Как остановить средство ведения журнала ядра на windows 7

войди в безопасном режиме -при перезагрузке жми F8

Добавлено через 1 минуту
Как включить учетную запись Администратора.

Запускаем командную строку повышенного уровня, набрав cmd в поле поиска в меню Start (Пуск), щелкнув на иконке командной строки, которая появится в верхнее части меню Start (Пуск) правой кнопкой мыши, а затем выбрав пункт Run as administrator (Запуск от имени администратора) – или используя ярлык, созданный в предыдущей настройке.

Затем, вводим такую команду и нажимаем Enter (Ввод): net user administrator /active:yes (для русской ОС: net user Администратор /active:yes) С этого момента учетная запись Администратора будет доступна для выбора на экране Приветствия наряду с другими созданными учетными записями.

Если возникнет необходимость отключить эту учетную запись Администратора и сделать ее скрытой, введите эту команду в командной строке повышенного уровня и нажмите Enter (Ввод): net user administrator /active:no

Добавлено через 6 минут
или пуск-администрирование-службы(жмем правой кнопкой мыши —запустить от имени администратора—) если ошибка повторяется, то папа у тебя продвинутый чел, в консоли msc вкл, ведение журналов и удалил от туда все оснастки))))и теперь эту службу ни как не отключить,даже через реестр, будут жуткие глюки((((

Как отключить журнал событий

Операционная система Windows постоянно следит за всеми происходящими в системе событиями, записывая их в лог-файл. Данная информация может помочь в настройке системы, выявлении причин происходящих сбоев. Тем не менее, есть пользователи никогда не заглядывают в логи, поэтому на их компьютерах журнал событий может быть отключен.

Инструкция

Для отключения журнала событий необходимо отключить соответствующую службу. Если вы работаете в операционной системе Windows XP, откройте: «Пуск» – «Панель управления» – «Администрирование» – «Службы». Найдите службу «Журнал событий» (Event log), откройте ее окно, кликнув мышкой по соответствующей строке. Остановка данной службы запрещена, но вы можете изменить тип запуска, выбрав опцию «Отключено». При следующей загрузке компьютера журнал событий не будет запущен.

В операционной системе Windows 7 журнал событий отключается точно так же – найдите в Панели управления «Администрирование» – «Службы» и измените тип запуска сервиса на «Отключено». Журнал событий будет работать до первой перезагрузки системы.

В большинстве случаев пользователи отключают некоторые службы для улучшения производительности компьютера и улучшения его безопасности. По умолчанию в ОС семейства Windows запущены многие службы, не нужные рядовому пользователю, их следует отключить. Например, если вы не собираетесь пользоваться удаленным помощником, отключите службу «Терминал». Если вы не хотите, чтобы кто-то редактировал системный реестр вашего компьютера, отключите службу «Удаленный реестр».

Если вы не синхронизируете системное время компьютера с сервером точного времени, отключите «Службу времени». Не пользуетесь wi-fi – отключите службу «Беспроводная настройка». Самостоятельно заботитесь о поддержании актуальном состоянии антивирусных баз и не нуждаетесь в напоминаниях – отключите «Центр обеспечения безопасности».

В том случае, если вы не собираетесь использовать ваш компьютер в качестве сервера и давать другим пользователям доступ к своим папкам и файлам, отключите службу «Сервер». Не собираетесь входить в систему от имени другого пользователя – отключите «Вторичный вход в систему». Отключив все эти службы, вы сможете увеличить скорость работы компьютера и повысите безопасность при работе в сети.

Войти на сайт

или

Забыли пароль?
Еще не зарегистрированы?

^{Click for full size}

C:$extend$Usn.Jrnl:$J:$data

Here is a picture finally. The large strip in the center of the top band is the largest chunk, in the other, grey areas are the various clusters with it.

On the right, the big long grey line is $logfile (not paging), and it is 63 MB. Paging, 500 MB is the dark cyan chunk, next to the yellow MFTres in the inner rings.. The disk was defragged so they could be seen easier. Not all clusters of this type of file are tagged, but the idea is there.

The disk is 4k clusters, now about 12 GB size. Each cute little block in the picture is .81 MB and represents 207 clusters. The dkGreen section, is mostly the whole Winsxs pile, also interesting when they keep telling us it doesn’t take much disk space.

Wikipedia suggests that in previous NT systems «USN journaling» would be turned on when enabled (assumes it could also be turned off?).

What aspects, services, or program is working on putting that stuff all over the disk which is known by $jrnl$ type clusters, even if it is not actual USN journaling?

Is it possible in a Windows 7 system to completly disable the journaling, and what would be the ramifications of that?

On a Windows XP NTFS system, I do not recall seeing the quantity of disk clusters used with these $jrnl$ names, so I do not recall this being necessary in this quantity for an NTFS file system itself?

I understand that it would not be there, if it did not have a useful function Information about how wonderful is fine, if that information will help track down what parts of the system create and use it.

Change Journals states:

Change journals are also needed to recover file system indexing

Hmm, that might explain some of them, or why it was left on the disk. A crash while background indexing?

^{Click for full size}

C:$extend$Usn.Jrnl:$J:$data

Here is a picture finally. The large strip in the center of the top band is the largest chunk, in the other, grey areas are the various clusters with it.

On the right, the big long grey line is $logfile (not paging), and it is 63 MB. Paging, 500 MB is the dark cyan chunk, next to the yellow MFTres in the inner rings.. The disk was defragged so they could be seen easier. Not all clusters of this type of file are tagged, but the idea is there.

The disk is 4k clusters, now about 12 GB size. Each cute little block in the picture is .81 MB and represents 207 clusters. The dkGreen section, is mostly the whole Winsxs pile, also interesting when they keep telling us it doesn’t take much disk space.

Wikipedia suggests that in previous NT systems «USN journaling» would be turned on when enabled (assumes it could also be turned off?).

What aspects, services, or program is working on putting that stuff all over the disk which is known by $jrnl$ type clusters, even if it is not actual USN journaling?

Is it possible in a Windows 7 system to completly disable the journaling, and what would be the ramifications of that?

On a Windows XP NTFS system, I do not recall seeing the quantity of disk clusters used with these $jrnl$ names, so I do not recall this being necessary in this quantity for an NTFS file system itself?

I understand that it would not be there, if it did not have a useful function Information about how wonderful is fine, if that information will help track down what parts of the system create and use it.

Change Journals states:

Change journals are also needed to recover file system indexing

Hmm, that might explain some of them, or why it was left on the disk. A crash while background indexing?

0 Members and 1 Guest are viewing this topic.

---

---

---

---

---

---

---

---

---

---

---

---

Есть ли способ в Windows 7 отключить «ведение журнала»?

Диск размером 4 КБ, размером около 12 ГБ. Каждый симпатичный маленький блок на картинке имеет размер 0,81 МБ и представляет 207 кластеров. Раздел dkGreen, в основном это целая куча Winsxs, также интересен тем, что нам постоянно говорят, что он не занимает много места на диске.

Википедия предполагает, что в предыдущих системах NT «ведение журнала USN» было бы включено, когда оно включено (предполагается, что оно также может быть отключено?).

Возможно ли в системе Windows 7 полностью отключить ведение журнала, и каковы будут последствия этого?

Я понимаю, что этого не было бы, если бы у него не было полезной функции 🙂 Информация о том, как замечательно, хороша, если эта информация поможет отследить, какие части системы создают и используют ее.

Журналы изменений также необходимы для восстановления индексации файловой системы.

Хм, это может объяснить некоторые из них, или почему это осталось на диске. Сбой при фоновой индексации?

3 ответа 3

Существует способ полностью удалить (а не просто отключить) журнал USN в Windows 7:

Удаление журнала изменений влияет на службу репликации файлов (FRS) и службу индексирования, поскольку для этих служб потребуется полное (и отнимающее много времени) сканирование тома. Это, в свою очередь, отрицательно влияет на репликацию FRS SYSVOL и репликации между ссылками DFS во время повторного сканирования тома.

Тот же источник выше объясняет, что такое журнал USN и зачем он нужен:

Журнал изменений USN предоставляет постоянный журнал всех изменений, внесенных в файлы на томе. Когда файлы, каталоги и другие объекты NTFS добавляются, удаляются и изменяются, NTFS записывает записи в журнал изменений USN, по одному для каждого тома на компьютере. Каждая запись указывает тип изменения и объект изменился. Новые записи добавляются в конец потока.

Программы могут обратиться к журналу изменений USN, чтобы определить все изменения, внесенные в набор файлов. Журнал изменений USN гораздо более эффективен, чем проверка отметок времени или регистрация уведомлений о файлах. Журнал изменений USN включен и используется службой индексирования, службой репликации файлов (FRS), службами удаленной установки (RIS) и удаленным хранилищем.

Я полагаю, что если вы не используете ни одну из перечисленных выше служб, вы можете удалить журнал USN. И если вы обнаружите, что вам это нужно позже, вы можете воссоздать его с помощью той же команды fsutil (полный синтаксис см. По ссылке Technet выше).

Обновить

Я попытался удалить журнал USN на одной из моих «одноразовых» виртуальных машин Windows 7. Что происходит, так это то, что журнал действительно удаляется, однако он немедленно создается заново ( fsutil usn queryjournal c: подтверждает новый идентификатор журнала). Я пытался остановить службу поиска и другие, но это не помогло. Поэтому, я полагаю, хотя вы можете удалить этот журнал, полезность такого удаления довольно ограничена.

Источник

Не удалось запустить средство ведения журнала ядра windows 7

Решение проблем с функционированием индекса производительности в Windows 7

Способ 1: Повторный запуск оценивания

Начнем с самого простого метода, связанного с решением проблем с работой индекса производительности в Windows 7. Вполне возможно, что именно при первом тестировании возникли какие-то ошибки, в результате чего результаты не удалось получить. Вам стоит самостоятельно запустить второе оценивание, проверив работоспособность функции.

Для этого откройте меню «Пуск» и перейдите в раздел «Панель управления».

Там выберите категорию «Система».

Опуститесь вниз, где найдите «Повторить оценку».

Ожидайте окончания тестирования компьютера.

Если и во время второй проверки средству не удалось поставить оценку компьютеру, скорее всего, проблема заключается в неправильном функционировании конкретного составляющего операционной системы. К сожалению, определить причину точно не получится, поэтому придется перебирать все доступные варианты по очереди, начав с самых простых и эффективных, и заканчивая редко встречающимися неполадками.

Способ 2: Отключение брандмауэра и антивируса

Отключение брандмауэра и антивируса редко оказывается действенным методом, однако в некоторых случаях все же помогает получить оценку системы. Тем не менее его легко реализовать, это не влечет никаких последствий для Windows 7, ведь даже если выполненные действия не помогут, вы снова сможете актировать работу приложений. Более детально о временной остановке работы межсетевого экрана и антивирусного программного обеспечения читайте в других материалах на нашем сайте по ссылкам ниже.

Способ 3: Удаление сторонних кодеков

Некоторые пользователи самостоятельно загружают плееры или отдельные паки кодеков, чтобы воспроизводить разные форматы музыки и видео. Некоторые из таких компонентов не совсем корректно взаимодействуют с процессором, вызывая конфликты на разных уровнях. Обычно юзер их не замечает, однако действие подобных файлов может вызвать проблемы с установкой индекса производительности. Если у вас есть установленные кодеки, рекомендуем удалить их стандартным образом, ознакомившись с инструкцией по следующей ссылке.

Способ 4: Очистка папки WinSAT

В операционной системе хранится определенный набор файлов, в которых находится информация об индексе производительности и другой код, связанный с этим компонентом. Если во время проверки возникают непредвиденные ошибки, можно попытаться очистить эту директорию, избавившись тем самым от нерабочих объектов.

Выделите все находящиеся там объекты и сделайте правый клик мышкой.

В появившемся контекстном меню выберите пункт «Удалить» и подтвердите действие.

Можно приступить к повторной проверке индекса и без предварительной перезагрузки компьютера, однако мы все же рекомендуем это сделать, чтобы изменения гарантированно вступили в силу. Только после этого запускайте процесс анализа так, как это показано в Способе 1.

Способ 5: Обновление драйверов видеокарты

Видеокарта — один из самых важных компонентов компьютера, производительность которой тоже учитывается при подсчете индекса в Windows 7. Если вы давно не обновляли драйвер графического адаптера или он вовсе отсутствует по каким-либо причинам, советуем найти на официальном сайте последнюю сборку программного обеспечения, загрузить ее и инсталлировать. Сделать это можно и при помощи других доступных методов, о чем более развернуто читайте в материале ниже.

Способ 6: Установка DirectX

Компонент DirectX состоит из множества самых разных файлов и загружается в систему отдельно. Он отвечает за корректность функционирования определенных стандартных опций и сторонних приложений. Возможно, проблема с индексацией вызвана как раз отсутствием необходимых библиотек в Виндовс 7. Исправить это можно путем ручного обновления DirectX фирменным средством от Microsoft, о чем на примере последней версии читайте ниже.

Способ 7: Проверка файла msvcr100.dll

Отсутствие файла msvcr100.dll — еще одна причина, по которой может быть вызван сбой с индексацией производительности компьютера. Его можно скачать самостоятельно, поместив в соответствующую папку, или загрузив дополнительную библиотеку для операционной системы. Тогда проблема должна быть решена успешно, а на экране после проверки отобразится текущий индекс. В статье ниже вы найдете описание этих двух методов скачивания и установки msvcr100.dll.

Способ 8: Проверка целостности системных файлов

Последний возможный вариант решения неполадок с индексацией заключается в проверке целостности системных файлов Виндовс 7. Оказывается он эффективным нечасто, поскольку сами пользователи редко сталкиваются с повреждением важных компонентов, отвечающих за функционирование рассматриваемого компонента. Однако на проверку целостности не будет затрачено много времени и сил, ведь для этого требуется задействовать стандартную консольную утилиту, в большинстве своем выполняющую все автоматически. Все об этой теме и правильной проверке вы узнаете из материала далее.

Не работает журнал событий виндовс

Не работает журнал событий виндовс. При ручном запуске выдает сообщение:

—————————
Службы
—————————
Не удалось запустить службу Журнал событий Windows на Локальный компьютер.

Ошибка 4201: Переданное имя копии не было распознано поставщиком данных WMI как допустимое имя.

Посмотрите пожалуйста в этом обсуждении. Если проблема не устранится, в таком случаи рекомендую восстанвоить компоненты системы с помощью установки Windows в режиме обновления с установочного диска, это позволит восстанвоить компоненты системы, а также сохранить данные и программы, но возможно часть программ нужно будет восстанвоить или переустанвоить.

Если пакет обновления 1 (SP1) не содержится на установочном диске Windows 7, а в системе Windows установлен, то удалите пакет обновления 1 (SP1) с помощью центра обновления Windows, Установленные обновления, Поиск установленные обновления, введите: KB976932 и удалите. Компьютер необходимо перезагрузить.

После запуска Windows выполните одно из следующих действий.

При загрузке Windows 7 с веб-сайта перейдите к загруженному файлу установки и дважды щелкните его.

На странице Получение важных обновлений для установки рекомендуется получить последние обновления для обеспечения успешной установки и защиты компьютера от угроз безопасности. Для получения обновлений установки потребуется подключение к Интернету.

Что делать, если оценка системы Windows 7 недоступна

Причины и методы устранения сбоя

Причин отсутствия оценки производительности Windows 7 может быть несколько и наиболее распространённые таковы:

Таким образом, устранять проблемы следует соответственно причине, которая их вызвала. Начнём с наиболее простого решения.

Способ 1: Запуск оценки производительности

Чаще всего оценка недоступна только потому, что на этом компьютере она банально ещё не проводилась, тем более что активировать эту опцию может только пользователь. Существует несколько методов получения оценки – для знакомства с ними перейдите к инструкции по ссылке далее.

Способ 2: Активация Windows

Также число индекса производительности может быть недоступно в случае, когда ОС не активирована или активирована с ошибкой, особенно если процедура запускалась в течение пробного периода. Отсутствие активации Виндовс 7 причиняет и иные неудобства, поэтому рекомендуется подтвердить легальность вашей копии как можно скорее.

Способ 3: Переустановка драйверов

Более серьёзная причина неполадки заключается в отсутствии либо повреждении драйверов материнской платы и/или видеокарты. Дело в том, что для оценки Виндовс использует подсистемы OpenGL и DirectX, работоспособность которых зависит от корректной работы GPU и чипсета основной платы компьютера. В свою очередь, нормальное функционирование указанных элементов обеспечивается драйверами, поэтому их следует переустановить для устранения рассматриваемой неполадки.

Способ 4: Устранение ошибок в системных файлах

Следующий источник сбоя – повреждения или ошибки системных файлов. Оценка производительности Windows проводиться отдельной утилитой, у которой множество зависимостей от других системных компонентов, и если хотя бы один из них повреждён, индекс отображаться не будет. Решение этой проблемы очевидно – следует проверить составляющие системы и устранить ошибки, если таковые обнаружены.

Также стоит иметь в виду, что компоненты могли пострадать в результате деятельности вредоносного ПО, поэтому не лишним будет также проверить систему на предмет заражения.

Нередко причиной неполадок могут быть также ошибки накопителя, программные (вследствие фрагментации данных) и аппаратные (полученные в результате механического повреждения). Если первоначальные проверка и восстановление целостности системных файлов не удалось, проверьте HDD – возможно, его уже пора менять.

Способ 5: Настройка плана электропитания (портативные ПК)

Довольно необычной причиной неработоспособности оценки производительности системы в ноутбуках заключается в том, что в системе настроен строгий режим энергосбережения. При этом обычно отключено всё некритичное для работы ОС, в том числе и служба проверки её эффективности. Выход из ситуации в таком случае очевиден – следует либо переключить план питания на более производительный, либо вручную настроить текущий.

Откройте «Пуск» и воспользуйтесь пунктом «Панель управления».

Переключите отображение в режим «Крупные значки», затем кликните левой кнопкой мыши по позиции «Электропитание».

Для автоматического переключения питания в производительный режим отметьте план «Высокая производительность», после чего примените изменения.

Для ручной настройки текущего плана щёлкните по ссылке «Настройка схемы электропитания».

Далее – «Изменить дополнительные параметры питания».

Появится окно с опциями. Для возвращения работоспособности сервису оценки установите следующие настройки:

«Сон» – «Разрешить таймеры пробуждения»: обе позиции в положение «Включить»;

«PCI Express» – «Управление питанием состояния связи»: вариант «От батареи» в положение «Умеренное энергосбережение», вариант «От сети» – в «Откл.»;

После внесения изменений последовательно нажмите «Применить» и «ОК».

Включение указанных опций должно вернуть показ индекса производительности.

Способ 6: Использование сторонней программы

Если ни один способ из представленных выше не помогает решить проблему, но производительность компьютера требуется проверить во что бы то ни стало, к вашим услугам сторонние приложения, которые к тому же ещё и более точны, чем системный инструмент Виндовс 7.

Заключение

Нами были рассмотрены причины, по которым оценка производительности системы в Windows 7 может быть недоступна, а также методы устранения этого сбоя. Как видим, в основном они тривиальны и вполне устранимы силами даже неопытного пользователя.

О сайте и об авторе

Уважаемый читатель, приглашаю тебя в свой интернет-журнал!

Для начала, познакомимся. Меня зовут Иван Смирнов. Я являюсь основателем и автором ресурса. Здесь вы найдете интересную информацию на самую различную тематику. Расскажу обо всем ярко, оригинально и захватывающе, смогу вас заинтересовать.

Использую самые разнообразные источники информации. При этом, вы можете не волноваться о достоверности предоставленных сведений, я все внимательно проверяю и добросовестно отношусь к своему делу. Но если вы заметите ошибку или неточность, то, пожалуйста, расскажите об этом мне. Я заинтересован в улучшении своего контента и рад общению. Теперь, возьмите кофе и расположитесь поудобнее, пора начать знакомство с моим сайтом! Желаю вам отлично провести время и зарядиться положительными эмоциями!

Источник

Как остановить ведение журнала событий?

Как отключить ведение журнала безопасности с помощью команды AuditPol?
Приветствую. Нужно избавится от поехавшего бати параноика, но не совсем от него, а от его.

Ведение журнала лаборатории
Добрый день. Для оптимизации работы лаборатории, а именно уменьшения писанины и лучшей.

Ведение журнала сообщений о ошибках
Здравствуйте! Мне нужно реализовать функцию сообщения об ошибке ( ‘Report An Error’ ). На.

Нужен батник для создания отчета событий и их свойств из журнала событий на локальном компьютере
Пакетный файл, предназначенный для создания отчета событий и их свойств из журнала событий на.

вообще это не мешает работе машине, или тебя папа наказывает))), он прав комп зомбирует

Добавлено через 3 минуты

там нет ничего подобного. где было бы написано «отключить ведение журнала»

можно поподробнее, пожалуйста!
а ещё там написано: Консоль управления (ММС) не может создать оснастку.

Добавлено через 3 минуты

там нет ничего подобного. где было бы написано «отключить ведение журнала»

можно поподробнее, пожалуйста!
а ещё там написано: Консоль управления (ММС) не может создать оснастку.

Добавлено через 3 минуты

там нет ничего подобного. где было бы написано «отключить ведение журнала»

можно поподробнее, пожалуйста!
а ещё там написано: Консоль управления (ММС) не может создать оснастку.

Добавлено через 3 минуты

Добавлено через 3 минуты
так проще, а в конфогурациях если бы разобрался можно отключить их навсегда и папа не разобрался бы ни когда, что произошло, а так он их опять включит и попу тебе на фашистский флаг порвет))))

вот куда тут дальше.

а по второму способе пишет: Ошибка 5: отказано в доступе

вот куда тут дальше.

а по второму способе пишет: Ошибка 5: отказано в доступе

зайди как администратор

Добавлено через 2 минуты

зайди как администратор

Добавлено через 2 минуты

тебе посто так кажется))))

Добавлено через 1 минуту
Как включить учетную запись Администратора.

Запускаем командную строку повышенного уровня, набрав cmd в поле поиска в меню Start (Пуск), щелкнув на иконке командной строки, которая появится в верхнее части меню Start (Пуск) правой кнопкой мыши, а затем выбрав пункт Run as administrator (Запуск от имени администратора) – или используя ярлык, созданный в предыдущей настройке.

Затем, вводим такую команду и нажимаем Enter (Ввод): net user administrator /active:yes (для русской ОС: net user Администратор /active:yes) С этого момента учетная запись Администратора будет доступна для выбора на экране Приветствия наряду с другими созданными учетными записями.

Если возникнет необходимость отключить эту учетную запись Администратора и сделать ее скрытой, введите эту команду в командной строке повышенного уровня и нажмите Enter (Ввод): net user administrator /active:no

Источник

Средство ведения журнала ядра используется другим приложением. И так что это за службы Windows? Проблемы с открытием журнала

В ОС линейки Виндовс производится регистрация всех основных событий, которые происходят в системе с последующей их записью в журнале. Записываются ошибки, предупреждения и просто различные уведомления. На основе этих записей опытный пользователь может подкорректировать работу системы и устранить ошибки. Давайте узнаем, как открыть журнал событий в Windows 7.

Способ 1: «Панель управления»

Способ 2: Средство «Выполнить»

Базовый недостаток этого быстрого и удобного способа заключается в необходимости удержать в уме команду вызова окна.

Способ 3: Поле поиска меню «Пуск»

Способ 4: «Командная строка»

Способ 5: Прямой старт файла eventvwr.exe

Прежде всего, необходимо перейти в место нахождения файла eventvwr.exe. Он расположен в системном каталоге по такому пути:

Способ 6: Введение пути к файлу в адресной строке

Способ 7: Создание ярлыка

Если вы не хотите запоминать различные команды или переходы по разделам «Панели управления» считаете слишком неудобными, но при этом часто пользуетесь журналом, то в таком случае можете сформировать иконку на «Рабочем столе» или в другом удобном для вас месте. После этого запуск инструмента «Просмотр событий» будет осуществляться максимально просто и без необходимости что-то запоминать.

Проблемы с открытием журнала

Бывают такие случаи, когда возникают проблемы с открытием журнала вышеописанными способами. Чаще всего это происходит из-за того, что отвечающая за работу данного инструмента служба деактивирована. При попытке запуска инструмента «Просмотр событий» отобразится сообщение, где говорится о том, что служба журнала событий недоступна. Тогда необходимо произвести её активацию.

Операционная система Windows постоянно следит за всеми происходящими в системе событиями, записывая их в лог-файл. Данная информация может помочь в настройке системы, выявлении причин происходящих сбоев. Тем не менее, есть пользователи никогда не заглядывают в логи, поэтому на их компьютерах журнал событий может быть отключен.

Инструкция

Для отключения журнал а событий необходимо отключить соответствующую службу. Если вы работаете в операционной системе Windows XP, откройте: «Пуск» – «Панель управления» – «Администрирование» – «Службы». Найдите службу «Журнал событий » (Event log), откройте ее окно, кликнув мышкой по соответствующей строке. Остановка данной службы запрещена, но вы можете изменить тип запуска, выбрав опцию «Отключено». При следующей загрузке компьютера журнал событий не будет запущен.

В операционной системе Windows 7 журнал событий отключается точно так же – найдите в Панели управления «Администрирование» – «Службы» и измените тип запуска сервиса на «Отключено». Журнал событий будет работать до первой перезагрузки системы.

В большинстве случаев пользователи отключают некоторые службы для улучшения производительности компьютера и улучшения его безопасности. По умолчанию в ОС семейства Windows запущены многие службы, не нужные рядовому пользователю, их следует отключить. Например, если вы не собираетесь пользоваться удаленным помощником, отключите службу «Терминал». Если вы не хотите, чтобы кто-то редактировал реестр вашего компьютера, отключите службу «Удаленный реестр».

Если вы не синхронизируете системное время компьютера с сервером точного времени, отключите «Службу времени». Не пользуетесь wi-fi – отключите службу «Беспроводная настройка». Самостоятельно заботитесь о поддержании актуальном состоянии антивирусных баз и не нуждаетесь в напоминаниях – отключите «Центр обеспечения безопасности».

В том случае, если вы не собираетесь использовать ваш компьютер в качестве сервера и давать другим пользователям доступ к своим папкам и файлам, отключите службу «Сервер». Не собираетесь входить в систему от имени другого пользователя – отключите «Вторичный вход в систему». Отключив все эти службы, вы сможете увеличить скорость работы компьютера и повысите безопасность при работе в сети.

Запись событий в журнал доступна только для операций с файлами на съемных дисках.

Чтобы включить или выключить запись событий в журнал, выполните следующие действия:

В правой части окна отобразятся параметры компонента Контроль устройств.

На закладке Типы устройств находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

Kaspersky Endpoint Security будет сохранять событие в файл журнала и отправлять сообщение на Сервер администрирования Kaspersky Security Center, когда пользователь совершает операции записи или удаления с файлами на съемных дисках.

Запуск приложения «Просмотр событий»

Приложение «Просмотр событий» можно открыть следующими способами:

Рис.1. Окно «Просмотр событий»

Журналы событий в Windows 7

В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка «Просмотр событий» предоставляет простой графический интерфейс для доступа к этим возможностям.

Свойства событий

Работа с журналами событий

Просмотр событий

Желательно почаще просматривать журналы событий «Приложение» и «Система» и изучать существующие проблемы и предупреждения, которые могут предвещать о проблемах в будещем. При выборе журнала в среднем окне отображаются доступные события, включая дату события, время и источник, уровень события и другие данные.

Для критических систем рекомендуется хранить журналы за последние несколько месяцев. Все время назначать журналам такой размер, чтобы в них умещалась вся информация, как правило, неудобно, решить эту задачу можно по-другому. Можно экспортировать журналы в файлы, распложенные в заданной папке. Для того чтобы сохранить выбранный журнал выполните следующие действия:

Очистка журнала событий

Иногда приходится очищать заполненные журналы событий для обеспечения эффективного анализа предупреждений и критических ошибок операционной системы. Для того чтобы очистить выбранный журнал выполните следующие действия:

Установка максимального размера журнала

Как было сказано выше, журналы событий хранятся в виде файлов в папке %SystemRoot%System32WinevtLogs. По умолчанию максимальный размер этих файлов ограничен, но его можно изменить следующим способом:

События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов. Доступны следующие политики сохранения журнала:

Для того чтобы выбрать нужную политику сохранения журналов выполните следующие действия:

Активация аналитического и отладочного журнала

Аналитический и отладочный журналы по умолчанию неактивны. После активации они быстро заполняются большим количеством событий. По этой причине желательно активировать указанные журналы на ограниченный период времени для того, чтобы собрать необходимые для поиска и устранения неполадок данные, а затем снова их отключить. Активацию журналов можно выполнить следующим образом:

Открытие и закрытие сохраненного журнала

Для того чтобы удалить открытый журнал их дерева событий, выполните следующие действия:

Заключение

В этой части статьи, посвященной оснастке «Просмотр событий», рассказывается о самой оснастке и подробно описаны простейшие операции, связанные с мониторингом и обслуживанием системы при помощи «Просмотра событий». Следующая часть статьи будет рассчитана для опытных пользователей Windows. В ней будут описаны задачи с настраиваемыми представлениями, фильтрация, группировка/сортировка событий и управление подписками.

Художественная обработка изделий из древесины — Гипермаркет знаний

Простые решения для улучшения работы общественного транспорта

Источник

Видео

Как остановить ведение журнала событий?

Помощь в написании контрольных, курсовых и дипломных работ здесь.

Как отключить ведение журнала безопасности с помощью команды AuditPol?
Приветствую. Нужно избавится от поехавшего бати параноика, но не совсем от него, а от его.

Ведение журнала лаборатории
Добрый день. Для оптимизации работы лаборатории, а именно уменьшения писанины и лучшей.

Ведение журнала сообщений о ошибках
Здравствуйте! Мне нужно реализовать функцию сообщения об ошибке ( ‘Report An Error’ ). На.

Нужен батник для создания отчета событий и их свойств из журнала событий на локальном компьютере
Пакетный файл, предназначенный для создания отчета событий и их свойств из журнала событий на.

вообще это не мешает работе машине, или тебя папа наказывает))), он прав комп зомбирует

Добавлено через 3 минуты

там нет ничего подобного. где было бы написано «отключить ведение журнала»

можно поподробнее, пожалуйста!
а ещё там написано: Консоль управления (ММС) не может создать оснастку.

Добавлено через 3 минуты

там нет ничего подобного. где было бы написано «отключить ведение журнала»

можно поподробнее, пожалуйста!
а ещё там написано: Консоль управления (ММС) не может создать оснастку.

Добавлено через 3 минуты

там нет ничего подобного. где было бы написано «отключить ведение журнала»

можно поподробнее, пожалуйста!
а ещё там написано: Консоль управления (ММС) не может создать оснастку.

Добавлено через 3 минуты

Добавлено через 3 минуты
так проще, а в конфогурациях если бы разобрался можно отключить их навсегда и папа не разобрался бы ни когда, что произошло, а так он их опять включит и попу тебе на фашистский флаг порвет))))

вот куда тут дальше.

а по второму способе пишет: Ошибка 5: отказано в доступе

вот куда тут дальше.

а по второму способе пишет: Ошибка 5: отказано в доступе

зайди как администратор

Добавлено через 2 минуты

зайди как администратор

Добавлено через 2 минуты

тебе посто так кажется))))

Добавлено через 1 минуту
Как включить учетную запись Администратора.

Запускаем командную строку повышенного уровня, набрав cmd в поле поиска в меню Start (Пуск), щелкнув на иконке командной строки, которая появится в верхнее части меню Start (Пуск) правой кнопкой мыши, а затем выбрав пункт Run as administrator (Запуск от имени администратора) – или используя ярлык, созданный в предыдущей настройке.

Затем, вводим такую команду и нажимаем Enter (Ввод): net user administrator /active:yes (для русской ОС: net user Администратор /active:yes) С этого момента учетная запись Администратора будет доступна для выбора на экране Приветствия наряду с другими созданными учетными записями.

Если возникнет необходимость отключить эту учетную запись Администратора и сделать ее скрытой, введите эту команду в командной строке повышенного уровня и нажмите Enter (Ввод): net user administrator /active:no

Источник

Как включить или выключить ведение журналов

Чтобы выполнить эту процедуру, необходимо локально зарегистрироваться на веб-узле администрирования, используя учетную запись пользователя домена, являющуюся членом группы администраторов на компьютере, к которому осуществляется доступ. Эту процедуру также могут выполнять члены группы администраторов домена. В качестве рекомендации по безопасности, чтобы выполнить эту процедуру, попробуйте использовать функцию Запуск от имени.

Чтобы открыть страницу Глобальное администрирование, в меню Пуск выберите Все программы, Служба управления правами Windows, а затем выберите Администрирование службы управления правами.

Убедитесь, что сервер управления правами подключен к серверу баз данных и что служба баз данных запущена до включения ведения журналов. Если очередь сообщений не может доставить журналы в базу данных журналов, данные будут сохранены в очереди на жестком диске сервера службы управления правами. Так будет продолжаться до тех пор, пока не закончится дисковое пространство на сервере. В этих условиях служба управления правами не отображает сообщение об ошибке, поскольку эта функция предназначена для поддержки регистрации на время прерывания связи с сервером SQL.

Включение и выключение ведения журналов

Как включить или выключить ведение журналов

Откройте веб-страницу Глобальное администрирование, а затем рядом с веб-узлом, на котором необходимо включить или выключить журнал, щелкните Администрировать службу управления правами на этом веб-узле.

В области Ссылки на страницы администрирования щелкните Настройка ведения журналов.

В области Сервер и база данных журналов установите флажок Включить ведение журналов, а затем нажмите кнопку Обновить.

Чтобы выключить журнал, снимите флажок, а затем нажмите кнопку Обновить.

Дополнительные сведения о выполнении этой процедуры можно найти в разделе «Включение и выключение ведения журналов» данного документа.

Источник

Средство ведения журнала ядра используется другим приложением. И так что это за службы Windows? Проблемы с открытием журнала

В ОС линейки Виндовс производится регистрация всех основных событий, которые происходят в системе с последующей их записью в журнале. Записываются ошибки, предупреждения и просто различные уведомления. На основе этих записей опытный пользователь может подкорректировать работу системы и устранить ошибки. Давайте узнаем, как открыть журнал событий в Windows 7.

Способ 1: «Панель управления»

Способ 2: Средство «Выполнить»

Базовый недостаток этого быстрого и удобного способа заключается в необходимости удержать в уме команду вызова окна.

Способ 3: Поле поиска меню «Пуск»

Способ 4: «Командная строка»

Способ 5: Прямой старт файла eventvwr.exe

Прежде всего, необходимо перейти в место нахождения файла eventvwr.exe. Он расположен в системном каталоге по такому пути:

Способ 6: Введение пути к файлу в адресной строке

Способ 7: Создание ярлыка

Если вы не хотите запоминать различные команды или переходы по разделам «Панели управления» считаете слишком неудобными, но при этом часто пользуетесь журналом, то в таком случае можете сформировать иконку на «Рабочем столе» или в другом удобном для вас месте. После этого запуск инструмента «Просмотр событий» будет осуществляться максимально просто и без необходимости что-то запоминать.

Проблемы с открытием журнала

Бывают такие случаи, когда возникают проблемы с открытием журнала вышеописанными способами. Чаще всего это происходит из-за того, что отвечающая за работу данного инструмента служба деактивирована. При попытке запуска инструмента «Просмотр событий» отобразится сообщение, где говорится о том, что служба журнала событий недоступна. Тогда необходимо произвести её активацию.

Операционная система Windows постоянно следит за всеми происходящими в системе событиями, записывая их в лог-файл. Данная информация может помочь в настройке системы, выявлении причин происходящих сбоев. Тем не менее, есть пользователи никогда не заглядывают в логи, поэтому на их компьютерах журнал событий может быть отключен.

Инструкция

Для отключения журнал а событий необходимо отключить соответствующую службу. Если вы работаете в операционной системе Windows XP, откройте: «Пуск» – «Панель управления» – «Администрирование» – «Службы». Найдите службу «Журнал событий » (Event log), откройте ее окно, кликнув мышкой по соответствующей строке. Остановка данной службы запрещена, но вы можете изменить тип запуска, выбрав опцию «Отключено». При следующей загрузке компьютера журнал событий не будет запущен.

В операционной системе Windows 7 журнал событий отключается точно так же – найдите в Панели управления «Администрирование» – «Службы» и измените тип запуска сервиса на «Отключено». Журнал событий будет работать до первой перезагрузки системы.

В большинстве случаев пользователи отключают некоторые службы для улучшения производительности компьютера и улучшения его безопасности. По умолчанию в ОС семейства Windows запущены многие службы, не нужные рядовому пользователю, их следует отключить. Например, если вы не собираетесь пользоваться удаленным помощником, отключите службу «Терминал». Если вы не хотите, чтобы кто-то редактировал реестр вашего компьютера, отключите службу «Удаленный реестр».

Если вы не синхронизируете системное время компьютера с сервером точного времени, отключите «Службу времени». Не пользуетесь wi-fi – отключите службу «Беспроводная настройка». Самостоятельно заботитесь о поддержании актуальном состоянии антивирусных баз и не нуждаетесь в напоминаниях – отключите «Центр обеспечения безопасности».

В том случае, если вы не собираетесь использовать ваш компьютер в качестве сервера и давать другим пользователям доступ к своим папкам и файлам, отключите службу «Сервер». Не собираетесь входить в систему от имени другого пользователя – отключите «Вторичный вход в систему». Отключив все эти службы, вы сможете увеличить скорость работы компьютера и повысите безопасность при работе в сети.

Запись событий в журнал доступна только для операций с файлами на съемных дисках.

Чтобы включить или выключить запись событий в журнал, выполните следующие действия:

В правой части окна отобразятся параметры компонента Контроль устройств.

На закладке Типы устройств находятся правила доступа для всех устройств, которые есть в классификации компонента Контроль устройств.

Kaspersky Endpoint Security будет сохранять событие в файл журнала и отправлять сообщение на Сервер администрирования Kaspersky Security Center, когда пользователь совершает операции записи или удаления с файлами на съемных дисках.

Запуск приложения «Просмотр событий»

Приложение «Просмотр событий» можно открыть следующими способами:

Рис.1. Окно «Просмотр событий»

Журналы событий в Windows 7

В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка «Просмотр событий» предоставляет простой графический интерфейс для доступа к этим возможностям.

Свойства событий

Работа с журналами событий

Просмотр событий

Желательно почаще просматривать журналы событий «Приложение» и «Система» и изучать существующие проблемы и предупреждения, которые могут предвещать о проблемах в будещем. При выборе журнала в среднем окне отображаются доступные события, включая дату события, время и источник, уровень события и другие данные.

Для критических систем рекомендуется хранить журналы за последние несколько месяцев. Все время назначать журналам такой размер, чтобы в них умещалась вся информация, как правило, неудобно, решить эту задачу можно по-другому. Можно экспортировать журналы в файлы, распложенные в заданной папке. Для того чтобы сохранить выбранный журнал выполните следующие действия:

Очистка журнала событий

Иногда приходится очищать заполненные журналы событий для обеспечения эффективного анализа предупреждений и критических ошибок операционной системы. Для того чтобы очистить выбранный журнал выполните следующие действия:

Установка максимального размера журнала

Как было сказано выше, журналы событий хранятся в виде файлов в папке %SystemRoot%System32WinevtLogs. По умолчанию максимальный размер этих файлов ограничен, но его можно изменить следующим способом:

События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов. Доступны следующие политики сохранения журнала:

Для того чтобы выбрать нужную политику сохранения журналов выполните следующие действия:

Активация аналитического и отладочного журнала

Аналитический и отладочный журналы по умолчанию неактивны. После активации они быстро заполняются большим количеством событий. По этой причине желательно активировать указанные журналы на ограниченный период времени для того, чтобы собрать необходимые для поиска и устранения неполадок данные, а затем снова их отключить. Активацию журналов можно выполнить следующим образом:

Открытие и закрытие сохраненного журнала

Для того чтобы удалить открытый журнал их дерева событий, выполните следующие действия:

Заключение

В этой части статьи, посвященной оснастке «Просмотр событий», рассказывается о самой оснастке и подробно описаны простейшие операции, связанные с мониторингом и обслуживанием системы при помощи «Просмотра событий». Следующая часть статьи будет рассчитана для опытных пользователей Windows. В ней будут описаны задачи с настраиваемыми представлениями, фильтрация, группировка/сортировка событий и управление подписками.

Машина посудомоечная Comenda LC700M Посудомоечная машина коменда lc 700

Источник

События ядра операционной системы Windows 7, часть 1

Доктор.Insung парк и Алекс Bendetovers

Современные программного обеспечения постоянно прерывает новый увольнения. Приложений-потребителей программного обеспечения предлагают сложные набор функций, включение новых мультимедиа. Мощных серверных приложений установка новых записей в пропускной способности и скорости масштаб. Эти усовершенствования были внесены возможных по быстрой выполняется в технологии оборудования и непрерывной внедрение программного обеспечения усовершенствования в оптимизации, виртуализации и распределенных и параллельных вычислений. Однако в результате приложения становится больше и сложнее. В то же время пользователейОжиданий о качества программного обеспечения являются выше, чем когда-нибудь. Основные характеристики такие как производительность, надежность и управляемость доказало важные в долгосрочного успеха программных продуктов, и они часто celebrated как основной функции.

Увеличение сложности программного обеспечения и выше ожиданиям пользователя на качество таким образом представлять трудной задачей разработки программного обеспечения. При возникновении непредвиденные проблемы Прогнозирование внутреннего состояния всех соответствующих компонентов невозможна почти. Retracing журнал выполнения потоков является громоздким и сложным но часто необходимо узнать причину проблем программного обеспечения. Пользователи отчета проблем после развертывания, ожидаемого на основную причину проблемы быстро идентифицировать и устранить. Огромный число сочетания оборудования и программного обеспечения, характеристики различных рабочей нагрузки и шаблоны использования конечным пользователям сделать такие задачи, даже tougher. Возможность использовать механизм, который позволяет понять выполнение системы прозрачным образом, с минимальными издержками является неоценимым.

События инструментирования

Инструментарий — один такие эффективное решение в измерение и повышение качества программного обеспечения. Счетчики производительности программного обеспечения предоставили удобный способ отслеживания приложения выполнения состояния и использования ресурсов статистические уровне. События инструментирования также был популярных лет. События, вызываемые компонентом программного обеспечения на разных этапах выполнения может значительно сократить время, необходимое для диагностики различных проблем. Помимо сканирования для определенных событий или узоры события, один можно применить данных интеллектуального анализа данных и корреляции методы для дальнейшего анализа событий для получения статистики и отчеты на выполнение программы и проблемных поведение. Возможность сбора событий на производственных системах в режиме реального времени помогает избежать необходимости иметь установки громоздкими отладчик на компьютерах клиентов.

Введена в операционной системе Windows 2000 событий трассировки для Windows (ETW) — это универсальный платформа отслеживания событий в операционных системах Windows. Используя эффективные буферизации и механизма ведения реализованы в ядро, ETW предоставляет механизм для сохранения события, вызываемые приложений пользовательского режима и драйверы устройства режима ядра. Кроме того ETW дает пользователям возможность включать и отключать ведение журнала динамически, делая легко выполнять подробные трассировки в производственных средах без необходимости перезагрузки или приложение перезапускается.

Сама операционная система сильно инструментирования с события ETW. Для анализа и имитировать действия ОС основных, основанные на событиях ETW в разработке, а также в системах производства режим наложено ценными для разработчиков в многих проблем качества. С каждым выпуском Windows последующих увеличилось количество ETW событий, вызванных операционной системой;Windows 7 — это наиболее инструментированного операционная система на дату. Кроме того Windows 7 содержит средства, можно использовать эти события ETW операционной системы анализа производительности системы и надежность, а также Открывание проблем качества приложений.

Многие приложения проблемы возникают как аномалий использования ресурсов ОС, например непредвиденная шаблонов или пики в потреблении ПРОЦЕССОРА, памяти, пропускной способности сети операций и т. д. Поскольку события ОС для большинства действий системы может быть отслежена исходного процесса и потока, один может сделать значительное выполняется в сужающие вниз возможных причин многих проблем приложений, даже без ETW инструментирования в приложениях. Конечно инструментарий ETW в приложении позволит дальнейшие диагностики значительно более эффективно.

В первой статье нашей серии двух частей мы представляем высокоуровневый обзор технологии ETW и ядро ОС инструментирования. Затем мы обсудим поддержки средств для получения и приема событий операционной системы. Далее мы содержат дополнительные сведения о событиях из различных компонентов в ядре операционной системы. Мы также объясняется, как различных системных событий могут быть объединены для создания детальную картину поведение системы, мы демонстрации с помощью набора сценариев Windows PowerShell.

Трассировка событий для Windows

Как упоминалось ранее, ETW — платформа ведения журнала, эффективно записывает события, отправляемые программных приложений или компонентов в режиме ядра. С помощью ETW поставщика API, любое приложение DLL или драйвер может стать поставщика событий (компонент вызывает события) для ETW. Поставщик сначала регистрирует события ETW и отправляет в различных точках кода вставив ETW, ведение журнала вызовов API. Любые записываемые действия важности может быть событие и представляется часть данных, написанное ETW во время ведения журнала. Эти вызовы API регистрации игнорируются, когда поставщик не включена. Приложение контроллер ETW начинается сеанс ETW и позволяет некоторым поставщикам. Когда поставщик событий включен делает ведение журнала вызова API, событие направляются сеанса, назначенному с помощью контроллера. События будут отправлены в сеансе могут храниться в файле журнала программным способом потребляться в режиме реального времени или храниться в памяти, пока контроллер запрашивает сброс данных в файл. Предыдущую статью «Улучшения отладки И производительности настройки с ETW»(msdn.microsoft.com/en-us/magazine/dvdarchive/cc163437.aspx) содержит дополнительные сведения о технологии ETW и как добавить инструментирование ETW в приложение. С годами ETW пришло поддерживает много режимов различных ведения журнала и возможности, которые описаны в MSDN.

События ETW состоит из основного заголовка следуют контекста данных. Заголовок определяет события и компонент, инициирующий событие при данных для определенного контекста «(полезных событий»hereafter) ссылается на любых дополнительных данных, компонент, создающий событие для записи. При записи событий, вызванных поставщика сеанс ETW ETW добавляет дополнительные метаданные в заголовке, включая потоков и процессов идентификаторы, текущий ЦП, на котором выполняется поток ведения журнала, время ЦП потока и штамп времени. На рисунке 1 показано XML-представление события (события процесса типа Пуск), как расшифрованный с помощью средства tracerpt (чтобы будет рассмотрен далее) в файле дампа XML. ≪ системы >раздел является общим для всех событий и представляет общий заголовок, ETW записей для каждого события. Содержит штамп времени, идентификатор процесса и потока, поставщик GUID, время ЦП, ЦП код и т.д. ≪ EventData >раздел отображает журнал полезных данных этого события. Как показано на рис. 1 процесс Пуск события из ядра Windows содержит ключ процесса (уникальный ключ присвоено каждому процессу для идентификации), обработать идентификатор, идентификатор родительского процесса, идентификатор сеанса, выйти из состояния (применяется только для событий завершить процесс), SID пользователя, имя исполняемого файла процесса и команды, запустившего процесс.

Контроллеры ETW являются приложения, использующие элемент управления ETW API устанавливать запуск сеансов трассировки событий Windows и включить один или несколько поставщикам сеансы. Им необходимо присвоить уникальное имя каждого сеанса и на Windows 7 может быть до 64 сеансов, выполняемых одновременно.

Рисунок 1 события начала процесса в XML дампа

Однако события из системных компонентов ядра и ядро регистрируются в способом отличается от приложений пользовательского режима или режима ядра драйверов устройств. Ядра системы записывает события специальный сеанс с зарезервированным именем «Журнал ядра NT». Только «NT ядра журнала»сеанс «(сеанс ядра»hereafter) получает основные системные события и не принимает события из другого поставщика регулярные события. Кроме того основные события ОС включены, указав соответствующие флаги, при запуске сеанса. Каждый флаг представляет событий инструментария в компоненте разные ядра, который может быть выборочно включено. Это помогает сократить издержки инструментария в ядре и усиливает подлинность системные события. Кроме того новая функция в Windows 7 позволяет пользователям записывать стеки вызова во время ведения журнала. Если символы доступны, один может отслеживать цепочку вызовов функций, которые запускают регистрируемых событий ядра. Преимущество из анализа стека вызовов будут обсуждаться в последующих разделах, когда мы обсудим отдельные события более подробно.

Сбор событий, использование средств в Windows

Доступно несколько средств управления ETW в Windows, позволяющие пользователям собирать события. Например монитор производительности предоставляет ETW управления в форме набора данных коллекции. Служба EventLog способен также запуск и остановка сеансов трассировки событий Windows, а также просмотр событий. Для командной строки и интерфейсы сценария, logman.exe предоставляет параметры для выполнения операций управления ETW. Для потребления события tracerpt.exe средство командной строки может использовать файлы журнала трассировки событий Windows и создания дампов в нескольких форматах, включая CSV и XML. На рис. 1 показан пример XML-представление события начать процесс. В этой статье мы используем logman.exe и tracerpt.exe Примеры мы представления. Команда «logman query providers» в рис. 2 перечисляет различные флаги, которые могут использоваться с помощью контроллера при включении сеанса ядра.

Следующая команда запускает сеанс ядра и процесс, поток, диск, сетей, изображения и событий реестра. Собранные события будут храниться в файле с именем systemevents.etl в текущем каталоге. Управления сеансом ядра и сбора событий ядра ОС требуются права администратора:

Программа tracerpt может обрабатывать события в файле журнала в читаемый формат. По умолчанию tracerpt принимает один или несколько файлов журнала и создает выходной файл событий и файл сводки. Форматом по умолчанию выходной файл является XML:

Logman и tracerpt помогают текст справки и поддержки и документации имеют дополнительные сведения о командной строки и возможности этих средств.

Дополнительные средства анализа производительности, использующие основные события ОС для различных анализа и настройки сценариев. нанабор средств средств средств производительности Windows (WPT) является одним из таких заметных средств и доступны из SDK для Windows (msdn.microsoft.com/en-us/performance/cc825801.aspx). WPT полезен для широкой аудитории, включая сборщики, производители оборудования, разработчиков драйверов и общие разработчикам. Его анализа трассировки, средства, Xperf и XperfView, применять сложные технологии (включая представленные здесь) статистической обработки и анализа событий ядра ОС предложить смысл перспективы в ОС и поведение приложения. Гибкие ГРАФИЧЕСКОГО предоставляет многие параметры богатый и настраиваемые представления, может помочь пользователям сосредоточиться на различные аспекты действий системы. На рисунке 3 показан снимок экрана: средство XperfView в действии.

События ядра ОС

Ядро ОС Windows имеет множество компонентов, инструментирование ETW. Как показано на рис. 2 событий, доступных для действий, объединение различных подсистемы, включая процессы, потоки, дисками и файлами операций, память, сети, реестра и т. д. В этом разделе содержатся сведения для каждой группы событий. Также мы рассмотрим ряд основных понятий операционной системы. Дополнительные сведения об этих понятий можно найти в ориентированных ОС справочные материалы такие как «Внутренние компоненты Windows, 5-й Edition»Russinovitch, Соломоновы и Ionescu (Microsoft Press, 2009 г.). Основные события ОС являются согласно измениться в будущих версиях Windows, как платформы и его инструментирование развития для удовлетворения новых потребностей.

Существует несколько способов сделать использование данных события. Один может поиск определенных событий, например событие ошибки или шаблон события, которые представляют потока выполнения. Другие популярные методологии включают статистического анализа (инвентаризации и summarizing события), дельта анализа (анализа различий между парами события, такие как запуск и завершение), анализ деятельности (отслеживания активности и запрос через корреляции событий) и статистической обработки и шаблон анализ зависимости стеков вызовов. С годами мы нашли его эффективного создания конечного автомата и имитировать операций ОС, когда мы рассмотрим основные системные события. Когда мы объяснить системного событий в этом разделе, мы также опишем, как использовать их в создании конечного автомата.

Процесс, поток, изображения, события счетчиков процесса

Поток является основной единицей процесса исполнения в операционной системе Windows и процесс действует как контейнер для потоков. Каждый процесс (и поток) присваивается идентификатор, который является уникальным во время его выполнения. Идентификаторы процессов и потоков совместно используют пространство же число. То при активном поток с КОДОМ A A никогда не присваивается других процессах или потоках. Единственным исключением является свободных потоков на ЦП и процесс простоя, идентификаторы которых все идентичны и были исторически 0. Процесс и поток события являются основные конструктивные блоки в установлении автомат, полезно в понимании дополнительных действий системы. Существует два типа событий для событий процесса и потока: Начало и конец. Процесс начала и окончания регистрируются при запуске процесса и завершается, соответственно. Таким же относится к поток начало и конец события. Полезные данные для событий процесса имеет дополнительные сведения о процессе, например имя и родительский процесс идентификатор процесса, как показано на рис. 1. Аналогично полезных данных потока событий содержит сведения о конкретного потока, таких как базовый стек предел и начальный адрес. Следует отметить идентификаторов начала процессов или потоков являются частью события полезная процесса и потока хотя заголовок события уже имеет эти элементы в нем. Процесс начала события записываются в контексте родительского процесса, который создает текущего процесса. В этом случае идентификатор процесса в системе раздел (заголовок события) — это родительский процесс. Процесс с КОДОМ в полезных данных является одним создаваемого события. Таким же относится к идентификатор потока в поток событий.

Для процессов и потоков, запускается перед сбора событий ETW регистрирует состояние rundown. В целях проведения анализа они используются для обозначения запущенных процессов и потоков во время начала сбора событий. ETW также регистрирует rundown для оставшихся процессов и потоков, выполняющихся при завершении коллекции. Процесс и поток rundown события перечисления и журнал событий в формате процесс и поток главного события для всех процессов и потоков, включая системные и простоя процессов. Процесс и поток событий rundowns используют различные типы DCStart и DCEnd, сами отличить от реального процесса создания потока и прекращения. Отдельное уничтоженные событие записывается для процесса, был завершен, но с невыполненные ссылки на него.

Каждый процесс и поток, активных во время сбора событий отслеживаются с помощью событий процессов и потоков. При построении конечного автомата процедуры обработки должны вести список активных процессов и потоков, возможно как некоторые тип объектов в программе. При прерывании потока или процесса соответствующий объект может быть помещен в отдельный список («завершено»). Объекты процесс также может содержать дополнительные сведения (такие как имя процесса) о процессов или потоков, которые они ссылаются, взял из полезных данных событий процессов и потоков. Это проще и гораздо более информативным, если один ссылаются на процедуру по имени во время анализа, а не по ИДЕНТИФИКАТОРУ, как коды могут быть перезапущен после завершает процесс или поток (и освобождаются все ссылки на него). Когда события из других компонентов ядра указывают действия операционной системы во время конструирования состояние компьютера и моделирования, потоки и процессы, инициируемые их расположены в конечный автомат и их объекты обновляются для атрибута этих действий, в основном идентификаторы процессов и потоков заголовков события. В конце процесса и потока объекты статистически и суммироваться в отчет с различных метрик.

События изображения соответствуют файлы изображений (также известный как модуль), получение загружается и выгружается в адресного пространства. Существует четыре типа событий изображения: Загрузка, выгрузка, DCStart и DCEnd. Эти события выполните не напрямую сопоставления вызовов LoadLibrary однако. Если DLL уже загружена в процесс, последующие вызовы функции LoadLibrary для одной DLL просто выполнить приращение счетчика ссылок модуля, но не будет сопоставление модуля снова. Подобно DCStart и DCEnd типам событий процессов и потоков DCStart изображения и DCEnd используются для перечисления загруженные модули уже выполняющихся процессов. События изображения позволяют для отслеживания загруженные модули и сопоставления адресов внутри процесса. Они также важны в сопоставление DPC, ISR и системных вызовов события, как будет рассказано в следующем разделе и в части 2 этой серии. Полезные данные событий изображение содержит сведения, такие как базовый адрес модуля и размер и имя двоичного файла загрузки (или выгружена). Изображение события необходимы также для декодирования стеков вызовов. В конструкции компьютера обычно состояние события изображения триггер обновления список загруженных модулей в объект вышеупомянутый процесс.

Обработать события счетчиков, когда включена, регистрируются на завершение процесса и запись в его полезных данных несколько свойств, касающихся статистики выполнения процесса над временем жизни процесса. Они состоят из максимальный размер памяти, пиковый размер рабочего набора, пиковые выгружаемого и использование невыгружаемого пула и активного использования файла страницы. Эти события указывают работает процесс относительно использования памяти. Как обрабатывать события отдельных rundown счетчик процессов события регистрируются для всех активных процессов в конце сбора событий.

Рис. 2 Включить журнал ядра NT флаги

Переключение контекста, DPC и ISR события

Каждый раз переключений потоков возникнуть на ЦПУ и могут быть использованы для создания очень точные журнал на выполнение которых потоков и как долго записываются события переключение контекста. Они происходят очень часто и создают большой объем данных. В каждом ключе участвуют два потока. Старый поток будет освободить свою долю времени выполнения и вручную выполнение нового потока. Таким образом переключение контекста события содержит старый и новый поток идентификаторы, старый и новый приоритеты потоков, подождите причина и время ожидания. Переключений контекста может произойти по различным причинам, включая блокировки объектов синхронизации ядра (события, таймеров, семафоры и т. д.), preemption, поток с высоким приоритетом такта срока действия и изменения в сходство потоков. Всегда ожидаются определенное количество переключений контекста. Однако чрезмерное контекстное переключение может быть соотносятся неэффективное использование примитивов синхронизации и может привести к плохой масштабирование производительности. Включение стеки вызова для событий, контекстное переключение позволяет глубокого анализа причин для потоков, получение отключается.

Отложенное вызова процедур (DPC) события регистрируются при выполнении DPC. DPC — это функция режима ядра, выполняются в режиме с повышенными правами уровень прерывания выполнения и выгружает выполнение обычного потока. Полезная нагрузка события DPC включает запись времени DPC и обычные адреса. Прерывание Service Routine (ISR) — механизм, аналогичный и выполняется на высоком уровне исполнения, чем DPC. События ISR имеют ISR запись времени, обычные адреса, вектор ISR и ISR возвращаемое значение. DPC и ISR механизмы являются важных элементов в драйвере Windows, как они обычно используются для обработки аппаратных прерываний. Драйверы и компонентам режима ядра имеют право использовать DPC и ISR, но настоятельно рекомендуется их потратить немного времени возможного в этих режимах с повышенными правами. DPC и ISR события используются для отслеживания и проверить поведение различных драйверами и компонентами режима ядра. Сравнивая обычные адреса сведений о диапазон событий изображения, один можно найти компонент ядра, отвечающий за эти DPC и ISR события.

В конструкции состояние компьютера объединение события контекстное переключение, DPC и ISR позволяет очень точные учета процессора. Установив сторону хранилища для каждого процессора записей его текущего активного потока на основе контекстное переключение, DPC и ISR событий, один может отслеживать—указанный любой timestamp—в это время действия каждого ЦП и, код которой его выполнение. В методе моделирования компьютера состояние после переключения контекста занимает место, ЦП объект обновляется с новый идентификатор потока и поэтому является объектом для старых потока с ЦП до параметра. Аналогично DPC и ISR события являются атрибутами соответствующие компоненты режима ядра, при необходимости.

В некоторых случаях такие как с событиями ввода-ВЫВОДА, памяти или системных вызовов ETW не записи процесса или потока идентификаторов в заголовке события, главным образом сократить издержки очень часто события. Для таких событий значения идентификаторов потоков и процессов в заголовке отображается как 0xFFFFFFFF (= 4294967295). Если контекстное переключение, DPC и ISR события отслеживаются, как описано выше, эти события может быть отслежена компоненту потока или режиме ядра, просмотрев объект ПРОЦЕССОРА для текущего выполняемого потока или DPC/ISR.

События памяти

События памяти указывают операций (MM) диспетчер памяти. Windows предлагает странице события, события жесткого странице памяти и виртуальной памяти события. События памяти стремятся быть очень часто, особенно в системе, занят.

Ошибка страницы происходит, когда недопустимый элемента таблицы страниц искомое вышел. Если запрошенная страница должна быть переведена режим с диска, он вызывается жесткого страничный (очень затратной операцией) и все остальные типы считаются мягкой страницы ошибок (дешевле операции). Полезная нагрузка события страница содержит адрес виртуальной памяти для которой произошло сбоя страницы и указатель инструкции, вызвавшей ее. Ошибкой страницы физической памяти требуется диск доступ к возникают, которые могут быть первый доступ к содержимому в файле или доступ к памяти блоки, которые были выгружены. Включение странице событий приводит к жесткого страничный входить как ошибка страницы с типом жесткого страниц памяти. Однако жесткого проблемы у значительно большее влияние обычно на производительность, поэтому отдельное событие доступно только для жесткого проблем, которые могут быть включены независимо. Полезные данные событий постоянных ошибок имеет дополнительные данные, например файл ключа, смещение и поток код по сравнению с странице событий.

Виртуальная память события состоят из распределения виртуальной памяти и виртуальной памяти свободных типов и соответствующие вызовы мм выделить и освободить диапазоны виртуальной памяти. Их полезных данных содержит идентификатор процесса, базовый адрес, предварительной оценкой по завершении запрошенный размер и флаги, используемые в вызов API. События виртуальной памяти были вновь добавлены для Windows 7 и полезны для отслеживания работы утечки вызовы функцию VirtualAlloc и использования виртуальной памяти приложениями.

Заголовки события памяти не содержат идентификаторы потоков и процессов, вызвавшего определенного действия. Полезные данные событий странице, однако имеет идентификатор потока потока, вызывая сбой. Это позволяет корреляции странице события для потоков и процессов до конечного автомата. Полезная нагрузка события виртуальной памяти содержит идентификатор процесса, для которой были выполнены операции виртуальной памяти. Чтобы отслеживать его к потоку, вызов API, необходимо переключения контекста учета, описанного в предыдущем разделе разделе.

Следующее время

Windows 7 возможности сотни поставщики событий в различных компонентах. В первой части этой серии статей двух частей мы предоставили некоторые ядро ОС ETW события, доступные на Windows 7 и методы анализа, мы использовали в течение многих лет. Отдельные события указывают определенные действия в ядре ОС но при объединении посредством методов анализа контекстной они могут использоваться для создания значимых отчетов, предоставляющих советам в шаблоны и аномалий в использовании ресурсов. В часть 2, мы планируем охватывают другие основные события ETW ОС, а также присутствует простой сценариев для демонстрации несколько основных методов учета на некоторых событий операционной системы, представленных в этих двух частей. Надеемся, что многие люди будут использовать преимущества содержимого, представленные здесь и приведет к продвижение звуковой практика проектирования, больше качества программного обеспечения и улучшения взаимодействия с пользователем.

Источник