У дома · Измервания · Преглед на събития на компютър. Преглед на събития в Windows Vista

Преглед на събития на компютър. Преглед на събития в Windows Vista

Инструкции

Списаниеотваря се в прозореца „Преглед на събития“, където се съхраняват регистрационни файлове на системни и софтуерни събития и събития за сигурност на компютъра. С помощта на този прозорец можете не само да получавате информация за събития, но и да управлявате регистрационни файлове. За да отворите прозореца Event Viewer, трябва да следвате няколко стъпки.

Щракнете върху бутона "Старт" в долния ляв ъгъл на екрана или върху клавиша Windows на клавиатурата (клавиша за флаг). В менюто, което се отваря, изберете „Контролен панел“ (в зависимост от настройките на менюто „Старт“, елементът може да бъде достъпен веднага или да се намира в менюто „Настройки“).

В контролния панел отидете в категорията Производителност и поддръжка и изберете иконата Административни инструменти, като щракнете с левия бутон върху нея. Ако контролният панел има класически вид, иконата, която търсите, е незабавно достъпна.

Изберете прекия път „Преглед на събития“ в папката „Администриране“, той ще се отвори желан прозорец. Може да се нарече и по друг начин. Отидете в директория C: (или друго устройство със системата)/Документи и настройки/Всички потребители (или конкретен акаунт)/Главно меню/Програми/Администриране и изберете пряк път „Преглед на събития”.

В прозореца, който се отваря, различни регистрационни файлове ще бъдат достъпни за преглед и управление. Изберете дневника, от който се нуждаете (Приложение, Защита, Система, Internet Explorer и т.н.) от лявата страна на прозореца, като щракнете с левия бутон върху него. От дясната страна на прозореца ще видите списък с всички събития, записани в дневника. Всяко събитие може да бъде прегледано чрез двойно щракване върху него с левия бутон на мишката.

За да управлявате събития, използвайте елемента от менюто „Действия“ или извикайте контекстното меню, като щракнете с десния бутон върху желания дневник. За да затворите прозореца на Event Viewer, изберете Console от горната лента с менюта и след това Exit или щракнете върху иконата [x] в горния десен ъгъл на прозореца.

източници:

  • къде да намерите работния дневник

Редакторите на някои списания предпочитат да публикуват броеве на своите публикации на официални уебсайтове. Достъпът може да бъде пълен или частичен, платен или безплатен. Понякога посетителите на сайта могат да четат по този начин само онези списания, които вече са разпродадени по будките за вестници.

Инструкции

Уверете се, че имате неограничена тарифа от вашия доставчик. Отидете на официалния уебсайт на списанието, в което искате да четете в електронен формат. Опитайте да потърсите връзка, наречена „Архив“ на началната страница на този сайт. Следвайте тази връзка.

Ще видите списък с години на издаване на списания, достъпни за преглед. Изберете първо годината и след това месеца. След това ще се появи връзка за изтегляне на локално копие на списанието, списък със статии или страници за преглед поотделно (в текстова или графична форма) или прозорец на добавка (Flash, Adobe Reader или Djview). Ако необходимият плъгин не е инсталиран на вашия компютър, изтеглете го от официалния уебсайт на производителя и го инсталирайте.

Ако уебсайтът предоставя възможност за изтегляне на броеве на списание на HDDпотребител, изтеглете един от епизодите и след това използвайте разширението на получения файл, за да определите коя програма е необходима за гледането му. Най-често това е Acrobat Reader или Djview. Понякога файловете се поставят в архиви, например в ZIP формат. Моля, обърнете внимание, че възможността да изтегляте безплатно списания не ви дава правото да ги публикувате на други сайтове.

Всяка съвременна GUI OS е базирана на събития. Същото важи и за софтуер, разработен за такава ОС. Събитието е крайъгълният камък на тази инфраструктура. Събитията се разбират не само като интерактивни потребителски действия, но и като резултати от различни системни процеси, скрити от очите на системния оператор, натискащи бутони и щракащи клавиши.

Събитията могат да бъдат вградени, т.е. такива, които са предварително дефинирани от архитектурата, и такива, създадени от администратора или разработчика. В нашата статия ще разгледаме класификацията на събитията в Windows, инструментите за регистриране и преглед, както и методите за работа с тях.

Интерфейсът за преглед на събитията, настъпили в системата, се нарича „системен журнал“. Записите в регистрационния файл се създават в резултат на определени програмни или потребителски действия, които се записват като събития от операционната система. Разбира се, не всяко действие се записва в дневника. Те са твърде много за това.

Например, преместването на мишката дори с един пиксел вече генерира софтуерно изключение и потенциално може да бъде обработено от операционната система, което по същество се случва - такива действия не влизат в дневника. Но предупрежденията на системата за сигурност се регистрират, тъй като те представляват критична информация.

Windows ви позволява да настроите фино списъка с критични системни изключения. До известна степен вие сте свободни да решите какво точно да регистрирате и без каква информация можете да правите. За да ви дадем представа за това, ето някои от стандартните операции в журнала:

  • Вижте списъка със събития.
  • Филтриране на списъка по определени критерии.
  • Създаване на „тригери” за реакции към процеси в системата – т. нар. „абонамент”.
  • Задаване на тип реакция на конкретно събитие.

Как да прегледаме?

За да видите съдържанието на дневника, трябва да стартирате съответното приложение. Това се прави по следния начин:

  • Отидете в менюто "Старт" => "Контролен панел".
  • Изберете секцията „Администриране“.
  • В този раздел щракнете върху името на компонента „Преглед на събития“.
  • Програмата ще се стартира с прозорец характерен външен вид- така нареченото „оборудване“. Това оборудване е визуалният интерфейс за нашия протокол.

Същото може да се постигне, ако въведете mmc в прозореца „Изпълнение“ (извикан от същото меню „Старт“). Тази команда ще стартира общ интерфейс за всички конзолни модули, в който ще трябва да отидете в менюто „Конзола“ => „Добавяне или премахване на конзолни модули“ и да извикате този, от който се нуждаете, от списъка с всички конзолни модули . В седмия Windows версиивсичко това се прави по същия начин, както в предишния. Прозорецът „Изпълнение“ може да бъде извикан и с помощта на клавишната комбинация „Win“ + „R“ - резултатът ще бъде същият. В резултат на нашите манипулации ще се появи прозорец като този:

Класификация на събитията на ОС

След това ще класифицираме записите в журнала според значението им за потребителя. Събитията се разделят на генерирани от самата операционна система и такива, произхождащи от приложения и услуги. Подобна класификация обаче не отчита значението на записаните явления. Тяхното по-подробно групиране е както следва:

Всички данни се съхраняват в популярния XML формат, така че е необходима обвивка като регистър на събития, за да ги прочете и обработи. Директното гледане на събития в системата Windows 7 във файлове, въпреки че е възможно, е изключително трудно. Въпреки това, няма нужда да правите това, тъй като регистърът на събитията на Windows 7 го прави вместо нас.

Опции за публикуване

Всеки запис в регистрационния файл на ОС Windows има единен набор от параметри, които характеризират неговите свойства: указател към източника на произход, специален идентификационен код, степен на критичност и много други.

Операционната система Windows 7 постоянно следи различни забележителни събития, които се случват във вашата система. В Microsoft Windows събитиее всеки инцидент в операционната система, който се регистрира или изисква уведомяване на потребителите или администраторите. Това може да е услуга, която не иска да стартира, инсталация на устройство или грешка в приложението. Събитията се записват и съхраняват в регистрационните файлове на Windows и предоставят важна историческа информация, която ви помага да наблюдавате вашата система, да поддържате сигурността на системата, да отстранявате грешки и да извършвате диагностика. Информацията, съдържаща се в тези регистрационни файлове, трябва да се преглежда редовно. Трябва редовно да наблюдавате регистрационните файлове на събития и да конфигурирате вашата операционна система, за да записва важни системни събития. Ако сте администратор на Windows сървър, трябва да наблюдавате сигурността на техните системи, нормална операцияприложения и услуги и проверете сървъра за грешки, които биха могли да влошат производителността. Ако сте потребител персонален компютър, тогава трябва да се уверите, че имате достъп до съответните регистрационни файлове, от които се нуждаете, за да поддържате системата си и да отстранявате грешки.

програма "Преглед на събития"е модул за конзола за управление на Microsoft (MMC) за преглед и управление на регистрационни файлове за събития. Това е незаменим инструмент за наблюдение на производителността на системата и отстраняване на проблеми. Извиква се услугата на Windows, която управлява регистрирането на събития "Дневник на събитията". Ако работи, Windows записва важни данни в регистрационните файлове. Използване на програмата "Преглед на събития"можете да направите следното:

  • Преглед на събития от конкретни регистрационни файлове;
  • Прилагайте филтри за събития и ги запазвайте за по-късна употреба като персонализирани изгледи;
  • Създавайте и управлявайте абонаменти за събития;
  • Задайте конкретни действия, които да бъдат извършени при настъпване на конкретно събитие.

Стартиране на програмата за преглед на събития

Приложение "Преглед на събития"може да се отвори по следните начини:

Регистри на събития в Windows 7

В операционната система Windows 7, както и в Window Vista, има две категории регистрационни файлове на събития: Регистри на WindowsИ регистрационни файлове на приложения и услуги. Регистри на Windows - използва се от операционната система за записване на системни събития, свързани с работата на приложения, системни компоненти, сигурност и стартиране. А регистрационни файлове на приложения и услуги- използвани от приложения и услуги за запис на събития, свързани с тяхната работа. Можете да използвате конзолната добавка, за да управлявате регистрационните файлове на събития "Преглед на събития"или програма командна линия wevtutil, които ще бъдат разгледани във втората част на статията. Всички типове регистрационни файлове са описани по-долу:

Приложение- съхранява важни събития, свързани с конкретно приложение. Например Exchange Server съхранява събития, свързани с препращането на поща, включително събития за хранилището на информация, пощенските кутии и работещите услуги. По подразбиране се поставя в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Безопасност- съхранява събития, свързани със сигурността, като влизане/излизане от системата, използване на привилегии и достъп до ресурси. По подразбиране се намира в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Инсталация- този журнал записва събития, които се случват по време на инсталиране и конфигуриране операционна системаи неговите компоненти. По подразбиране се намира в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Система- съхранява събития на операционната система или нейните компоненти, като грешки при стартиране на услуги или инициализиране на драйвери, съобщения за цялата система и други съобщения, свързани със системата като цяло. По подразбиране се намира в %SystemRoot%\System32\Winevt\Logs\System.Evtx

Препратени събития- ако е конфигурирано препращане на събития, този журнал включва събития, препратени от други сървъри. По подразбиране се поставя в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- този дневник записва събития, които възникват при настройка и работа с браузъра Internet Explorer. По подразбиране се намира в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- Този дневник записва събития, свързани с използването на PowerShell. По подразбиране се намира в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Събития за оборудване- ако е конфигурирано регистриране на хардуерни събития, събитията, генерирани от устройствата, се записват в този журнал. По подразбиране се поставя в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

В Windows 7 инфраструктурата, която осигурява регистриране на събития, е базирана на XML, точно както в Windows Vista. Всички данни за събитие съответстват на XML схема, което ви позволява да получите достъп до XML кода на всяко събитие. Можете също така да създавате XML базирани заявки за извличане на данни от регистрационни файлове. Не са необходими познания по XML, за да използвате тези нови функции. Оборудване "Преглед на събития"предоставя прост графичен интерфейс за достъп до тези функции.

Свойства на събитието

Има няколко свойства на събитието за добавка "Преглед на събития", които са описани подробно по-долу:

Източнике програмата, регистрирала събитието. Това може да бъде или името на програма (например „Exchange Server“), или името на системен компонент или голямо приложение (например името на драйвер). Например „Elnkii“ означава драйвер за EtherLink II.

Код на събитиетое число, което идентифицира конкретен тип събитие. Първият ред на описанието обикновено съдържа името на типа събитие. Например 6005 е идентификаторът на събитието, което се случва при стартиране на услугата за регистриране на събития. Съответно в началото на описанието на това събитие има ред „Услугата за регистър на събитията е стартирана“. Кодът на събитието и името на източника на запис могат да се използват от екипа за поддръжка на софтуерни продукти за отстраняване на проблеми.

Ниво- това е нивото на важност на събитието. В регистрационните файлове на системата и приложението събитията могат да имат следните нива на сериозност:

  • уведомление- обозначава промяна в приложение или компонент, като например появата на информационно събитие, свързано с успешно действие, създаване на ресурс или стартиране на услуга.
  • Внимание- показва общо предупреждение за проблем, който може да засегне услугата или да доведе до по-сериозен проблем, ако бъде оставен без внимание;
  • Грешка- показва, че е възникнал проблем, който може да засегне функции, външни за приложението или компонента, причинили събитието;
  • Критична грешка- показва, че е възникнал срив, от който приложението или компонентът, инициирал събитието, не може да се възстанови автоматично;
  • Одит на успехите- успешно изпълнение на действия, които наблюдавате чрез одит, като например използване на привилегия;
  • Одит на отказ- невъзможност за извършване на действия, които наблюдавате чрез одит, като например грешка при влизане в системата.

Потребител- дефинира потребителския акаунт, от чието име е настъпило това събитие. Потребителите включват специални обекти като локална услуга, мрежова услуга и анонимно влизане, както и реални потребителски акаунти. Това име е идентификаторът на клиента, ако събитието действително е предизвикано от сървърен процес, или основният идентификатор, ако не е извършено имитиране. В някои случаи записът в регистрационния файл за защита съдържа и двата идентификатора. Това поле може също да съдържа N/A, ако акаунтът не е приложим в тази ситуация. Имитиране възниква в случаите, когато сървър позволява на един процес да приеме атрибутите за сигурност на друг процес.

Работен код- съдържа числова стойност, което дефинира операцията или точката в операцията, по време на която се е случило това събитие. Например инициализация или затваряне.

Списание- името на дневника, в който е записано това събитие.

Категория и задачи- дефинира категория събитие, понякога използвана за последващо описание на валидно действие. Всеки източник на събитие има свои собствени категории. Например следните категории: Влизане/излизане, използване на привилегии, промяна на правилата и управление на акаунта.

Ключови думие набор от категории или тагове, които могат да се използват за филтриране или търсене на събития. Например: „Мрежа“, „Сигурност“ или „Ресурсът не е намерен“.

компютър- идентифицира името на компютъра, на който е настъпило събитието. Обикновено това е името локален компютър, но може да бъде и името на компютъра, който е препратил събитието, или името на локалния компютър, преди да бъде променено.

дата и час- определя датата и часа на възникване на това събитие в дневника.

ID на процеса- представлява идентификационния номер на процеса, генерирал събитието. Компютърната програма е само пасивен набор от инструкции, докато процесът е директното изпълнение на тези инструкции

ID на потока- представлява идентификационния номер на нишката, която е генерирала събитието. Процесът, създаден в операционна система, може да се състои от няколко нишки, работещи „паралелно“, тоест без предписан ред във времето. За някои задачи това разделяне може да постигне повече ефективно използванекомпютърни ресурси

ID на процесора- представлява идентификационния номер на процесора, обработил събитието.

Код на сесиятае идентификационният номер на сесията на терминалния сървър, в който е настъпило събитието.

Време на работа в режим на ядрото- дефинира времето, прекарано в изпълнение на инструкции за режим на ядрото, в единици време на процесора. Режимът на ядрото има неограничен достъп до системната памет и външните устройства. Ядрото на системата NT се нарича хибридно ядро ​​или макроядро.

Време на работа в потребителски режим- определя времето, изразходвано за изпълнение на инструкции на потребителския режим, в единици процесорно време. Потребителският режим се състои от подсистеми, които предават I/O заявки към съответния драйвер за режим на ядрото чрез I/O мениджъра.

натоварване на процесорае времето, прекарано в изпълнение на инструкции за потребителски режим, в тактове на процесора.

Корелационен код- дефинира действието в процеса, за което се използва събитието. Този код се използва за указване на прости връзки между събития. Корелацията е статистическа връзка между две или повече случайни променливи(или количества, които могат да се считат за такива с някаква приемлива степен на точност). Освен това промените в една или повече от тези величини водят до систематична промяна в друга или други величини.

ID на относителна корелация- дефинира относително действие в процеса, за което се използва събитието

Работа с регистрационни файлове за събития

Преглед на събития

На следващата екранна снимка можете да видите дневника "Приложения", където можете да намерите информация за събития, скорошни прегледи и налични действия. За да видите събития в регистрационния файл на приложението, изпълнете следните стъпки:

  1. В дървото на конзолата изберете „Дневници на Windows“;
  2. Изберете списание "Приложения".

Препоръчително е да преглеждате регистрационните файлове на събитията по-често "Приложение"И "Система"и проучете съществуващи проблеми и предупреждения, които могат да предвещават бъдещи проблеми. Когато изберете дневник, средният прозорец показва наличните събития, включително дата, час и източник на събитието, ниво на събитието и други подробности.

Панел "Viewport"показва основни данни за събитие в раздела "Обичайни са", а допълнителни конкретни данни са в раздела "Подробности". Можете да включвате и изключвате този панел, като изберете менюто "Изглед"и след това командата "Viewport".

За критични системи се препоръчва да съхранявате регистрационни файлове за няколко месеца назад. Като правило е неудобно да се задава размер на списания през цялото време, така че цялата информация да се побира в тях; този проблем може да бъде решен по друг начин. Можете да експортирате регистрационни файлове във файлове, разположени в определена папка. За да запазите избрания дневник, изпълнете следните стъпки:

  1. В дървото на конзолата изберете регистъра на събитията, който искате да запишете;
  2. Изберете отбор „Запазване на събития като“от менюто "екшън"или от контекстното меню на дневника изберете командата „Запазване на всички събития като“;
  3. В диалоговия прозорец, който се появява "Запази като"изберете папката, в която да бъде записан файлът. Ако трябва да запишете файла в нова папка, можете да го създадете директно от този диалогов прозорец, като използвате контекстното меню или бутона "Нова папка"на лентата с действия. В полето "Тип файл"трябва да изберете желания файлов формат от наличните: файлове за събития - *.evtx, xml файл - *.xml, разделен с табулатори текст - *.txt, разделен със запетая csv - *.csv. В полето "Име на файл" "Запазване". За да отмените запазването, щракнете върху бутона "Отказ";
  4. В случай, че регистърът на събитията не е предназначен за преглед на друг компютър, в диалоговия прозорец „Показване на подробности“оставете опцията по подразбиране „Не показвай информация“, а ако дневникът е предназначен за преглед на друг компютър, тогава в диалоговия прозорец „Показване на подробности“изберете опция „Показване на информация за следните езици» и щракнете върху бутона "ДОБРЕ".

Изчистване на регистъра на събитията

Понякога е необходимо да изчистите пълните журнали на събития, за да осигурите ефективен анализ на предупреждения и критични грешки на операционната система. За да изчистите избрания дневник, изпълнете следните стъпки:

  1. В дървото на конзолата изберете регистъра на събитията, който искате да изчистите;
  2. Изчистете регистрационния файл, като използвате един от следните методи:
    • В менюто "екшън"изберете отбор "Изчистване на дневника";
    • Щракнете с десния бутон върху избрания журнал, за да отворите контекстното меню. В контекстното меню изберете командата "Изчистване на дневника";
  3. След това можете или да изчистите дневника, или да го архивирате, ако това не е направено преди това:
    • За да изчистите регистъра на събитията без записване, щракнете върху бутона "Ясно";
    • За да изчистите регистъра на събитията, след като го запазите, щракнете върху бутона „Запазване и изчистване“. В диалоговия прозорец, който се появява "Запази като"изберете папката, в която да бъде записан файлът. Ако трябва да запишете файла в нова папка, можете да го създадете директно от този диалогов прозорец, като използвате контекстното меню или бутона "Нова папка"на лентата с действия. В полето "Име на файл"въведете име и щракнете върху бутона "Запазване". За да отмените записването, щракнете върху бутона "Отказ".

Задаване на максималния размер на дневника

Както бе споменато по-горе, регистрационните файлове на събития се съхраняват като файлове в папката %SystemRoot%\System32\Winevt\Logs\. По подразбиране максималният размер на тези файлове е ограничен, но можете да го промените по следния начин:

  1. Изберете отбор "Имоти"от менюто "екшън"
  2. В полето „Максимален размер на регистрационния файл (KB)“задайте необходимата стойност с помощта на брояч или задайте ръчно без използване на брояч. В този случай стойността ще бъде закръглена до най-близкото кратно на 64 KB, тъй като размерът на регистрационния файл трябва да е кратно на 64 KB и не може да бъде по-малък от 1024 KB.

Събитията се съхраняват в лог файл, който може да нараства само до определен максимален размер. След достигане на файла максимален размер, обработката на входящите събития ще се определя от политиката за съхранение на регистрационни файлове. Налични са следните правила за съхранение на регистрационни файлове:

Пренапишете събития, ако е необходимо (първо най-старите файлове)- в този случай новите записи продължават да се въвеждат в дневника след попълването му. Всяко ново събитие замества най-старото в дневника;

Архивирайте дневника, когато е попълнен; не пренаписвайте събития- в този случай лог файлът се архивира автоматично, ако е необходимо. Остарелите събития не се презаписват.

Не презаписвайте събития (ръчно изчистете регистрационния файл)- в този случай дневникът се изчиства ръчно, а не автоматично.

За да изберете желаната политика за съхранение на регистрационни файлове, изпълнете следните стъпки:

  1. В дървото на конзолата изберете регистъра на събитията, който искате да преоразмерите;
  2. Изберете отбор "Имоти"от менюто "екшън"или от контекстното меню на избрания журнал;
  3. В раздела "Обичайни са", В глава „При достигане на максимален размер“изберете необходимия параметър и щракнете върху бутона "ДОБРЕ".

Активиране на аналитичния и регистъра за отстраняване на грешки

Аналитичните и регистрационните файлове за отстраняване на грешки са неактивни по подразбиране. Веднъж активирани, те се пълнят бързо голяма сумасъбития. Поради тази причина е препоръчително да активирате тези регистрационни файлове за ограничен период от време, за да съберете данните, необходими за отстраняване на неизправности, и след това да ги деактивирате отново. Можете да активирате регистрационни файлове, както следва:

  1. В дървото на конзолата намерете и изберете аналитичния или регистъра за отстраняване на грешки, който искате да активирате;
  2. Изберете отбор "Имоти"от менюто "екшън"или от контекстното меню на избрания аналитичен или журнал за отстраняване на грешки;
  3. В раздела "Обичайни са"поставете отметка в квадратчето за опции „Активиране на регистриране“

Отваряне и затваряне на запазен дневник

Използване на оборудване "Преглед на събития"Можете да отваряте и преглеждате предварително запазени регистрационни файлове. Можете да отваряте няколко записани журнала едновременно и да имате достъп до тях по всяко време в дървото на конзолата. Списанието е отворено през "Преглед на събития", може да се затвори, без да се изтрива информацията, която съдържа. За да отворите запазен дневник, изпълнете следните стъпки:

  1. Изберете отбор „Отворете запазения дневник“в менюто "екшън"или от контекстното меню в дървото на конзолата;
  2. 3. В диалоговия прозорец „Отворете запазения дневник“, движейки се през дървото на директориите, отворете папката, съдържаща желания файл. По подразбиране диалоговият прозорец ще покаже всички регистрационни файлове за събития. Също така, когато отваряте, можете да изберете типа на файловете, които искате да показвате в диалоговия прозорец за отваряне. Наличните типове файлове са регистрационни файлове за събития (*.evtx, *.evt, *.etl), както и файлове за събития (*.evtx), наследени файлове за събития (*.evt) или регистрационни файлове за проследяване (*.etl) . След като желаният лог файл бъде намерен, изберете го, като щракнете с левия бутон върху него, което ще постави името му в реда за име на файл и щракнете върху бутона "Отворено".
  3. В диалог „Отворете запазения дневник“, в полето "Име"Въведете ново име, което да използвате за журнала в дървото на конзолата. Използва се само за показване на регистрационния файл в дървото на конзолата и не променя името на лог файла.Можете да използвате и съществуващо име на лог файл. В полето "Описание"въведете описание за дневника. Той ще се покаже в централната област, когато в дървото на конзолата е избрана родителската папка на журнала;
  4. За да създадете папка, в която ще се намира записаният журнал, щракнете върху бутона „Създаване на папка“. В полето "Име"въведете името на папката, в която ще се намира отвореният журнал, и след това щракнете "ДОБРЕ". Ако не е избрана родителска папка, новата папка ще се намира в папката „Запазени регистрационни файлове“.
  5. За да направите отворения регистър на събитията недостъпен за други компютърни потребители, можете да премахнете отметката от "Всички потребители". Ако това поле за отметка остане активно, отвореният журнал ще бъде достъпен за всички потребители, но ще са необходими администраторски права, за да го изтриете от дървото на конзолата;
  6. За да отворите списанието, щракнете върху бутона "ДОБРЕ".

За да изтриете отворен журнал от дървото на събитията, изпълнете следните стъпки:

  1. В дървото на конзолата изберете журнала за изтриване;
  2. Изберете отбор "Изтрий"от менюто "екшън"или от контекстното меню на избрания журнал;
  3. В диалог "Преглед на събития"щракнете върху бутона "да".

Заключение

Тази част от статията, посветена на конзолната добавка Event Viewer, говори за самата добавка и описва подробно най-простите операции, свързани с наблюдението и поддръжката на системата с помощта на Event Viewer. Следващата част от статията ще бъде предназначена за опитни потребители на Windows. Той ще обхваща задачи с персонализирани изгледи, филтриране, групиране/сортиране на събития и управление на абонаменти.

Здравейте всички!!

Не е тайна, че в операционната система Windows SEVEN, точно както в Windows Vista, има две категории регистрационни файлове на събития: регистрационни файлове на приложения и услуги и регистрационни файлове на Windows.

Регистрационните файлове на Windows се използват от операционната система за записване на системни събития, които са свързани с работата на системни компоненти, приложения, сигурност и стартиране. Регистри на приложения и услуги - Приложенията и услугите се използват за записване на събития, които са свързани с тяхната работа. Можете да използвате модула Event Viewer или инструмента за команден ред wevtutil, за да управлявате регистрационните файлове на събития
Бих искал да се спра на това как можете да работите с регистрационни файлове на събития:
За да видим същите тези събития в регистрационния файл на приложението, трябва да изпълним следните стъпки:
Изберете „Регистри на Windows“ в дървото на конзолата.
Изберете списанието "Приложения".
Ако е възможно, препоръчително е често да преглеждате регистрационните файлове на системата и приложението, за да изследвате съществуващи проблеми и предупреждения, които могат да предскажат бъдещи проблеми. Средният прозорец, когато изберете дневник, показва наличните събития, включително дата на събитието, ниво на събитието, час и източник и други данни.
Панелът Viewport показва данни за събитие в раздела Общи и допълнителни специфични данни в раздела Подробности.

Този панел може да се включва и изключва чрез избиране на менюто View и след това на командата Viewport.
Препоръчително е да съхранявате регистрационни файлове за последните няколко месеца за критични системи. Обикновено не е много удобно да се присвояват списания с такъв размер, че цялата информация да се побира в тях, и следователно този проблем може да бъде решен по различен начин. Дневниците могат да бъдат експортирани във файлове, намиращи се в определена папка. За да запазите избрания дневник, трябва да направите следното:
Изберете регистъра на събитията, който искате да запишете в дървото на конзолата;
Изберете командата „Запазване на събития като“ от менюто „Действие“ или изберете командата „Запазване на всички събития като“ от контекстното меню на дневника;
В диалоговия прозорец "Запазване като" изберете папката, в която да бъде записан файлът. Ако трябва да запишете файл в нова папка, можете да го създадете директно от този диалогов прозорец, като използвате контекстното меню или бутона „Нова папка“ в лентата с действия. В полето "Тип файл" трябва да изберете желания файлов формат от наличните: файлове за събития - *.evtx, xml файл - *.xml, разделен с табулатори текст - *.txt, разделен със запетая csv - *. csv. В полето "Име на файл" въведете име и щракнете върху бутона "Запазване". Кликнете върху бутона "Отказ", за да отмените запазването.
Ако регистърът на събитията не е предназначен за преглед на друг компютър, оставете опцията по подразбиране „Не показвай информация“ в диалоговия прозорец „Показване на информация“, а ако регистърът е предназначен за преглед на друг компютър, тогава в „ Показване на информация” диалогов прозорец Изберете опцията “Показване на информация за следните езици” и щракнете върху бутона “OK”.
Как да работите с регистрационни файлове на събития:
Преглед на събития
Ако искате да видите събития в регистрационния файл на приложението, изпълнете следните стъпки:
Изберете "Windows Logs" в дървото на конзолата;
Изберете списанието Applications.
Препоръчително е да прегледате регистрационните файлове на системата и приложението за проблеми или предупреждения. Когато изберете дневник, наличните събития се показват в средния прозорец.
Панелът Viewport ще покаже основни данни за събитие в раздела Общи, а допълнителни данни ще се появят в раздела Подробности. Можете да включвате и изключвате този панел, като изберете менюто "Изглед" и командата "Прозорец за изглед".
Препоръчително е за критични системи да съхраняват логове за последните месеци.

Обикновено е неудобно да се присвои такъв размер на списанията, така че цялата информация да се побере в тях; този проблем може да бъде решен по различен начин. Можете да експортирате регистрационни файлове във файлове, намиращи се в определена папка. За да запазите избрания регистрационен файл, изпълнете следните стъпки:
В дървото на конзолата изберете регистъра на събитията, който искате да запишете;
Изберете командата „Запазване на събитията като“ от менюто „Действие“ или изберете командата „Запазване на всички събития като“ от менюто на журнала;
В диалоговия прозорец "Запазване като" изберете папката, в която да бъде записан файлът. Ако трябва да запишете файла в нова папка, можете да го създадете от този диалогов прозорец, като използвате контекстното меню или бутона „Нова папка“ в лентата с действия. В полето "Тип файл" изберете желания файлов формат от предложените: файлове за събития - *.evtx, текст, разделен с табулатори - *.txt,
xml файл - *.xml,
csv разделени със запетая - *.csv. В полето "Име на файл" въведете име и щракнете върху бутона "Запазване". За да отмените записването, щракнете върху „Отказ“; Ако регистърът на събитията не е предназначен да се преглежда на друг компютър, в диалоговия прозорец „Показване на информация“ оставете опцията „Не показвай информация“ зададена по подразбиране и ако регистърът е предназначен да се преглежда на друг компютър, тогава в диалоговия прозорец „Показване на информация“ Изберете опцията „Показване на информация за следните езици“ и щракнете върху „OK“.
Изчистване на регистъра на събитията
Изберете регистъра на събитията в дървото на конзолата, който трябва да бъде изчистен; Изчистете регистрационния файл, като използвате един от следните методи:
От менюто „Действие“ изберете „Изчистване на дневника“
Щракнете върху избрания дневник, за да отворите контекстното меню с десен бутон. В контекстното меню изберете командата "Изчистване на дневника".
След това можете да изчистите дневника или да го архивирате, ако това не е направено преди:
Ако изчистите регистъра на събитията без да запазите, щракнете върху бутона „Изчистване“;
За да изчистите регистъра на събитията, след като го запазите, щракнете върху „Запазване и изчистване“. В диалоговия прозорец "Запазване като" изберете папката, в която да бъде записан файлът. Ако трябва да запишете файл в нова папка, можете да го създадете от този диалогов прозорец, като използвате контекстното меню или бутона „Нова папка“ в лентата с действия. В полето "Име на файл" въведете име и щракнете върху "Запазване". За да отмените запазването, натиснете „Отказ“.Фу, това е всичко, но ако не е ясно, чакам вашите коментари.

Това е всичко и до нови срещи...

Седмата версия на операционната система Windows е внедрила функция за проследяване важни събитиякоито се случват по време на работа В Microsoft понятието „събития“ означава всички инциденти в системата, които са записани в специално списаниеи се сигнализират на потребителите или администраторите. Това може да е помощна програма, която не иска да стартира, приложение, което се срива или устройства, които не са инсталирани правилно. Всички инциденти се записват и записват от регистъра на събитията на Windows 7. Той също така намира и показва всички дейности в хронологичен ред, помага за извършване на системен мониторинг, гарантира безопасността на операционната система, коригира грешки и диагностицира цялата система.

Трябва периодично да преглеждате този журнал за нова информация и да конфигурирате системата да запазва важни данни.

Window 7 - програми

Компютърното приложение Event Viewer е основната част от помощните програми на Microsoft, предназначени да наблюдават и преглеждат регистъра на събитията. Това необходим инструментза наблюдение на производителността на системата и отстраняване на възникващи грешки. Помощната програма на Windows, която управлява документирането на инциденти, се нарича Event Log. Ако тази услуга бъде стартирана, тя започва да събира и регистрира всички важни данни в своя архив. Регистърът на събитията на Windows 7 ви позволява да правите следното:

Преглед на данни, записани в архива;

Използване на различни филтри за събития и запазването им за по-нататъшна употреба в системните настройки;

Създаване и управление на абонаменти за конкретни инциденти;

Задайте конкретни действия, когато настъпят определени събития.

Как да отворя регистъра на събитията на Windows 7?

Програмата, отговорна за записване на инциденти, се стартира, както следва:

1. Менюто се активира чрез натискане на бутона “Старт” в долния ляв ъгъл на монитора, след което се отваря “Контролен панел”. В списъка с контроли изберете „Администриране“ и в това подменю щракнете върху „Преглед на събития“.

2. Има друг начин да видите регистъра на събитията на Windows 7. За да направите това, отидете в менюто "Старт", въведете mmc в прозореца за търсене и изпратете заявка за търсене на файла. След това ще се отвори таблицата MMC, където трябва да изберете параграфа, указващ добавяне и премахване на оборудване. След това „Преглед на събития“ се добавя към главния прозорец.

Какво е описаното приложение?

В операционните системи Windows 7 и Vista се инсталират две събития: системни архиви и регистър на услугите на приложението. Първата опция се използва за заснемане на инциденти в цялата система, които са свързани с производителността на различни приложения, стартиране и сигурност. Вторият вариант отговаря за записването на събитията от тяхната работа. За да контролира и управлява всички данни, услугата Event Log използва раздела View, който е разделен на следните елементи:

Приложение - тук се съхраняват събития, които са свързани с конкретна програма. Например пощенските услуги съхраняват на това място историята на изпращане на информация, различни събития в пощенските кутии и т.н.

Елементът „Сигурност“ съхранява всички данни, свързани с влизане и излизане от системата, използване на административни възможности и достъп до ресурси.

Инсталиране - този журнал на събития на Windows 7 записва данни, които се появяват по време на инсталирането и конфигурирането на системата и нейните приложения.

Система - записва всички събития на операционната система, като повреди при стартиране на сервизни приложения или при инсталиране и актуализиране на драйвери на устройства, различни съобщения относно работата на цялата система.

Препратени събития - ако този елемент е конфигуриран, той съхранява информация, която идва от други сървъри.

Други подпозиции на главното меню

Също така в менюто „Администрация“, където се намира регистърът на събитията в Windows 7, има следните допълнителни елементи:

Internet Explorer - тук се записват събития, които възникват по време на работа и конфигуриране на едноименния браузър.

Windows PowerShell – в тази папка се записват инциденти, свързани с използването на PowerShell.

Събития за оборудване - ако този елемент е конфигуриран, тогава данните, генерирани от устройствата, се регистрират.

Цялата структура на "седемте", която осигурява запис на всички събития, се основава на типа Vista върху XML. Но за да използвате програмата за регистър на събития в Window 7, не е необходимо да знаете как да използвате този код. Приложението Event Viewer ще направи всичко само, предоставяйки удобна и проста таблица с елементи от менюто.

Характеристики на инцидента

Потребител, който иска да знае как да прегледа регистъра на събитията на Windows 7, трябва също да разбере характеристиките на данните, които иска да прегледа. В края на краищата има различни свойства на определени инциденти, описани в „Преглед на събития“. Ще разгледаме тези характеристики по-долу:

Източници - програма, която записва събития в дневник. Тук се записват имената на приложенията или драйверите, които са повлияли на определен инцидент.

Кодът на събитието е набор от числа, които определят вида на инцидента. Този код и име на източник на събитие се използват от техническата поддръжка на системния софтуер за отстраняване на неизправности в софтуера.

Ниво - степента на важност на събитието. Регистърът на системните събития има шест нива на инциденти:

1. Съобщение.

2. Внимание.

3. Грешка.

4. Опасна грешка.

5. Мониторинг на успешни операции за коригиране на грешки.

6. Одит на неуспешни действия.

Потребители - записва данни от акаунти, от чието име може да има имена на различни услуги, както и реални потребители.

Дата и час - записва момента на настъпване на събитието.

Има много други събития, които се случват, докато операционната система работи. Всички инциденти се показват в „Преглед на събития“ с описание на всички свързани информационни данни.

Как се работи с регистъра на събитията?

Много важен моментЗа да защитите системата от сривове и замръзвания, е периодично да преглеждате дневника „Приложение“, който записва информация за инциденти, скорошни действия с определена програма и също така предоставя избор на налични операции.

Отивайки в регистъра на събитията на Windows 7, в подменюто „Приложение“ можете да видите списък с всички програми, които са причинили различни негативни събития в системата, часа и датата на тяхното възникване, източника и степента на проблема.

Потребителски отговори на събития

След като научихте как да отваряте регистъра на събитията на Windows 7 и как да го използвате, следва да научите как да използвате приложението Task Scheduler с това полезно приложение. За да направите това, трябва да щракнете с десния бутон върху всеки инцидент и в прозореца, който се отваря, да изберете менюто за свързване на задача със събитие. Следващият път, когато възникне такъв инцидент в системата, операционната система автоматично ще стартира инсталираната задача, за да обработи грешката и да я коригира.

Грешка в дневника не е причина за паника

Ако, докато разглеждате регистъра на системните събития на Windows 7, видите системни грешки или предупреждения, които се появяват периодично, тогава не трябва да се притеснявате или да се паникьосвате за това. Дори при перфектно работещ компютър могат да бъдат записани различни грешки и повреди, повечето от които не представляват сериозна заплаха за работата на компютъра.

Приложението, което описваме, е създадено, за да улесни системния администратор да контролира компютрите и да отстранява възникващи проблеми.

Заключение

Въз основа на всичко по-горе става ясно, че регистърът на събитията е начин, който позволява на програмите и системата да записват и запазват всички събития на компютъра на едно място. Този дневник съхранява всички оперативни грешки, съобщения и предупреждения от системни приложения.

Къде е регистърът на събитията в Windows 7, как да го отворите, как да го използвате, как да коригирате появилите се грешки - всичко това научихме от тази статия. Но мнозина ще попитат: „Защо имаме нужда от това, нямаме системни администратори, не програмисти, а обикновени потребители, които изглежда не се нуждаят от това знание?“ Но този подход е грешен. В крайна сметка, когато човек се разболее от нещо, преди да отиде на лекар, той се опитва да се излекува по един или друг начин. И много често успяват. По същия начин компютърът, който е цифров организъм, може да се „разболее“ и тази статия показва един от начините за диагностициране на причината за такова „болест“, въз основа на резултатите от такова „изследване“, което човек може да приеме правилно решениеза методите на последващо „лечение“.

Така че информацията за метода за гледане на събития ще бъде полезна не само за системния специалист, но и за обикновения потребител.