018 10:29:47 am Kernel-Händelsespårning 1 loggning
som jämförelse, en felhändelse kan visas som:
fel 5/16/2018 8:41: 15 am Service Control Manager 7001 ingen
en kritisk händelse kan likna:
kritisk 5/11/2018 8:55:02 am Kernel-Power 41 (63)
den typ av information som lagras i Windows händelseloggar
Windows-operativsystemet registrerar händelser inom fem områden: applikation, säkerhet, inställning, system och vidarebefordrade händelser. Windows lagrar händelseloggar i C:\WINDOWS\system32\config \ mapp.
Applikationshändelser avser incidenter med programvaran installerad på den lokala datorn. Om ett program som Microsoft Word kraschar skapar Windows-händelseloggen en loggpost om problemet, applikationsnamnet och varför det kraschade.
säkerhetshändelser lagrar information baserat på Windows-systemets granskningsprinciper, och de typiska händelser som lagras inkluderar inloggningsförsök och resursåtkomst. Säkerhetsloggen lagrar till exempel en post när datorn försöker verifiera kontouppgifter när en användare försöker logga in på en dator.
Inställningshändelser inkluderar företagsfokuserade händelser relaterade till kontroll av domäner, till exempel platsen för loggar efter en diskkonfiguration.
Systemhändelser avser incidenter på Windows-specifika system, till exempel status för drivrutiner.
vidarebefordrade händelser kommer från andra datorer i samma nätverk när en administratör vill använda en dator som samlar flera loggar.
använda Loggboken
Microsoft inkluderar Loggboken i operativsystemet Windows Server och klient för att visa händelseloggar i Windows. Användare kommer åt Loggboken genom att klicka på Start-knappen och ange Loggboken i sökfältet. Användare kan sedan välja och inspektera önskad logg.
Windows kategoriserar varje händelse med en svårighetsgrad. Nivåerna i svårighetsgrad är information, Varning, fel och kritisk.
de flesta loggar består av informationsbaserade händelser. Loggar med den här posten betyder vanligtvis att händelsen inträffade utan incident eller problem. Ett exempel på en systembaserad informationshändelse är Händelse 42, Kernel-Power som indikerar att systemet går in i viloläge.
Varningsnivåhändelser baseras på särskilda händelser, till exempel brist på lagringsutrymme. Varningsmeddelanden kan uppmärksamma potentiella problem som kanske inte kräver omedelbar åtgärd. Händelse 51, Disk är ett exempel på en systembaserad varning relaterad till ett personsökningsfel på maskinens enhet.
en felnivå indikerar att en enhet kan ha misslyckats med att ladda eller fungera förväntat. Händelse 5719, NETLOGON är ett exempel på ett systemfel när en dator inte kan konfigurera en säker session med en domänkontrollant.
kritiska nivåhändelser indikerar de allvarligaste problemen. Händelse-ID 41, Kernel-Power är ett exempel på en kritisk systemhändelse när en maskin startar om utan en ren avstängning.
andra verktyg för att visa Windows händelseloggar
Microsoft tillhandahåller också kommandoradsverktyget wevtutil i mappen System32 som hämtar händelseloggar, kör frågor, exporterar loggar, arkivloggar och rensa loggar.
tredjepartsverktyg som också fungerar med Windows händelseloggar inkluderar SolarWinds Log & Event Manager, som ger realtidshändelsekorrelation och sanering; filintegritetsövervakning; USB-enhetsövervakning; och hotdetektering. Log & Event Manager samlar automatiskt loggar från servrar, applikationer och nätverksenheter.
ManageEngine EventLog Analyzer bygger anpassade rapporter från loggdata och skickar realtid textmeddelande och e-postmeddelanden baserat på specifika händelser.
använda PowerShell för att fråga händelser
Microsoft bygger Windows-händelseloggar i XML-format (extensible markup language) med ett EVTX-tillägg. XML ger mer detaljerad information och ett konsekvent format för strukturerad data.
administratörer kan bygga komplicerade XML-frågor med Get-WinEvent PowerShell cmdlet för att lägga till eller utesluta händelser från en fråga.