Создание нового вида журнала

Общие сведения

В операционной системе Windows событием называется любое значительное «происшествие» в работе системы или приложения, о котором следует уведомить пользователей. В случае возникновения критических событий, таких как переполнение жесткого диска или неполадки с электропитанием, на экран монитора будет выведено соответствующее сообщение. Остальные события, которые не требуют немедленных действий от пользователя, регистрируются в системных журналах. Служба регистрации событий в системных журналах активизируется автоматически при каждом запуске системы Windows.

Окно оснастки

В системе Windows для просмотра системных журналов можно использовать оснастку Просмотр событий (группа Администрирование (Administrative Tools) на панели управления). Эту оснастку можно также запустить из окна оснастки Управление компьютером (Computer Management). На рис. 8.1 показан пример окна оснастки Просмотр событий (Event Viewer).

Рис. 8.1. Окно оснастки Просмотр событий (Event Viewer)

Примечание
Оснастку Просмотр событий можно также открыть с помощью команды Пуск | Программы | Администрирование | Просмотр событий (Start | Programs | Administrative Tools | Event Viewer).

С помощью оснастки Просмотр событий можно просматривать три типа стандартных (основных) журналов:

G Журнал приложений(Application log) — фиксирует события, зарегистрированные приложениями. Например, текстовый редактор может зарегистрировать в данном журнале ошибку при открытии файла.

G Журнал системы(System log) — записывает события, которые регистрируются системными компонентами Windows. Например, в системный журнал записываются такие события, как сбой в процессе загрузки драйвера или другого системного компонента при запуске системы.

G Журнал безопасности(Security log) — содержит записи, связанные с системой безопасности. С помощью этого журнала можно отслеживать изменения в системе безопасности и идентифицировать бреши в защите. В данном журнале можно регистрировать попытки входа в систему. Для просмотра журнала необходимо иметь права администратора. По умолчанию регистрация событий в журнале безопасности отключена.

Примечание
Журнал системы безопасности может просматривать только пользователь с правами системного администратора. По умолчанию регистрация событий в данном журнале отключена. Для запуска регистрации необходимо установить политику аудита.

Типы событий

В журналах регистрируются следующие типы событий:

G Ошибка (Error) — событие регистрируется в случае возникновения серьезного события (такого как потеря данных или функциональных возможностей). Событие данного типа будет зарегистрировано, если невозможно загрузить какой-либо из сервисов в ходе запуска системы.

G Предупреждение (Warning) — событие не является серьезным, но может привести к возникновению проблем в будущем. Например, если недостаточно дискового пространства, то будет зарегистрировано предупреждение.

G Уведомление (Information) — значимое событие, которое свидетельствует об успешном завершении операции приложением, драйвером или сервисом. Такое событие может, например, зарегистрировать успешно загрузившийся сетевой драйвер.

G Аудит успехов (Success Audit) — событие, связанное с безопасностью системы. Примером такого события является успешная попытка регистрации пользователя в системе.

G Аудит отказов (Failure Audit) — событие связано с безопасностью системы. Например, такое событие будет зарегистрировано, если попытка доступа пользователя к сетевому диску закончилась неудачей.

Параметры событий

Информация о событиях содержит следующие параметры:

Для просмотра дополнительной информации о событии выберите в меню Действие(Action) пункт Свойства (Properties) (либо щелкните правой кнопкой мыши на названии события и выберите пункт Свойствав открывшемся контекстном меню). Будет открыто окно, показанное на рис. 8.2. На панели Описание (Description) приведена общая информация о событии. На панели Данные(Data) отображаются двоичные данные, которые могут быть представлены какБайты (Bytes) или как Слова (Words). Эти данные могут быть интерпретированы опытным программистом или техническим специалистом службы поддержки, знакомым с исходным кодом приложения.

Рис. 8.2. Дополнительная информация о событии

Просмотр журналов

Сортировка событий

Для определения порядка сортировки событий в журнале щелкните заголовок того столбца, по которому следует отсортировать события. Для отмены установленного порядка сортировки щелкните данный заголовок еще раз.

Порядок сортировки по времени регистрации события можно установить с помощью меню Вид. Возможны два режима сортировки: От старых к новым (Oldest First) или От новых к старым (Newest First — опция по умолчанию). При архивировании журнала порядок сортировки не сохраняется.

Обновление журналов

Выберите в окне оснастки на панели обзора журнал, который требуется обновить. Затем в менюДействие укажите пункт Обновить (Refresh).

Следует учитывать, что команда Обновитьнедоступна для архивированных журналов, поскольку данные файлы уже не могут быть обновлены.

Примечание

Когда вы открываете журнал, оснастка отображает текущую информацию журнала. Во время просмотра журнала информация не обновляется, если не делать это принудительно, по команде Обновить. Если журнал не отображается в текущем окне, то информация автоматически обновляется.

Поиск событий

Для поиска события в журнале в меню Видвыберите команду Найти (Find). В открывшемся окне можно установить следующие параметры поиска: по типу события (Туре), по источнику события (Source), по категории (Cate-. gory), коду события (Event ID), пользователю (User), компьютеру (Computer) или описанию (Description). Для начала поиска нажмите кнопку Найти далее (Find Next). Для восстановления критериев поиска по умолчанию нажмите кнопку Восстановить умолчания(Clear).

Создание нового вида журнала

Вы можете создать дополнительный вид какого-либо журнала, позволяющий просматривать, скажем, события с определенными параметрами. Для этого:

1. Откройте необходимый журнал и в меню Действиевыберите пункт Создать вид журнала (New Log View).

2. Вызовите для нового журнала контекстное меню и выберите команду Переименовать (Rename).

3. Задайте нужный вид журнала (столбцы, фильтр, способ сортировки).

Примечание

Управление и настройка дополнительных журналов, добавленных в дерево консоли, производятся также, как и журналов по умолчанию.