Просмотр событий

Материал из Википедии — свободной энциклопедии
Перейти к навигации Перейти к поиску
компонент в Windows
Просмотр событий
Тип компонента Утилита
Включён в Windows NT
Состояние Актуальное
Сайт microsoft.com

Просмотр событий (англ. Event Viewer) — компонент, включенный в состав операционных систем семейства Windows NT, разрабатываемых Microsoft, который позволяет администраторам просматривать лог событий на локальном компьютере или на удаленной машине. В Windows Vista Microsoft переработала систему событий. [1]

Из-за регулярного предоставления отчетов о незначительных ошибках запуска и обработки событий (которые на самом деле не наносят вреда или урона компьютеру) программное обеспечение часто используется мошенниками под видом «технической поддержки», чтобы убедить пользователей, незнакомых с «Просмотром событий», в том, что их компьютер содержит критические ошибки и нуждается в немедленной технической поддержке. Примером может служить поле «Административные события» в разделе «Пользовательские представления», которое может содержать более тысячи ошибок или предупреждений, зарегистрированных в течение месяца.

Описание[править | править код]

В Windows NT журналы событий появились с момента выпуска в 1993 году. Приложения и компоненты операционной системы могут использовать эту централизованную службу журналов для сообщения о событиях, которые произошли, например, при запуске компонента или выполнении действия.

«Просмотр событий» использует идентификаторы событий для определения уникально идентифицируемых событий, с которыми может столкнуться компьютер на базе ОС Windows. Например, когда аутентификация пользователя завершается с ошибкой, система может генерировать идентификатор события 672.

Windows NT 4.0 получила поддержку определения «источников событий» (приложений, создавших событие) и выполнения резервных копий журналов.

В Windows 2000 добавлена возможность приложениям создавать свои собственные источники журналов в дополнение к трем системным логам «Система», «Приложение» и «Безопасность». В Windows 2000 также заменено средство просмотра событий из Windows NT 4.0 консолью управления Microsoft (MMC).

В Windows Server 2003 добавлены вызовы AuthzInstallSecurityEventSource () API , чтобы приложения могли регистрироваться с логами безопасности и записывать входы в аудит безопасности.[2]

Версии Windows на базе ядра Windows NT 6.0 (Windows Vista и Windows Server 2008) больше не имеют ограничения в 300 МБ на общий размер логов. До ядра NT 6.0 система открывала файлы на диске как файлы с отображением памяти в пространстве памяти ядра, которые использовали те же пулы памяти, что и другие компоненты ядра. Файлы «Просмотра событий» с расширением .evtx обычно отображаются в каталоге, таком как C: \ Windows \ System32 \ winevt \ Logs \

Windows XP (командная строка)[править | править код]

Windows XP предоставляет набор из трех инструментов командной строки, полезных для автоматизации задач:

  • eventquery.vbs — официальный скрипт для запроса, фильтрации и вывода результатов на основе логов событий. Убран в следующих Windows.
  • eventcreate — команда (продолжил развитие в Windows Vista и Windows 7) для размещения пользовательских логах событий.
  • eventtriggers — команда для создания задач, управляемых событиями. Убран в следующих Windows, заменен компонентом «Прикрепить задачу к этому событию» (англ. Attach task to this event).

Windows Vista[править | править код]

Средство просмотра событий состоит из переписанной архитектуры отслеживания событий и регистрации в Windows Vista.[1] Оно былы переписано в виде структурированного формата логов XML и определенного типа лога, чтобы позволить приложениям более точно регистрировать события и помогать специалистам технической поддержки и разработчикам понимать события. XML-представление события можно просмотреть во вкладке «Сведения» в свойствах события. Кроме того, можно просмотреть все потенциальные события, их структуры, зарегистрированных владельцев событий и их конфигурацию с помощью утилиты wevtutil, даже до начала событий. Существует большое количество логов событий различного типа, включая административные, операционные, аналитические и отладочные логи. Выбор узла «Логи приложений» на панели «Область» показывает множество новых подкатегорий логов событий, в том числе многие, помеченные как логи диагностики. Аналитические и отладочные события, которые являются высокочастотными, непосредственно сохраняются через файл трассировки, в то время как административные и операционные события нередки, чтобы обеспечить дополнительную обработку, не влияя на производительность системы, поэтому они доставляются в службу журнала событий. События публикуются асинхронно, чтобы снизить влияние производительности на приложение публикации событий. Атрибуты событий также намного более детализированы и отображают свойства «ID события», «Уровень», «Задача», «Код операции» и «Ключевые слова».

Пользователи могут фильтровать журналы событий по одному или нескольким критериям или ограниченным выражением XPath 1.0, а пользовательские представления могут быть созданы для одного или нескольких событий. Использование XPath в качестве языка запросов позволяет просматривать журналы, относящиеся только к определенной подсистеме или к проблеме только с определенным компонентом, архивировать события выбора и отправлять трассировки «на лету» в службу технической поддержки.

Подписчики событий[править | править код]

К числу основных подписчиков событий относятся службы «Сборщик событий» и «Планировщик задач» 2.0. Служба «Сборщик событий» может автоматически пересылать журналы событий на другие удаленные системы под управлением Windows Vista, Windows Server 2008 или Windows Server 2003 R2 согласно настраиваемому расписанию. Журналы событий также могут быть удаленно просмотрены с других компьютеров, или несколько журналов событий могут централизованно регистрироваться и контролироваться без агента и управляться с одного компьютера. События также могут быть непосредственно связаны с задачами, которые выполняются в измененном планировщике заданий и запускают автоматические действия, когда происходят определенные события.

См. также[править | править код]

Примечания[править | править код]

  1. 1 2 Windows Vista: New Tools for Event Management in Windows Vista (рус.). www.microsoft.com. Проверено 18 января 2018.
  2. AuthzInstallSecurityEventSource function (Windows) (англ.). msdn2.microsoft.com. Проверено 18 января 2018.

Ссылки[править | править код]