Hændelseskoder i Windows 7-sikkerhedsloggen. Hvad skal konfigureres? Brug af Eventcreate med et par eksempler

Windows-operativsystemet, version syv, har en funktion til at spore vigtige hændelser, der opstår i driften af ​​systemprogrammer. Hos Microsoft refererer begrebet "hændelser" til alle hændelser i systemet, der registreres i en særlig log og signaleres til brugere eller administratorer. Dette kan være et hjælpeprogram, der ikke vil køre, et program, der går ned, eller enheder, der ikke er installeret korrekt. Alle hændelser registreres og gemmes af hændelsesloggen i Windows 7. Den arrangerer og viser også alle handlinger i kronologisk rækkefølge, hjælper med at udføre systemkontrol, sikrer operativsystemets sikkerhed, retter fejl og diagnosticerer hele systemet.

Du bør med jævne mellemrum gennemgå denne log for nye oplysninger og konfigurere systemet til at gemme vigtige data.

Vindue 7 - programmer

Event Viewer-computerapplikationen er hoveddelen af ​​Microsofts hjælpeprogrammer, der er designet til at overvåge og se hændelsesloggen. Dette er et nødvendigt værktøj til at overvåge systemets ydeevne og eliminere nye fejl. Windows-værktøjet, der styrer dokumentationen af ​​hændelser, kaldes hændelsesloggen. Hvis denne tjeneste startes, begynder den at indsamle og logge alle vigtige data i sit arkiv. Windows 7 Event Log giver dig mulighed for at gøre følgende:

Visning af data registreret i arkivet;

Brug af forskellige hændelsesfiltre og lagring af dem til videre brug i systemindstillinger;

Oprettelse og styring af abonnementer for specifikke hændelser;

Tildel specifikke handlinger, når bestemte hændelser opstår.

Hvordan åbner jeg Windows 7 hændelseslog?

Programmet, der er ansvarligt for registrering af hændelser, lanceres som følger:

1. Menuen aktiveres ved at trykke på "Start"-knappen i nederste venstre hjørne af skærmen, hvorefter "Kontrolpanel" åbnes. Vælg "Administration" på listen over kontrolelementer, og klik på "Event Viewer" i denne undermenu.

2. Der er en anden måde at få vist hændelsesloggen i Windows 7. For at gøre dette skal du gå til menuen Start, skrive mmc i søgevinduet og sende en anmodning om at søge efter filen. Dernæst åbnes MMC-tabellen, hvor du skal vælge afsnittet, der angiver tilføjelse og fjernelse af udstyr. Derefter tilføjes "Event Viewer" til hovedvinduet.

Hvad er applikationen beskrevet?

Windows 7- og Vista-operativsystemerne har to typer hændelseslogfiler: systemarkiver og programtjenestelog. Den første mulighed bruges til at fange systemomfattende hændelser, der er relateret til ydeevnen af ​​forskellige applikationer, opstart og sikkerhed. Den anden mulighed er ansvarlig for at registrere begivenhederne i deres arbejde. Til at kontrollere og administrere alle data bruger hændelseslogtjenesten fanen Vis, som er opdelt i følgende elementer:

Applikation – hændelser, der er knyttet til et bestemt program, gemmes her. For eksempel gemmer posttjenester på dette sted historikken for afsendelse af oplysninger, forskellige begivenheder i postkasser og så videre.

Elementet "Sikkerhed" gemmer alle data relateret til at logge ind og ud af systemet, ved at bruge administrative muligheder og få adgang til ressourcer.

Installation - Denne Windows 7-hændelseslog registrerer data, der opstår under installationen og konfigurationen af ​​systemet og dets applikationer.

System - registrerer alle operativsystemhændelser, såsom fejl ved lancering af serviceapplikationer eller ved installation og opdatering af enhedsdrivere, forskellige meddelelser vedrørende driften af ​​hele systemet.

Videresendte hændelser – hvis dette element er konfigureret, gemmer det information, der kommer fra andre servere.

Andre underpunkter i hovedmenuen

Også i menuen "Administration", hvor hændelsesloggen i Windows 7 er placeret, er der følgende yderligere elementer:

Internet Explorer – hændelser, der opstår under betjening og konfiguration af browseren af ​​samme navn, registreres her.

Windows PowerShell – hændelser relateret til brugen af ​​PowerShell er registreret i denne mappe.

Udstyrshændelser – hvis dette element er konfigureret, logges de data, der genereres af enhederne.

Hele strukturen af ​​de "syv", som sikrer optagelsen af ​​alle hændelser, er baseret på Vista-typen på XML. Men for at bruge hændelseslogprogrammet i Window 7, behøver du ikke vide, hvordan du bruger denne kode. Event Viewer-applikationen gør alt selv og giver et praktisk og enkelt bord med menupunkter.

Hændelseskarakteristika

En bruger, der ønsker at vide, hvordan man får vist Windows 7-hændelsesloggen, skal også forstå karakteristikaene for de data, han ønsker at se. Der er trods alt forskellige egenskaber ved visse hændelser beskrevet i "Event Viewer". Vi vil se på disse egenskaber nedenfor:

Kilder – et program, der registrerer hændelser i en log. Navnene på applikationer eller chauffører, der har påvirket en bestemt hændelse, registreres her.

Hændelseskode er et sæt tal, der bestemmer typen af ​​hændelse. Denne kode og hændelseskildenavn bruges af systemsoftwarens tekniske support til at rette fejl og løse softwarefejl.

Niveau – graden af ​​betydning af begivenheden. Systemhændelsesloggen har seks niveauer af hændelser:

1. Besked.

2. Forsigtig.

3. Fejl.

4. Farlig fejl.

5. Overvågning af vellykkede fejlretningsoperationer.

6. Revision af mislykkede handlinger.

Brugere – registrerer dataene for de konti, på hvis vegne hændelsen fandt sted. Disse kan være navnene på forskellige tjenester, såvel som rigtige brugere.

Dato og klokkeslæt – registrerer tidspunktet for hændelsens forekomst.

Der er mange andre hændelser, der opstår, mens operativsystemet kører. Alle hændelser vises i "Event Viewer" med en beskrivelse af alle relaterede informationsdata.

Hvordan arbejder man med hændelsesloggen?

Et meget vigtigt punkt i at beskytte systemet mod nedbrud og fryser er periodisk at gennemgå "Applikationsloggen", som registrerer oplysninger om hændelser, seneste handlinger med et bestemt program og også giver et udvalg af tilgængelige operationer.

Ved at gå til Windows 7-hændelsesloggen kan du i undermenuen "Applikation" se en liste over alle programmer, der forårsagede forskellige negative hændelser i systemet, tidspunktet og datoen for deres forekomst, kilden og graden af ​​problemet.

Brugersvar på begivenheder

Efter at have lært, hvordan du åbner Windows 7-hændelsesloggen, og hvordan du bruger den, bør du derefter lære, hvordan du bruger Task Scheduler-applikationen med denne nyttige applikation. For at gøre dette skal du højreklikke på enhver hændelse og i vinduet, der åbner, vælge menuen for at linke en opgave til en begivenhed. Næste gang en sådan hændelse opstår i systemet, starter operativsystemet automatisk den installerede opgave for at behandle fejlen og rette den.

En fejl i loggen er ikke en grund til panik

Hvis du, mens du ser på Windows 7-systemhændelsesloggen, ser systemfejl eller advarsler, der vises med jævne mellemrum, så skal du ikke bekymre dig eller gå i panik over dette. Selv med en perfekt fungerende computer kan der registreres forskellige fejl og fejl, hvoraf de fleste ikke udgør en alvorlig trussel mod pc'ens ydeevne.

Den applikation, vi beskriver, blev oprettet for at gøre det nemmere for systemadministratoren at styre computere og fejlfinde nye problemer.

Konklusion

Baseret på alt ovenstående bliver det klart, at hændelsesloggen er en måde, der gør det muligt for programmer og systemet at optage og gemme alle hændelser på computeren ét sted. Denne log gemmer alle driftsfejl, meddelelser og advarsler fra systemapplikationer.

Hvor er hændelsesloggen i Windows 7, hvordan man åbner den, hvordan man bruger den, hvordan man retter fejl, der vises - vi lærte alt dette fra denne artikel. Men mange vil spørge: "Hvorfor har vi brug for dette, vi er ikke systemadministratorer, ikke programmører, men almindelige brugere, der ikke ser ud til at have brug for denne viden?" Men denne tilgang er forkert. Når alt kommer til alt, når en person bliver syg med noget, før han går til lægen, forsøger han at helbrede sig selv på en eller anden måde. Og mange lykkes ofte. Ligeledes kan en computer, som er en digital organisme, "blive syg", og denne artikel viser en af ​​måderne til at diagnosticere årsagen til en sådan "sygdom"; baseret på resultaterne af en sådan "undersøgelse", kan du lave den rigtige beslutning om metoder til efterfølgende "behandling".

Så information om metoden til at se begivenheder vil være nyttig ikke kun for systemspecialisten, men også for den almindelige bruger.

Windows 7-operativsystemet overvåger konstant forskellige bemærkelsesværdige hændelser, der opstår på dit system. På Microsoft Windows begivenhed er enhver hændelse i operativsystemet, der logges eller kræver meddelelse til brugere eller administratorer. Dette kan være en tjeneste, der ikke vil starte, en enhedsinstallation eller en programfejl. Hændelser registreres og gemmes i Windows hændelseslogfiler og giver vigtige historiske oplysninger, der hjælper dig med at overvåge dit system, vedligeholde systemsikkerheden, fejlfinde fejl og udføre diagnosticering. Oplysningerne i disse logfiler bør gennemgås regelmæssigt. Du bør regelmæssigt overvåge hændelseslogfiler og konfigurere dit operativsystem til at gemme vigtige systemhændelser. Hvis du er administrator af Windows-servere, skal du overvåge deres systemers sikkerhed, den normale drift af applikationer og tjenester og også kontrollere serveren for fejl, der kan forringe ydeevnen. Hvis du er en personlig computerbruger, bør du sikre dig, at du har adgang til de relevante logfiler, du har brug for til at understøtte dit system og fejlfinde fejl.

Program "Event Viewer" er en Microsoft Management Console (MMC) snap-in til visning og styring af hændelseslogfiler. Dette er et uundværligt værktøj til overvågning af systemets ydeevne og fejlfinding af problemer. Windows-tjenesten, der styrer hændelseslogning, kaldes "Hændelsesloggen". Hvis det kører, skriver Windows vigtige data til logfilerne. Brug af programmet "Event Viewer" du kan gøre følgende:

• Se begivenheder fra specifikke logfiler;
• Anvend hændelsesfiltre og gem dem til senere brug som brugerdefinerede visninger;
• Opret og administrer begivenhedsabonnementer;
• Tildel specifikke handlinger, der skal udføres, når en bestemt hændelse indtræffer.

Start af Event Viewer

Ansøgning "Event Viewer" kan åbnes på følgende måder:

Fig.1. Event Viewer vindue

Hændelseslogfiler i Windows 7

I Windows 7-operativsystemet såvel som i Windows Vista er der to kategorier af hændelseslogfiler: Windows-logfiler Og applikations- og servicelogs. Windows-logfiler- bruges af operativsystemet til at registrere hændelser i hele systemet relateret til driften af ​​applikationer, systemkomponenter, sikkerhed og opstart. EN applikations- og servicelogs- bruges af applikationer og tjenester til at registrere hændelser relateret til deres drift. Du kan bruge snap-in'et til at administrere hændelseslogfiler "Event Viewer" eller kommandolinjeprogram wevtutil, som vil blive diskuteret i anden del af artiklen. Alle logtyper er beskrevet nedenfor:

Ansøgning- gemmer vigtige begivenheder relateret til en specifik applikation. Exchange Server gemmer f.eks. hændelser relateret til videresendelse af mail, herunder hændelser for informationslageret, postkasser og kørende tjenester. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Sikkerhed- gemmer sikkerhedsrelaterede hændelser såsom system login/logout, privilegiebrug og ressourceadgang. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Installation- Denne log registrerer hændelser, der opstår under installationen og konfigurationen af ​​operativsystemet og dets komponenter. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

System- gemmer hændelser i operativsystemet eller dets komponenter, såsom fejl ved at starte tjenester eller initialisere drivere, meddelelser på hele systemet og andre meddelelser relateret til systemet som helhed. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\System.Evtx

Videresendte begivenheder- hvis videresendelse af hændelser er konfigureret, inkluderer denne log hændelser videresendt fra andre servere. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- denne log registrerer hændelser, der opstår under opsætning og arbejde med Internet Explorer-browseren. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- Denne log registrerer hændelser relateret til brugen af ​​PowerShell. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Udstyrsarrangementer- hvis hardwarehændelseslogning er konfigureret, registreres hændelser genereret af enheder i denne log. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

I Windows 7 er infrastrukturen, der giver hændelseslogning, baseret på XML, ligesom i Windows Vista. Hver hændelsesdata svarer til et XML-skema, som giver dig adgang til XML-koden for enhver hændelse. Du kan også oprette XML-baserede forespørgsler for at hente data fra logfiler. Der kræves ingen kendskab til XML for at bruge disse nye funktioner. Udstyr "Event Viewer" giver en enkel grafisk grænseflade for at få adgang til disse funktioner.

Begivenhedsegenskaber

Der er flere snap-in-hændelsesegenskaber "Event Viewer", som er beskrevet detaljeret nedenfor:

Kilde er det program, der loggede hændelsen. Dette kan enten være navnet på et program (f.eks. "Exchange Server") eller navnet på en systemkomponent eller et stort program (f.eks. navnet på en driver). For eksempel betyder "Elnkii" EtherLink II-driver.

Begivenhedskode er et tal, der identificerer en bestemt type begivenhed. Den første linje i beskrivelsen indeholder normalt navnet på begivenhedstypen. For eksempel er 6005 id'et for den hændelse, der opstår, når hændelseslogningstjenesten starter. Derfor er der i begyndelsen af ​​beskrivelsen af ​​denne hændelse linjen "Hændelseslogtjenesten er startet." Hændelseskoden og optagelseskildens navn kan bruges af softwareproduktets supportteam til at fejlfinde problemer.

Niveau- dette er vigtigheden af ​​begivenheden. I system- og applikationslogfiler kan hændelser have følgende sværhedsgrader:

• Notifikation- angiver en ændring i en applikation eller komponent, såsom forekomsten af ​​en informationsbegivenhed forbundet med en vellykket handling, oprettelsen af ​​en ressource eller opstarten af ​​en tjeneste.
• Advarsel- angiver en generel advarsel om et problem, der kan påvirke servicen eller føre til et mere alvorligt problem, hvis det efterlades uden opsyn;
• Fejl- angiver, at der er opstået et problem, der kan påvirke funktioner uden for den applikation eller komponent, der forårsagede hændelsen;
• Kritisk fejl- angiver, at der er opstået en fejl, hvorfra den applikation eller komponent, der startede hændelsen, ikke kan genoprettes automatisk;
• Revision af succeser- vellykket udførelse af handlinger, som du overvåger gennem revision, såsom brugen af ​​et privilegium;
• Fejlrevision- manglende udførelse af handlinger, som du overvåger gennem revision, såsom en fejl ved at logge ind på systemet.

Bruger- definerer den brugerkonto, på hvis vegne denne hændelse fandt sted. Brugere inkluderer specielle enheder såsom lokal service, netværksservice og anonymt logon, såvel som rigtige brugerkonti. Dette navn er klient-id'et, hvis hændelsen faktisk blev rejst af en serverproces, eller den primære identifikator, hvis der ikke udføres efterligning. I nogle tilfælde indeholder sikkerhedslogposten begge ID'er. Dette felt kan også indeholde N/A, hvis kontoen ikke er relevant i denne situation. Efterligning forekommer i tilfælde, hvor en server tillader en proces at påtage sig sikkerhedsattributterne for en anden proces.

Arbejdskode- indeholder en numerisk værdi, der identificerer operationen eller punktet i operationen, hvor denne hændelse fandt sted. For eksempel initialisering eller lukning.

Magasin- navnet på den log, hvor denne hændelse blev registreret.

Kategori og opgaver- definerer en begivenhedskategori, som nogle gange bruges til efterfølgende at beskrive en gyldig handling. Hver begivenhedskilde har sine egne kategorier. For eksempel følgende kategorier: login/log ud, brugsrettigheder, ændring af politikker og kontoadministration.

Nøgleord er et sæt kategorier eller tags, der kan bruges til at filtrere eller søge efter begivenheder. For eksempel: "Netværk", "Sikkerhed" eller "Ressource ikke fundet".

Computer- identificerer navnet på den computer, hvor hændelsen fandt sted. Dette er normalt navnet på den lokale computer, men kan også være navnet på den computer, der videresendte begivenheden, eller navnet på den lokale computer, før den blev ændret.

dato og tid- bestemmer datoen og tidspunktet for forekomsten af ​​denne hændelse i loggen.

Proces ID- repræsenterer identifikationsnummeret for den proces, der genererede hændelsen. Et computerprogram er kun et passivt sæt instruktioner, mens en proces er den direkte udførelse af disse instruktioner

Stream-id- repræsenterer identifikationsnummeret for den tråd, der genererede hændelsen. En proces, der opstår i et operativsystem, kan bestå af flere tråde, der kører "parallelt", det vil sige uden en foreskrevet rækkefølge i tid. Når du udfører nogle opgaver, kan en sådan opdeling opnå en mere effektiv brug af computerressourcer

Processor-id- repræsenterer identifikationsnummeret på den processor, der behandlede hændelsen.

Sessionskode er sessionens identifikationsnummer på terminalserveren, hvor hændelsen fandt sted.

Kernel mode driftstid- definerer tiden brugt på at udføre kernetilstandsinstruktioner i CPU-tidsenheder. Kerneltilstand har ubegrænset adgang til systemhukommelse og eksterne enheder. NT-systemkernen kaldes en hybridkerne eller makrokerne.

Driftstid i brugertilstand- definerer den tid, der bruges på at udføre instruktioner i brugertilstand, i enheder af CPU-tid. Brugertilstand består af undersystemer, der sender I/O-anmodninger til den relevante kernetilstandsdriver gennem I/O-manageren.

CPU belastning er den tid, der bruges på at udføre brugertilstandsinstruktioner, i CPU-mærker.

Korrelationskode- definerer handlingen i processen, som begivenheden bruges til. Denne kode bruges til at specificere simple relationer mellem begivenheder. Korrelation er et statistisk forhold mellem to eller flere tilfældige variable (eller værdier, der kan betragtes som sådan med en acceptabel grad af nøjagtighed). Desuden fører ændringer i en eller flere af disse mængder til en systematisk ændring af en anden eller andre mængder.

Relativt korrelations-id- definerer en relativ handling i processen, som hændelsen bruges til

Arbejde med hændelseslogs

Event Viewer

I det næste skærmbillede kan du se loggen "Ansøgninger", hvor du kan finde oplysninger om begivenheder, seneste visninger og tilgængelige handlinger. Følg disse trin for at se applikationsloghændelser:

1. Vælg i konsoltræet "Windows-logfiler";
2. Vælg et magasin "Ansøgninger".

Det er tilrådeligt at gennemgå hændelseslogfiler oftere "Ansøgning" Og "System" og undersøge eksisterende problemer og advarsler, der kan varsle problemer i fremtiden. Når du vælger en log, viser det midterste vindue tilgængelige hændelser, inklusive hændelsesdato, tid og kilde, hændelsesniveau og andre detaljer.

Panel "Viewport" viser grundlæggende hændelsesdata på fanen "Er almindelige", og yderligere specifikke data er på fanen "Detaljer". Du kan tænde og slukke for dette panel ved at vælge menuen "Udsigt" og derefter kommandoen "Viewport".

For kritiske systemer anbefales det at holde logfiler flere måneder tilbage. Som regel er det ubelejligt at tildele magasiner en størrelse hele tiden, så alle oplysningerne passer ind i dem; dette problem kan løses på en anden måde. Du kan eksportere logfiler til filer i en bestemt mappe. Følg disse trin for at gemme den valgte log:

1. I konsoltræet skal du vælge den hændelseslog, du vil gemme;
2. Vælg et hold "Gem begivenheder som" fra menuen "Handling" eller vælg kommandoen fra logkontekstmenuen "Gem alle begivenheder som";
3. I den dialogboks, der vises "Gem som" vælg den mappe, hvor filen skal gemmes. Hvis du har brug for at gemme filen i en ny mappe, kan du oprette den direkte fra denne dialog ved hjælp af kontekstmenuen eller knappen "Ny mappe" på handlingslinjen. I marken "Filtype" du skal vælge det ønskede filformat blandt de tilgængelige: hændelsesfiler - *.evtx, xml-fil - *.xml, tabulator-separeret tekst - *.txt, kommasepareret csv - *.csv. I marken "Filnavn" indtast et navn og klik på knappen "Gemme". Klik på knappen for at annullere lagring "Afbestille";
4. I tilfælde af at hændelsesloggen ikke er beregnet til at blive vist på en anden computer, i dialogboksen "Vis detaljer" forlad standardindstillingen "Vis ikke oplysninger", og hvis loggen er beregnet til at blive vist på en anden computer, så i dialogboksen "Vis detaljer" vælge en mulighed "Vis oplysninger for følgende sprog" og klik på knappen "OKAY".

Rydning af hændelsesloggen

Nogle gange er det nødvendigt at rydde fulde hændelseslogfiler for at sikre effektiv analyse af advarsler og kritiske operativsystemfejl. Følg disse trin for at rydde den valgte log:

Indstilling af den maksimale logstørrelse

Som nævnt ovenfor gemmes hændelseslogfiler som filer i mappen %SystemRoot%\System32\Winevt\Logs\. Som standard er den maksimale størrelse på disse filer begrænset, men du kan ændre den på følgende måde:

Hændelser gemmes i en logfil, der kun kan vokse op til en specificeret maksimal størrelse. Når filen når sin maksimale størrelse, vil behandlingen af ​​indgående hændelser blive bestemt af logopbevaringspolitikken. Følgende politikker til opbevaring af logfiler er tilgængelige:

Omskriv begivenheder, hvis det er nødvendigt (ældste filer først)- i dette tilfælde bliver nye posteringer fortsat indført i kladden, efter den er udfyldt. Hver ny hændelse erstatter den ældste i loggen;

Arkiver loggen, når den er udfyldt; ikke omskriv begivenheder- i dette tilfælde arkiveres logfilen automatisk, hvis det er nødvendigt. Forældede begivenheder overskrives ikke.

Overskriv ikke hændelser (ryd log manuelt)- i dette tilfælde slettes loggen manuelt og ikke automatisk.

Følg disse trin for at vælge den ønskede politik for opbevaring af logfiler:

1. I konsoltræet skal du vælge den hændelseslog, du vil ændre størrelsen på;
2. Vælg et hold "Ejendomme" fra menuen "Handling" eller fra kontekstmenuen for den valgte journal;
3. På fanen "Er almindelige", I kapitel "Når man når maksimal størrelse" vælg den ønskede parameter og klik på knappen "OKAY".

Aktivering af analytisk log og fejlretningslog

Analytiske logfiler og fejlretningslogfiler er som standard inaktive. Når de er aktiveret, fyldes de hurtigt op med et stort antal begivenheder. Af denne grund er det tilrådeligt at aktivere disse logfiler i en begrænset periode for at indsamle de nødvendige data til fejlfinding og derefter deaktivere dem igen. Du kan aktivere logfiler som følger:

1. I konsoltræet skal du finde og vælge den analytiske log eller fejlretningslog, som du vil aktivere;
2. Vælg et hold "Ejendomme" fra menuen "Handling" eller fra kontekstmenuen i den valgte analytiske eller fejlretningslog;
3. På fanen "Er almindelige" tjek indstillingsboksen "Aktiver logning"

Åbning og lukning af en gemt journal

Brug af udstyr "Event Viewer" Du kan åbne og se tidligere gemte logfiler. Du kan åbne flere gemte logfiler på samme tid og få adgang til dem til enhver tid i konsoltræet. Magasinet åbnede kl "Event Viewer", kan lukkes uden at slette de oplysninger, den indeholder. Følg disse trin for at åbne en gemt log:

Følg disse trin for at slette en åben log fra deres hændelsestræ:

Konklusion

Denne del af artiklen, dedikeret til Event Viewer-snap-in'en, taler om selve snap-in'en og beskriver i detaljer de enkleste operationer forbundet med overvågning og vedligeholdelse af systemet ved hjælp af Event Viewer. Den næste del af artiklen vil være designet til erfarne Windows-brugere. Det vil dække opgaver med brugerdefinerede visninger, filtrering, gruppering/sortering af begivenheder og administration af abonnementer.

× Opmærksomhed!
Log ind på din webstedskonto eller opret en for at få fuld adgang til vores websted. Registrering giver dig mulighed for at tilføje nyheder, kommentere artikler, kommunikere med andre brugere og meget mere.

Andre materialer

Når du arbejder med automatiserede scripts, planlagte job eller native applikationer, vil du måske have dem til at skrive deres egne hændelser til Windows-logfiler. For eksempel, når et script kører normalt, vil du optage en meddelelseshændelse i applikationsloggen, så du nemt kan afgøre senere, om scriptet blev udført og fuldført normalt. Omvendt, hvis scriptet ikke virker, og der opstår fejl som følge af dets eksekvering, vil du måske gemme fejlen eller advarselshændelsen i en log - så vil du vide at analysere scriptet og finde ud af, hvad der skete.

For at oprette dine egne begivenheder, brug Eventcreate-værktøjet. Du kan gemme dine egne hændelser i enhver tilgængelig log undtagen sikkerhedsloggen. Sådanne begivenheder kan indeholde en kilde, kode og den nødvendige beskrivelse. Eventcreate syntaks:

eventcreate /l LogName /so Hændelseskilde /t Hændelsestype / id Hændelseskode /d Hændelsesbeskrivelse

1. LogName - navnet på loggen for at registrere hændelsen; hvis den indeholder mellemrum, skal du sætte den i anførselstegn, for eksempel "DNS Server".
2. EventSource - angiver kilden til begivenheden og kan være en hvilken som helst streng. Hvis strengen indeholder mellemrum, skal du omslutte den i anførselstegn, for eksempel "Event Tracker*. I de fleste tilfælde angiver kilden det program, job eller script, der forårsagede fejlen.
3. EventType - angiver hændelsestypen. Kan tage værdierne Information, Advarsel eller Fejl. Hændelsestyperne "Success Audit" og "Failure Audit" er ikke anvendelige, fordi de bruges i sikkerhedsloggen, som ikke kan registrere sine egne hændelser.
4. Hændelseskode - viser den numeriske kode for hændelsen. Kan være en hvilken som helst værdi fra 1 til 1000. I stedet for at tildele id'er tilfældigt, er det bedre at lave en liste over almindelige hændelser, der kan forekomme, og derefter opdele dem i kategorier. Derefter kan hver kategori tildeles sit eget udvalg af hændelseskoder. For eksempel kan hændelser fra det første hundrede være generelle, fra det andet - statushændelser, fra det femte - advarsler og fra det niende - fejl.
5. Hændelsesbeskrivelse - angiver en beskrivelse af hændelsen og kan være en hvilken som helst streng. Glem ikke at sætte strengen i anførselstegn.

Brug af Eventcreate med et par eksempler

• Opret en meddelelseshændelse i applikationsloggen med kildehændelsessporingen og hændelseskoden 209:eventcreate /l "applikation" /t information /så "Event Tracker" /id 209 /d "evs.bat script kørte uden fejl."
• Opret en advarselshændelse i systemloggen med kilden CustApp og hændelseskoden 511:eventcreate /l "system" /t advarsel /så "CustApp" /id 511 /d "sysck.exe blev ikke fuldført med succes."
• Opret en fejlhændelse i systemloggen på MAIL med kilden SysMon og hændelseskoden 918:eventcreate /s Mail /l "system" /t fejl /så "SysMon" /id 918 /d "sysmon.exe kunne ikke bekræfte skriveoperationen."

Windows 7-operativsystemet overvåger konstant forskellige bemærkelsesværdige hændelser, der opstår på dit system. På Microsoft Windows begivenhed er enhver hændelse i operativsystemet, der logges eller kræver meddelelse til brugere eller administratorer. Dette kan være en tjeneste, der ikke vil starte, en enhedsinstallation eller en programfejl. Hændelser registreres og gemmes i Windows hændelseslogfiler og giver vigtige historiske oplysninger, der hjælper dig med at overvåge dit system, vedligeholde systemsikkerheden, fejlfinde fejl og udføre diagnosticering. Oplysningerne i disse logfiler bør gennemgås regelmæssigt. Du bør regelmæssigt overvåge hændelseslogfiler og konfigurere dit operativsystem til at gemme vigtige systemhændelser. Hvis du er administrator af Windows-servere, skal du overvåge deres systemers sikkerhed, den normale drift af applikationer og tjenester og også kontrollere serveren for fejl, der kan forringe ydeevnen. Hvis du er en personlig computerbruger, bør du sikre dig, at du har adgang til de relevante logfiler, du har brug for til at understøtte dit system og fejlfinde fejl.

Program "Event Viewer" er en Microsoft Management Console (MMC) snap-in til visning og styring af hændelseslogfiler. Dette er et uundværligt værktøj til overvågning af systemets ydeevne og fejlfinding af problemer. Windows-tjenesten, der styrer hændelseslogning, kaldes "Hændelsesloggen". Hvis det kører, skriver Windows vigtige data til logfilerne. Brug af programmet "Event Viewer" du kan gøre følgende:

• Se begivenheder fra specifikke logfiler;
• Anvend hændelsesfiltre og gem dem til senere brug som brugerdefinerede visninger;
• Opret og administrer begivenhedsabonnementer;
• Tildel specifikke handlinger, der skal udføres, når en bestemt hændelse indtræffer.

Start af Event Viewer

Ansøgning "Event Viewer" kan åbnes på følgende måder:

Hændelseslogfiler i Windows 7

I Windows 7-operativsystemet såvel som i Windows Vista er der to kategorier af hændelseslogfiler: Windows-logfiler Og applikations- og servicelogs. Windows-logfiler- bruges af operativsystemet til at registrere hændelser i hele systemet relateret til driften af ​​applikationer, systemkomponenter, sikkerhed og opstart. EN applikations- og servicelogs- bruges af applikationer og tjenester til at registrere hændelser relateret til deres drift. Du kan bruge snap-in'et til at administrere hændelseslogfiler "Event Viewer" eller kommandolinjeprogram wevtutil, som vil blive diskuteret i anden del af artiklen. Alle logtyper er beskrevet nedenfor:

Ansøgning- gemmer vigtige begivenheder relateret til en specifik applikation. Exchange Server gemmer f.eks. hændelser relateret til videresendelse af mail, herunder hændelser for informationslageret, postkasser og kørende tjenester. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Sikkerhed- gemmer sikkerhedsrelaterede hændelser såsom system login/logout, privilegiebrug og ressourceadgang. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Installation- Denne log registrerer hændelser, der opstår under installationen og konfigurationen af ​​operativsystemet og dets komponenter. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

System- gemmer hændelser i operativsystemet eller dets komponenter, såsom fejl ved at starte tjenester eller initialisere drivere, meddelelser på hele systemet og andre meddelelser relateret til systemet som helhed. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\System.Evtx

Videresendte begivenheder- hvis videresendelse af hændelser er konfigureret, inkluderer denne log hændelser videresendt fra andre servere. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- denne log registrerer hændelser, der opstår under opsætning og arbejde med Internet Explorer-browseren. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- Denne log registrerer hændelser relateret til brugen af ​​PowerShell. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Udstyrsarrangementer- hvis hardwarehændelseslogning er konfigureret, registreres hændelser genereret af enheder i denne log. Som standard er den placeret i %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

I Windows 7 er infrastrukturen, der giver hændelseslogning, baseret på XML, ligesom i Windows Vista. Hver hændelsesdata svarer til et XML-skema, som giver dig adgang til XML-koden for enhver hændelse. Du kan også oprette XML-baserede forespørgsler for at hente data fra logfiler. Der kræves ingen kendskab til XML for at bruge disse nye funktioner. Udstyr "Event Viewer" giver en enkel grafisk grænseflade for at få adgang til disse funktioner.

Begivenhedsegenskaber

Der er flere snap-in-hændelsesegenskaber "Event Viewer", som er beskrevet detaljeret nedenfor:

Kilde er det program, der loggede hændelsen. Dette kan enten være navnet på et program (f.eks. "Exchange Server") eller navnet på en systemkomponent eller et stort program (f.eks. navnet på en driver). For eksempel betyder "Elnkii" EtherLink II-driver.

Begivenhedskode er et tal, der identificerer en bestemt type begivenhed. Den første linje i beskrivelsen indeholder normalt navnet på begivenhedstypen. For eksempel er 6005 id'et for den hændelse, der opstår, når hændelseslogningstjenesten starter. Derfor er der i begyndelsen af ​​beskrivelsen af ​​denne hændelse linjen "Hændelseslogtjenesten er startet." Hændelseskoden og optagelseskildens navn kan bruges af softwareproduktets supportteam til at fejlfinde problemer.

Niveau- dette er vigtigheden af ​​begivenheden. I system- og applikationslogfiler kan hændelser have følgende sværhedsgrader:

• Notifikation- angiver en ændring i en applikation eller komponent, såsom forekomsten af ​​en informationsbegivenhed forbundet med en vellykket handling, oprettelsen af ​​en ressource eller opstarten af ​​en tjeneste.
• Advarsel- angiver en generel advarsel om et problem, der kan påvirke servicen eller føre til et mere alvorligt problem, hvis det efterlades uden opsyn;
• Fejl- angiver, at der er opstået et problem, der kan påvirke funktioner uden for den applikation eller komponent, der forårsagede hændelsen;
• Kritisk fejl- angiver, at der er opstået en fejl, hvorfra den applikation eller komponent, der startede hændelsen, ikke kan genoprettes automatisk;
• Revision af succeser- vellykket udførelse af handlinger, som du overvåger gennem revision, såsom brugen af ​​et privilegium;
• Fejlrevision- manglende udførelse af handlinger, som du overvåger gennem revision, såsom en fejl ved at logge ind på systemet.

Bruger- definerer den brugerkonto, på hvis vegne denne hændelse fandt sted. Brugere inkluderer specielle enheder såsom lokal service, netværksservice og anonymt logon, såvel som rigtige brugerkonti. Dette navn er klient-id'et, hvis hændelsen faktisk blev rejst af en serverproces, eller den primære identifikator, hvis der ikke udføres efterligning. I nogle tilfælde indeholder sikkerhedslogposten begge ID'er. Dette felt kan også indeholde N/A, hvis kontoen ikke er relevant i denne situation. Efterligning forekommer i tilfælde, hvor en server tillader en proces at påtage sig sikkerhedsattributterne for en anden proces.

Arbejdskode- indeholder en numerisk værdi, der identificerer operationen eller punktet i operationen, hvor denne hændelse fandt sted. For eksempel initialisering eller lukning.

Magasin- navnet på den log, hvor denne hændelse blev registreret.

Kategori og opgaver- definerer en begivenhedskategori, som nogle gange bruges til efterfølgende at beskrive en gyldig handling. Hver begivenhedskilde har sine egne kategorier. For eksempel følgende kategorier: login/log ud, brugsrettigheder, ændring af politikker og kontoadministration.

Nøgleord er et sæt kategorier eller tags, der kan bruges til at filtrere eller søge efter begivenheder. For eksempel: "Netværk", "Sikkerhed" eller "Ressource ikke fundet".

Computer- identificerer navnet på den computer, hvor hændelsen fandt sted. Dette er normalt navnet på den lokale computer, men kan også være navnet på den computer, der videresendte begivenheden, eller navnet på den lokale computer, før den blev ændret.

dato og tid- bestemmer datoen og tidspunktet for forekomsten af ​​denne hændelse i loggen.

Proces ID- repræsenterer identifikationsnummeret for den proces, der genererede hændelsen. Et computerprogram er kun et passivt sæt instruktioner, mens en proces er den direkte udførelse af disse instruktioner

Stream-id- repræsenterer identifikationsnummeret for den tråd, der genererede hændelsen. En proces, der opstår i et operativsystem, kan bestå af flere tråde, der kører "parallelt", det vil sige uden en foreskrevet rækkefølge i tid. Når du udfører nogle opgaver, kan en sådan opdeling opnå en mere effektiv brug af computerressourcer

Processor-id- repræsenterer identifikationsnummeret på den processor, der behandlede hændelsen.

Sessionskode er sessionens identifikationsnummer på terminalserveren, hvor hændelsen fandt sted.

Kernel mode driftstid- definerer tiden brugt på at udføre kernetilstandsinstruktioner i CPU-tidsenheder. Kerneltilstand har ubegrænset adgang til systemhukommelse og eksterne enheder. NT-systemkernen kaldes en hybridkerne eller makrokerne.

Driftstid i brugertilstand- definerer den tid, der bruges på at udføre instruktioner i brugertilstand, i enheder af CPU-tid. Brugertilstand består af undersystemer, der sender I/O-anmodninger til den relevante kernetilstandsdriver gennem I/O-manageren.

CPU belastning er den tid, der bruges på at udføre brugertilstandsinstruktioner, i CPU-mærker.

Korrelationskode- definerer handlingen i processen, som begivenheden bruges til. Denne kode bruges til at specificere simple relationer mellem begivenheder. Korrelation er et statistisk forhold mellem to eller flere tilfældige variable (eller værdier, der kan betragtes som sådan med en acceptabel grad af nøjagtighed). Desuden fører ændringer i en eller flere af disse mængder til en systematisk ændring af en anden eller andre mængder.

Relativt korrelations-id- definerer en relativ handling i processen, som hændelsen bruges til

Arbejde med hændelseslogs

Event Viewer

I det næste skærmbillede kan du se loggen "Ansøgninger", hvor du kan finde oplysninger om begivenheder, seneste visninger og tilgængelige handlinger. Følg disse trin for at se applikationsloghændelser:

1. Vælg i konsoltræet "Windows-logfiler";
2. Vælg et magasin "Ansøgninger".

Det er tilrådeligt at gennemgå hændelseslogfiler oftere "Ansøgning" Og "System" og undersøge eksisterende problemer og advarsler, der kan varsle fremtidige problemer. Når du vælger en log, viser det midterste vindue tilgængelige hændelser, inklusive hændelsesdato, tid og kilde, hændelsesniveau og andre detaljer.

Panel "Viewport" viser grundlæggende hændelsesdata på fanen "Er almindelige", og yderligere specifikke data er på fanen "Detaljer". Du kan tænde og slukke for dette panel ved at vælge menuen "Udsigt" og derefter kommandoen "Viewport".

For kritiske systemer anbefales det at holde logfiler flere måneder tilbage. Som regel er det ubelejligt at tildele magasiner en størrelse hele tiden, så alle oplysningerne passer ind i dem; dette problem kan løses på en anden måde. Du kan eksportere logfiler til filer i en bestemt mappe. Følg disse trin for at gemme den valgte log:

1. I konsoltræet skal du vælge den hændelseslog, du vil gemme;
2. Vælg et hold "Gem begivenheder som" fra menuen "Handling" eller vælg kommandoen fra logkontekstmenuen "Gem alle begivenheder som";
3. I den dialogboks, der vises "Gem som" vælg den mappe, hvor filen skal gemmes. Hvis du har brug for at gemme filen i en ny mappe, kan du oprette den direkte fra denne dialog ved hjælp af kontekstmenuen eller knappen "Ny mappe" på handlingslinjen. I marken "Filtype" du skal vælge det ønskede filformat blandt de tilgængelige: hændelsesfiler - *.evtx, xml-fil - *.xml, tabulator-separeret tekst - *.txt, kommasepareret csv - *.csv. I marken "Filnavn" "Gemme". Klik på knappen for at annullere lagring "Afbestille";
4. I tilfælde af at hændelsesloggen ikke er beregnet til at blive vist på en anden computer, i dialogboksen "Vis detaljer" forlad standardindstillingen "Vis ikke oplysninger", og hvis loggen er beregnet til at blive vist på en anden computer, så i dialogboksen "Vis detaljer" vælge en mulighed "Vis oplysninger for følgende sprog" og klik på knappen "OKAY".

Rydning af hændelsesloggen

Nogle gange er det nødvendigt at rydde fulde hændelseslogfiler for at sikre effektiv analyse af advarsler og kritiske operativsystemfejl. Følg disse trin for at rydde den valgte log:

1. I konsoltræet skal du vælge den hændelseslog, som du vil rydde;
2. Ryd loggen ved at bruge en af ​​følgende metoder:
   • På menuen "Handling" vælge hold "Ryd log";
   • Højreklik på den valgte log for at åbne kontekstmenuen. Vælg kommandoen i kontekstmenuen "Ryd log";
3. Dernæst kan du enten rydde loggen eller arkivere den, hvis dette ikke er blevet gjort tidligere:
   • Klik på knappen for at rydde hændelsesloggen uden at gemme "Klar";
   • Klik på knappen for at rydde hændelsesloggen efter at have gemt den "Gem og ryd". I den dialogboks, der vises "Gem som" vælg den mappe, hvor filen skal gemmes. Hvis du har brug for at gemme filen i en ny mappe, kan du oprette den direkte fra denne dialog ved hjælp af kontekstmenuen eller knappen "Ny mappe" på handlingslinjen. I marken "Filnavn" indtast et navn og klik på knappen "Gemme". Klik på knappen for at annullere lagring "Afbestille".

Indstilling af den maksimale logstørrelse

Som nævnt ovenfor gemmes hændelseslogfiler som filer i mappen %SystemRoot%\System32\Winevt\Logs\. Som standard er den maksimale størrelse på disse filer begrænset, men du kan ændre den på følgende måde:

1. Vælg et hold "Ejendomme" fra menuen "Handling"
2. I marken "Maksimal logstørrelse (KB)" indstil den ønskede værdi ved hjælp af en tæller eller indstil manuelt uden brug af en tæller. I dette tilfælde vil værdien blive afrundet til nærmeste multiplum af 64 KB, fordi logfilens størrelse skal være et multiplum af 64 KB og ikke må være mindre end 1024 KB.

Hændelser gemmes i en logfil, der kun kan vokse op til en specificeret maksimal størrelse. Når filen når sin maksimale størrelse, vil behandlingen af ​​indgående hændelser blive bestemt af logopbevaringspolitikken. Følgende politikker til opbevaring af logfiler er tilgængelige:

Omskriv begivenheder, hvis det er nødvendigt (ældste filer først)- i dette tilfælde bliver nye posteringer fortsat indført i kladden, efter den er udfyldt. Hver ny hændelse erstatter den ældste i loggen;

Arkiver loggen, når den er udfyldt; ikke omskriv begivenheder- i dette tilfælde arkiveres logfilen automatisk, hvis det er nødvendigt. Forældede begivenheder overskrives ikke.

Overskriv ikke hændelser (ryd log manuelt)- i dette tilfælde slettes loggen manuelt og ikke automatisk.

Følg disse trin for at vælge den ønskede politik for opbevaring af logfiler:

1. I konsoltræet skal du vælge den hændelseslog, du vil ændre størrelsen på;
2. Vælg et hold "Ejendomme" fra menuen "Handling" eller fra kontekstmenuen for den valgte journal;
3. På fanen "Er almindelige", I kapitel "Når man når maksimal størrelse" vælg den ønskede parameter og klik på knappen "OKAY".

Aktivering af analytisk log og fejlretningslog

Analytiske logfiler og fejlretningslogfiler er som standard inaktive. Når de er aktiveret, fyldes de hurtigt op med et stort antal begivenheder. Af denne grund er det tilrådeligt at aktivere disse logfiler i en begrænset periode for at indsamle de nødvendige data til fejlfinding og derefter deaktivere dem igen. Du kan aktivere logfiler som følger:

1. I konsoltræet skal du finde og vælge den analytiske log eller fejlretningslog, som du vil aktivere;
2. Vælg et hold "Ejendomme" fra menuen "Handling" eller fra kontekstmenuen i den valgte analytiske eller fejlretningslog;
3. På fanen "Er almindelige" tjek indstillingsboksen "Aktiver logning"

Åbning og lukning af en gemt journal

Brug af udstyr "Event Viewer" Du kan åbne og se tidligere gemte logfiler. Du kan åbne flere gemte logfiler på samme tid og få adgang til dem til enhver tid i konsoltræet. Magasinet åbnede kl "Event Viewer", kan lukkes uden at slette de oplysninger, den indeholder. Følg disse trin for at åbne en gemt log:

1. Vælg et hold "Åbn gemt journal" på menuen "Handling" eller fra kontekstmenuen i konsoltræet;
2. 3. I dialogboksen "Åbn gemt journal", når du bevæger dig gennem mappetræet, åbner du mappen, der indeholder den ønskede fil. Som standard vil dialogboksen vise alle hændelseslogfiler. Når du åbner, kan du også vælge den type filer, du vil have vist i åbningsdialogen. Tilgængelige filtyper er hændelseslogfiler (*.evtx, *.evt, *.etl) såvel som hændelsesfiler (*.evtx), ældre hændelsesfiler (*.evt) eller sporingslogfiler (*.etl) . Når den ønskede logfil er fundet, skal du vælge den ved at venstreklikke på den, som vil placere dens navn i filnavnelinjen og klikke på knappen "Åben".
3. I dialog "Åbn gemt journal", i marken "Navn" Indtast et nyt navn, der skal bruges til loggen i konsoltræet. Den bruges kun til at vise loggen i konsoltræet og ændrer ikke logfilnavnet. Du kan også bruge et eksisterende logfilnavn. I marken "Beskrivelse" indtast en beskrivelse af loggen. Den vil blive vist i det centrale område, når den overordnede logmappe er valgt i konsoltræet;
4. For at oprette en mappe, hvori den gemte log vil blive placeret, skal du klikke på knappen "Opret en mappe". I marken "Navn" indtast navnet på den mappe, hvori den åbne log vil være placeret, og klik derefter "OKAY". Hvis en overordnet mappe ikke er valgt, vil den nye mappe blive placeret i mappen "Gemte logfiler".
5. For at gøre den åbne hændelseslog utilgængelig for andre computerbrugere, kan du fjerne markeringen i "Alle brugere". Hvis dette afkrydsningsfelt forbliver aktivt, vil den åbne log være tilgængelig for alle brugere, men der kræves administratorrettigheder for at slette den fra konsoltræet;
6. For at åbne magasinet, klik på knappen "OKAY".

Følg disse trin for at slette en åben log fra hændelsestræet:

1. I konsoltræet skal du vælge den log, der skal slettes;
2. Vælg et hold "Slet" fra menuen "Handling" eller fra kontekstmenuen for den valgte journal;
3. I dialog "Event Viewer" klik på knappen "Ja".

Konklusion

Denne del af artiklen, dedikeret til Event Viewer-snap-in'en, taler om selve snap-in'en og beskriver i detaljer de enkleste operationer forbundet med overvågning og vedligeholdelse af systemet ved hjælp af Event Viewer. Den næste del af artiklen vil være designet til erfarne Windows-brugere. Det vil dække opgaver med brugerdefinerede visninger, filtrering, gruppering/sortering af begivenheder og administration af abonnementer.

Nogle gange sker der begivenheder, der kræver, at vi besvarer et spørgsmål. "hvem gjorde det?" Dette kan ske "sjældent, men præcist", så du bør forberede dig på svaret på spørgsmålet på forhånd.

Næsten overalt er der designafdelinger, regnskabsafdelinger, udviklere og andre kategorier af medarbejdere, der arbejder sammen om grupper af dokumenter, der er gemt i en offentligt tilgængelig (Delt) mappe på en filserver eller på en af ​​arbejdsstationerne. Det kan ske, at nogen sletter et vigtigt dokument eller en vigtig mappe fra denne mappe, som et resultat af, at et helt teams arbejde kan gå tabt. I dette tilfælde står systemadministratoren over for flere spørgsmål:

Hvornår og hvornår opstod problemet?

Hvad er den nærmeste backup til denne tid at gendanne dataene fra?

Måske var der en systemfejl, der kunne ske igen?

Windows har et system Revidere, giver dig mulighed for at spore og logge oplysninger om hvornår, af hvem og ved hjælp af hvilke programdokumenter der blev slettet. Som standard er Audit ikke aktiveret - selve sporingen kræver en vis procentdel af systemeffekten, og hvis du registrerer alt, bliver belastningen for stor. Desuden er det ikke sikkert, at alle brugerhandlinger interesserer os, så revisionspolitikker giver os mulighed for kun at aktivere sporing af de hændelser, der er virkelig vigtige for os.

Revisionssystemet er indbygget i alle operativsystemer MicrosoftWindowsNT: Windows XP/Vista/7, Windows Server 2000/2003/2008. I Windows Home-seriens systemer er revision desværre dybt skjult og er for vanskelig at konfigurere.

Hvad skal konfigureres?

For at aktivere revision skal du logge på med administratorrettigheder til den computer, der giver adgang til delte dokumenter og køre kommandoen Start→Løb→gpedit.msc. Udvid mappen i afsnittet Computerkonfiguration Windows-indstillinger→ Sikkerhedsindstillinger→ Lokale politikker→ Revisionspolitikker:

Dobbeltklik på politik Revisionsobjektadgang (Revision af objektadgang) og marker afkrydsningsfeltet Succes. Denne indstilling aktiverer en mekanisme til at overvåge succesfuld adgang til filer og registreringsdatabasen. Faktisk er vi kun interesserede i vellykkede forsøg på at slette filer eller mapper. Aktiver kun revision på computere, hvor de overvågede objekter er gemt direkte.

Det er ikke nok blot at aktivere revisionspolitikken; vi skal også specificere, hvilke mapper vi vil overvåge. Typisk er sådanne objekter mapper med fælles (delte) dokumenter og mapper med produktionsprogrammer eller databaser (regnskab, lager osv.) - altså ressourcer, som flere personer arbejder med.

Det er umuligt at gætte på forhånd, hvem der præcist vil slette filen, så sporing er angivet for Alle. Succesfulde forsøg på at slette overvågede objekter af enhver bruger vil blive logget. Kald egenskaberne for den påkrævede mappe (hvis der er flere sådanne mapper, så dem alle efter tur) og på fanen Sikkerhed → Avanceret → Revision tilføje emnesporing Alle sammen hans vellykkede adgangsforsøg Slet Og Slet undermapper og filer:

Der kan logges ret mange hændelser, så du bør også justere logstørrelsen Sikkerhed(Sikkerhed), hvor de vil blive optaget. Til
kør denne kommando Start→ Løb→ eventvwr. msc. I det vindue, der vises, skal du kalde egenskaberne for sikkerhedsloggen og angive følgende parametre:

Maksimal logstørrelse = 65536 K.B.(til arbejdsstationer) eller 262144 K.B.(til servere)

Overskriv begivenheder efter behov.

Faktisk er de angivne tal ikke garanteret at være nøjagtige, men er udvalgt empirisk for hvert enkelt tilfælde.

Windows 2003/ XP)?

Klik Start→ Løb→ eventvwr.msc Sikkerhed. Udsigt→ Filter

• Hændelseskilde: Sikkerhed;
• Kategori: Objektadgang;
• Hændelsestyper: Succesrevision;
• Hændelses-id: 560;

Gennemse listen over filtrerede hændelser, og vær opmærksom på følgende felter inden for hver post:

• ObjektNavn. Navnet på den mappe eller fil, du leder efter;
• BilledeFilNavn. Navnet på det program, der slettede filen;
• Adgange. Det sæt af rettigheder, der anmodes om.

Et program kan anmode om flere typer adgang fra systemet på én gang - f.eks. Slet+ Synkroniser eller Slet+ Læs_ Styring. En væsentlig ret for os er Slet.

Så hvem slettede dokumenterne (Windows 2008/ Vista)?

Klik Start→ Løb→ eventvwr.msc og åbn magasinet for at se det Sikkerhed. Loggen kan være fyldt med hændelser, der ikke er direkte relateret til problemet. Højreklik på sikkerhedsloggen og vælg Udsigt→ Filter og filtrer din visning efter følgende kriterier:

• Hændelseskilde: Sikkerhed;
• Kategori: Objektadgang;
• Hændelsestyper: Succesrevision;
• Begivenheds-id: 4663;

Skynd dig ikke at fortolke alle sletninger som ondsindede. Denne funktion bruges ofte under normal programdrift - for eksempel ved at udføre en kommando Gemme(Gemme), pakke programmer MicrosoftKontor Først opretter de en ny midlertidig fil, gemmer dokumentet i den og sletter derefter den tidligere version af filen. Ligeledes opretter mange databaseapplikationer først en midlertidig låsefil, når de startes (. lck), og slet det, når du afslutter programmet.

Jeg har været nødt til at håndtere ondsindede handlinger fra brugere i praksis. For eksempel besluttede en konfliktfyldt medarbejder i en bestemt virksomhed, da han forlod sit job, at ødelægge alle resultaterne af sit arbejde ved at slette filer og mapper, som han var relateret til. Begivenheder af denne art er tydeligt synlige - de genererer titusinder, hundredvis af indtastninger i sekundet i sikkerhedsloggen. Naturligvis gendannelse af dokumenter fra SkyggeKopier(Skyggekopier) eller et automatisk oprettet arkiv hver dag er ikke svært, men samtidig kunne jeg svare på spørgsmålene "Hvem gjorde det?" og "Hvornår skete dette?"