Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Журнал программы просмотра событий
Eventvwr icon.png
Главный экран средства просмотра событий Windows 10.png
Средство просмотра событий в Windows 10
Разработчики)Microsoft
Операционная системаМайкрософт Виндоус
Наименование услугиЖурнал событий Windows ( EventLog )
ТипУтилита
Интернет сайтwww .microsoft .com Отредактируйте это в Викиданных

Просмотр событий является компонентом Microsoft «s Windows NT операционной системы , что позволяет администраторам и пользователям просмотра журналов событий на локальном или удаленном компьютере. Приложения и компоненты операционной системы могут использовать эту централизованную службу журналов для отчетов о произошедших событиях, таких как сбой при запуске компонента или завершении действия. В Windows Vista Microsoft переработала систему событий. [1]

Из-за того, что средство просмотра событий регулярно сообщает о незначительных ошибках запуска и обработки (которые на самом деле не наносят вреда или повреждения компьютеру), программное обеспечение часто используется мошенниками службы технической поддержки, чтобы обмануть жертву и заставить ее думать, что их компьютер содержит критически важные файлы. ошибки, требующие немедленной технической поддержки. Примером может служить поле «Административные события» в разделе «Пользовательские представления», в котором за месяц может быть зарегистрировано более тысячи ошибок или предупреждений.

Обзор [ править ]

Windows NT поддерживает журналы событий с момента ее выпуска в 1993 году.

Средство просмотра событий использует идентификаторы событий для определения однозначно идентифицируемых событий, с которыми может столкнуться компьютер Windows. Например, при сбое аутентификации пользователя система может сгенерировать событие с идентификатором 672.

В Windows NT 4.0 добавлена ​​поддержка для определения «источников событий» (т. Е. Приложения, создавшего событие) и выполнения резервного копирования журналов.

В Windows 2000 добавлена ​​возможность для приложений создавать собственные источники журналов в дополнение к трем системным файлам журналов «Система», «Приложение» и «Безопасность». Windows 2000 также заменены окна просмотра событий NT4 с в консоли управления Microsoft (MMC) оснастку .

В Windows Server 2003 добавлены AuthzInstallSecurityEventSource()вызовы API, чтобы приложения могли регистрироваться в журналах событий безопасности и записывать записи аудита безопасности. [2]

Версии Windows, основанные на ядре Windows NT 6.0 ( Windows Vista и Windows Server 2008 ), больше не имеют ограничения в 300 мегабайт для их общего размера. До NT 6.0 система открывала файлы на диске как файлы с отображением памяти в пространстве памяти ядра, которые использовали те же пулы памяти, что и другие компоненты ядра.

Файлы журнала программы просмотра событий с расширением имени файла evtx обычно появляются в таких каталогах, какC:\Windows\System32\winevt\Logs\

Интерфейс командной строки [ править ]

eventquery.vbs, eventcreate, eventtrigger
Разработчики)Microsoft
изначальный выпуск25 октября 2001 г . ; 19 лет назад ( 2001-10-25 )
Операционная системаМайкрософт Виндоус
ТипКомандование
ЛицензияПроприетарное коммерческое программное обеспечение
Интернет сайтдокументы .microsoft .com / en-us / windows-server / Administration / windows-commands / eventcreate

Windows XP представила набор из трех инструментов интерфейса командной строки , полезных для автоматизации задач:

  • eventquery.vbs- Официальный скрипт для запроса, фильтрации и вывода результатов на основе журналов событий. [3] Снято с производства после XP.
  • eventcreate- команда (продолжение в Vista и 7) для записи пользовательских событий в журналы. [4]
  • eventtriggers- команда для создания событийных задач. [5] Прекращено после XP, заменено функцией «Прикрепить задачу к этому событию».

Windows Vista [ править ]

Средство просмотра событий состоит из переписанной архитектуры трассировки и регистрации событий в Windows Vista. [1] Он был переписан вокруг структурированного формата журнала XML и определенного типа журнала, чтобы позволить приложениям более точно регистрировать события и облегчить интерпретацию событий техническим специалистам и разработчикам.

XML-представление события можно просмотреть на вкладке « Подробности » в свойствах события. Также можно просмотреть все потенциальные события, их структуры, зарегистрированных издателей событий и их конфигурацию с помощью утилиты wevtutil , даже до того, как события будут запущены.

Существует большое количество различных типов журналов событий, включая административные, операционные, аналитические и отладочные журналы. При выборе узла « Журналы приложений» на панели « Область действия» отображаются многочисленные новые журналы событий с подкатегориями, в том числе многие из них, помеченные как журналы диагностики.

Часто встречающиеся аналитические и отладочные события сохраняются непосредственно в файле трассировки, в то время как административные и операционные события достаточно редки, чтобы обеспечить дополнительную обработку без влияния на производительность системы, поэтому они доставляются в службу журнала событий.

События публикуются асинхронно, чтобы снизить влияние на производительность приложения публикации событий . Атрибуты событий также намного более подробны и показывают свойства EventID, Level, Task, Opcode и Keywords.

Пользователи могут фильтровать журналы событий по одному или нескольким критериям или по ограниченному выражению XPath 1.0 , а пользовательские представления могут быть созданы для одного или нескольких событий. Использование XPath в качестве языка запросов позволяет просматривать журналы, относящиеся только к определенной подсистеме или проблеме, связанной только с определенным компонентом, архивировать выбранные события и оперативно отправлять трассировки техническим специалистам.

Фильтрация с использованием XPath 1.0 [ править ]

  1. Открыть журнал событий Windows
  2. Разверните журналы Windows
  3. Выберите интересующий файл журнала (в примере ниже используется журнал событий безопасности )
  4. Щелкните правой кнопкой мыши журнал событий и выберите Фильтр текущего журнала ...
  5. Измените выбранную вкладку с « Фильтр» на « XML».
  6. Установите флажок " Редактировать запрос вручную".
  7. Вставьте запрос в текстовое поле. Примеры запросов можно найти ниже.

Вот примеры простых настраиваемых фильтров для журнала событий нового окна:

  1. Выберите все события в журнале событий безопасности, где задействованное имя учетной записи (TargetUserName) - «JUser».
    <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>
  2. Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData представляет собой строку «JUser».
    <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>
  3. Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData имеет значение «JUser» или «JDoe».
    <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>
  4. Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData имеет значение «JUser», а идентификатор события - «4471».
    <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID="4471"]] and *[EventData[Data="JUser"]]</Select></Query></QueryList>
  5. Реальный пример пакета Goldmine с двумя @Names
    <QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>

Предостережения:

  • Существуют ограничения на реализацию XPath [6] Microsoft.
  • Запросы с использованием строковых функций XPath приведут к ошибке [7]

Подписчики событий [ править ]

Подписчики основных событий включают службу сборщика событий и планировщик заданий 2.0. Служба сборщика событий может автоматически пересылать журналы событий в другие удаленные системы под управлением Windows Vista , Windows Server 2008 или Windows Server 2003 R2 по настраиваемому расписанию. Журналы событий также можно просматривать удаленно с других компьютеров, или несколько журналов событий можно централизованно регистрировать и отслеживать без агента и управлять ими с одного компьютера. События также могут быть напрямую связаны с задачами, которые выполняются в обновленном планировщике задач и запускают автоматические действия при возникновении определенных событий.

См. Также [ править ]

  • Список компонентов Microsoft Windows
  • Консоль управления Microsoft
  • Мошенничество с техподдержкой

Ссылки [ править ]

  1. ^ a b «Новые инструменты для управления событиями в Windows Vista» . TechNet . Microsoft . Ноябрь 2006 г.
  2. ^ "Функция AuthzInstallSecurityEventSource" . MSDN . Microsoft . Проверено 5 октября 2007 .
  3. ^ LLC), Тара Мейер (Aquent. "Eventquery.vbs" . Docs.microsoft.com .
  4. ^ LLC), Тара Мейер (Aquent. "Eventcreate" . Docs.microsoft.com .
  5. ^ LLC), Тара Мейер (Aquent. "Eventtriggers" . Docs.microsoft.com .
  6. ^ «Реализация Microsoft и ограничения XPath 1.0 в журнале событий Windows» . MSDN . Microsoft . Проверено 7 августа 2009 .
  7. ^ "Сценарий Powershell для фильтрации событий с помощью запроса Xpath" . Проверено 20 сентября 2011 .

Внешние ссылки [ править ]

  • Официальные источники:
    • Документация разработчика для регистрации событий (от NT 3.1 до XP) , (Windows Vista)
    • Описания событий безопасности Windows 2000 (часть 1 из 2) , (часть 2 из 2)
    • Безопасность Windows Server 2003 - Угрозы и меры противодействия - Глава 6: Журнал событий из Microsoft TechNet
    • События и ошибки (Windows Server 2008) в Microsoft TechNet
  • Другой:
    • eventid.net - содержит несколько тысяч записей журнала событий Windows вместе с предложениями по устранению неполадок для каждой из них.