Перегляд подій
Перегляд подій (англ. Event Viewer) — компонент, що входить до складу операційних систем сімейства Windows NT, розроблених Microsoft, який дозволяє адміністраторам переглядати лог подій на локальному комп'ютері або на віддаленій машині. У Windows Vista Microsoft переробила систему подій.[1]
Через регулярне надання звітів про незначні помилки запуску і обробки подій (які насправді не завдають шкоди або шкоди комп'ютеру) програмне забезпечення часто використовується шахраями під виглядом «підтримки», щоб переконати користувачів, незнайомих з «Переглядом подій», в тому, що їхній комп'ютер містить критичні помилки і потребує негайного технічної підтримки. Прикладом може служити поле «Адміністративні події» в розділі «Власні події», яке може містити більше тисячі помилок або попереджень, зареєстрованих протягом місяця.
У Windows NT журнали подій з'явилися з моменту випуску в 1993 році. Програми та компоненти операційної системи можуть використовувати цю централізовану службу журналів для повідомлення про події, які сталися, наприклад, при запуску компонента або виконання дії.
«Перегляд подій» використовує ідентифікатори подій для визначення унікально ідентифікованих подій, з якими може зіткнутися комп'ютер на базі ОС Windows. Наприклад, коли автентифікація користувача завершується з помилкою, система може генерувати ідентифікатор події 672.
Windows NT 4.0 отримала підтримку визначення «джерел подій» (додатків, які створили подшю) і виконання резервних копій журналів.
У Windows 2000 додана можливість програмам створювати свої власні джерела журналів на додаток до трьох системним логів «Система», «Додаток» і «Безпека». У Windows 2000 також замінено засіб перегляду подій з Windows NT 4.0 консолі керування Microsoft (MMC).
У Windows Server 2003 додані виклики AuthzInstallSecurityEventSource ()
API, щоб програми могли реєструватися з логами безпеки і записувати входи в аудит безпеки.[2]
Версії Windows на базі ядра Windows NT 6.0 (Windows Vista і Windows Server 2008) більше не мають обмеження в 300 МБ на загальний розмір логів. До ядра NT 6.0 система відкривала файли на диску файли з відображенням пам'яті в просторі пам'яті ядра, які використовували ті ж пули пам'яті, що й інші компоненти ядра. Файли «Перегляд подій» з розширенням .evtx
зазвичай відображаються в каталозі, такому як C: \ Windows \ System32 \ winevt \ Logs \
Windows XP надає набір з трьох інструментів командного рядка, корисних для автоматизації завдань:
eventquery.vbs
— офіційний скрипт для запиту, фільтрації та виведення результатів на основі логів подій. Прибраний в наступних Windows.eventcreate
— команда (продовжив розвиток в Windows Vista і Windows 7) для розміщення користувача логах подій.eventtriggers
— команда для створення завдань, керованих подіями. Прибраний в наступних Windows, замінений компонентом «Прикріпити завдання до цієї події» (англ. Attach task to this event).
Засіб перегляду подій складається з переписаної архітектури відстеження подій та реєстрації в Windows Vista. Воно було переписано у вигляді структурованого формату логів XML і певного типу лода, щоб дозволити програмам більш точно реєструвати події і допомагати фахівцям технічної підтримки і розробникам розуміти події. XML-представлення події можна переглянути у вкладці «Відомості» у властивостях події. Крім того, можна переглянути всі потенційні події, їх структури, зареєстрованих власників подій і їх конфігурацію за допомогою утиліти wevtutil, навіть до початку подій. Існує велика кількість логів подій різного типу, включаючи адміністративні, операційні, аналітичні та налагоджувальні логи. Вибір вузла «Логи програм» на панелі «Область» показує безліч нових підкатегорій логів подій, в тому числі багато, позначені як логи діагностики. Аналітичні та налагоджувальні події, які є високочастотними, зберігаються безпосередньо через файл трасування, в той час як адміністративні та операційні події нерідкі, щоб забезпечити додаткову обробку, не впливаючи на продуктивність системи, тому вони доставляються в службу журналу подій. Події публікуються асинхронно, щоб знизити вплив продуктивності на додаток публікації подій. Атрибути подій також набагато більш деталізовані і відображають властивості «ID події», «Рівень», «Завдання», «Код операції» та «Ключові слова».
Користувачі можуть фільтрувати журнали подій по одному або декільком критеріям або обмеженим виразу XPath 1.0, а власні уявлення можуть бути створені для одного або декількох подій. Використання Їх в якості мови запитів дозволяє переглядати журнали, які відносяться тільки до певної підсистеми або до проблеми тільки з певним компонентом, архівувати події вибору і відправляти трасування «на льоту» в службу технічної підтримки.
До числа основних передплатників подій відносяться служби «Складальник подій» і «Планувальник завдань» 2.0. Служба «Складальник подій» може автоматично пересилати журнали подій на інші віддалені системи під управлінням Windows Vista, Windows Server 2008 або Windows Server 2003 R2 згідно налаштовувати розклад. Журнали подій також можуть бути віддалено переглянуті з інших комп'ютерів, або кілька журналів подій можуть централізовано реєструватися і контролюватися без агента і управлятися з одного комп'ютера. Події також можуть бути безпосередньо пов'язані із завданнями, які виконуються у зміненому планувальнику завдань і запускають автоматичні дії, коли відбуваються певні події.
- Журнал подій
- Планувальник завдань
- Консоль керування Microsoft
- ↑ Windows Vista: New Tools for Event Management in Windows Vista (рос.). www.microsoft.com. Процитовано 18 січня 2018.
- ↑ AuthzInstallSecurityEventSource function (Windows). msdn2.microsoft.com. Процитовано 18 січня 2018.
- Офіційні:
- Документація розробника для реєстрації подій (Windows NT 3.1 — Windows XP), Windows(Windows Vista)
- Описи подій безпеки Windows 2000 (Частина 1 з 2), (Частина 2 з 2)
- Windows Server 2003 Безпечність та — Загрози і контрзаходи — Глава 6: Журнал подій — Microsoft TechNet
- Події та помилки (Windows Server 2008) — Microsoft TechNet
- Інші:
- Перегляд подій Windows Комерційна утиліта, яку можна запускати Windows, Linux або OS X
- evtwalk Інструмент командного рядка для вилучення подій і створення звітів (зміни пароля входу в систему, зміни годин, запуску /зупинки системи, облікових даних) з журналів подій Windows.
- eventid.net — Містить кілька тисяч записів журналу подій Windows і рекомендації по усуненню неполадок для кожного з них.
- Для розробників: