نسخ ملفات سجل الأحداث لنظام التشغيل Windows 7. استخدام Eventcreate مع بعض الأمثلة

في بعض الأحيان تحدث أحداث تتطلب منا الإجابة على سؤال ما. "من فعلها؟"يمكن أن يحدث هذا "نادرًا، ولكن بدقة"، لذا يجب عليك الاستعداد للإجابة على السؤال مسبقًا.

في كل مكان تقريبًا، توجد أقسام تصميم وأقسام محاسبة ومطورون وفئات أخرى من الموظفين يعملون معًا على مجموعات من المستندات المخزنة في مجلد (مشترك) يمكن الوصول إليه بشكل عام على خادم ملفات أو على إحدى محطات العمل. قد يحدث أن يقوم شخص ما بحذف مستند أو دليل مهم من هذا المجلد، ونتيجة لذلك قد يتم فقد عمل الفريق بأكمله. في هذه الحالة يواجه مسؤول النظام عدة أسئلة:

متى وفي أي وقت حدثت المشكلة؟

ما هي أقرب نسخة احتياطية لهذا الوقت لاستعادة البيانات منها؟

ربما كان هناك فشل في النظام يمكن أن يحدث مرة أخرى؟

ويندوز لديه نظام مراجعة،مما يسمح لك بتتبع وتسجيل المعلومات حول متى تم حذف مستندات البرنامج وبواسطة من وبواسطة ذلك. بشكل افتراضي، لا يتم تمكين التدقيق - يتطلب التتبع نفسه نسبة معينة من طاقة النظام، وإذا قمت بتسجيل كل شيء، فسيصبح الحمل كبيرًا جدًا. علاوة على ذلك، قد لا تهمنا جميع إجراءات المستخدم، لذا تسمح لنا سياسات التدقيق بتمكين تتبع تلك الأحداث التي تهمنا حقًا فقط.

نظام التدقيق مدمج في كافة أنظمة التشغيل مايكروسوفتشبابيكNT: ويندوز إكس بي/فيستا/7، ويندوز سيرفر 2000/2003/2008. لسوء الحظ، في أنظمة سلسلة Windows Home، يكون التدقيق مخفيًا بشكل كبير ويصعب تكوينه.

ما الذي يجب تكوينه؟

لتمكين التدقيق، قم بتسجيل الدخول باستخدام حقوق المسؤول إلى الكمبيوتر الذي يوفر الوصول إلى المستندات المشتركة وقم بتشغيل الأمر يبدأ→يجري→gpedit.msc. في قسم تكوين الكمبيوتر، قم بتوسيع المجلد إعدادات ويندوز→ اعدادات الامان→ السياسات المحلية→ سياسات التدقيق:

انقر مرتين على السياسة تدقيق الوصول إلى الكائنات (تدقيق الوصول إلى الكائنات)وحدد خانة الاختيار نجاح. يتيح هذا الإعداد آلية لمراقبة الوصول الناجح إلى الملفات والتسجيل. في الواقع، نحن مهتمون فقط بالمحاولات الناجحة لحذف الملفات أو المجلدات. قم بتمكين التدقيق فقط على أجهزة الكمبيوتر حيث يتم تخزين الكائنات المراقبة مباشرة.

إن مجرد تمكين سياسة التدقيق لا يكفي؛ يجب علينا أيضًا تحديد المجلدات التي نريد مراقبتها. عادةً ما تكون هذه الكائنات عبارة عن مجلدات من المستندات والمجلدات الشائعة (المشتركة) مع برامج الإنتاج أو قواعد البيانات (المحاسبة، المستودعات، إلخ) - أي الموارد التي يعمل بها العديد من الأشخاص.

من المستحيل التخمين مقدمًا من سيحذف الملف بالضبط، لذلك تتم الإشارة إلى التتبع للجميع. سيتم تسجيل المحاولات الناجحة لحذف الكائنات المراقبة من قبل أي مستخدم. اتصل بخصائص المجلد المطلوب (إذا كان هناك العديد من هذه المجلدات، فكلها بدورها) وعلى علامة التبويب الأمان → متقدم → التدقيقإضافة تتبع الموضوع الجميعمحاولاته الناجحة للوصول يمسحو حذف المجلدات الفرعية والملفات:

يمكن تسجيل الكثير من الأحداث، لذا يجب عليك أيضًا ضبط حجم السجل حماية(أمان)حيث سيتم تسجيلهم. ل
قم بتشغيل هذا الأمر يبدأ→ يجري→ com.eventvwr. ماجستير. في النافذة التي تظهر، قم باستدعاء خصائص سجل الأمان وحدد المعلمات التالية:

الحد الأقصى لحجم السجل = 65536 ك.ب.(لمحطات العمل) أو 262144 ك.ب.(للخوادم)

الكتابة فوق الأحداث حسب الحاجة.

في الواقع، الأرقام المشار إليها ليست مضمونة أن تكون دقيقة، ولكن يتم اختيارها تجريبيا لكل حالة محددة.

شبابيك 2003/ XP)?

انقر يبدأ→ يجري→ eventsvwr.msc حماية. منظر→ منقي

مصدر الحدث:الأمان؛
الفئة: الوصول إلى الكائنات؛
أنواع الأحداث: تدقيق النجاح؛
معرف الحدث: 560؛

تصفح قائمة الأحداث التي تمت تصفيتها، مع الانتباه إلى الحقول التالية داخل كل إدخال:

هدفاسم. اسم المجلد أو الملف الذي تبحث عنه؛
صورةملفاسم. اسم البرنامج الذي قام بحذف الملف
الوصول. مجموعة الحقوق المطلوبة

يمكن للبرنامج أن يطلب عدة أنواع من الوصول من النظام في وقت واحد - على سبيل المثال، يمسح+ تزامنأو يمسح+ يقرأ_ يتحكم. حق كبير بالنسبة لنا هو يمسح.

إذن من قام بحذف المستندات (شبابيك 2008/ مشهد من خلال)?

انقر يبدأ→ يجري→ eventsvwr.mscوافتح المجلة للمشاهدة حماية.قد يكون السجل مليئًا بالأحداث التي لا ترتبط مباشرة بالمشكلة. انقر بزر الماوس الأيمن فوق سجل الأمان وحدد منظر→ منقيوقم بتصفية مشاهدتك حسب المعايير التالية:

مصدر الحدث: الأمان؛
الفئة: الوصول إلى الكائنات؛
أنواع الأحداث: تدقيق النجاح؛
معرف الحدث: 4663؛

لا تتسرع في تفسير جميع عمليات الحذف على أنها ضارة. تُستخدم هذه الوظيفة غالبًا أثناء التشغيل العادي للبرنامج - على سبيل المثال، تنفيذ أمر ما يحفظ(يحفظ)،برامج الحزمة مايكروسوفتمكتبأولاً، يقومون بإنشاء ملف مؤقت جديد، وحفظ المستند فيه، ثم حذف الإصدار السابق من الملف. وبالمثل، تقوم العديد من تطبيقات قواعد البيانات أولاً بإنشاء ملف قفل مؤقت عند تشغيلها (. lck), ثم قم بحذفه عند الخروج من البرنامج.

لقد اضطررت إلى التعامل مع الإجراءات الضارة للمستخدمين في الممارسة العملية. على سبيل المثال، قرر موظف متضارب في شركة معينة، عند ترك وظيفته، تدمير جميع نتائج عمله، وحذف الملفات والمجلدات التي كان مرتبطًا بها. الأحداث من هذا النوع واضحة للعيان - فهي تولد عشرات ومئات الإدخالات في الثانية في سجل الأمان. وبطبيعة الحال، استعادة الوثائق من ظلنسخ(نسخ الظل)أو إنشاء أرشيف تلقائيًا كل يوم ليس بالأمر الصعب، لكن في نفس الوقت يمكنني الإجابة على الأسئلة "من فعل هذا؟" و"متى حدث هذا؟"

يحتوي نظام التشغيل Windows الإصدار السابع على وظيفة تتبع الأحداث المهمة التي تحدث أثناء تشغيل برامج النظام. في Microsoft، يشير مفهوم "الأحداث" إلى أي حوادث في النظام يتم تسجيلها في سجل خاص ويتم إرسال الإشارة إليها للمستخدمين أو المسؤولين. قد يكون هذا برنامجًا مساعدًا لا يريد التشغيل، أو تعطل أحد التطبيقات، أو عدم تثبيت الأجهزة بشكل صحيح. يتم تسجيل جميع الأحداث وحفظها بواسطة سجل أحداث Windows 7، كما أنه يقوم بترتيب وإظهار جميع الإجراءات بترتيب زمني، ويساعد في تنفيذ التحكم في النظام، ويضمن أمان نظام التشغيل، ويصحح الأخطاء ويشخص النظام بأكمله.

يجب عليك مراجعة هذا السجل بشكل دوري للحصول على معلومات جديدة وتكوين النظام لحفظ البيانات المهمة.

النافذة 7 - البرامج

يعد تطبيق الكمبيوتر Event Viewer هو الجزء الرئيسي من أدوات Microsoft المساعدة المصممة لمراقبة سجل الأحداث وعرضه. هذه أداة ضرورية لمراقبة أداء النظام والقضاء على الأخطاء الناشئة. تسمى أداة Windows المساعدة التي تدير توثيق الحوادث بسجل الأحداث. إذا بدأت هذه الخدمة، فإنها تبدأ في جمع وتسجيل جميع البيانات المهمة في أرشيفها. يتيح لك سجل أحداث Windows 7 القيام بما يلي:

عرض البيانات المسجلة في الأرشيف.

استخدام مرشحات الأحداث المختلفة وحفظها لاستخدامها مرة أخرى في إعدادات النظام؛

إنشاء وإدارة الاشتراكات لحوادث محددة؛

قم بتعيين إجراءات محددة عند حدوث أحداث معينة.

كيفية فتح سجل أحداث ويندوز 7؟

يتم إطلاق البرنامج المسؤول عن تسجيل الحوادث على النحو التالي:

1. يتم تنشيط القائمة بالضغط على زر "ابدأ" الموجود في الزاوية اليسرى السفلية من الشاشة، ثم يتم فتح "لوحة التحكم". في قائمة عناصر التحكم، حدد "الإدارة" وفي هذه القائمة الفرعية انقر على "عارض الأحداث".

2. هناك طريقة أخرى لعرض سجل أحداث Windows 7. للقيام بذلك، انتقل إلى القائمة "ابدأ"، واكتب mmc في نافذة البحث وأرسل طلبًا للبحث عن الملف. بعد ذلك، سيتم فتح جدول MMC، حيث تحتاج إلى تحديد الفقرة التي تشير إلى إضافة المعدات وإزالتها. ثم تتم إضافة "عارض الأحداث" إلى النافذة الرئيسية.

ما هو وصف التطبيق؟

يحتوي نظاما التشغيل Windows 7 وVista على نوعين من سجلات الأحداث: أرشيفات النظام وسجل خدمة التطبيق. يتم استخدام الخيار الأول لالتقاط الحوادث على مستوى النظام والتي تتعلق بأداء التطبيقات المختلفة وبدء التشغيل والأمن. الخيار الثاني هو المسؤول عن تسجيل أحداث عملهم. للتحكم في جميع البيانات وإدارتها، تستخدم خدمة سجل الأحداث علامة التبويب عرض، والتي تنقسم إلى العناصر التالية:

التطبيق – يتم تخزين الأحداث المرتبطة ببرنامج معين هنا. على سبيل المثال، تقوم الخدمات البريدية بتخزين محفوظات إرسال المعلومات والأحداث المختلفة في صناديق البريد في هذا المكان، وما إلى ذلك.

يقوم عنصر "الأمان" بتخزين جميع البيانات المتعلقة بتسجيل الدخول والخروج من النظام باستخدام الإمكانات الإدارية والوصول إلى الموارد.

التثبيت - يسجل سجل أحداث Windows 7 هذا البيانات التي تحدث أثناء تثبيت وتكوين النظام وتطبيقاته.

النظام - يسجل جميع أحداث نظام التشغيل، مثل حالات الفشل عند تشغيل تطبيقات الخدمة أو عند تثبيت وتحديث برامج تشغيل الأجهزة، والرسائل المختلفة المتعلقة بتشغيل النظام بأكمله.

الأحداث المعاد توجيهها - إذا تم تكوين هذا العنصر، فإنه يقوم بتخزين المعلومات التي تأتي من خوادم أخرى.

عناصر فرعية أخرى من القائمة الرئيسية

يوجد أيضًا في قائمة "الإدارة"، حيث يوجد سجل الأحداث في نظام التشغيل Windows 7، العناصر الإضافية التالية:

Internet Explorer - يتم هنا تسجيل الأحداث التي تحدث أثناء تشغيل وتكوين المتصفح الذي يحمل نفس الاسم.

Windows PowerShell - يتم تسجيل الحوادث المتعلقة باستخدام PowerShell في هذا المجلد.

أحداث المعدات - إذا تم تكوين هذا العنصر، فسيتم تسجيل البيانات التي تم إنشاؤها بواسطة الأجهزة.

يعتمد الهيكل الكامل لـ "السبعة"، والذي يضمن تسجيل جميع الأحداث، على نوع Vista على XML. ولكن لاستخدام برنامج سجل الأحداث في Windows 7، لا تحتاج إلى معرفة كيفية استخدام هذا الرمز. سيقوم تطبيق Event Viewer بكل شيء بنفسه، مما يوفر جدولًا مناسبًا وبسيطًا مع عناصر القائمة.

خصائص الحادث

يجب على المستخدم الذي يريد معرفة كيفية عرض سجل أحداث Windows 7 أن يفهم أيضًا خصائص البيانات التي يريد عرضها. بعد كل شيء، هناك خصائص مختلفة لبعض الأحداث الموصوفة في "عارض الأحداث". وسوف ننظر في هذه الخصائص أدناه:

المصادر – برنامج يسجل الأحداث في السجل. يتم هنا تسجيل أسماء التطبيقات أو برامج التشغيل التي أثرت على حادثة معينة.

رمز الحدث عبارة عن مجموعة من الأرقام التي تحدد نوع الحادث. يتم استخدام هذا الرمز واسم مصدر الحدث بواسطة الدعم الفني لبرامج النظام لتصحيح الأخطاء وحل حالات فشل البرامج.

المستوى – درجة أهمية الحدث. يحتوي سجل أحداث النظام على ستة مستويات من الحوادث:

1. الرسالة.

2. الحذر.

3. خطأ.

4. خطأ خطير.

5. مراقبة عمليات تصحيح الأخطاء الناجحة.

6. تدقيق الإجراءات غير الناجحة.

المستخدمون – يسجل بيانات الحسابات التي وقع الحادث نيابة عنها. يمكن أن تكون هذه أسماء الخدمات المختلفة، وكذلك المستخدمين الحقيقيين.

التاريخ والوقت – يسجل توقيت وقوع الحدث.

هناك العديد من الأحداث الأخرى التي تحدث أثناء تشغيل نظام التشغيل. يتم عرض جميع الحوادث في "عارض الأحداث" مع وصف لجميع بيانات المعلومات ذات الصلة.

كيفية العمل مع سجل الأحداث؟

هناك نقطة مهمة جدًا في حماية النظام من الأعطال والتجميد وهي المراجعة الدورية لسجل "التطبيق"، الذي يسجل معلومات حول الأحداث والإجراءات الأخيرة مع برنامج معين، كما يوفر أيضًا مجموعة مختارة من العمليات المتاحة.

من خلال الانتقال إلى سجل أحداث Windows 7، في القائمة الفرعية "التطبيق"، يمكنك رؤية قائمة بجميع البرامج التي تسببت في أحداث سلبية مختلفة في النظام، ووقت وتاريخ حدوثها، والمصدر، ودرجة المشكلة.

ردود المستخدم على الأحداث

بعد أن تعلمت كيفية فتح سجل أحداث Windows 7 وكيفية استخدامه، يجب أن تتعلم بعد ذلك كيفية استخدام تطبيق "جدولة المهام" مع هذا التطبيق المفيد. للقيام بذلك، تحتاج إلى النقر بزر الماوس الأيمن على أي حادث وفي النافذة التي تفتح، حدد القائمة لربط مهمة بحدث ما. في المرة التالية التي يحدث فيها مثل هذا الحادث في النظام، سيقوم نظام التشغيل تلقائيًا بتشغيل المهمة المثبتة لمعالجة الخطأ وتصحيحه.

خطأ في السجل ليس سببا للذعر

إذا رأيت، أثناء النظر إلى سجل أحداث نظام Windows 7، ظهور أخطاء أو تحذيرات في النظام بشكل دوري، فلا داعي للقلق أو الذعر بشأن هذا الأمر. حتى مع وجود جهاز كمبيوتر يعمل بشكل مثالي، قد يتم تسجيل العديد من الأخطاء والإخفاقات، ومعظمها لا يشكل تهديدًا خطيرًا لأداء جهاز الكمبيوتر.

تم إنشاء التطبيق الذي نصفه ليسهل على مسؤول النظام التحكم في أجهزة الكمبيوتر واستكشاف المشكلات الناشئة وإصلاحها.

خاتمة

بناءً على كل ما سبق، يتضح أن سجل الأحداث هو وسيلة تسمح للبرامج والنظام بتسجيل وحفظ جميع الأحداث على الكمبيوتر في مكان واحد. يقوم هذا السجل بتخزين كافة الأخطاء التشغيلية والرسائل والتحذيرات الواردة من تطبيقات النظام.

أين يوجد سجل الأحداث في نظام التشغيل Windows 7، وكيفية فتحه، وكيفية استخدامه، وكيفية تصحيح الأخطاء التي تظهر - كل هذا تعلمناه من هذه المقالة. لكن الكثير سوف يتساءلون: "لماذا نحتاج هذا، نحن لسنا مسؤولي النظام، وليس المبرمجين، ولكن المستخدمين العاديين الذين لا يبدو أنهم بحاجة إلى هذه المعرفة؟" لكن هذا النهج خاطئ. بعد كل شيء، عندما يمرض الشخص بشيء ما، قبل الذهاب إلى الطبيب، يحاول علاج نفسه بطريقة أو بأخرى. وغالبا ما ينجح الكثيرون. وبالمثل، فإن الكمبيوتر، وهو كائن رقمي، يمكن أن "يصاب بالمرض"، وتوضح هذه المقالة إحدى طرق تشخيص سبب مثل هذا "المرض" بناءً على نتائج مثل هذا "الفحص"، التي يمكنك إجراؤها القرار الصحيح بشأن طرق "العلاج" اللاحق.

لذا فإن المعلومات حول طريقة عرض الأحداث ستكون مفيدة ليس فقط لمتخصص النظام، ولكن أيضًا للمستخدم العادي.

يقوم نظام التشغيل Windows 7 بمراقبة العديد من الأحداث الجديرة بالملاحظة التي تحدث على نظامك باستمرار. على مايكروسوفت ويندوز حدثهو أي حادث في نظام التشغيل يتم تسجيله أو يتطلب إشعار المستخدمين أو المسؤولين. قد تكون هذه خدمة لا تريد أن تبدأ، أو تثبيت جهاز، أو خطأ في التطبيق. يتم تسجيل الأحداث وتخزينها في سجلات أحداث Windows وتوفير معلومات تاريخية مهمة تساعدك في مراقبة نظامك والحفاظ على أمان النظام واستكشاف الأخطاء وإصلاحها وإجراء التشخيصات. وينبغي مراجعة المعلومات الواردة في هذه السجلات بانتظام. يجب عليك مراقبة سجلات الأحداث بانتظام وتكوين نظام التشغيل الخاص بك لحفظ أحداث النظام المهمة. إذا كنت مسؤولاً عن خوادم Windows، فأنت بحاجة إلى مراقبة أمان أنظمتها، والتشغيل العادي للتطبيقات والخدمات، وكذلك التحقق من الخادم بحثًا عن الأخطاء التي يمكن أن تضعف الأداء. إذا كنت من مستخدمي الكمبيوتر الشخصي، فيجب عليك التأكد من أن لديك حق الوصول إلى السجلات المناسبة التي تحتاجها لدعم نظامك واستكشاف الأخطاء وإصلاحها.

برنامج "عارض الأحداث"عبارة عن أداة إضافية لوحدة التحكم بالإدارة لـ Microsoft (MMC) لعرض سجلات الأحداث وإدارتها. هذه أداة لا غنى عنها لمراقبة أداء النظام واستكشاف المشكلات وإصلاحها. يتم استدعاء خدمة Windows التي تدير تسجيل الأحداث "سجل الأحداث". إذا كان قيد التشغيل، يقوم Windows بكتابة البيانات المهمة إلى السجلات. باستخدام البرنامج "عارض الأحداث"يمكنك القيام بما يلي:

عرض الأحداث من سجلات محددة؛
تطبيق عوامل تصفية الأحداث وحفظها لاستخدامها لاحقًا كطرق عرض مخصصة؛
إنشاء وإدارة اشتراكات الأحداث؛
تعيين إجراءات محددة ليتم تنفيذها عند وقوع حدث معين.

إطلاق عارض الأحداث

طلب "عارض الأحداث"يمكن فتحه بالطرق التالية:

رسم بياني 1. نافذة عارض الأحداث

سجلات الأحداث في نظام التشغيل Windows 7

في نظام التشغيل Windows 7، وكذلك في نظام التشغيل Windows Vista، هناك فئتان من سجلات الأحداث: سجلات ويندوزو سجلات التطبيق والخدمة. سجلات ويندوز- يستخدمه نظام التشغيل لتسجيل الأحداث على مستوى النظام المتعلقة بتشغيل التطبيقات ومكونات النظام والأمان وبدء التشغيل. أ سجلات التطبيق والخدمة- تستخدمها التطبيقات والخدمات لتسجيل الأحداث المتعلقة بتشغيلها. يمكنك استخدام الأداة الإضافية لإدارة سجلات الأحداث "عارض الأحداث"أو برنامج سطر الأوامر com.wevtutil، والتي سيتم مناقشتها في الجزء الثاني من المقال. جميع أنواع السجلات موضحة أدناه:

طلب- تخزين الأحداث الهامة المتعلقة بتطبيق معين. على سبيل المثال، يقوم Exchange Server بتخزين الأحداث المتعلقة بإعادة توجيه البريد، بما في ذلك الأحداث الخاصة بمخزن المعلومات وصناديق البريد والخدمات قيد التشغيل. افتراضيًا، يتم وضعه في %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

أمان- يخزن الأحداث المتعلقة بالأمان مثل تسجيل الدخول/الخروج من النظام، واستخدام الامتيازات، والوصول إلى الموارد. بشكل افتراضي، يوجد في %SystemRoot%\System32\Winevt\Logs\Security.Evtx

تثبيت- يسجل هذا السجل الأحداث التي تحدث أثناء تثبيت وتكوين نظام التشغيل ومكوناته. بشكل افتراضي، يوجد في %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

نظام- يخزن أحداث نظام التشغيل أو مكوناته، مثل الفشل في بدء الخدمات أو تهيئة برامج التشغيل، والرسائل على مستوى النظام والرسائل الأخرى المتعلقة بالنظام ككل. افتراضيًا، يتم وضعه في %SystemRoot%\System32\Winevt\Logs\System.Evtx

الأحداث المعاد توجيهها- إذا تم تكوين إعادة توجيه الأحداث، فإن هذا السجل يتضمن الأحداث المعاد توجيهها من خوادم أخرى. افتراضيًا، يتم وضعه في %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

متصفح الانترنت- يسجل هذا السجل الأحداث التي تحدث عند إعداد متصفح Internet Explorer والعمل معه. بشكل افتراضي، يوجد في %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

ويندوز باورشيل- يسجل هذا السجل الأحداث المتعلقة باستخدام PowerShell. بشكل افتراضي، يوجد في %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

أحداث المعدات- إذا تم تكوين تسجيل أحداث الأجهزة، فسيتم تسجيل الأحداث التي تم إنشاؤها بواسطة الأجهزة في هذا السجل. افتراضيًا، يتم وضعه في %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

في Windows 7، تعتمد البنية الأساسية التي توفر تسجيل الأحداث على XML، تمامًا كما هو الحال في Windows Vista. تتوافق كل بيانات الحدث مع مخطط XML، مما يسمح لك بالوصول إلى رمز XML لأي حدث. يمكنك أيضًا إنشاء استعلامات مستندة إلى XML لاسترداد البيانات من السجلات. ليس من الضروري معرفة لغة XML لاستخدام هذه الميزات الجديدة. معدات "عارض الأحداث"يوفر واجهة رسومية بسيطة للوصول إلى هذه الميزات.

خصائص الحدث

هناك العديد من خصائص الأحداث الإضافية "عارض الأحداث"، والتي سيتم شرحها بالتفصيل أدناه:

مصدرهو البرنامج الذي سجل الحدث. يمكن أن يكون هذا إما اسم برنامج (على سبيل المثال، "Exchange Server") أو اسم أحد مكونات النظام أو تطبيق كبير (على سبيل المثال، اسم برنامج التشغيل). على سبيل المثال، "Elnkii" تعني برنامج تشغيل EtherLink II.

رمز الحدثهو رقم يحدد نوع معين من الأحداث. عادةً ما يحتوي السطر الأول من الوصف على اسم نوع الحدث. على سبيل المثال، 6005 هو معرف الحدث الذي يحدث عند بدء تشغيل خدمة تسجيل الأحداث. وبناءً على ذلك، يوجد في بداية وصف هذا الحدث السطر "تم بدء خدمة سجل الأحداث". يمكن لفريق دعم منتج البرنامج استخدام رمز الحدث واسم مصدر التسجيل لاستكشاف المشكلات وإصلاحها.

مستوى- هذا هو مستوى أهمية الحدث. في سجلات النظام والتطبيقات، يمكن أن تحتوي الأحداث على مستويات الخطورة التالية:

إشعار- يشير إلى تغيير في تطبيق أو مكون، مثل حدوث حدث معلومات مرتبط بإجراء ناجح، أو إنشاء مورد، أو بدء تشغيل خدمة.
تحذير- يشير إلى تحذير عام بشأن مشكلة قد تؤثر على الخدمة أو تؤدي إلى مشكلة أكثر خطورة إذا تركت دون معالجة؛
خطأ- يشير إلى حدوث مشكلة قد تؤثر على الوظائف الخارجية للتطبيق أو المكون الذي تسبب في الحدث؛
خطأ فادح- يشير إلى حدوث فشل حيث لا يمكن استعادة التطبيق أو المكون الذي بدأ الحدث تلقائيًا؛
تدقيق النجاحات- التنفيذ الناجح للإجراءات التي تراقبها من خلال التدقيق، مثل استخدام الامتياز؛
تدقيق الفشل- الفشل في تنفيذ الإجراءات التي تراقبها من خلال التدقيق، مثل حدوث خطأ في تسجيل الدخول إلى النظام.

مستخدم- يحدد حساب المستخدم الذي وقع هذا الحدث نيابة عنه. يتضمن المستخدمون كيانات خاصة مثل الخدمة المحلية وخدمة الشبكة وتسجيل الدخول المجهول، بالإضافة إلى حسابات المستخدمين الحقيقية. هذا الاسم هو معرف العميل إذا تم رفع الحدث بالفعل بواسطة عملية خادم، أو المعرف الأساسي إذا لم يتم تنفيذ أي انتحال. في بعض الحالات، يحتوي إدخال سجل الأمان على كلا المعرفين. قد يحتوي هذا الحقل أيضًا على N/A إذا كان الحساب غير قابل للتطبيق في هذه الحالة. يحدث انتحال الشخصية في الحالات التي يسمح فيها الخادم لعملية واحدة بافتراض سمات الأمان لعملية أخرى.

رمز العمل- يحتوي على قيمة رقمية تحدد العملية أو النقطة داخل العملية التي وقع خلالها هذا الحدث. على سبيل المثال، التهيئة أو الإغلاق.

مجلة- اسم السجل الذي تم تسجيل هذا الحدث فيه.

الفئة والمهام- يحدد فئة الحدث، والتي تستخدم أحيانًا لوصف إجراء صالح لاحقًا. كل مصدر حدث له فئاته الخاصة. على سبيل المثال، الفئات التالية: تسجيل الدخول/الخروج، واستخدام الامتيازات، وتغيير السياسات، وإدارة الحساب.

الكلمات الدالةعبارة عن مجموعة من الفئات أو العلامات التي يمكن استخدامها لتصفية الأحداث أو البحث عنها. على سبيل المثال: "الشبكة" أو "الأمان" أو "لم يتم العثور على المورد".

حاسوب- يحدد اسم الكمبيوتر الذي وقع عليه الحدث. عادةً ما يكون هذا هو اسم الكمبيوتر المحلي، ولكن يمكن أن يكون أيضًا اسم الكمبيوتر الذي قام بإعادة توجيه الحدث، أو اسم الكمبيوتر المحلي قبل تعديله.

التاريخ و الوقت- تحديد تاريخ ووقت حدوث هذا الحدث في السجل.

معرف العمليه- يمثل رقم تعريف العملية التي ولدت الحدث. برنامج الكمبيوتر ليس سوى مجموعة سلبية من التعليمات، في حين أن العملية هي التنفيذ المباشر لهذه التعليمات

معرف الدفق- يمثل رقم تعريف الخيط الذي أنشأ الحدث. يمكن أن تتكون العملية الناشئة في نظام التشغيل من عدة سلاسل عمليات تعمل "بالتوازي"، أي دون ترتيب محدد في الوقت المناسب. عند تنفيذ بعض المهام، يمكن لهذا التقسيم تحقيق استخدام أكثر كفاءة لموارد الكمبيوتر

معرف المعالج- يمثل رقم تعريف المعالج الذي عالج الحدث.

رمز الجلسةهو رقم تعريف الجلسة على الخادم الطرفي الذي وقع فيه الحدث.

وقت تشغيل وضع النواة- يحدد الوقت المستغرق في تنفيذ تعليمات وضع kernel، بوحدات وقت وحدة المعالجة المركزية. يتمتع وضع Kernel بوصول غير مقيد إلى ذاكرة النظام والأجهزة الخارجية. يُطلق على نواة نظام NT اسم نواة هجينة أو نواة كبيرة.

وقت التشغيل في وضع المستخدم- يحدد الوقت المستغرق في تنفيذ تعليمات وضع المستخدم، بوحدات وقت وحدة المعالجة المركزية. يتكون وضع المستخدم من أنظمة فرعية تقوم بتمرير طلبات الإدخال/الإخراج إلى برنامج تشغيل وضع kernel المناسب من خلال مدير الإدخال/الإخراج.

تحميل وحدة المعالجة المركزيةهو الوقت المستغرق في تنفيذ تعليمات وضع المستخدم، في علامات وحدة المعالجة المركزية.

رمز الارتباط- يحدد الإجراء في العملية التي يتم استخدام الحدث من أجلها. يتم استخدام هذا الرمز لتحديد العلاقات البسيطة بين الأحداث. الارتباط هو علاقة إحصائية بين متغيرين عشوائيين أو أكثر (أو القيم التي يمكن اعتبارها كذلك بدرجة مقبولة من الدقة). علاوة على ذلك فإن التغيرات في واحدة أو أكثر من هذه الكميات تؤدي إلى تغير منهجي في كميات أخرى أو غيرها.

معرف الارتباط النسبي- يحدد الإجراء النسبي في العملية التي يتم استخدام الحدث من أجلها

العمل مع سجلات الأحداث

عارض الأحداث

في لقطة الشاشة التالية يمكنك رؤية السجل "التطبيقات"، حيث يمكنك العثور على معلومات حول الأحداث وطرق العرض الأخيرة والإجراءات المتاحة. لعرض أحداث سجل التطبيق، اتبع الخطوات التالية:

في شجرة وحدة التحكم، حدد "سجلات ويندوز";
اختر مجلة "التطبيقات".

من المستحسن مراجعة سجلات الأحداث في كثير من الأحيان "طلب"و "نظام"ودراسة المشاكل والتحذيرات القائمة التي قد تنذر بمشاكل في المستقبل. عند تحديد سجل، تعرض النافذة الوسطى الأحداث المتاحة، بما في ذلك تاريخ الحدث ووقته ومصدره ومستوى الحدث وتفاصيل أخرى.

لوحة "إطار العرض"يعرض بيانات الحدث الأساسية في علامة التبويب "هي شائعة"، وبيانات محددة إضافية موجودة في علامة التبويب "تفاصيل". يمكنك تشغيل هذه اللوحة وإيقاف تشغيلها عن طريق تحديد القائمة "منظر"ومن ثم الأمر "إطار العرض".

بالنسبة للأنظمة المهمة، يوصى بالاحتفاظ بالسجلات لعدة أشهر مضت. كقاعدة عامة، من غير المناسب تخصيص حجم للمجلات طوال الوقت بحيث يمكن حل هذه المشكلة بطريقة أخرى. يمكنك تصدير السجلات إلى الملفات الموجودة في مجلد محدد. لحفظ السجل المحدد، اتبع الخطوات التالية:

في شجرة وحدة التحكم، حدد سجل الأحداث الذي تريد حفظه؛
اختر فريقا "حفظ الأحداث باسم"من القائمة "فعل"أو من قائمة سياق السجل، حدد الأمر "حفظ كافة الأحداث باسم";
في مربع الحوار الذي يظهر "حفظ باسم"حدد المجلد الذي يجب حفظ الملف فيه. إذا كنت بحاجة إلى حفظ الملف في مجلد جديد، فيمكنك إنشاؤه مباشرة من مربع الحوار هذا باستخدام قائمة السياق أو الزر "ملف جديد"على شريط الإجراءات. في الميدان "نوع الملف"تحتاج إلى تحديد تنسيق الملف المطلوب من التنسيقات المتاحة: ملفات الأحداث - *.evtx، ملف xml - *.xml، نص محدد بعلامات جدولة - *.txt، ملف csv مفصول بفاصلة - *.csv. في الميدان "اسم الملف"أدخل اسمًا وانقر على الزر "يحفظ". لإلغاء الحفظ، انقر فوق الزر "يلغي";
في حالة عدم الرغبة في عرض سجل الأحداث على كمبيوتر آخر، في مربع الحوار "عرض التفاصيل"اترك الخيار الافتراضي "لا تعرض المعلومات"، وإذا كان السجل مخصصًا للعرض على كمبيوتر آخر، ففي مربع الحوار "عرض التفاصيل"حدد اختيارا "عرض المعلومات للغات التالية"وانقر على الزر "نعم".

مسح سجل الأحداث

في بعض الأحيان يكون من الضروري مسح سجلات الأحداث الكاملة لضمان التحليل الفعال للتحذيرات والأخطاء الجسيمة في نظام التشغيل. لمسح السجل المحدد، اتبع الخطوات التالية:

تحديد الحد الأقصى لحجم السجل

كما هو مذكور أعلاه، يتم تخزين سجلات الأحداث كملفات في المجلد %SystemRoot%\System32\Winevt\Logs\. افتراضيًا، يكون الحد الأقصى لحجم هذه الملفات محدودًا، ولكن يمكنك تغييره بالطريقة التالية:

يتم تخزين الأحداث في ملف سجل يمكن أن يصل إلى الحد الأقصى للحجم المحدد فقط. بمجرد وصول الملف إلى الحد الأقصى لحجمه، سيتم تحديد معالجة الأحداث الواردة من خلال سياسة الاحتفاظ بالسجل. تتوفر سياسات الاحتفاظ بالسجل التالية:

أعد كتابة الأحداث إذا لزم الأمر (الملفات الأقدم أولاً)- وفي هذه الحالة يستمر إدخال القيود الجديدة في دفتر اليومية بعد ملئها. يحل كل حدث جديد محل الحدث الأقدم في السجل؛

أرشفة السجل عند ملئه؛ لا تعيد كتابة الأحداث- في هذه الحالة، يتم أرشفة ملف السجل تلقائيًا إذا لزم الأمر. لا تتم الكتابة فوق الأحداث التي لا معنى لها.

لا تقم بالكتابة فوق الأحداث (امسح السجل يدويًا)- في هذه الحالة يتم مسح السجل يدويا وليس تلقائيا.

لتحديد سياسة الاحتفاظ بالسجل المطلوبة، اتبع الخطوات التالية:

في شجرة وحدة التحكم، حدد سجل الأحداث الذي تريد تغيير حجمه؛
اختر فريقا "ملكيات"من القائمة "فعل"أو من قائمة السياق للمجلة المختارة؛
على علامة التبويب "هي شائعة"، في الفصل "عند الوصول إلى الحد الأقصى للحجم"حدد المعلمة المطلوبة وانقر فوق الزر "نعم".

تفعيل سجل التحليل والتصحيح

تكون السجلات التحليلية وسجلات التصحيح غير نشطة بشكل افتراضي. بمجرد تفعيلها، فإنها تمتلئ بسرعة بعدد كبير من الأحداث. ولهذا السبب، يُنصح بتمكين هذه السجلات لفترة زمنية محدودة لتجميع البيانات اللازمة لاستكشاف الأخطاء وإصلاحها، ثم تعطيلها مرة أخرى. يمكنك تفعيل السجلات على النحو التالي:

في شجرة وحدة التحكم، ابحث عن السجل التحليلي أو سجل التصحيح الذي تريد تنشيطه وحدده؛
اختر فريقا "ملكيات"من القائمة "فعل"أو من قائمة السياق الخاصة بسجل التحليل أو التصحيح المحدد؛
على علامة التبويب "هي شائعة"حدد مربع الخيارات "تمكين التسجيل"

فتح وإغلاق مجلة محفوظة

استخدام المعدات "عارض الأحداث"يمكنك فتح وعرض السجلات المحفوظة مسبقًا. يمكنك فتح سجلات محفوظة متعددة في نفس الوقت والوصول إليها في أي وقت في شجرة وحدة التحكم. افتتحت المجلة في "عارض الأحداث"، يمكن إغلاقه دون حذف المعلومات التي يحتوي عليها. لفتح سجل محفوظ، اتبع الخطوات التالية:

لحذف سجل مفتوح من شجرة الأحداث الخاصة بهم، اتبع الخطوات التالية:

خاتمة

يتحدث هذا الجزء من المقالة المخصص للأداة الإضافية "Event Viewer" عن الأداة الإضافية نفسها ويصف بالتفصيل أبسط العمليات المرتبطة بمراقبة النظام وصيانته باستخدام "Event Viewer". سيتم تصميم الجزء التالي من المقالة لمستخدمي Windows ذوي الخبرة. وسيغطي المهام بطرق العرض المخصصة، والتصفية، وتجميع/فرز الأحداث، وإدارة الاشتراكات.

× انتباه!
قم بتسجيل الدخول إلى حساب موقعك أو قم بإنشاء حساب للحصول على حق الوصول الكامل إلى موقعنا. سيمنحك التسجيل الفرصة لإضافة الأخبار والتعليق على المقالات والتواصل مع المستخدمين الآخرين وغير ذلك الكثير.

مواد اخرى

مرحبا ايها الاصدقاء! في هذه المقالة سوف ننظر سجل أحداث ويندوز 7. يسجل نظام التشغيل تقريبًا كل ما يحدث له في هذا السجل. من الملائم مشاهدته باستخدام تطبيق Event Viewer المثبت مع نظام التشغيل Windows 7. إن القول بوجود الكثير من الأحداث المسجلة يعني عدم قول أي شيء. ظلامهم. ولكن من الصعب الخلط بينهم حيث يتم تصنيف كل شيء إلى فئات.

بفضل سجل الأحداث، أصبح من الأسهل بكثير على المتخصصين والمستخدمين العاديين العثور على الأخطاء وإصلاحها. عندما أقول أسهل، لا أقصد السهل. دائمًا تقريبًا، لتصحيح الخطأ المتكرر، سيتعين عليك استخدام الكثير من البحث وإعادة قراءة مجموعة من المواد. في بعض الأحيان يكون الأمر يستحق التخلص من سلوك نظام التشغيل غير القياسي.

لكي يتمكن نظام التشغيل من ملء سجلات الأحداث بنجاح، يجب تشغيل خدمة سجل أحداث Windows المسؤولة عن ذلك. دعونا نتحقق مما إذا كانت هذه الخدمة قيد التشغيل. في حقل البحث بقائمة ابدأ الرئيسية، ابحث عن الخدمات

العثور على خدمة سجل أحداث ويندوزوالتحقق من الحالة - يعملونوع بدء التشغيل - تلقائيا

إذا لم تكن هذه الخدمة قيد التشغيل، فانقر عليها نقرًا مزدوجًا باستخدام الماوس الأيسر وفي الخصائص، في قسم نوع بدء التشغيل، حدد تلقائي. ثم انقر فوق تشغيل ثم موافق

بدأت الخدمة وسيبدأ ملء سجلات الأحداث.

قم بتشغيل الأداة المساعدة "عارض الأحداث" باستخدام البحث من القائمة "ابدأ".

تبدو الأداة الافتراضية كما يلي:

يمكن تخصيص الكثير من الأشياء هنا لنفسك. على سبيل المثال، يمكنك استخدام الأزرار الموجودة أسفل منطقة القائمة لإخفاء أو إظهار شجرة وحدة التحكم على اليسار ولوحة الإجراءات على اليمين

المنطقة الموجودة في الجزء السفلي الأوسط تسمى منطقة العرض. يعرض معلومات حول الحدث المحدد. يمكن إزالته عن طريق إلغاء تحديد خانة الاختيار المقابلة في قائمة "عرض" أو عن طريق النقر فوق علامة التقاطع الموجودة في الزاوية اليمنى العليا من منطقة العرض

يقع الحقل الرئيسي في الجزء العلوي الأوسط وهو عبارة عن جدول يتضمن أحداث السجل الذي حددته في شجرة وحدة التحكم. بشكل افتراضي، لا يتم عرض كافة الأعمدة. يمكنك إضافة وتغيير ترتيب العرض الخاص بهم. للقيام بذلك، انقر بزر الماوس الأيمن على رأس أي عمود وحدد إضافة أو إزالة الأعمدة...

في النافذة التي تفتح، أضف الأعمدة المطلوبة من الحقل الأيسر إلى عمود الأعمدة المعروضة

لتغيير ترتيب عرض الأعمدة في الحقل الأيمن، حدد العمود المطلوب واستخدم الزرين لأعلى ولأسفل لتغيير الموقع.

كل عمود هو خاصية محددة للحدث. تم وصف كل هذه الخصائص بشكل مثالي من قبل ديمتري بولانوف. سأعطيك لقطة الشاشة. اضغط عليها للتكبير.

لا فائدة من تعيين كافة الأعمدة في الجدول حيث يتم عرض الخصائص الرئيسية في إطار العرض. إذا لم يتم عرض الأخير لك، فمن خلال النقر المزدوج بزر الفأرة الأيسر على الحدث في نافذة منفصلة سترى خصائصه

تحتوي علامة التبويب "عام" على وصف لهذا الخطأ وفي بعض الأحيان طريقة لإصلاحه. فيما يلي كافة خصائص الحدث، وفي قسم التفاصيل يوجد رابط لتعليمات الويب حيث قد تتوفر معلومات حول تصحيح الخطأ.

سجلات الأحداث

خدمة إدارة المفاتيح— يتم تسجيل أحداث خدمة الإدارة الرئيسية. مصمم لإدارة عمليات تنشيط إصدارات الشركات من أنظمة التشغيل. السجل فارغ لأنه يمكنك الاستغناء عنه على جهاز الكمبيوتر المنزلي الخاص بك.

المجلات لديها أيضا خصائصها الخاصة. لعرضها، انقر بزر الماوس الأيمن على السجل وحدد خصائص في قائمة السياق

في الخصائص التي يتم فتحها، ترى الاسم الكامل للسجل والمسار إلى ملف السجل وحجمه وتواريخ إنشائه والتغييرات ووقت فتحه

تم تحديد خانة الاختيار تمكين التسجيل أيضًا. إنه غير نشط ولا يمكن إزالته. لقد نظرت إلى هذا الخيار في خصائص المجلات الأخرى، وهناك أيضا ممكّن وغير نشط. بالنسبة لسجل أحداث المعدات، فهو في نفس الموضع تمامًا ولا يتم الاحتفاظ بالسجل.

في الخصائص، يمكنك تعيين الحد الأقصى لحجم السجل (كيلو بايت) وتحديد إجراء عند الوصول إلى الحد الأقصى للحجم. بالنسبة للخوادم ومحطات العمل المهمة الأخرى، على الأرجح قم بتكبير حجم السجل وحدد أرشفة السجل عندما يكون ممتلئًا، بحيث يمكنك في حالة الطوارئ تتبع وقت بدء الخلل.

العمل مع سجلات أحداث Windows 7

يتضمن العمل فرز السجلات وتجميعها وتنظيفها وإنشاء طرق عرض مخصصة لتسهيل العثور على أحداث معينة.

اختر أي مجلة. على سبيل المثال، التطبيق وفي الجدول، في المركز، انقر فوق رأس أي عمود باستخدام زر الماوس الأيسر. سيتم فرز الأحداث حسب هذا العمود

إذا قمت بالضغط مرة أخرى سوف تحصل على الفرز في الاتجاه المعاكس. مبادئ الفرز هي نفسها المتبعة في Windows Explorer. القيد هو أنه لا يمكنك الفرز حسب أكثر من عمود واحد.

لتجميع الأحداث حسب عمود معين، انقر بزر الماوس الأيمن على رأسه وحدد تجميع الأحداث حسب هذا العمود. في المثال، يتم تجميع الأحداث حسب عمود المستوى

في هذه الحالة، من الملائم العمل مع مجموعة معينة من الأحداث. على سبيل المثال مع الأخطاء. بعد تجميع الأحداث، ستتمكن من طي المجموعات وتوسيعها. ويمكن القيام بذلك أيضًا في جدول الأحداث نفسه عن طريق النقر المزدوج على اسم المجموعة. على سبيل المثال، المستوى: تحذير (74).

لحذف مجموعة، انقر بزر الماوس الأيمن على رأس العمود مرة أخرى وحدد حذف مجموعة الأحداث.

مسح السجل

إذا قمت بتصحيح الأخطاء في النظام التي أدت إلى تسجيل الأحداث في السجل، فمن المحتمل أنك ستحتاج إلى مسح السجل حتى لا تتداخل الإدخالات القديمة مع تشخيص حالات الكمبيوتر الجديدة. للقيام بذلك، انقر بزر الماوس الأيمن على السجل الذي تريد مسحه وحدد مسح السجل...

في النافذة التي تفتح، يمكننا ببساطة مسح السجل ويمكننا حفظه في ملف قبل مسحه

طرق عرض مخصصة

تختفي عمليات الفرز والتجمعات التي تم تكوينها عند إغلاق نافذة "عارض الأحداث". إذا كنت تعمل غالبًا مع الأحداث، فيمكنك إنشاء طرق عرض مخصصة. هذه هي عوامل التصفية المحددة التي يتم حفظها في القسم المقابل من شجرة وحدة التحكم ولا تختفي في أي مكان عند إغلاق "عارض الأحداث".

لإنشاء طريقة عرض مخصصة، انقر بزر الماوس الأيمن على أي مجلة وحدد إنشاء طريقة عرض مخصصة...

في النافذة التي تفتح، في قسم التاريخ، حدد من القائمة المنسدلة النطاق الزمني الذي نحتاج إلى تحديد الأحداث له

في قسم مستوى الحدث، حدد المربعات لتحديد أهمية الأحداث.

قد نقوم بأخذ العينات حسب مجلة أو مجلات محددة أو حسب المصدر. قم بتبديل مربع الاختيار إلى الموضع المطلوب وحدد مربعات الاختيار الضرورية من القائمة المنسدلة

يمكنك تحديد رموز أحداث محددة ليتم عرضها أو عدم إظهارها في طريقة العرض التي تقوم بإنشائها.

عندما يتم تحديد كافة خيارات العرض، انقر فوق "موافق".

في النافذة التي تظهر، قم بتعيين اسم ووصف العرض المخصص ثم انقر فوق موافق

على سبيل المثال، قمت بإنشاء عرض مخصص للأخطاء والأحداث الهامة من سجلات التطبيق والأمان

يمكن تحرير طريقة العرض هذه لاحقًا ولن تختفي عند إغلاق الأداة المساعدة "عارض الأحداث". للتعديل، انقر بزر الماوس الأيمن على طريقة العرض وحدد تصفية العرض المخصص الحالي...

في النافذة التي تفتح، نقوم بإجراء إعدادات إضافية في العرض.

يمكنك مقارنة العرض المخصص بعمليات البحث المحفوظة في Windows 7 Explorer.

خاتمة

في هذه المقالة، نظرنا إلى سجل أحداث Windows 7 وتحدثنا عن جميع العمليات الأساسية تقريبًا لتسهيل العثور على أحداث الخطأ والأحداث الحرجة. وهنا يطرح سؤال منطقي: “كيف يمكننا تصحيح هذه الأخطاء في النظام؟” كل شيء أكثر تعقيدًا هنا. هناك القليل من المعلومات على شبكة الإنترنت، وبالتالي قد تضطر إلى قضاء الكثير من الوقت في البحث عن المعلومات. لذلك، إذا كنت راضيا بشكل عام عن تشغيل الكمبيوتر، فلا داعي للقيام بذلك. إذا كنت تريد محاولة إصلاحه، شاهد الفيديو أدناه.

يمكنك أيضًا استخدام سجل الأحداث لتشخيص التحميل البطيء لنظام التشغيل Windows 7.

وسأكون سعيدا لتلقي أي تعليقات واقتراحات.

عرض الأحداث من سجلات محددة؛
تطبيق عوامل تصفية الأحداث وحفظها لاستخدامها لاحقًا كطرق عرض مخصصة؛
إنشاء وإدارة اشتراكات الأحداث؛
تعيين إجراءات محددة ليتم تنفيذها عند وقوع حدث معين.

إطلاق عارض الأحداث

طلب "عارض الأحداث"يمكن فتحه بالطرق التالية:

سجلات الأحداث في نظام التشغيل Windows 7

خصائص الحدث

هناك العديد من خصائص الأحداث الإضافية "عارض الأحداث"، والتي سيتم شرحها بالتفصيل أدناه:

إشعار- يشير إلى تغيير في تطبيق أو مكون، مثل حدوث حدث معلومات مرتبط بإجراء ناجح، أو إنشاء مورد، أو بدء تشغيل خدمة.
تحذير- يشير إلى تحذير عام بشأن مشكلة قد تؤثر على الخدمة أو تؤدي إلى مشكلة أكثر خطورة إذا تركت دون معالجة؛
خطأ- يشير إلى حدوث مشكلة قد تؤثر على الوظائف الخارجية للتطبيق أو المكون الذي تسبب في الحدث؛
خطأ فادح- يشير إلى حدوث فشل حيث لا يمكن استعادة التطبيق أو المكون الذي بدأ الحدث تلقائيًا؛
تدقيق النجاحات- التنفيذ الناجح للإجراءات التي تراقبها من خلال التدقيق، مثل استخدام الامتياز؛
تدقيق الفشل- الفشل في تنفيذ الإجراءات التي تراقبها من خلال التدقيق، مثل حدوث خطأ في تسجيل الدخول إلى النظام.

مجلة- اسم السجل الذي تم تسجيل هذا الحدث فيه.

التاريخ و الوقت- تحديد تاريخ ووقت حدوث هذا الحدث في السجل.

معرف المعالج- يمثل رقم تعريف المعالج الذي عالج الحدث.

رمز الجلسةهو رقم تعريف الجلسة على الخادم الطرفي الذي وقع فيه الحدث.

معرف الارتباط النسبي- يحدد الإجراء النسبي في العملية التي يتم استخدام الحدث من أجلها

العمل مع سجلات الأحداث

عارض الأحداث

في شجرة وحدة التحكم، حدد "سجلات ويندوز";
اختر مجلة "التطبيقات".

من المستحسن مراجعة سجلات الأحداث في كثير من الأحيان "طلب"و "نظام"ودراسة المشكلات والتحذيرات الحالية التي قد تنذر بمشاكل مستقبلية. عند تحديد سجل، تعرض النافذة الوسطى الأحداث المتاحة، بما في ذلك تاريخ الحدث ووقته ومصدره ومستوى الحدث وتفاصيل أخرى.

في شجرة وحدة التحكم، حدد سجل الأحداث الذي تريد حفظه؛
اختر فريقا "حفظ الأحداث باسم"من القائمة "فعل"أو من قائمة سياق السجل، حدد الأمر "حفظ كافة الأحداث باسم";
في مربع الحوار الذي يظهر "حفظ باسم"حدد المجلد الذي يجب حفظ الملف فيه. إذا كنت بحاجة إلى حفظ الملف في مجلد جديد، فيمكنك إنشاؤه مباشرة من مربع الحوار هذا باستخدام قائمة السياق أو الزر "ملف جديد"على شريط الإجراءات. في الميدان "نوع الملف"تحتاج إلى تحديد تنسيق الملف المطلوب من التنسيقات المتاحة: ملفات الأحداث - *.evtx، ملف xml - *.xml، نص محدد بعلامات جدولة - *.txt، ملف csv مفصول بفاصلة - *.csv. في الميدان "اسم الملف" "يحفظ". لإلغاء الحفظ، انقر فوق الزر "يلغي";
في حالة عدم الرغبة في عرض سجل الأحداث على كمبيوتر آخر، في مربع الحوار "عرض التفاصيل"اترك الخيار الافتراضي "لا تعرض المعلومات"، وإذا كان السجل مخصصًا للعرض على كمبيوتر آخر، ففي مربع الحوار "عرض التفاصيل"حدد اختيارا "عرض المعلومات للغات التالية"وانقر على الزر "نعم".

مسح سجل الأحداث

في شجرة وحدة التحكم، حدد سجل الأحداث الذي تريد مسحه؛
امسح السجل باستخدام إحدى الطرق التالية:
- على القائمة "فعل"اختر فريق "سجل نظيف";
- انقر بزر الماوس الأيمن على السجل المحدد لفتح قائمة السياق. في قائمة السياق، حدد الأمر "سجل نظيف";
بعد ذلك، يمكنك إما مسح السجل أو أرشفته إذا لم يتم القيام بذلك مسبقًا:
- لمسح سجل الأحداث دون حفظ، انقر فوق الزر "واضح";
- لمسح سجل الأحداث بعد حفظه، انقر فوق الزر "حفظ ومسح". في مربع الحوار الذي يظهر "حفظ باسم"حدد المجلد الذي يجب حفظ الملف فيه. إذا كنت بحاجة إلى حفظ الملف في مجلد جديد، فيمكنك إنشاؤه مباشرة من مربع الحوار هذا باستخدام قائمة السياق أو الزر "ملف جديد"على شريط الإجراءات. في الميدان "اسم الملف"أدخل اسمًا وانقر على الزر "يحفظ". لإلغاء الحفظ، انقر فوق الزر "يلغي".

تحديد الحد الأقصى لحجم السجل

اختر فريقا "ملكيات"من القائمة "فعل"
في الميدان "الحد الأقصى لحجم السجل (كيلو بايت)"قم بضبط القيمة المطلوبة باستخدام العداد أو قم بضبطها يدويًا دون استخدام العداد. في هذه الحالة، سيتم تقريب القيمة إلى أقرب مضاعف وهو 64 كيلو بايت لأن حجم ملف السجل يجب أن يكون من مضاعفات 64 كيلو بايت ولا يمكن أن يكون أقل من 1024 كيلو بايت.

لا تقم بالكتابة فوق الأحداث (امسح السجل يدويًا)- في هذه الحالة يتم مسح السجل يدويا وليس تلقائيا.

لتحديد سياسة الاحتفاظ بالسجل المطلوبة، اتبع الخطوات التالية:

في شجرة وحدة التحكم، حدد سجل الأحداث الذي تريد تغيير حجمه؛
اختر فريقا "ملكيات"من القائمة "فعل"أو من قائمة السياق للمجلة المختارة؛
على علامة التبويب "هي شائعة"، في الفصل "عند الوصول إلى الحد الأقصى للحجم"حدد المعلمة المطلوبة وانقر فوق الزر "نعم".

تفعيل سجل التحليل والتصحيح

في شجرة وحدة التحكم، ابحث عن السجل التحليلي أو سجل التصحيح الذي تريد تنشيطه وحدده؛
اختر فريقا "ملكيات"من القائمة "فعل"أو من قائمة السياق الخاصة بسجل التحليل أو التصحيح المحدد؛
على علامة التبويب "هي شائعة"حدد مربع الخيارات "تمكين التسجيل"

فتح وإغلاق مجلة محفوظة

اختر فريقا "فتح المجلة المحفوظة"على القائمة "فعل"أو من قائمة السياق في شجرة وحدة التحكم؛
3. في مربع الحوار "فتح المجلة المحفوظة"، أثناء التنقل عبر شجرة الدليل، افتح المجلد الذي يحتوي على الملف المطلوب. بشكل افتراضي، سيعرض مربع الحوار كافة ملفات سجل الأحداث. وأيضًا، عند الفتح، يمكنك تحديد نوع الملفات التي تريد عرضها في مربع الحوار الافتتاحي. أنواع الملفات المتوفرة هي ملفات سجل الأحداث (*.evtx، *.evt، *.etl)، بالإضافة إلى ملفات الأحداث (*.evtx)، أو ملفات الأحداث القديمة (*.evt)، أو ملفات سجل التتبع (*.etl) . بمجرد العثور على ملف السجل المطلوب، حدده بالنقر بزر الماوس الأيسر عليه، والذي سيضع اسمه في سطر اسم الملف ثم انقر فوق الزر "يفتح".
في الحوار "فتح المجلة المحفوظة"، في الميدان "اسم"أدخل اسمًا جديدًا لاستخدامه في السجل في شجرة وحدة التحكم. يتم استخدامه فقط لعرض السجل في شجرة وحدة التحكم ولا يغير اسم ملف السجل. يمكنك أيضًا استخدام اسم ملف سجل موجود. في الميدان "وصف"أدخل وصفًا للسجل. سيتم عرضه في المنطقة المركزية عند تحديد مجلد السجل الأصلي في شجرة وحدة التحكم؛
لإنشاء مجلد يوجد فيه السجل المحفوظ، انقر فوق الزر "إنشاء مجلد". في الميدان "اسم"أدخل اسم المجلد الذي سيتم وضع السجل المفتوح فيه، ثم انقر فوق "نعم". إذا لم يتم تحديد المجلد الأصلي، فسيتم وضع المجلد الجديد في المجلد "السجلات المحفوظة".
لجعل سجل الأحداث المفتوح غير قابل للوصول لمستخدمي الكمبيوتر الآخرين، يمكنك إلغاء تحديد المربع "جميع المستخدمين". إذا ظلت خانة الاختيار هذه نشطة، فسيكون السجل المفتوح متاحًا لجميع المستخدمين، ولكن ستكون حقوق المسؤول مطلوبة لحذفه من شجرة وحدة التحكم؛
لفتح المجلة، انقر على الزر "نعم".

لحذف سجل مفتوح من شجرة الأحداث، اتبع الخطوات التالية:

في شجرة وحدة التحكم، حدد السجل المراد حذفه؛
اختر فريقا "يمسح"من القائمة "فعل"أو من قائمة السياق للمجلة المختارة؛
في الحوار "عارض الأحداث"انقر على الزر "نعم".