Как вы знаете, большинство «нормальных» приложений записывают свои события в журнал событий Windows (Application Event Log). Это отличное место для централизованного хранения и просмотра событий приложений, однако зачастую при возникновении необходимости журналировать события от определенного приложения в данном журнале, мы можем столкнуться с тем, что из-за большого количества и чрезмерной подробности событий, работать со стандартным журналом приложений Windows становится очень неудобно. В данном случае было бы удобно создать собственный журнал событий для данного приложения, и для него настраивать различные параметры, такие как размер журнала, фильтры и т.д., а стандартный журнал Application можно использовать как обычно, не засоряя его ненужной информацией. В ОС семейства Windows присутствует функция, позволяющая создать собственный журнал событий.
Сначала создадим новый файл журнала. Сделать это можно при помощи реестра. Запустите редактор реестра regedit и перейдите в ветку:
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesEventlog
Щелкните правой кнопкой по узлу Eventlog и создайте новый ключ (New > Key)
Имя ключа в этом случае будет являться и именем нового журнала. По умолчанию новый журнал (файл .evt) создается тут:
C:WINDOWSSystem32ConfigNew Key #1.evt
Его можно переименовать, изменив строковый параметр в реестре по своему усмотрению.
Далее нужно добавить источники (Sources) событий для нового журнала. Создайте новый ключ типа Multi-String с именем “Sources”, в качестве параметров укажите имена всех приложений, который будут использовать данный журнал (каждое приложение с новой строки).
Затем нужно перенести ассоциации ваших приложений из стандартного журнала Application в ваш новый журнал. Разверните ветку “Application”, находящуюся по адресу:
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesEventlogApplication
И скопируйте все ветки, которые относятся к интересуемым Вами приложениям в новый ветку реестра нового журналa:
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesEventlogCustomLog
Т.к. команда скопировать/вставить в редакторе реестра не работает, их можно пересоздать вручную (если их немного), или же можно осуществить перенос при помощи процедуры экспорта/импорта веток реестра с ручным редактирование .reg файла. Убедитесь, что после переноса вы удалили ключи реестра ваших приложений из ветки Application, иначе Windows не поймет, что нужно писать события в новый журнал. В том случае, если вы используете новый источник событий для журнала, нужно будет создать параметр типа DWORD с именем CustomSource и значением равным 1:
В моем примере, я создал собственное приложение .NET 2.0, причем я хочу, чтобы оно записывало события в созданный нами журнал. Для этого я создам новый ключ реестра EventMessageFile и укажу в нем путь к библиотеке журналирования.NET 2.0:
C:WINDOWSMicrosoft.NETFrameworkv2.0.50727EventLogMessages.dll
Затем нужно перезагрузить Windows, а после загрузки системы вы увидите новый журнал событий в разделе Event Viewer-а. В том случае, если ваше приложение по какой-либо причине не пишет событий в новый журнал, можно протестировать его работу вручную, откройте командую строку и перейдите в каталог:
CD C:WINDOWSsystem32
Затем наберите:
eventcreate /l CustomLog /t Information /so Application1 /id 1 /d "Test message"
В том случае, если вы все сделали правильно должно появиться окно, сообщающее о том, что событие было успешно записан в журнал, либо сообщение об ошибки и причины ее появления.
Update:
Небольшое обновление статьи по письмам читателей:
Вышеприведенная инструкция по созданию собственного журнала ориентирована на серверные ОС семейства Microsoft. Более общий способ, который должен работать в большинстве Windows следующий (отличаются пути в реестре и ключи):
Создаем новый раздел в реестре (имя раздела — имя создаваемого журнала), путь к созданному будет таким:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesEventlogNewEventLog , в котором нужно создать следующие ключи:
- «AutoBackupLogFiles» — тип DWORD, создавать или нет резервные копии журнала (0 — не создавать)
- «MaxSize» -тип DWORD, максимальны размер журнала в байтах, значение должно быть кратным 64Кб
- «Retention» — тип DWORD, время хранения записей в случае переполнения журнала.
- «File» — тип REG_EXPAND_SZ, строка, в которой содержится путь к логу журнала на жестком диске, например %SystemRoot%System32configNewEventLog.evt)
- «Sources»- тип REG_MULTI_SZ, здесь указан список источников событий, чьи логи должны попадать в этот журнал, каждый источник с новой строки
Аннотация
В этой статье описано, как создавать файлы журналов с помощью системного монитора в Microsoft Windows 2000, Microsoft Windows XP и Microsoft Windows Server 2003. Скачайте и используйте мастер системного монитора (PerfWiz), чтобы упростить настройку журнала.
Дополнительная информация
Средство системного монитора, которое входит в состав Windows 2000, Windows XP и Windows Server 2003, — это средство администрирования, которое заменяет средство «системный монитор», которое входит в состав Windows NT 4,0.
Ниже приведен список некоторых улучшений средства системного монитора.
-
Вы можете регистрировать определенные счетчики и экземпляры объекта, что помогает уменьшить размер файлов журнала.
-
Объект «очередь печати» — это новый объект производительности, позволяющий отслеживать аспекты очереди печати.
-
Вы можете запустить журнал событий с помощью журналов и оповещений о производительности.
-
Кроме того, были добавлены другие объекты производительности.
-
Пример файла журнала входит в состав Windows 2000.
Чтобы создать новый журнал, выполните указанные ниже действия.
-
Щелкните правой кнопкой мыши журналы счетчиков, выберите пункт новые параметры журнала, введите имя журнала и нажмите кнопку ОК.
-
На вкладке Общие в Windows 2000 нажмите кнопку Добавить , чтобы добавить нужные счетчики. На вкладке Общие в Windows XP или windows Server 2003 нажмите кнопку Добавить счетчики.
-
На вкладке файлы журнала выберите нужные параметры ведения журнала.
-
На вкладке Расписание выберите нужные параметры планирования.
Аналогичные параметры можно настроить в оповещениях. Например, вы можете настроить оповещение для отправки сообщения, запуска журнала данных производительности или выполнения программы, если счетчик превышает определенное значение.
Использование мастера системного монитора
Для получения и загрузки мастера системного монитора (PerfWiz). Мастер мониторинга производительности упрощает сбор журналов системного монитора. Она настраивает правильные счетчики для сбора образцов интервалов и размеров файлов журнала. Этот мастер может создавать журналы для устранения проблем с производительностью операционной системы или Exchange Server.
Заметки:
-
Если вы можете устранить неполадки с производительностью или проблемы, которые выглядят как утечки памяти, объекты, которые системный монитор должен включить в журнал, но не ограничиваются указанными ниже элементами. Проблемы с ресурсами памяти:
Кэша
Хватки
Object
Файл подкачки
Процесса
Воздуш
Администратор
Службы терминалов (если сервер терминалов)
Для всех прочих проблем с ресурсами добавьте дополнительные счетчики.Логический диск
Подключения NBT
Сетевой интерфейс
Физический диск
Перенаправителе
Server
Рабочие очереди сервера
Поток (не захватывать, если сервер терминалов)
Все счетчики сервера терминалов (если сервер терминалов)
Все счетчики протокола, привязанные к сетевым адаптерам -
Счетчики физического диска представлены по умолчанию в Windows 2000.
Для получения дополнительных сведений о том, как просмотреть файлы журнала для утечек памяти и узких мест производительности, щелкните следующий номер статьи базы знаний Майкрософт:
150934 Создание журнала системного монитора для устранения неполадок в системе NT
Также ознакомьтесь с определением приемлемых значений для счетчиков в справке Windows 2000 в разделе счетчики производительности .
Нужна дополнительная помощь?
Запись собственных событий Windows
При работе с автоматизированными сценариями, заданиями но расписанию или собственными приложениями вам может потребоваться, чтобы они записывали собственные события в журналы Windows. Например, при нормальном выполнении сценария вы хотите записать событие уведомления в журнал приложения, чтобы в дальнейшем легко определить, выполнен сценарий и нормально ли он завершился. И наоборот, если сценарий не сработал и в результате его выполнения возникли ошибки, вам может понадобиться сохранить событие ошибки или предупреждения в журнале — тогда вы узнаете, что нужно проанализировать сценарий и выяснить, что случилось.
Для создания собственных событий используется утилита Eventcreate. Собственные события можно сохранять в любом доступном журнале за исключением журнала безопасности. Такие события могут содержать источник, код и нужное описание. Синтаксис Eventcreate:
eventcreate /l ИмяЖурнала /so ИсточникСобытия /t ТипСобытия / id КодСобытия /d ОписаниеСобытия
- ИмяЖурнала — название журнала для записи события; если оно содержит пробелы, заключите его в кавычки, например «DNS Server».
- ИсточникСобытия — указывает источник события и может быть любой строкой. Если строка содержит пробелы, заключите ее в кавычки, например «Event Tracker*. В большинстве случаев источник указывает на приложение, задание или сценарий, вызвавший ошибку.
- ТипСобытия — задает тип события. Может принимать значения Information, Warning или Error. Типы событий «Success Audit» и «Failure Audit» неприменимы, так как используются в журнале безопасности, в который записывать собственные события нельзя.
- КодСобытия — залает числовой код события. Может принимать любое значение от 1 до 1000. Чем случайно назначать идентификаторы, лучше составить список общих событий, которые могут возникнуть, а затем разбить его на категории. Тогда каждой категории можно присвоить свой диапазон кодов событий. Например, события из первой сотни могут быть общими, из второй — событиями состояния, из пятой — предупреждениями, а из девятой — ошибками.
- ОписаниеСобытия — задает описание события и может быть любой строкой. Не забудьте заключить строку в кавычки.
Применение Eventcreate на нескольких примерах
- Создать событие-уведомление в журнале приложения с источником Event Tracker и кодом события 209: eventcreate /l «application» /t information /so «Event Tracker» /id 209 /d «evs.bat script ran without errors.»
- Создать событие-предупреждение в системном журнале с источником CustApp и кодом события 511: eventcreate /l «system» /t warning /so «CustApp» /id 511 /d «sysck.exe didn’t complete successfully.»
- Создать событие-ошибку в системном журнале на MAIL с источником SysMon и кодом события 918: eventcreate /s Mail /l «system» /t error /so «SysMon» /id 918 /d «sysmon.exe was unable to verify write operation.»
Доброго дня!
Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами). Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д. 👀
Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены… 😢
В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).
Итак…
*
Работа с журналом событий (для начинающих)
❶
Как его открыть
Вариант 1
Этот вариант универсальный и работает во всех современных версиях ОС Windows.
- нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
- ввести команду eventvwr и нажать OK (примечание: также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr);
eventvwr — команда для вызова журнала событий
- после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows…
Просмотр событий
Вариант 2
- сначала необходимо 👉 открыть панель управления и перейти в раздел «Система и безопасность»;
Система и безопасность
- далее необходимо перейти в раздел «Администрирование»;
Администрирование
- после кликнуть мышкой по ярлыку «Просмотр событий».
Просмотр событий — Администрирование
Вариант 3
Актуально для пользователей Windows 10/11.
1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже). 👇
Windows 10 — события
2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.
Win+X — вызов меню
❷
Журналы Windows
Журналы Windows
Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.
В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:
- «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
- «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
- «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).
❸
Как найти и просмотреть ошибки (в т.ч. критические)
Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.
И так, сначала необходимо выбрать нужный журнал (например «Система»), далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала».
Система — фильтр текущего журнала / Кликабельно
После указать дату, уровень события (например, ошибки), и нажать OK.
Критические ошибки
В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует.
Например, на своем подопытном компьютере я нашел ошибку из-за которой он перезагрузился (благодаря коду ошибки и ее подробному описанию — можно найти решение на сайте Microsoft).
Представлены все ошибки по дате и времени их возникновения / Кликабельно
Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.
❹
Можно ли отключить журналы событий
Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)
*
Для отключения журналов событий нужно:
- открыть «службы» (для этого нажмите Win+R, введите команду services.msc и нажмите OK);
Открываем службы — services.msc (универсальный способ)
- далее нужно найти службу «Журнал событий Windows» и открыть ее;
Службы — журналы событий
- после перевести тип запуска в режим «отключена» и нажать кнопку «остановить». Затем сохранить настройки и перезагрузить компьютер.
Отключена — остановить
*
На этом пока всё, удачи!
✌
Первая публикация: 23.03.2019
Корректировка: 14.08.2021
Полезный софт:
-
- Видео-Монтаж
Отличное ПО для создания своих первых видеороликов (все действия идут по шагам!).
Видео сделает даже новичок!
-
- Ускоритель компьютера
Программа для очистки Windows от «мусора» (удаляет временные файлы, ускоряет систему, оптимизирует реестр).
- Download source — 30.45 KB
Fig-1 (Event viewer — Showing the new log with sample information)
Introduction
This article will give you an idea about how to create a Windows event log and write your custom message into the event log.
Background
Most of the developers are very much familiar with the Windows event log API. When developers create a Windows based application, it may be an ActiveX component, any customized DLL library, a service application, etc.; it is a very common practice to write several types of information into the event log, which is generated by that particular application runtime so we can easily keep track of all the information.
Using the Code
Before we start understanding the code, we need a little concept on System.Diagnostics namespace. We will use the namespace to manage an event log. The namespace System.Diagnostics provides a class name as “EventLog” to create and write a message into the eventlog.
Let’s take an example, our goal is to write a simple C# .NET class which will create a new log name as “myEventLog” and write a message “I will not say I have failed 1000 times; I will say that I have discovered 1000 ways that can cause failure – Thomas Edison.” as an information.
To achieve this, we need to use the following methods, properties and enum which will be found in the System.Diagnostics namespace.
Methods
SourceExists: Determines whether an event source is registered on the local computer or not.CreateEventSource: Establishes an application as able to write event information to a particular log on the system.
More details can be found at this link.WriteEntry: Writes an entry in the event log, i.e., writes an information type entry, with the given message text, to the event log.
More details can be found at this link.
Properties
Source: Gets or sets the source name to register and use when writing to the event log.Log: Gets or sets the name of the log to read from or write to.
Enum
EventLogEntryType: Specifies the event type of an event log entry.
More details can be found at this link.
Sample Code Example
public class ClsEventLog { public bool CreateLog(string strLogName) { bool Result = false; try { System.Diagnostics.EventLog.CreateEventSource(strLogName, strLogName); System.Diagnostics.EventLog SQLEventLog = new System.Diagnostics.EventLog(); SQLEventLog.Source = strLogName; SQLEventLog.Log = strLogName; SQLEventLog.Source = strLogName; SQLEventLog.WriteEntry("The " + strLogName + " was successfully initialize component.", EventLogEntryType.Information); Result = true; } catch { Result = false; } return Result; } public void WriteToEventLog(string strLogName , string strSource , string strErrDetail) { System.Diagnostics.EventLog SQLEventLog = new System.Diagnostics.EventLog(); try { if (!System.Diagnostics.EventLog.SourceExists(strLogName)) this.CreateLog(strLogName); SQLEventLog.Source = strLogName; SQLEventLog.WriteEntry(Convert.ToString(strSource) + Convert.ToString(strErrDetail), EventLogEntryType.Information); } catch (Exception ex) { SQLEventLog.Source = strLogName; SQLEventLog.WriteEntry(Convert.ToString("INFORMATION: ") + Convert.ToString(ex.Message), EventLogEntryType.Information); } finally { SQLEventLog.Dispose(); SQLEventLog = null; } } }
Conclusion
I hope that this article might be helpful to you. Enjoy!
History
- 22nd August 2009: Initial post
- Download source — 30.45 KB
Fig-1 (Event viewer — Showing the new log with sample information)
Introduction
This article will give you an idea about how to create a Windows event log and write your custom message into the event log.
Background
Most of the developers are very much familiar with the Windows event log API. When developers create a Windows based application, it may be an ActiveX component, any customized DLL library, a service application, etc.; it is a very common practice to write several types of information into the event log, which is generated by that particular application runtime so we can easily keep track of all the information.
Using the Code
Before we start understanding the code, we need a little concept on System.Diagnostics namespace. We will use the namespace to manage an event log. The namespace System.Diagnostics provides a class name as “EventLog” to create and write a message into the eventlog.
Let’s take an example, our goal is to write a simple C# .NET class which will create a new log name as “myEventLog” and write a message “I will not say I have failed 1000 times; I will say that I have discovered 1000 ways that can cause failure – Thomas Edison.” as an information.
To achieve this, we need to use the following methods, properties and enum which will be found in the System.Diagnostics namespace.
Methods
SourceExists: Determines whether an event source is registered on the local computer or not.CreateEventSource: Establishes an application as able to write event information to a particular log on the system.
More details can be found at this link.WriteEntry: Writes an entry in the event log, i.e., writes an information type entry, with the given message text, to the event log.
More details can be found at this link.
Properties
Source: Gets or sets the source name to register and use when writing to the event log.Log: Gets or sets the name of the log to read from or write to.
Enum
EventLogEntryType: Specifies the event type of an event log entry.
More details can be found at this link.
Sample Code Example
public class ClsEventLog { public bool CreateLog(string strLogName) { bool Result = false; try { System.Diagnostics.EventLog.CreateEventSource(strLogName, strLogName); System.Diagnostics.EventLog SQLEventLog = new System.Diagnostics.EventLog(); SQLEventLog.Source = strLogName; SQLEventLog.Log = strLogName; SQLEventLog.Source = strLogName; SQLEventLog.WriteEntry("The " + strLogName + " was successfully initialize component.", EventLogEntryType.Information); Result = true; } catch { Result = false; } return Result; } public void WriteToEventLog(string strLogName , string strSource , string strErrDetail) { System.Diagnostics.EventLog SQLEventLog = new System.Diagnostics.EventLog(); try { if (!System.Diagnostics.EventLog.SourceExists(strLogName)) this.CreateLog(strLogName); SQLEventLog.Source = strLogName; SQLEventLog.WriteEntry(Convert.ToString(strSource) + Convert.ToString(strErrDetail), EventLogEntryType.Information); } catch (Exception ex) { SQLEventLog.Source = strLogName; SQLEventLog.WriteEntry(Convert.ToString("INFORMATION: ") + Convert.ToString(ex.Message), EventLogEntryType.Information); } finally { SQLEventLog.Dispose(); SQLEventLog = null; } } }
Conclusion
I hope that this article might be helpful to you. Enjoy!
History
- 22nd August 2009: Initial post
Консоль Просмотр событий позволяет отслеживать работу аппаратного и программного обеспечения, а также контролировать события службы безопасности Windows XP.
Событие — это любое значительное происшествие в работе системы. При возникновении многих внутренних системных событий во время работы Windows XP на экран выводятся сообщения об ошибках, вызванных различными причинами. В соответствующих журналах отображаются сведения о том, насколько то или иное событие опасно для системы в целом.
Если вы хотите знать, что на самом деле происходит во внутренней кухне Windows XP, вам непременно нужно просмотреть системные события, которые помогут найти часто зависающие программы, проблемные службы, выявить некоторые проблемы безопасности и т.д.
В Windows XP существуют различные типы файлов журналов, среди которых выделяются три стандартных.
- Журнал приложений. Содержит события, зарегистрированные приложениями или программами. Журнал содержит ошибки и прочие события, определяемые разработчиком.
- Журнал безопасности. Регистрирует события в работе системы безопасности. Журнал содержит такие события, как попытки входа в систему, использование системных ресурсов, создание, открытие и удаление файлов и прочие, определяемые системным администратором.
- Журнал системы. Содержит записи, связанные с системными событиями, такими как запуск или выключение ПК, загрузка драйверов, ошибки и конфликты портов, оптических накопителей и аудиокарт. Регистрируемые события определяются Windows XP и не могут быть изменены пользователями и администратором.
Консоль Просмотр событий используется для выполнения таких задач.
- Просмотр файлов журналов.
- Сортировка, поиск и фильтрация событий.
- Управление параметрами, влияющими на ведение записей в журнале.
- Очистка журнала.
- Архивирование журналов на диске для дальнейшего просмотра.
Работа с журналами
Для работы с журналами запустите консоль Просмотр событий из папки Администрирование (или раскройте меню Просмотр событий в консоли Управление компьютером).
В левой панели окна консоли выберите журнал для просмотра, содержимое которого будет показано в правой панели. Чтобы обновить содержимое журнала, можно использовать клавишу <F5>. Как правило, событие, которое произошло последним, располагается в верхней части списка.
Для изменения этого порядка на обратный выберите команду меню Вид>>От старых к новым. При необходимости выполните фильтрацию событий. В частности, на экран можно вывести события, произошедшие за определенный период, события, связанные с кодом или типом ошибок либо предупреждений. Для этого выберите команду меню Вид>>Фильтр. Укажите в диалоговом окне Свойства параметры поиска.
Для поиска в журнале того или иного события выберите команду меню Вид>>Найти и укажите в диалоговом окне Поиск-локальный параметры поиска. Для получения дополнительных сведений о каком-либо событии дважды щелкните на нем на правой панели окна консоли. Отобразится диалоговое окно Свойства: Событие, которое содержит сведения о выбранном событии.
Параметры журналов событий
Журналы событий могут принести огромную пользу для обнаружения неисправностей и прогнозирования возможных отказов в работе аппаратного обеспечения и всей системы. Наибольшую помощь журнал может оказать при поиске скрытых дефектов и неполадок в работе программного обеспечения.
Для использования журналов в качестве мощного инструмента предотвращения неполадок следует иметь представление о параметрах, которые отображаются в журналах.
В журналах регистрируется пять следующих видов событий.
- Ошибка. Событие высшей категории, отображающее регистрацию серьезного события.
- Предупреждение. Не самое серьезное событие, которое со временем может привести к ошибкам и переводу события в высшую категорию.
- Уведомление. Несерьезное событие, которое свидетельствует об успешном завершении операции приложением, драйвером или службой.
- Аудит успехов. Свидетельствует об успешном выполнении процедуры.
- Аудит отказов. Свидетельствует о сбое при выполнении процедуры. Такие события нередко свидетельствуют о попытках доступа к ресурсам системы без соответствующих прав.
Каждый файл журнала представляет собой базу данных, состоящую из восьми столбцов, описанных далее.
- Тип. Отображает один из пяти типов события.
- Дата. Указывает дату регистрации события.
- Время. Сообщает время регистрации события.
- Источник. Указывает источник, который привел к регистрации события.
- Категория. Отображает классификацию событий. Каждый из трех типов журналов имеет свою категорию.
- Событие. Сообщает идентификационный номер события. Идентификатор присваивается событию на основе системы кодирования Microsoft. Каждому идентификатору соответствует определенный файл сообщения, причем это сообщение можно просмотреть в окне описания событий.
- Пользователь. Содержит название учетной записи пользователя, от имени которого производились действия, вызвавшие генерацию событий. Многие события связаны с определенными пользователями, и их имена указаны в этом поле. Информация особенно полезна для отслеживания событий в системе безопасности.
- Компьютер. Указывает компьютер, на котором зарегистрировано событие. Значения в этом столбце отличаются в тех случаях, когда программа используется для обработки данных, экспортированных из различных журналов. Для экспорта журнала выберите название журнала и воспользуйтесь командой меню ДействиеðЭкспортировать список.
Существует ряд настроек, управляющих параметрами регистрации событий в журнале. Для просмотра или изменения параметров файла журнала щелкните правой кнопкой мыши на значке одного из журналов на левой панели окна консоли и выберите команду Свойства, после чего перейдите на вкладку Общие.
Когда объем журнала достигнет максимального значения, новые события не будут регистрироваться. Поэтому журнал можно периодически очищать с помощью команды меню Действие>>Стереть все события, но в этом обычно нет необходимости, поскольку на вкладке Общие по умолчанию выбрано удаление всех событий, старше 7 дней. Большинство базовых параметров, указанных на этой вкладке, вполне приемлемы для большинства случаев. При наличии особых условий можно изменить некоторые параметры и сохранить зарегистрированные события, выбрав переключатель По достижении максимального размера журнала в положение Не затирать события (очистка журнала вручную).
Консоль Просмотр событий может показаться безмерно скучной, но, если вникнуть в нее как следует, она принесет свои безусловные плоды. Например, вы сможете наповал поразить своими знаниями девушку на первом свидании, после чего она непременно захочет встретиться с вами снова 