Разработчики) | Microsoft |
---|---|
Операционная система | Майкрософт Виндоус |
Наименование услуги | Журнал событий Windows ( EventLog ) |
Тип | Утилита |
Веб-сайт | www |
Просмотр событий является компонентом Microsoft «s Windows NT операционной системы , что позволяет администраторам и пользователям просмотра журналов событий на локальном или удаленном компьютере. Приложения и компоненты операционной системы могут использовать эту централизованную службу журналов для отчетов о произошедших событиях, таких как сбой при запуске компонента или завершении действия. В Windows Vista Microsoft переработала систему событий. [1]
Из-за того, что средство просмотра событий регулярно сообщает о незначительных ошибках запуска и обработки (которые на самом деле не наносят вреда или повреждения компьютеру), программное обеспечение часто используется мошенниками службы технической поддержки, чтобы обмануть жертву и заставить ее думать, что их компьютер содержит критически важные файлы. ошибки, требующие немедленной технической поддержки. [2] Примером может служить поле «Административные события» в разделе «Пользовательские представления», в котором за месяц может быть зарегистрировано более тысячи ошибок или предупреждений.
Обзор [ править ]
Windows NT поддерживает журналы событий с момента ее выпуска в 1993 году.
Средство просмотра событий использует идентификаторы событий для определения однозначно идентифицируемых событий, с которыми может столкнуться компьютер Windows. Например, при сбое аутентификации пользователя система может сгенерировать событие с идентификатором 672.
В Windows NT 4.0 добавлена поддержка для определения «источников событий» (т. Е. Приложения, создавшего событие) и выполнения резервного копирования журналов.
В Windows 2000 добавлена возможность для приложений создавать собственные источники журналов в дополнение к трем системным файлам журналов «Система», «Приложение» и «Безопасность». Windows 2000 также заменены окна просмотра событий NT4 с в консоли управления Microsoft (MMC) оснастка .
В Windows Server 2003 добавлены AuthzInstallSecurityEventSource()
вызовы API, чтобы приложения могли регистрироваться в журналах событий безопасности и записывать записи аудита безопасности. [3]
Версии Windows, основанные на ядре Windows NT 6.0 ( Windows Vista и Windows Server 2008 ), больше не имеют ограничения в 300 мегабайт для их общего размера. До NT 6.0 система открывала файлы на диске как файлы с отображением памяти в пространстве памяти ядра, которые использовали те же пулы памяти, что и другие компоненты ядра.
Файлы журнала программы просмотра событий с расширением имени файла evtx
обычно появляются в таких каталогах, какC:\Windows\System32\winevt\Logs\
Интерфейс командной строки [ править ]
Разработчики) | Microsoft |
---|---|
Первый выпуск | 25 октября 2001 г . |
Операционная система | Майкрософт Виндоус |
Тип | Командование |
Лицензия | Проприетарное коммерческое программное обеспечение |
Веб-сайт | документы |
Windows XP представила набор из трех инструментов интерфейса командной строки , полезных для автоматизации задач:
eventquery.vbs
- Официальный скрипт для запроса, фильтрации и вывода результатов на основе журналов событий. [4] Снято с производства после XP.eventcreate
- команда (продолжение в Vista и 7) для записи пользовательских событий в журналы. [5]eventtriggers
- команда для создания событийных задач. [6] Прекращено после XP, заменено функцией «Прикрепить задачу к этому событию».
Windows Vista [ править ]
Средство просмотра событий состоит из переписанной архитектуры трассировки и регистрации событий в Windows Vista. [1] Он был переписан вокруг структурированного формата журнала XML и определенного типа журнала, чтобы позволить приложениям более точно регистрировать события и облегчить интерпретацию событий техническим специалистам и разработчикам.
XML-представление события можно просмотреть на вкладке « Подробности » в свойствах события. Также можно просмотреть все потенциальные события, их структуры, зарегистрированных издателей событий и их конфигурацию с помощью утилиты wevtutil , даже до того, как события будут запущены.
Существует большое количество различных типов журналов событий, включая административные, операционные, аналитические и отладочные журналы. При выборе узла « Журналы приложений» на панели « Область действия» отображаются многочисленные новые журналы событий с подкатегориями, в том числе многие из них, помеченные как журналы диагностики.
Часто встречающиеся аналитические и отладочные события сохраняются непосредственно в файле трассировки, в то время как административные и рабочие события достаточно редки, чтобы обеспечить дополнительную обработку, не влияя на производительность системы, поэтому они доставляются в службу журнала событий.
События публикуются асинхронно, чтобы снизить влияние на производительность приложения публикации событий . Атрибуты событий также намного более подробны и показывают свойства EventID, Level, Task, Opcode и Keywords.
Пользователи могут фильтровать журналы событий по одному или нескольким критериям или по ограниченному выражению XPath 1.0 , а пользовательские представления могут быть созданы для одного или нескольких событий. Использование XPath в качестве языка запросов позволяет просматривать журналы, относящиеся только к определенной подсистеме или проблеме, связанной только с определенным компонентом, архивировать выбранные события и оперативно отправлять трассировки техническим специалистам.
Фильтрация с использованием XPath 1.0 [ править ]
Этот раздел содержит инструкции, советы или практические советы . Август 2019 г. ) ( |
- Открыть журнал событий Windows
- Разверните журналы Windows
- Выберите интересующий файл журнала (в примере ниже используется журнал событий безопасности )
- Щелкните правой кнопкой мыши журнал событий и выберите Фильтр текущего журнала ...
- Измените выбранную вкладку с « Фильтр» на « XML».
- Установите флажок " Редактировать запрос вручную".
- Вставьте запрос в текстовое поле. Примеры запросов можно найти ниже.
Вот примеры простых настраиваемых фильтров для журнала событий нового окна:
- Выберите все события в журнале событий безопасности, где задействованное имя учетной записи (TargetUserName) - «JUser».
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>
- Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData представляет собой строку «JUser».
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>
- Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData имеет значение «JUser» или «JDoe».
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>
- Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData имеет значение «JUser», а идентификатор события - «4471».
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID="4471"]] and *[EventData[Data="JUser"]]</Select></Query></QueryList>
- Реальный пример пакета Goldmine с двумя @Names
<QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>
Предостережения:
- Есть ограничения на реализацию Microsoft XPath [7].
- Запросы с использованием строковых функций XPath приведут к ошибке [8]
Подписчики событий [ править ]
Подписчики основных событий включают службу сборщика событий и планировщик заданий 2.0. Служба сборщика событий может автоматически пересылать журналы событий в другие удаленные системы под управлением Windows Vista , Windows Server 2008 или Windows Server 2003 R2 по настраиваемому расписанию. Журналы событий также можно просматривать удаленно с других компьютеров, или несколько журналов событий можно централизованно регистрировать и отслеживать без агента и управлять ими с одного компьютера. События также могут быть напрямую связаны с задачами, которые выполняются в обновленном планировщике задач и запускают автоматические действия при возникновении определенных событий.
См. Также [ править ]
- Список компонентов Microsoft Windows
- Консоль управления Microsoft
- Мошенничество с техподдержкой
Ссылки [ править ]
- ^ a b «Новые инструменты для управления событиями в Windows Vista» . TechNet . Microsoft . Ноябрь 2006 г.
- ↑ Андерсон, Нейт (4 октября 2012 г.). « » Я зову вас из Windows «: техническая поддержка мошенников набирают Ars Technica» . Ars Technica .
- ^ "Функция AuthzInstallSecurityEventSource" . MSDN . Microsoft . Проверено 5 октября 2007 .
- ^ LLC), Тара Мейер (Aquent. "Eventquery.vbs" . Docs.microsoft.com .
- ^ LLC), Тара Мейер (Aquent. "Eventcreate" . Docs.microsoft.com .
- ^ LLC), Тара Мейер (Aquent. "Eventtriggers" . Docs.microsoft.com .
- ^ «Реализация Microsoft и ограничения XPath 1.0 в журнале событий Windows» . MSDN . Microsoft . Проверено 7 августа 2009 .
- ^ "Сценарий Powershell для фильтрации событий с помощью запроса Xpath" . Проверено 20 сентября 2011 .
Внешние ссылки [ править ]
В Викиучебнике есть книга на тему: Руководство по командам Windows. |
- Официальные источники:
- Документация разработчика для регистрации событий (от NT 3.1 до XP) , (Windows Vista)
- Описания событий безопасности Windows 2000 (часть 1 из 2) , (часть 2 из 2)
- Безопасность Windows Server 2003 - Угрозы и меры противодействия - Глава 6: Журнал событий из Microsoft TechNet
- События и ошибки (Windows Server 2008) в Microsoft TechNet
- Другой:
- eventid.net - содержит несколько тысяч записей журнала событий Windows вместе с предложениями по устранению неполадок для каждой из них.