Перегляд системних подій

В операційній системі Windows XP Professional подією називається будь-яка значна подія в роботі системи або прикладної програми, про які варто повідомити користувачів. У випадку виникнення критичних подій, таких як переповнення диска або неполадки з електроживленням, на екран монітора буде виведене відповідне повідомлення. Інші події, які не вимагають негайних дій від користувача, реєструються в системних журналах. Служба реєстрації подій у системних журналах активізується автоматично при кожному запуску системи Windows XP Professional.

Оснащення Перегляд подій

У системі Windows XP Professional для перегляду системних журналів використовується оснащення Перегляд подій (Просмотр событий або Event Viewer). Для запуску оснащення виберіть команду Панель управління | Продуктивність й обслуговування | Адміністрування | Перегляд подій (Панель управления | Производительность и обслуживание | Администрирование | Просмотр событий або Control Panel | Performance and Maintenance Administrative Tools | Event Viewer). Оснащення Перегляд подій (Просмотр событий або Event Viewer) також входить до складу оснащення Управління комп'ютером (Управление компьютером або Computer Management). Приклад вікна оснащення Перегляд подій (Просмотр событий або Event Viewer) показаний на рис. 5.5.

 

За допомогою оснащення Перегляд подій (Просмотр событий або Event Viewer) можна переглядати три типи журналів:

Журнал прикладних програм (Журнал приложений або Application) фіксує події, зареєстровані прикладними програмами. Наприклад, якщо програма управління базами даних не може відкрити файл, вона реєструє помилку в даному журналі. Події, внесені в журнал прикладних програм, визначаються розроблювачами відповідних прикладних програм.

Журнал безпеки (Журнал безопасности або Security) містить записи, пов'язані із системою безпеки, наприклад, успішні й безуспішні спроби доступу в систему, а також про події, які стосуються використання ресурсів, наприклад, про створення або відкриття файлів й інших об'єктів. За допомогою цього журналу можна відслідковувати зміни в системі безпеки та ідентифікувати проломи в захисті. Типи подій, які реєструються у журналі, визначаються адміністратором.

 

Для перегляду журналу необхідно мати права адміністратора.

Адміністратор може настроїти групову політику таким чином, що робота системи буде припинятися у випадку неможливості подальшого запису відомостей у журнал аудита безпеки.

Журнал системи (Журнал системы або System) містить записи про події, які реєструються системними компонентами Windows XP Professional. Наприклад, у системний журнал записуються такі події, як збій при завантаженні драйвера або інших системних компонентів при запуску системи. У системі Windows XP Professional строго визначений список типів подій, які заносяться в системний журнал.

Типи подій

У журналах реєструються наступні типи подій:

• Помилка (Ошибка або Error) — подія реєструється у випадку виникнення серйозної події (такої як втрата даних або функціональних можливостей). Подія даного типу буде зареєстрована, якщо неможливо завантажити який-небудь сервіс у ході запуску системи.
• Попередження (Предупреждение або Warning) — подія не серйозна, але може привести до виникнення проблем у майбутньому. Наприклад, якщо недостатньо дискового простору, то в журнал буде занесене попередження.
• Повідомлення (Уведомление або Information) — значима подія, яка свідчить про успішне завершення операції прикладною програмою, драйвером або сервісом. Така подія може, наприклад, зареєструвати мережний драйвер, що успішно завантажився.
• Аудит успіхів (Аудит успехов або Success Audit) — подія, відповідна успішному завершеній дії, пов'язаної з підтримкою безпеки системи. Прикладом такої події є успішна спроба входу користувача в систему.
• Аудит відмов (Аудит отказов або Failure Audit) — подія, відповідна невдалому завершеній дії, пов'язаної з підтримкою безпеки системи. Наприклад, така подія буде зареєстрована, якщо спроба доступу користувачем до мережного диска закінчилася невдачею.

Параметри подій

Інформація про події містить наступні параметри:

Параметр	Опис
Тип  (Турe)	Тип події.
Дата  (Date)	Дата генерації події.
Час  (Время або Time)	Час реєстрації події.
Джерело  (Источник або Source)	Указує джерело (це може бути ім'я програми, системного компонента або компонента прикладної програми), що привів до реєстрації події.
Категорія  (Категория або Category)	Класифікація події по джерелу, яке викликало його появу.
Подія  (Событие або Event ID)	Ідентифікатор  події.
Користувач  (Пользователь або User)	облікового запису користувача , від імені якого провадилися дії, що викликали генерацію події.
Комп'ютер  (Компьютер або Computer)	Комп'ютер, на якому зареєстрована подія.

 

Рис. 5.6. Вікно Властивості: Подія з додатковою інформацією про подію

 Для перегляду додаткової інформації про подію виберіть у меню Дія (Действие або Action) пункт Властивості (Свойства або Properties) (або натисніть правою кнопкою миші по виділеній події й у контекстному меню виберіть пункт Властивості (Свойства або Properties)). Буде відкрите вікно, показане на рис. 5.6. На вкладці наведена загальна інформація про подію. На панелі Опис (Описание або Description) наведена загальна інформація про подію. На панелі Дані (Данные або Data) відображаються двійкові дані, які можуть бути представлені по байтах (Bytes) або словам (Words). Ці дані можуть бути інтерпретовані досвідченим програмістом або технічним фахівцем служби підтримки, знайомим з початковим кодом прикладної програми.

Перегляд журналів

Сортування подій

Для зміни порядку сортування подій - по зростанню або по зменшуванню - натисніть у журналі кнопкою миші по заголовку того стовпчика, по вмісту якого варто відсортувати події. Для скасування встановленого порядку сортування натисніть по даному заголовку ще раз.

Порядок сортування за часом реєстрації події можна встановити за допомогою меню Вид (View). Можливі два режими сортування: у зворотному хронологічному порядку (нові записи розташовуються раніше — вище в таблиці — старих записів) — прапорець Від нових до старого (От новых к старым або Newest First; опція за замовчуванням) або в прямому хронологічному порядку — прапорець Від старих до нового (От старых к новым або Oldest First).

Архівування журналу не зберігає порядок сортування.

Поновлення журналів

Виберіть в оглядовій панелі журнал, який ви збираєтеся поновити. Потім у меню Дія (Действие або Action) укажіть пункт Поновити (Обновить або Refresh) або, просто, натисніть клавішу <F5>.

Варто враховувати, що команда Поновити (Обновить або Refresh) недоступна для архівіруваних журналів, оскільки дані файли вже не можуть бути поновлені.

Пошук подій

Для пошуку події в журналі в меню Вид (View) натисніть команду Знайти (Найти або Find). У вікні, що відкрилося, можна встановити наступні параметри пошуку: по джерелу (по источнику або Source), по категорії (по категории або Category), коду події (коду события або Event ID), користувачеві (пользователю або User), комп'ютеру (компьютеру або Computer) або опису (описанию або Description). Для початку пошуку натисніть кнопку Знайти далі (Найти далее або Find Next). Для поновлення критеріїв пошуку за замовчуванням натисніть кнопку Поновити умовчання (Восстановить умолчания або Clear).

Перегляд подій на іншому комп'ютері

Для перегляду подій на іншому комп'ютері варто додати екземпляр оснащення Перегляд подій (Просмотр событий або Event Viewer) до порожньої або існуючої консолі ММС користувача . Виконаєте наступні дії:

1. Запустіть консоль ММС.
2. У меню Консоль (Console) виберіть пункт Додати або видалити оснащення (Добавить или удалить оснастку або Add/Remove Snap-in).
3. На вкладці Ізольоване оснащення (Изолированная оснастка або Standalone) натисніть кнопку Додати (Добавить або Add).
4. Виберіть у списку оснащень пункт Перегляд подій (Просмотр событий або Event Viewer) і натисніть кнопку ОК.
5. Установите перемикач. Це оснащення управляє: іншим комп'ютером (Эта оснастка управляет: другим компьютером або Another computer) і введіть ім'я віддаленого комп'ютера або знайдіть віддалений комп'ютер за допомогою кнопки Огляд (Обзор або Find).
6. Натисніть кнопку Готово (Готово або Finish).

Фільтрація подій

Для того щоб у великому списку подій можна було швидше знайти потрібні події, використається фільтрація — вибір подій по деякій ознаці. Для фільтрації подій у журналі виберіть у меню Вид (Фильтр або View) пункт Фільтр (Filter). На екрані відкриється вікно, показане на рис. 5.7. Нижче наведений опис опцій фільтрації в журналі.

Опція	Опис
Повідомлення  (Уведомления або Information)	Значимі події, які описують успішні операції, виконані сервісами. Наприклад, повідомлення про успішно запущений сервіс.
Попередження  (Предупреждения або Warning)	Подія не заважає роботі системи, але може привести до появи проблем у майбутньому. Запис такого типу може бути зареєстрований у випадку нестачі вільного місця на диску.
Помилки  (Ошибки або Error)	Реєстрація такої події свідчить про появу серйозних проблем. Наприклад, така подія може бути зареєстрована, якщо не вдалося запустити один із сервісів або системних компонентів.
Аудит успіхів  (Аудит успехов або Success audit)	Події, пов'язані з безпекою системи. Запис цього типу вказує на успішну спробу виконання дій, пов'язаних із системою безпеки.
Аудит відмов  (Аудит отказов або Failure audit)	Події, пов'язані з безпекою системи. Указують на невдачу при виконанні дій, пов'язаних із системою безпеки.
Джерело події  (Источник события або Event source)	Джерело, що викликало появу події. Джерелом може бути прикладна програма або системний компонент.
Категорія  (Категория або Category)	Категорія події, яка встановлена в джерелі події.
Код події  (Код события або Event ID)	Ідентифікатор події.< /p>
Користувач (Пользователь або User)	Ім'я облікового запису користувача, від імені якого проводилися дії, які викликали реєстрацію події в журналі.
Комп'ютер  (Компьютер або Computer)	Ім'я комп'ютера, на якому відбулася подія.
З  (С або From)	Перегляд подій, які відбулися після  зазначеної дати й часу. За замовчуванням дата й час установлюються рівними даті й часу реєстрації першої події в журналі.
До (То)	Перегляд подій, які відбулися до зазначеної дати й часу включно. За замовчуванням дата й час установлюються рівними даті й часу реєстрації останньої події.

 Настроювання параметрів журналів

Встановлення опцій реєстрації подій у журналі

Команда Властивості (Свойства або Properties) у меню Дія (Действие або Action) дозволяє відкрити вікно властивостей журналу (рис. 5.8). У цьому вікні можна встановити параметри реєстрації подій.

У поле Виводеме ім'я (Выводимое имя або Display name) відображається поточна назва журналу, яку можна змінити. Поле Ім'я журналу (Имя журнала або Log name) містить шлях до файлу журналу на диску комп'ютера.

Рис. 5.7. На вкладці Фільтр у вікні властивостей журналу встановлюються параметри фільтрації повідомлень

Рис. 5.8. Вікно для настроювання параметрів реєстрації подій

Перемикач По досягненні максимального розміру журналу (По достижении максимального размера журнала або When maximum log size is reached) служить для настроювання журналу реєстрації подій.

Виберіть положення Затирати старі події по необхідності (Затирать старые события по необходимости або Overwrite events as needed), якщо ви не збираєтеся архівувати даний журнал.

Якщо архівування журналу проводяться з певними інтервалами, то виберіть положення Затирати події старіше ... днів (Затирать события старее ... дней або Overwrite events older than ... days) і вкажіть тривалість інтервалу (у днях). При цьому варто встановити розмір журналу (опція Максимальний розмір журналу (Максимальный размер журнала або Maximum log size)) достатнім для того, щоб розмір журналу протягом зазначеного періоду не перевищив установлене значення.

Якщо ви хочете зберегти в журналі всі зареєстровані події, то виберіть положення Не затирати події (очищення журналу вручну) (Не затирать события (очистка журнала вручную) або Do not overwrite events (clear log manually). При цьому вам буде необхідно вручну видаляти події з журналу. Варто мати на увазі, що коли розмір журналу досягне максимального встановленого значення, нові події будуть ігноруватися.

Якщо буде потреба поновлення параметрів за замовчуванням натисніть кнопку Відновити умовчання (Восстановить умолчания або Default). Для видалення подій з журналу натисніть кнопку Очистити журнал (Очистить журнал або Clear all Events).

Після встановлення всіх параметрів натисніть кнопку ОК.

 Архівування журналів

Для архівування журналу виконайте наступне:

• У панелі огляду виберіть журнал, що ви будете архівувати.
• У меню Дія (Действие або Action) виберіть команду Зберегти журнал як (Сохранить журнал как або SaveLog File As).
• У вікні, що відкрилося, Зберегти як (Сохранить как або Save As) у полі Ім'я файлу (Имя файла або Filename) уведіть ім'я файлу, у який буде заархівований журнал.
• В поле Тип файлу (Тип файла або Save as type) виберіть формат файлу.

Для того щоб відкрити заархівований журнал, виконайте наступне:

• У меню Дія (Действие або Action) виберіть команду Відкрити файл журналу (Открыть файл журнала або Open Log File).
• У списку Тип журналу (Тип журнала або Log Type) виберіть тип журналу, який потрібно відкрити.
• У поле Ім'я файлу (Имя файла або File name) уведіть ім'я журналу, яке буде відображено у вікні консолі.
• Натисніть кнопку ОК.

В оснащенні Перегляд подій (Просмотр событий або Event Viewer) можна переглядати архівований журнал тільки в тому випадку, якщо він збережений у форматі файлу журналу evt.