Windows 7-systemfeillogg. Slik åpner du Windows-hendelsesloggen

Hei, kjære lesere, Trishkin Denis er med dere igjen.
Jeg vil gjerne fortelle deg om en interessant standardapplikasjon i Windows. Microsoft har alltid vært preget av det faktum at det i sine operativsystemer forsøkte å implementere høy sikkerhet og ytelse ved å overvåke programmer og ulike bevegelser i systemet. Dette fungerte selvfølgelig ikke alltid. Et av verktøyene som lar deg overvåke systemet er hendelsesloggen for Windows 7. Det er i den at alle feilinstallasjoner og mislykkede programstarter registreres. I den er alle handlinger ordnet i kronologisk rekkefølge. Det er tilrådelig å sjekke dette registeret fra tid til annen for å svare på ny informasjon i tide.

øke

Applikasjonen har følgende funksjoner:

    opprette et register over data som er registrert i arkivet i kronologisk rekkefølge;

    tilstedeværelsen av spesielle filtre som lar deg enkelt se og konfigurere systemet;

    abonnement på noen kategorier av aktiviteter;

    Når en bestemt type handling skjer, kan du angi en sekvens.

Starter programmet( )

Katalogen kan åpnes som mange andre systemverktøy. Det går slik:


Beskrivelse( )

Så etter å ha funnet ut hvor bladet er, må du nå finne ut hva det er. Windows versjon syv har flere bevegelsesregistre. Dermed er det en tjenesteapplikasjonsdatabase og et systemarkiv. Handlingen til sistnevnte er rettet mot å registrere alle hendelser som oppstår i operativsystemet med programmer. Den første er nødvendig for å huske endringer som har skjedd med tjenesteapplikasjoner. Hovedfanen er " Utsikt", som inkluderer flere punkter:

Ytterligere elementer( )

I tillegg er det gitt ytterligere divisjoner:


Beskrivelse av hendelser( )

Informasjon i databasen kan sees som all annen informasjon på en datamaskin. Men samtidig må brukeren kjenne til flere grunnleggende definisjoner angående driften av applikasjonen:


I tillegg gir arrangementsregisteret mange andre egenskaper. Et detaljert bekjentskap med dem vil hjelpe deg med å konfigurere og overvåke systemet mer nøyaktig.

Jobber med bladet( )

For å beskytte systemet mot krasjer og fryser, er det tilrådelig å umiddelbart se "basen", som indikerer alle hendelser, handlinger med forskjellige programmer og gir et utvalg av mulige operasjoner.


øke

Den viser også klokkeslett og dato for opptreden, kilde. Konsollen lar deg lagre alle endringer, slette dem og endre selve tabellen, som inneholder de nødvendige dataene.

Tømmer loggen( )

I tillegg til enkel visning kan programmet rengjøres, jeg skal fortelle deg hvordan dette gjøres videre. Dette er nødvendig for rask analyse av alle OS-feil. Hvordan slette hendelser? Bare følg noen trinn:


( )

Hvis du stadig ser gjennom operativsystemets register, kan du se at det ofte dukker opp ulike feil og advarsler her. Du bør imidlertid ikke få panikk med en gang - mange av dem truer ikke datamaskinen din på noen måte. Men samtidig kan de vises selv på en perfekt fungerende maskin.


øke

Faktisk ble denne applikasjonen utviklet for systemadministratorer slik at de kunne finne ut om problemet og fikse det så snart som mulig.

Øke minnekapasiteten for journalposter( )

I utgangspunktet er filen som dataene er lagret i selv liten i størrelse. Men det kan økes. For å gjøre dette trenger du:


Etter å ha nådd maksimal størrelse, utføres behandlingen av deres lagringspolicy. Det finnes disse typene:

    1 Skriv om nødvendig. Nye linjer erstatter de eldste.

    2 Ikke en omskrivning. Filen renses manuelt.

For å velge ønsket policy, trenger du.

Ved å bruke hendelsesloggen for Windows 7 eller XP kan du løse de fleste datamaskinproblemer.

Den registrerer ikke bare alt som skjer, men indikerer også årsakene til at problemer oppstår.

Det eneste dårlige er at noen ganger er de gitt i koder, og du må se etter dekrypteringen i hele nettverket.

Instruksjoner - hvor er Windows-loggen?

I den finner vi ett ord "administrasjon" og klikker på det.


Hva bør interessere deg med det? På venstre side er det en utvidet meny. I den, overfor linjen "Windows-logger", klikk på den lille trekanten og velg system.

Nå kan du se alle feilene på datamaskinen din. De er enkle å finne. De er i det øverste vinduet, indikert med røde prikker (sirkler), mindre viktige - gule - dette er advarsler.

Det nedre vinduet indikerer årsakene til problemene. Vanligvis er det umulig for nybegynnere å finne ut av dem på egen hånd.


Derfor, fra det som er angitt der, formuler et logisk riktig spørsmål og se etter svaret i en søkemotor.

Når du nå vet hvor Windows-hendelsesloggen er - mange mangler (feil, funksjonsfeil), med riktig tilnærming, kan du løse det selv, som en siste utvei, kontakt tjenesten, og indikér for spesialistene hva som er skrevet i det nedre vinduet.

Kategori: Ukategorisert

Hei alle sammen!!

Det er ingen hemmelighet at i Windows SEVEN-operativsystemet, akkurat som i Windows Vista, er det to kategorier hendelseslogger: applikasjons- og tjenestelogger og Windows-logger.

Windows-logger brukes av operativsystemet til å registrere systemomfattende hendelser som er relatert til driften av systemkomponenter, applikasjoner, sikkerhet og oppstart. Applikasjons- og tjenestelogger – Applikasjoner og tjenester brukes til å registrere hendelser som er knyttet til driften. Du kan bruke snapin-modulen Event Viewer eller wevtutil-kommandolinjeverktøyet til å administrere hendelseslogger
Jeg vil gjerne dvele ved hvordan du kan jobbe med hendelseslogger:
For å se de samme applikasjonslogghendelsene, må vi utføre følgende trinn:
Velg "Windows Logger" i konsolltreet.
Velg bladet "Applikasjoner".
Hvis det er mulig, anbefales det å gjennomgå system- og programhendelsesloggene ofte for å undersøke eksisterende problemer og advarsler som kan forutsi fremtidige problemer. Det midterste vinduet, når du velger en logg, viser tilgjengelige hendelser, inkludert hendelsesdato, hendelsesnivå, tid og kilde og andre data.
Viewport-ruten viser hendelsesdata på Generelt-fanen og ytterligere spesifikke data på Detaljer-fanen.

Dette panelet kan slås av og på ved å velge Vis-menyen og deretter Viewport-kommandoen.
Det anbefales å lagre logger for de siste månedene for kritiske systemer. Det er vanligvis ikke veldig praktisk å tildele magasiner en slik størrelse at all informasjonen passer i dem, og derfor kan dette problemet løses annerledes. Logger kan eksporteres til filer som ligger i en spesifisert mappe. For å lagre den valgte loggen må du gjøre følgende:
Velg hendelsesloggen du vil lagre i konsolltreet;
Velg kommandoen "Lagre hendelser som" fra "Handling"-menyen eller velg kommandoen "Lagre alle hendelser som" fra logg-kontekstmenyen;
I "Lagre som"-dialogen velger du mappen der filen skal lagres. Hvis du trenger å lagre en fil i en ny mappe, kan du opprette den direkte fra denne dialogboksen ved å bruke kontekstmenyen eller "Ny mappe"-knappen på handlingslinjen. I feltet "Filtype" må du velge ønsket filformat fra de tilgjengelige: hendelsesfiler - *.evtx, xml-fil - *.xml, tabulatordelt tekst - *.txt, kommadelt csv - *. csv. I "Filnavn"-feltet skriver du inn et navn og klikker på "Lagre"-knappen. Klikk på "Avbryt"-knappen for å avbryte lagringen.
Hvis hendelsesloggen ikke er ment å vises på en annen datamaskin, la standardvalget "Ikke vis informasjon" i "Vis informasjon"-dialogboksen, og hvis loggen er ment å vises på en annen datamaskin, deretter i " Dialogboksen Vis informasjon Velg alternativet "Vis informasjon for følgende språk" og klikk på "OK"-knappen.
Slik jobber du med hendelseslogger:
Event Viewer
Hvis du vil se programlogghendelser, følg disse trinnene:
Velg "Windows Logger" i konsolltreet;
Velg applikasjonsmagasinet.
Det anbefales å se gjennom system- og programhendelsesloggene for eventuelle problemer eller advarsler. Når du velger en logg, vises de tilgjengelige hendelsene i midtvinduet.
Viewport-ruten vil vise grunnleggende hendelsesdata på Generelt-fanen, og tilleggsdata vil vises på Detaljer-fanen. Du kan slå dette panelet av og på ved å velge "View"-menyen og "Viewport"-kommandoen.
Det anbefales for kritiske systemer å lagre logger for de siste månedene.

Det er vanligvis upraktisk å tilordne en slik størrelse til magasiner slik at all informasjon får plass i dem; dette problemet kan løses annerledes. Du kan eksportere logger til filer som ligger i en spesifisert mappe. Følg disse trinnene for å lagre den valgte loggen:
I konsolltreet velger du hendelsesloggen du vil lagre;
Velg kommandoen "Lagre hendelser som" fra "Handling"-menyen eller velg kommandoen "Lagre alle hendelser som" fra loggmenyen;
I "Lagre som"-dialogen velger du mappen der filen skal lagres. Hvis du trenger å lagre filen i en ny mappe, kan du opprette den fra denne dialogboksen ved å bruke kontekstmenyen eller "Ny mappe"-knappen på handlingslinjen. I "Filtype"-feltet velger du ønsket filformat fra de foreslåtte: hendelsesfiler - *.evtx, tabulatordelt tekst - *.txt,
xml-fil - *.xml,
csv kommaseparert - *.csv. I "Filnavn"-feltet skriver du inn et navn og klikker på "Lagre"-knappen. For å avbryte lagring, klikk på "Avbryt"; Hvis hendelsesloggen ikke er ment å vises på en annen datamaskin, la "Ikke vis informasjon"-alternativet stå som standard i dialogboksen "Vis informasjon", og hvis loggen er ment å vises på en annen datamaskin, i dialogboksen "Vis informasjon" Velg alternativet "Vis informasjon for følgende språk" og klikk "OK".
Sletter hendelsesloggen
Velg hendelsesloggen i konsolltreet som må slettes; Tøm loggen ved å bruke en av følgende metoder:
Fra "Handling"-menyen, velg "Tøm logg"
På den valgte loggen klikker du for å åpne høyreklikk-kontekstmenyen. I kontekstmenyen velger du kommandoen "Tøm logg".
Deretter kan du tømme loggen eller arkivere den hvis dette ikke har blitt gjort tidligere:
Hvis du sletter hendelsesloggen uten å lagre, klikker du på "Slett"-knappen;
For å tømme hendelsesloggen etter å ha lagret den, klikk på "Lagre og fjern". I "Lagre som"-dialogen velger du mappen der filen skal lagres. Hvis du trenger å lagre en fil i en ny mappe, kan du opprette den fra denne dialogboksen ved å bruke kontekstmenyen eller "Ny mappe"-knappen på handlingslinjen. I "Filnavn"-feltet skriver du inn et navn og klikker på "Lagre". For å avbryte lagring, trykk "Avbryt". Puh, det er alt, men hvis det ikke er klart, venter jeg på kommentarene dine.

Det var alt og vi sees igjen...

Windows 7 og Windows 10 overvåker hele tiden systemet for uvanlige eller bemerkelsesverdige situasjoner, for eksempel en tjeneste som ikke kjører, en enhetsinstallasjon eller en programfeil. Alle disse situasjonene kalles hendelser og logges i flere forskjellige logger.

For eksempel lagrer applikasjonsloggen hendelser knyttet til driften av applikasjoner, både programmer fra selve Windows 7 og tredjepartsapplikasjoner, og systemloggen lagrer hendelser generert av Windows 7, 10-systemet og komponenter som enhetsdrivere og systemtjenester .

Hvordan åpne Windows hendelseslogg

For å åpne hendelsesloggen i Windows, klikk på knappen Start ved å skrive inn strengen i søkefeltet hendelsesvisning og trykke på tasten<Tast inn>. Bildet nedenfor viser hvordan hjemmesiden til denne snapin-modulen ser ut, som viser Windows-hendelsesloggen, en liste over nylig viste noder og en rekke tilgjengelige handlinger.

Vise Windows-hendelsesloggen

Panelet til høyre har tre seksjoner: egendefinerte visninger, Windows-logger og applikasjons- og tjenesterlogger.

Seksjonen Egendefinerte visninger viser alle hendelsestyper definert i det gjeldende systemet (som diskuteres mer detaljert litt senere). Hvis du utfører filtrering i en av hendelsesloggene eller oppretter en ny hendelsesvisning, lagres den nye visningen i denne delen.

Windows-logger-delen viser flere underseksjoner, hvorav fire representerer hovedloggene som vedlikeholdes av selve systemet.

Applikasjons- og systemhendelsesloggene bør kontrolleres regelmessig for eksisterende problemer og advarsler om at problemer kan oppstå i fremtiden. Sikkerhetsloggen er ikke viktig for den daglige vedlikeholdsprosedyren. Du bør bare se på det hvis du mistenker et datasikkerhetsbrudd, for eksempel for å finne ut hvem som logger på systemet.

Systemloggen registrerer enhetsdriverfeil, men Windows 7 har andre verktøy som kan hjelpe deg med å lettere undersøke enhetsproblemer. For eksempel Enhetsbehandling, som viser et ikon for enheter som har problemer og lar deg se en beskrivelse av disse problemene ved å åpne egenskapsarkene for enheten. Det er også et verktøy Systeminformasjon (Msinfo32.exe), som gjenspeiler informasjon om alle problemer med utstyret i seksjonene Systeminformasjon > Maskinvareressurser > Konflikt og deling og systeminformasjon > Komponenter > Problematiske enheter.

Når du velger en logg, vises en liste over alle tilgjengelige hendelser i den loggen i det sentrale vinduet, sammen med informasjon om dato og klokkeslett for hver hendelse, dens kilde, dens type (detaljer, advarsel eller feil) og andre lignende informasjon. Nedenfor er de viktigste grensesnittendringene og ny funksjonalitet som har dukket opp i Event Viewer i Windows.

  • I visningsområde-panelet vises nå grunnleggende hendelsesdata i kategorien Generelt, og ytterligere, mer spesifikke data vises nå på fanen Detaljer. Dette panelet kan slås av og på ved å velge Visningsområde fra Vis-menyen.
  • Hendelsesdata er nå lagret i XML-format. Du kan se skjemaet deres ved å velge XML-modusbryteren på Detaljer-fanen i visningsområdepanelet.
  • Filter-kommandoen lar deg nå generere spørringer i XML-format.
  • Ved å klikke på koblingen Opprett tilpasset visning kan du nå opprette en ny visning basert på en spesifikk hendelseslogg, spesifikk hendelsestype, hendelses-ID osv.
  • Du kan nå knytte oppgaver til hendelser ved først å klikke på hendelsen av interesse, og deretter på koblingen Koble en oppgave til hendelse og deretter bruke den riktige veiviseren for å lage den ønskede oppgaven, som innebærer enten å starte et program eller et skript, eller sende en e-post når det skjer av denne hendelsen.
  • Favoritthendelser kan nå lagres i Event File-formatet (.elf).

De vanligste aktivitetsområdene som det er laget spesialiserte programvareprodukter for. 1s 8 online er regulert regnskap, handel og lagerregnskap, driftsregnskap og helhetlige løsninger

Seksjonen Applikasjons- og tjenesterlogger lister opp programmene, funksjonene og tjenestene som støtter standard format for hendelseslogging, som er nytt i Windows 7. Tidligere ble logger for alle elementene i denne delen lagret i separate tekstfiler, som ikke var tilgjengelige. i eldre applikasjoner, versjoner av Event Viewer-snap-in-modulen, bortsett fra ved å åpne loggfilen spesielt.

Windows 7-operativsystemet overvåker konstant forskjellige bemerkelsesverdige hendelser som skjer på systemet ditt. På Microsoft Windows begivenhet er enhver hendelse i operativsystemet som er logget eller krever varsling til brukere eller administratorer. Dette kan være en tjeneste som ikke vil starte, en enhetsinstallasjon eller en programfeil. Hendelser registreres og lagres i Windows-hendelsesloggene og gir viktig historisk informasjon som hjelper deg med å overvåke systemet, opprettholde systemsikkerhet, feilsøke feil og utføre diagnostikk. Informasjonen i disse loggene bør gjennomgås regelmessig. Du bør regelmessig overvåke hendelseslogger og konfigurere operativsystemet for å lagre viktige systemhendelser. Hvis du er administrator for Windows-servere, må du overvåke sikkerheten til systemene deres, normal drift av applikasjoner og tjenester, og også sjekke serveren for feil som kan svekke ytelsen. Hvis du er en personlig datamaskinbruker, bør du sørge for at du har tilgang til de riktige loggene du trenger for å støtte systemet og feilsøke feil.

Program "Event Viewer" er en Microsoft Management Console (MMC) snap-in for visning og administrasjon av hendelseslogger. Dette er et uunnværlig verktøy for å overvåke systemytelse og feilsøke problemer. Windows-tjenesten som administrerer hendelseslogging kalles "Hendelsesloggen". Hvis den kjører, skriver Windows viktige data til loggene. Bruker programmet "Event Viewer" du kan gjøre følgende:

  • Se hendelser fra spesifikke logger;
  • Bruk hendelsesfiltre og lagre dem for senere bruk som egendefinerte visninger;
  • Opprett og administrer arrangementsabonnementer;
  • Tilordne spesifikke handlinger som skal utføres når en bestemt hendelse inntreffer.

Starter Event Viewer

applikasjon "Event Viewer" kan åpnes på følgende måter:

Figur 1. Event Viewer-vindu

Hendelseslogger i Windows 7

I Windows 7-operativsystemet, så vel som i Windows Vista, er det to kategorier hendelseslogger: Windows-logger Og applikasjons- og tjenestelogger. Windows-logger- brukes av operativsystemet til å registrere systemomfattende hendelser knyttet til driften av applikasjoner, systemkomponenter, sikkerhet og oppstart. EN applikasjons- og tjenestelogger- brukes av applikasjoner og tjenester for å registrere hendelser knyttet til driften deres. Du kan bruke snapin-modulen til å administrere hendelseslogger "Event Viewer" eller kommandolinjeprogram wevtutil, som vil bli diskutert i den andre delen av artikkelen. Alle loggtyper er beskrevet nedenfor:

applikasjon- lagrer viktige hendelser knyttet til en spesifikk applikasjon. Exchange Server lagrer for eksempel hendelser relatert til videresending av e-post, inkludert hendelser for informasjonslageret, postbokser og kjørende tjenester. Som standard er den plassert i %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Sikkerhet- lagrer sikkerhetsrelaterte hendelser som systempålogging/utlogging, rettighetsbruk og ressurstilgang. Som standard er den plassert i %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Installasjon- Denne loggen registrerer hendelser som oppstår under installasjonen og konfigurasjonen av operativsystemet og dets komponenter. Som standard ligger den i %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

System- lagrer hendelser i operativsystemet eller dets komponenter, for eksempel feil ved å starte tjenester eller initialisere drivere, meldinger for hele systemet og andre meldinger relatert til systemet som helhet. Som standard ligger den i %SystemRoot%\System32\Winevt\Logs\System.Evtx

Videresendte hendelser- hvis videresending av hendelser er konfigurert, inkluderer denne loggen hendelser videresendt fra andre servere. Som standard er den plassert i %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer- denne loggen registrerer hendelser som oppstår når du konfigurerer og arbeider med nettleseren Internet Explorer. Som standard ligger den i %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell- Denne loggen registrerer hendelser knyttet til bruken av PowerShell. Som standard er den plassert i %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

Utstyrsarrangementer- hvis maskinvarehendelseslogging er konfigurert, blir hendelser generert av enheter registrert i denne loggen. Som standard er den plassert i %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

I Windows 7 er infrastrukturen som gir hendelseslogging basert på XML, akkurat som i Windows Vista. Hver hendelsesdata tilsvarer et XML-skjema, som lar deg få tilgang til XML-koden for enhver hendelse. Du kan også lage XML-baserte spørringer for å hente data fra logger. Ingen kunnskap om XML kreves for å bruke disse nye funksjonene. Utstyr "Event Viewer" gir et enkelt grafisk grensesnitt for å få tilgang til disse funksjonene.

Hendelsesegenskaper

Det er flere snap-in-hendelsesegenskaper "Event Viewer", som er beskrevet i detalj nedenfor:

Kilde er programmet som logget hendelsen. Dette kan enten være navnet på et program (for eksempel "Exchange Server") eller navnet på en systemkomponent eller stor applikasjon (for eksempel navnet på en driver). For eksempel betyr "Elnkii" EtherLink II-driver.

Hendelseskode er et tall som identifiserer en bestemt type hendelse. Den første linjen i beskrivelsen inneholder vanligvis navnet på hendelsestypen. For eksempel er 6005 ID-en til hendelsen som oppstår når hendelsesloggingstjenesten starter. Følgelig, i begynnelsen av beskrivelsen av denne hendelsen er det linjen "Hendelsesloggtjenesten er startet." Hendelseskoden og opptakskildenavnet kan brukes av programvareproduktstøtteteamet for å feilsøke problemer.

Nivå- dette er nivået av betydning for arrangementet. I system- og applikasjonslogger kan hendelser ha følgende alvorlighetsnivåer:

  • Melding- betegner en endring i en applikasjon eller komponent, for eksempel forekomsten av en informasjonshendelse knyttet til en vellykket handling, opprettelse av en ressurs eller oppstart av en tjeneste.
  • Advarsel- indikerer en generell advarsel om et problem som kan påvirke tjenesten eller føre til et mer alvorlig problem hvis det blir forlatt uten tilsyn;
  • Feil- indikerer at det har oppstått et problem som kan påvirke funksjoner utenfor applikasjonen eller komponenten som forårsaket hendelsen;
  • Kritisk feil- indikerer at det har oppstått en feil som programmet eller komponenten som startet hendelsen ikke kan gjenopprette automatisk;
  • Revisjon av suksesser- vellykket utførelse av handlinger som du overvåker gjennom revisjon, for eksempel bruk av et privilegium;
  • Feilrevisjon- unnlatelse av å utføre handlinger som du overvåker gjennom revisjon, for eksempel en feil ved pålogging til systemet.

Bruker- definerer brukerkontoen som denne hendelsen skjedde på vegne av. Brukere inkluderer spesielle enheter som lokal tjeneste, nettverkstjeneste og anonym pålogging, så vel som ekte brukerkontoer. Dette navnet er klientidentifikatoren hvis hendelsen faktisk ble opprettet av en serverprosess, eller den primære identifikatoren hvis det ikke utføres etterligning. I noen tilfeller inneholder sikkerhetsloggoppføringen begge ID-ene. Dette feltet kan også inneholde N/A hvis kontoen ikke er aktuelt i denne situasjonen. Etterligning forekommer i tilfeller der en server tillater en prosess å anta sikkerhetsattributtene til en annen prosess.

Arbeidskode- inneholder en numerisk verdi som identifiserer operasjonen eller punktet i operasjonen der denne hendelsen skjedde. For eksempel initialisering eller lukking.

Blad- navnet på loggen der denne hendelsen ble registrert.

Kategori og oppgaver- definerer en hendelseskategori, noen ganger brukt for å beskrive en gyldig handling. Hver hendelseskilde har sine egne kategorier. For eksempel følgende kategorier: pålogging/utlogging, bruksrettigheter, endre policyer og kontoadministrasjon.

Nøkkelord er et sett med kategorier eller tagger som kan brukes til å filtrere eller søke etter hendelser. For eksempel: "Nettverk", "Sikkerhet" eller "Ressurs ikke funnet".

Datamaskin- identifiserer navnet på datamaskinen som hendelsen skjedde på. Dette er vanligvis navnet på den lokale datamaskinen, men kan også være navnet på datamaskinen som videresendte hendelsen, eller navnet på den lokale datamaskinen før den ble endret.

dato og tid- bestemmer dato og klokkeslett for forekomsten av denne hendelsen i loggen.

Prosess-ID- representerer identifikasjonsnummeret til prosessen som genererte hendelsen. Et dataprogram er bare et passivt sett med instruksjoner, mens en prosess er direkte utførelse av disse instruksjonene

Strøm-ID- representerer identifikasjonsnummeret til tråden som genererte hendelsen. En prosess skapt i et operativsystem kan bestå av flere tråder som kjører "parallelt", det vil si uten en foreskrevet rekkefølge i tid. Når du utfører noen oppgaver, kan en slik oppdeling oppnå mer effektiv bruk av dataressurser

Prosessor-ID- representerer identifikasjonsnummeret til prosessoren som behandlet hendelsen.

Sesjonskode er sesjonsidentifikasjonsnummeret på terminalserveren der hendelsen skjedde.

Driftstid for kjernemodus- definerer tiden brukt på å utføre kjernemodusinstruksjoner, i CPU-tidsenheter. Kjernemodus har ubegrenset tilgang til systemminne og eksterne enheter. NT-systemkjernen kalles en hybridkjerne eller makrokjerne.

Driftstid i brukermodus- definerer tiden brukt på å utføre brukermodusinstruksjoner, i enheter av CPU-tid. Brukermodus består av undersystemer som sender I/O-forespørsler til den aktuelle kjernemodusdriveren gjennom I/O-behandleren.

CPU-belastning er tiden brukt på å utføre brukermodusinstruksjoner, i CPU-merker.

Korrelasjonskode- definerer handlingen i prosessen som hendelsen brukes til. Denne koden brukes til å spesifisere enkle forhold mellom hendelser. Korrelasjon er et statistisk forhold mellom to eller flere tilfeldige variabler (eller verdier som kan betraktes som sådan med en viss grad av nøyaktighet). Dessuten fører endringer i en eller flere av disse mengdene til en systematisk endring i en annen eller andre mengder.

Relativ korrelasjons-ID- definerer en relativ handling i prosessen som hendelsen brukes til

Arbeid med hendelseslogger

Event Viewer

I neste skjermbilde kan du se loggen "Applikasjoner", hvor du kan finne informasjon om hendelser, nylige visninger og tilgjengelige handlinger. Følg disse trinnene for å se programlogghendelser:

  1. Velg i konsolltreet "Windows-logger";
  2. Velg et magasin "Applikasjoner".

Det anbefales å gjennomgå hendelseslogger oftere "Applikasjon" Og "System" og undersøke eksisterende problemer og advarsler som kan varsle problemer i fremtiden. Når du velger en logg, viser det midterste vinduet tilgjengelige hendelser, inkludert hendelsesdato, klokkeslett og kilde, hendelsesnivå og andre detaljer.

Panel "Viewport" viser grunnleggende hendelsesdata på fanen "Er vanlig", og ytterligere spesifikke data er på fanen "Detaljer". Du kan slå dette panelet av og på ved å velge menyen "Utsikt" og deretter kommandoen "Viewport".

For kritiske systemer anbefales det å holde logger flere måneder tilbake. Som regel er det upraktisk å tildele en størrelse til magasiner hele tiden slik at all informasjon får plass i dem; dette problemet kan løses på en annen måte. Du kan eksportere logger til filer som ligger i en spesifisert mappe. Følg disse trinnene for å lagre den valgte loggen:

  1. I konsolltreet velger du hendelsesloggen du vil lagre;
  2. Velg et lag "Lagre hendelser som" fra menyen "Handling" eller fra logg-kontekstmenyen velg kommandoen "Lagre alle hendelser som";
  3. I dialogboksen som vises "Lagre som" velg mappen der filen skal lagres. Hvis du trenger å lagre filen i en ny mappe, kan du opprette den direkte fra denne dialogboksen ved å bruke kontekstmenyen eller knappen "Ny mappe" på handlingslinjen. I felt "Filtype" du må velge ønsket filformat fra de tilgjengelige: hendelsesfiler - *.evtx, xml-fil - *.xml, tabulatordelt tekst - *.txt, kommadelt csv - *.csv. I felt "Filnavn" skriv inn et navn og klikk på knappen "Lagre". For å avbryte lagring, klikk på knappen "Avbryt";
  4. I tilfelle hendelsesloggen ikke er ment å vises på en annen datamaskin, i dialogboksen "Vis detaljer" la standardalternativet "Ikke vis informasjon", og hvis loggen er ment å vises på en annen datamaskin, deretter i dialogboksen "Vis detaljer" Velg et alternativ "Vis informasjon for følgende språk" og klikk på knappen "OK".

Sletter hendelsesloggen

Noen ganger er det nødvendig å slette fullstendige hendelseslogger for å sikre effektiv analyse av advarsler og kritiske operativsystemfeil. Følg disse trinnene for å tømme den valgte loggen:


Stille inn maksimal loggstørrelse

Som nevnt ovenfor, lagres hendelseslogger som filer i mappen %SystemRoot%\System32\Winevt\Logs\. Som standard er den maksimale størrelsen på disse filene begrenset, men du kan endre den på følgende måte:


Hendelser lagres i en loggfil som bare kan vokse opp til en spesifisert maksimal størrelse. Når filen når sin maksimale størrelse, vil behandlingen av innkommende hendelser bli bestemt av loggoppbevaringspolicyen. Følgende retningslinjer for loggoppbevaring er tilgjengelige:

Omskriv hendelser om nødvendig (eldste filer først)- i dette tilfellet fortsetter det å føre nye poster i journalen etter at den er fylt ut. Hver ny hendelse erstatter den eldste i loggen;

Arkiver loggen når den er fylt; ikke omskriv hendelser- i dette tilfellet blir loggfilen automatisk arkivert om nødvendig. Foreldede hendelser blir ikke overskrevet.

Ikke overskriv hendelser (tøm logg manuelt)- i dette tilfellet slettes loggen manuelt og ikke automatisk.

Følg disse trinnene for å velge ønsket loggoppbevaringspolicy:

  1. I konsolltreet velger du hendelsesloggen du vil endre størrelsen på;
  2. Velg et lag "Egenskaper" fra menyen "Handling" eller fra kontekstmenyen til den valgte journalen;
  3. På fanen "Er vanlig", I kapittel "Når du når maksimal størrelse" velg ønsket parameter og klikk på knappen "OK".

Aktivering av analyse- og feilsøkingsloggen

Analytiske logger og feilsøkingslogger er inaktive som standard. Når de er aktivert, fylles de raskt opp med et stort antall hendelser. Av denne grunn er det tilrådelig å aktivere disse loggene i en begrenset periode for å samle inn dataene som trengs for feilsøking, og deretter deaktivere dem igjen. Du kan aktivere logger som følger:

  1. I konsolltreet, finn og velg den analytiske eller feilsøkingsloggen du vil aktivere;
  2. Velg et lag "Egenskaper" fra menyen "Handling" eller fra kontekstmenyen til den valgte analytiske eller feilsøkingsloggen;
  3. På fanen "Er vanlig" sjekk alternativboksen "Aktiver logging"

Åpne og lukke en lagret journal

Bruker utstyr "Event Viewer" Du kan åpne og se tidligere lagrede logger. Du kan åpne flere lagrede logger samtidig og få tilgang til dem når som helst i konsolltreet. Magasinet åpnet i "Event Viewer", kan lukkes uten å slette informasjonen den inneholder. Følg disse trinnene for å åpne en lagret logg:


Følg disse trinnene for å slette en åpen logg fra hendelsestreet:


Konklusjon

Denne delen av artikkelen, dedikert til Event Viewer-snap-in, snakker om selve snap-in-en og beskriver i detalj de enkleste operasjonene knyttet til overvåking og vedlikehold av systemet ved hjelp av Event Viewer. Den neste delen av artikkelen vil være designet for erfarne Windows-brukere. Den vil dekke oppgaver med tilpassede visninger, filtrering, gruppering/sortering av hendelser og administrering av abonnementer.

× Merk følgende!
Logg inn på din sidekonto eller opprett en for å få full tilgang til siden vår. Registrering vil gi deg muligheten til å legge til nyheter, kommentere artikler, kommunisere med andre brukere og mye mer.

Andre materialer