Oc-windows.ru

IT Новости из мира ПК
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Как открыть журнал событий Windows 7

Как открыть журнал событий Windows 7

Как посмотреть логи windows

Всем привет, тема стать как посмотреть логи windows. Что такое логи думаю знают все, но если вдруг вы новичок, то логи это системные события происходящие в операционной системе как Windows так и Linux, которые помогают отследить, что, где и когда происходило и кто это сделал. Любой системный администратор обязан уметь читать логи windows.

Примером из жизни может служить ситуация когда на одном из серверов IBM, выходил из строя диск и для технической поддержки я собирал логи сервера, для того чтобы они могли диагностировать проблему. За собирание и фиксирование логов в Windows отвечает служба Просмотр событий. Просмотр событий это удобная оснастка для получения логов системы.

Как открыть в просмотр событий

Зайти в оснастку Просмотр событий можно очень просто, подойдет для любой версии Windows. Нажимаете волшебные кнопки

Откроется у вас окно просмотр событий windows в котором вам нужно развернуть пункт Журналы Windows. Пробежимся по каждому из журналов.

Журнал Приложение, содержит записи связанные с программами на вашем компьютере. В журнал пишется когда программа была запущена, если запускалась с ошибкоу, то тут это тоже будет отражено.

логи windows-01

Журнал аудит, нужен для понимания кто и когда что сделал. Например вошел в систему или вышел, попытался получить доступ. Все аудиты успеха или отказа пишутся сюда.

логи windows-02

Пункт Установка, в него записывает Windows логи о том что и когда устанавливалось Например программы или обновления.

логи windows-03

Самый важный журнал Это система. Сюда записывается все самое нужное и важное. Например у вас был синий экран bsod, и данные сообщения что тут заносятся помогут вам определить его причину.

логи windows-04

Так же есть логи windows для более специфических служб, например DHCP или DNS. Просмотр событий сечет все :).

логи windows-05

Фильтрация в просмотре событий

Предположим у вас в журнале Безопасность более миллиона событий, наверняка вы сразу зададите вопрос есть ли фильтрация, так как просматривать все из них это мазохизм. В просмотре событий это предусмотрели, логи windows можно удобно отсеять оставив только нужное. Справа в области Действия есть кнопка Фильтр текущего журнала.

Фильтрация в просмотре событий

Вас попросят указать уровень событий:

  • Критическое
  • Ошибка
  • Предупреждение
  • Сведения
  • Подробности

Все зависит от задачи поиска, если вы ищите ошибки, то смысла в других типах сообщение нету. Далее можете для того чтобы сузить границы поиска просмотра событий укзать нужный источник событий и код.

Фильтрация в просмотре событий-2

Так что как видите разобрать логи windows очень просто, ищем, находим, решаем. Так же может быть полезным быстрая очистка логов windows:

Посмотреть логи windows PowerShell

Было бы странно если бы PowerShell не умел этого делать, для отображения log файлов открываем PowerShell и вводим вот такую команду

В итоге вы получите список логов журнала Система

Тоже самое можно делать и для других журналов например Приложения

небольшой список абревиатур

  • Код события — EventID
  • Компьютер — MachineName
  • Порядковый номер события — Data, Index
  • Категория задач — Category
  • Код категории — CategoryNumber
  • Уровень — EntryType
  • Сообщение события — Message
  • Источник — Source
  • Дата генерации события — ReplacementString, InstanceID, TimeGenerated
  • Дата записи события — TimeWritten
  • Пользователь — UserName
  • Сайт — Site
  • Подразделение — Conteiner

Например, для того чтобы в командной оболочке вывести события только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система», выполним команду:

вывести события

Если нужно вывести более подробно, то заменим Format-Table на Format-List

Как видите формат уже более читабельный.

Format-List

Так же можно пофильтровать журналы например показать последние 20 сообщений

показать последние 20 сообщений

Или выдать список сообщение позднее 1 ноября 2014

Дополнительные продукты

Так же вы можете автоматизировать сбор событий, через такие инструменты как:

  • Комплекс мониторинга Zabbix
  • Через пересылку событий средствами Windows на сервер коллектор
  • Через комплекс аудита Netwrix
  • Если у вас есть SCOM, то он может агрегировать любые логи Windows платформ
  • Любые DLP системы

Так что вам выбирать будь то просмотр событий или PowerShell для просмотра событий windows, это уже ваше дело. Материал сайта pyatilistnik.org

Удаленный просмотр логов

  • Первый метод

Не так давно в появившейся операционной системе Windows Server 2019, появился компонент удаленного администрирования Windows Admin Center. Он позволяет проводить дистанционное управление компьютером или сервером, подробнее он нем я уже рассказывал. Тут я хочу показать, что поставив его себе на рабочую станцию вы можете подключаться из браузера к другим компьютерам и легко просматривать их журналы событий, тем самым изучая логи Windows. В моем примере будет сервер SVT2019S01, находим его в списке доступных и подключаемся (Напомню мы так производили удаленную настройку сети в Windows).

Удаленное подключение через Windows Admin Center

Далее вы выбираете вкладку «События», выбираете нужный журнал, в моем примере я хочу посмотреть все логи по системе. С моей точки зрения тут все просматривать куда удобнее, чем из просмотра событий. Плюсом будет, то что вы это можете сделать из любого телефона или планшета. В правом углу есть удобная форма поиска

Читать еще:  Как добавить в группу в ВатсАпе человека

Просмотр логов Windows через Windows Admin Center

Если нужно произвести более тонкую фильтрацию логов, то вы можете воспользоваться кнопкой фильтра.

Фильтрация логов в Windows Admin Center

Тут вы так же можете выбрать уровень события, например оставив только критические и ошибки, задать временной диапазон, код событий и источник.

Настройка фильтрации логов Windows через Windows Admin Center

Вот пример фильтрации по событию 19.

Удаленный просмотр логов Windows

Очень удобно экспортировать полностью журнал в формат evxt, который потом легко открыть через журнал событий. Так, что Windows Admin Center, это мощное средство по просмотру логов.

  • Второй метод

Второй способ удаленного просмотров логов Windows, это использование оснастки управление компьютером или все той же «Просмотр событий». Чтобы посмотреть логи Windows на другом компьютере или сервере, в оснастке щелкните по верхнему пункту правым кликом и выберите из контекстного меню «Подключиться к другому компьютеру«.

Подключиться к другому компьютеру

Указываем имя другого компьютера, в моем примере это будет SVT2019S01

Указание имени удаленного компьютера для просмотра логов

Если все хорошо и нет блокировок со стороны брандмауэра или антивируса, то вы попадете в удаленный просмотр событий .если будут блокировки, то получите сообщение по типу, что не пролетает трафик COM+.

Просмотр событий

Просмотр событий (англ.  Event Viewer ) — компонент, включённый в состав операционных систем семейства Windows NT, разрабатываемых Microsoft, который позволяет администраторам просматривать лог событий на локальном компьютере или на удалённой машине. В Windows Vista Microsoft переработала систему событий. [1]

Из-за регулярного предоставления отчётов о незначительных ошибках запуска и обработки событий (которые на самом деле не наносят вреда или урона компьютеру) программное обеспечение часто используется мошенниками под видом «технической поддержки», чтобы убедить пользователей, незнакомых с «Просмотром событий», в том, что их компьютер содержит критические ошибки и нуждается в немедленной технической поддержке. Примером может служить поле «Административные события» в разделе «Пользовательские представления», которое может содержать более тысячи ошибок или предупреждений, зарегистрированных в течение месяца.

Содержание

Описание [ править | править код ]

В Windows NT журналы событий появились с момента выпуска в 1993 году. Приложения и компоненты операционной системы могут использовать эту централизованную службу журналов для сообщения о событиях, которые произошли, например, при запуске компонента или выполнении действия.

«Просмотр событий» использует идентификаторы событий для определения уникально идентифицируемых событий, с которыми может столкнуться компьютер на базе ОС Windows. Например, когда аутентификация пользователя завершается с ошибкой, система может генерировать идентификатор события 672.

Windows NT 4.0 получила поддержку определения «источников событий» (приложений, создавших событие) и выполнения резервных копий журналов.

В Windows 2000 добавлена возможность приложениям создавать свои собственные источники журналов в дополнение к трём системным логам «Система», «Приложение» и «Безопасность». В Windows 2000 также заменено средство просмотра событий из Windows NT 4.0 консолью управления Microsoft (MMC).

В Windows Server 2003 добавлены вызовы AuthzInstallSecurityEventSource () API, чтобы приложения могли регистрироваться с логами безопасности и записывать входы в аудит безопасности. [2]

Версии Windows на базе ядра Windows NT 6.0 (Windows Vista и Windows Server 2008) больше не имеют ограничения в 300 МБ на общий размер логов. До ядра NT 6.0 система открывала файлы на диске как файлы с отображением памяти в пространстве памяти ядра, которые использовали те же пулы памяти, что и другие компоненты ядра. Файлы «Просмотра событий» с расширением .evtx обычно отображаются в каталоге, таком как C: Windows System32 winevt Logs

Windows XP (командная строка) [ править | править код ]

Windows XP предоставляет набор из трёх инструментов командной строки, полезных для автоматизации задач:

  • eventquery.vbs  — официальный скрипт для запроса, фильтрации и вывода результатов на основе логов событий. Убран в следующих Windows.
  • eventcreate  — команда (продолжил развитие в Windows Vista и Windows 7) для размещения пользовательских логах событий.
  • eventtriggers  — команда для создания задач, управляемых событиями. Убран в следующих Windows, заменён компонентом «Прикрепить задачу к этому событию» (англ.  Attach task to this event ).

Windows Vista [ править | править код ]

Средство просмотра событий состоит из переписанной архитектуры отслеживания событий и регистрации в Windows Vista. [1] Оно было переписано в виде структурированного формата логов XML и определённого типа лога, чтобы позволить приложениям более точно регистрировать события и помогать специалистам технической поддержки и разработчикам понимать события. XML-представление события можно просмотреть во вкладке «Сведения» в свойствах события. Кроме того, можно просмотреть все потенциальные события, их структуры, зарегистрированных владельцев событий и их конфигурацию с помощью утилиты wevtutil, даже до начала событий. Существует большое количество логов событий различного типа, включая административные, операционные, аналитические и отладочные логи. Выбор узла «Логи приложений» на панели «Область» показывает множество новых подкатегорий логов событий, в том числе многие, помеченные как логи диагностики. Аналитические и отладочные события, которые являются высокочастотными, непосредственно сохраняются через файл трассировки, в то время как административные и операционные события нередки, чтобы обеспечить дополнительную обработку, не влияя на производительность системы, поэтому они доставляются в службу журнала событий. События публикуются асинхронно, чтобы снизить влияние производительности на приложение публикации событий. Атрибуты событий также намного более детализированы и отображают свойства «ID события», «Уровень», «Задача», «Код операции» и «Ключевые слова».

Читать еще:  Как найти маски для сторис в Инстаграме

Пользователи могут фильтровать журналы событий по одному или нескольким критериям или ограниченным выражением XPath 1.0, а пользовательские представления могут быть созданы для одного или нескольких событий. Использование XPath в качестве языка запросов позволяет просматривать журналы, относящиеся только к определённой подсистеме или к проблеме только с определённым компонентом, архивировать события выбора и отправлять трассировки «на лету» в службу технической поддержки.

Подписчики событий [ править | править код ]

К числу основных подписчиков событий относятся службы «Сборщик событий» и «Планировщик задач» 2.0. Служба «Сборщик событий» может автоматически пересылать журналы событий на другие удалённые системы под управлением Windows Vista, Windows Server 2008 или Windows Server 2003 R2 согласно настраиваемому расписанию. Журналы событий также могут быть удалённо просмотрены с других компьютеров, или несколько журналов событий могут централизованно регистрироваться и контролироваться без агента и управляться с одного компьютера. События также могут быть непосредственно связаны с задачами, которые выполняются в изменённом планировщике заданий и запускают автоматические действия, когда происходят определённые события.

Как посмотреть логи Windows?

Логи — это системные события, который происходят в любой операционной системе. С помощью логов можно легко отследить кто, что и когда делал. Читать логи могут не только системные администраторы, поэтому в данной инструкции рассмотрим, как смотреть логи ОС windows.

Ищете сервер с Windows? Выбирайте наши Windows VDS

Просмотр событий для проверки логов.

После нажатия комбинации “ Win+R и введите eventvwr.msc ” в любой системе Виндовс вы попадаете в просмотр событий. У вас откроется окно, где нужно развернуть Журналы Windows. В данном окне можно просмотреть все программы, которые открывались на ОС и, если была допущена ошибка, она также отобразится.

windows_logs

Аудит журнал поможет понять, что и кто и когда делал. Также отображается информация по запросам получения доступов.

windows_logs2

В пункте Установка можно посмотреть логи ОС Виндовс, например, программы и обновления системы.

windows_logs3

Система — наиболее важный журнал. С его помощью можно определить большинство ошибок ОС. К примеру, у вас появлялся синий экран. В данном журнале можно определить причину его появления.

windows_logs4

Логи windows — для более специфических служб. Это могут быть DHCP или DNS.

windows_logs5

Фильтрация событий.

С помощью Фильтра текущего журнала (раздел Действия) можно отфильтровать информацию, которую вы хотите просмотреть.

windows_logs6

Обязательно нужно указать уровень Событий:

  • Критическое
  • Ошибка
  • Предупреждение
  • Сведения
  • Подробности

Для сужения поиска можно отфильтровать источник событий и код.

windows_logs7

Просмотр PowerShell логов.

Открываем PowerShell и вставляем следующую команду Get-EventLog -Logname ‘System’

В результате вы получите логи Системы

windows_logs8

Для журнала Приложения используйте эту команду Get-EventLog -Logname ‘Application

windows_logs9

Также обязательно ознакомьтесь с перечнем аббревиатур:

  • Код события — EventID
  • Компьютер — MachineName
  • Порядковый номер события — Data, Index
  • Категория задач — Category
  • Код категории — CategoryNumber
  • Уровень — EntryType
  • Сообщение события — Message
  • Источник — Source
  • Дата генерации события — ReplacementString, InstanceID, TimeGenerated
  • Дата записи события — TimeWritten
  • Пользователь — UserName
  • Сайт — Site
  • Подразделение — Conteiner

Для выведения событий в командной оболочке только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система» используйте:

Get-EventLog –LogName ‘System’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

windows_logs10

Если нужна подробная информация, замените Format-Table на Format-List на

Get-EventLog –LogName ‘System’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Формат информации станет более легким

windows_logs11

Для фильтрации журнала, например, для фильтрации последних 20 сообщений, используйте команду

Get-EventLog –Logname ‘System’ –Newest 20

vyivesti-sobyitiya

Если нужен список, позднее даты 1 января 2018 года, команда

Get-EventLog –LogName ‘System’ –After ‘1 января 2018’

Надеемся, данная статья поможет вам быстро и просто читать логи ОС Windows.

Желаем приятной работы!

Как установить свой образ на ВДС сервер с Виндовс, читайте в предыдущей статье.

Экспорт, очистка и увеличение размера для журналов событий в Windows

Средство просмотра событий в Windows — это централизованная служба журналов, используемая приложениями и компонентами операционной системы для сообщения о произошедших событиях, таких как сбой при выполнении действия или запуск компонента или программы.

В окне просмотра событий есть несколько разделов, таких как «Приложение и безопасность» в журналах Windows и «Журналы приложений и служб». Списки событий в каждом разделе средства просмотра событий накапливаются с течением времени, и списки могут становиться очень длинными и сокращать время загрузки средства просмотра событий. Это также может затруднить поиск проблем. Вы можете даже встретить сообщение о том, что журнал событий заполнен.

Читать еще:  Скачать переводчик Dicter бесплатно

В этой статье объясняется, как экспортировать журналы событий для их резервного копирования, как их очистить и как увеличить размер журнала событий.

Экспорт журнала событий Windows

Рекомендуется экспортировать журнал событий для его резервного копирования перед очисткой. Для этого щелкните правой кнопкой мыши журнал, который вы хотите экспортировать, в дереве слева от окна «Просмотр событий» и выберите «Сохранить все события как» во всплывающем меню. Используйте стрелки справа от элементов дерева, чтобы развернуть и свернуть различные разделы дерева.

Выбор Сохранить все события как

ПРИМЕЧАНИЕ. Вы также можете нажать «Сохранить все события как» в списке «Действия» в правой части окна. Имя выбранного журнала отображается в виде заголовка над доступными параметрами.

Выбор Сохранить все событие как из списка действий

Если вы не видите доступных опций, которые также доступны во всплывающем меню под названием выбранного журнала, нажмите стрелку вниз в заголовке, чтобы развернуть список.

Расширение списка действий

В диалоговом окне «Сохранить как» перейдите туда, куда вы хотите сохранить файл журнала событий. Введите имя сохраненного файла журнала в поле «Имя файла» и выберите тип файла в раскрывающемся списке «Тип файла».

ПРИМЕЧАНИЕ. Вы можете сохранить файл журнала в виде файла событий (.evtx), файла XML (.xml), файла с разделителями табуляции (.txt) или файла, разделенного запятыми (.csv). Единственный тип файлов, который вы можете снова импортировать в программу просмотра событий, — это тип .evtx. Другие типы позволяют просматривать данные журнала за пределами средства просмотра событий, но файлы нельзя импортировать обратно в средство просмотра событий.

Нажмите Сохранить, чтобы сохранить журнал событий в файл.

Сохранение файла журнала событий

Если вы выбрали тип файла .evtx, отобразится диалоговое окно «Отображение информации». Если вы хотите иметь возможность импортировать данные журнала в программу просмотра событий на другом компьютере, вам может потребоваться включить отображаемую информацию в экспортированный файл журнала. Выберите переключатель Отображать информацию для этих языков. Если вам нужен другой язык, установите флажок Показать все доступные языки и установите флажок для нужного языка, если он доступен. Нажмите ОК.

Диалоговое окно отображения информации

Каталог, содержащий метаданные для вашей локали, записывается в тот же каталог, что и сохраненный вами файл журнала.

Папка с метаданными

Открыть сохраненный журнал

Чтобы открыть файл журнала, который вы экспортировали как файл .evtx, выберите «Открыть сохраненный журнал» в меню «Действие».

Выбор Open Saved Log

В диалоговом окне «Открыть сохраненный журнал» перейдите туда, где вы сохранили файл .evtx, выберите его и нажмите «Открыть».

Открытие сохраненного файла журнала

Очистить журнал событий

После экспорта журнала вы можете легко очистить его. Для этого выберите «Очистить журнал» в меню «Действие».

ПРИМЕЧАНИЕ. Вы также можете щелкнуть правой кнопкой мыши журнал и выбрать «Очистить журнал» во всплывающем меню или щелкнуть «Очистить журнал» в списке действий в правой части окна «Просмотр событий».

Выбор Очистить журнал

Появится диалоговое окно, позволяющее сохранить журнал перед очисткой, если вы еще не экспортировали его. Если щелкнуть «Сохранить и очистить», отобразится то же диалоговое окно «Сохранить как», которое упоминалось ранее, и отобразится диалоговое окно «Отображать информацию», если вы выберите тип файла .evtx. Если вы уже сохранили файл журнала, нажмите «Очистить», чтобы очистить журнал.

Нажав Сохранить и очистить

Увеличьте максимальный размер журнала событий

Если вы получили сообщение о том, что журнал событий заполнен, вы можете увеличить максимально допустимый размер этого журнала. Для этого щелкните правой кнопкой мыши нужный журнал и выберите «Свойства» во всплывающем меню.

ПРИМЕЧАНИЕ. Опять же, вы можете получить доступ к опции «Свойства» из меню «Действие» или из списка «Действия».

Получение свойств журнала событий

Откроется диалоговое окно «Свойства журнала». Чтобы увеличить максимально допустимый размер для выбранного журнала, щелкните стрелку вверх в поле редактирования Максимальный размер журнала, чтобы изменить его количество (в килобайтах). Вы также можете выделить текущий номер и ввести новый номер.

Выберите действие, которое нужно выполнить при достижении максимального размера журнала событий. Вы можете выбрать «Перезаписывать» события по мере необходимости, начиная с самых старых событий, «Заархивировать журнал при заполнении», который не перезаписывает какие-либо события, или «Не перезаписывать события», что означает, что вы должны очистить журнал событий вручную.

Вы также можете очистить выбранный журнал в диалоговом окне Свойства журнала, нажав Очистить журнал. Нажмите OK, когда вы закончите вносить изменения.

Изменение максимального размера журнала

Чтобы закрыть окно просмотра событий, выберите «Выход» в меню «Файл».

Закрытие просмотра событий

Средство просмотра событий Windows — это полезный инструмент для получения информации о вашем оборудовании, программном обеспечении и системных компонентах. Он может помочь вам определить текущие системные проблемы, например, почему ваш компьютер вышел из строя или что вызвало последнюю проблему с определенной программой. Наслаждайтесь!

Ссылка на основную публикацию
Adblock
detector
×
×