Какие существуют свойства событий назовите несколько windows - Доктор Windows

Регистрация и отслеживание событий в Windows

В этой статье рассматриваются средства протоколирования событий, доступные в Windows-системах. Они помогают обнаруживать проблемы в системе и определять их причины, следить за приложениями и сервисами, а также поддерживать безопасность операционной системы. Когда система замедляется, ведет себя непредсказуемо или демонстрирует другое ошибочное поведение, нелишне заглянуть в журналы событий и попытаться определить потенциальный источник проблем. После того как причина ошибок обнаружена, можно провести плановое или внеочередное обслуживание для их устранения. С помощью триггеров событий, следящих за событиями и выполняющих требуемые действия при их возникновении, можно даже автоматизировать процесс мониторинга и обслуживания.

Протоколирование событий Windows

В Microsoft Windows событие (event) — это любое значительное происшествие в операционной системе, которое требует уведомления пользователей или администраторов. События сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику.

Администраторам следует тщательно следить за журналами событий всех бизнес-серверов и настраивать рабочие станции на сохранение важных системных событий. На серверах надо следить за безопасностью системы, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность.

На рабочих станциях следует убедиться в том, что события, необходимые для поддержки систем и устранения ошибок, протоколируются и что соответствующие журналы вам доступны. Windows-служба, управляющая протоколированием событий, называется Event Log (Журнал событий).

При ее запуске Windows записывает важные данные в журналы. Доступность журналов в системе определяется ее ролью, а также установленными службами. Существует несколько журналов, в том числе следующие.

Application (Приложение) — хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб.
Directory Service (Служба каталогов) — на контроллерах домена этот журнал хранит события службы каталогов Active Directory, в том числе относящиеся к ее запуску, глобальным каталогам и проверкам целостности.
DNS Server (DNS-сервер) — на DNS-серверах в этом журнале сохраняются DNS-запросы, ответы и прочие события DNS. По умолчанию помещается в %SystemRoot%System32 ConfigDnsevent.evt.
File Replication Service (Служба репликации файлов) — на контроллерах домена и других серверах, использующих репликацию, этот журнал регистрирует действия в системе, связанные с репликацией файлов, в том числе события состояния и управления службой, сканирования данных на систем¬ных томах, а также управления наборами репликации.
Security (Безопасность) — хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам.

Категории событий в журнале

Значимость событий варьируется от уведомлений до предупреждений общего характера и серьезных инцидентов вроде критических сбоев и ошибок. Категория события обозначается его типом. Существуют следующие типы:

Information (Уведомление) — указывает на возникновение информационного события, обычно связанного с успешным действием;
Warning (Предупреждение) — предупреждение общего характера. Зачастую помогает избежать последующих проблем в системе;
Error (Ошибка) — критическая ошибка, например неудача при запуске службы;
Success Audit (Аудит успехов) — успешное выполнение действий, которые вы отслеживаете через аудит, например использование какой-либо привилегии;
Failure Audit (Аудит отказов) — неудачное выполнение действий, которые вы отслеживаете через аудит, например ошибка при входе в систему. Примечание Из множества типов событий внимательнее всего следует наблюдать за ошибками и предупреждениями. Если возникает событие этих типов и его причина не¬известна, нужно детально проанализировать его и определиться с дальнейшими действиями.

Кроме типа, у каждого события есть следующие связанные с ним свойства.

Date/Time (Дата/Время) — определяет дату/время возникновения события.
Event (Событие) — детализирует конкретное событие с числовым идентификатором, который называется кодом события (event ID).
Source (Источник) — определяет источник события, на¬пример приложение, службу или компонент системы. Помогает выяснить причину события.
Computer (Компьютер) — идентифицирует компьютер, ставший причиной события.
Category (Категория) — определяет категорию события, иногда используемую для последующего описания допустимого действия. У каждого источника событий свои категории. Так, источник безопасности имеет следующие категории: вход/выход, использование привилегий, изменение политики и управление учетной записью.
User (Пользователь) — определяет учетную запись пользователя, вызвавшую событие. К пользователям относятся особые сущности, например Local Service, Network Service и Anonymous Logon, а также учетные записи реальных пользователей.
Description (Описание) — содержит подробное описание события, возможно, со сведениями о местонахождении дополнительной информации, которая поможет устранить проблему.

Просмотр событий Event Viewer

GUI-средство управления событиями называется Event Viewer (Просмотр событий). Для его запуска наберите в командной строке eventvwr для просмотра событий на локальном компьютере или eventvwr /computer-ИмяКомпьютера, где Имя Компьютера — имя удаленного компьютера, чьи события вы хотите проанализировать. Как и большинство GUI-средств, Event Viewer прост в обращении и полезен для определенных задач управления. Например, он используется для управления размером журналов событий, способами обработки протоколирования, а также архивированием журналов событий. Эти действия нельзя выполнить из командной строки. Однако Event Viewer плохо умеет фильтровать события и работать с журналами на удаленных компьютерах. Конечно, для этих задач можно применять и Event Viewer, но существуют другие, более подходящие для этих задач утилиты, в том числе следующие.

Eventquery — просматривает журналы событий и отбирает записи, удовлетворяющие определенным требованиям. В сценарии Eventquery позволяет анализировать события на множестве систем и сохранять результаты в файле, облегчая поиск информации
Eventcreate — создает пользовательские события в журналах. При запуске собственных сценариев по расписанию или при плановом обслуживании вам может потребоваться регистрация какого-либо действия в журналах, и в этом поможет Eventcreate.
Eventtriggers — следит за определенными событиями в журналах и при их возникновении реагирует запуском заданий или команд. Используя триггеры событий, можно на¬строить систему на самонаблюдение. Триггеры событий похожи на задания, запускаемые по расписанию, с тем исключением, что они выполняются при возникновении событий, а не периодически или однократно.

Источник

Типы событий

В
журналах регистрируются перечисленные
ниже типы событий.

 Ошибка
(Error)
— событие регистрируется в случае
возникновения серьезного события
(такого как потеря данных или функциональных
возмож-

ностей).
Событие данного типа будет зарегистрировано,
если невозможно загрузить какой-либо
из сервисов в ходе запуска системы.

 Предупреждение
(Warning)
— событие не является серьезным, но
может привести к возникновению проблем
в будущем. Например, если недостаточно
дискового пространства, то в журнал
будет занесено предупреждение.

Сведения
(Information)
— значимое событие, которое свидетельствует
об успешном завершении операции
приложением, драйвером или сервисом.
Такое событие может, например,
зарегистрировать успешно загрузившийся
сетевой драйвер.

Аудит
успеха (Audit
Success) — событие, соответствующее успешно
завершенному действию, относящемуся к
безопасности системы. Примером такого
события является успешная попытка входа
пользователя в систему.

Аудит
отказа (Audit
Failure) — событие, соответствующее неудачно
за

вершенному
действию, относящемуся к безопасности
системы. Например, такое событие будет
зарегистрировано, если попытка доступа
пользователем к сетевому диску закончилась
неудачей.

Просмотр журналов и параметров событий

Оснастка
Просмотр
событий (Event
Viewer) в системах Windows 7 позволяет
просматривать журналы и сразу видеть
все сведения о событии в окне,
располагающемся ниже списка событий
(см. рис. 14.16). Справа, на панели Действия
(Actions),
перечислены операции, которые можно
выполнять с выбранным журналом и
указанным событием (например, сохра-

нять
журнал, фильтровать события, создавать
виды просмотра, привязывать

задачу
к указанному событию и т. д.).

Можно,
наоборот, сделать список событий
максимально видимым для удобства поиска
событий, а дополнительную информацию
о них просматривать в отдельном окне,
по мере необходимости. Для этого в
подменю Вид
(View)
на панели Действия
(Actions)
нужно сбросить флажок и отключить
область просмотра. Окно свойств событий
в этом случае будет открываться после
двойного щелчка на записи в журнале или
при выборе соответствующей задачи на
панели Действия
(Actions).
На вкладке Общие
(General)
видны все параметры события, а на панели
Подробности
(Details)
приведена детальная информация о
событии. Стрелки перемещения вверх и
вниз позволяют просматривать записи в
журнале, не закрывая окна свойств
событий.

В
подменю Вид
(View)
на панели Действия
(Actions)
имеется множество команд для управления
способом просмотра списка событий.
Набор отображаемых столбцов можно
расширять и модифицировать, все события
можно сортировать и группировать по
различным параметрам. Например, можно
сгруппировать события по уровню
(степени
серьезности) — тогда в начале списка
будут отображаться ошибки, затем
предупреждения, а ниже — сведения.

Фильтрация событий

В
системных журналах регистрируется
громадное количество событий, и не все
они могут быть одинаково важны для
администратора. Для выбора нужных
событий следует пользоваться фильтрами
журналов, которые называются настраиваемыми
представлениями (custom
view).

Для
создания представления требуется
выбрать нужный журнал событий и в
контекстном меню выбрать команду Создать
настраиваемое представление (Create
Custom
View)
или Фильтр
текущего журнала (Filter
Current
Log). (Эти команды похожи по сути, отличие
лишь в том, что первая команда позволяет
сохранить представление журнала
(нескольких журналов) в виде нового
журнала,
а вторая просто ограничивает число
событий, просматриваемых в конкретном
журнале событий.) В окне свойств
представления следует указать
характеристики событий, которые
представляют интерес и будут отображаться
в новом представлении или фильтре.

Типичной
ситуацией, когда использование
настраиваемого представления для
журнала Безопасность (Security) просто
необходимо, является задача аудита
доступа к файлам и папкам жесткого
диска. При включении аудита генерируется
очень много системных событий, не
представляющих непосредственного
интереса для данной задачи. Поэтому
можно (нужно) выбрать только те отражают
операции события, которые изменения
файла или папки.

На
рисунке ниже показан пример фильтра,
позволяющего упростить эту задачу.

Как
можно видеть, из журнала Безопасность
(Security) выбраны только события, связанные
с аудитом (источник — Microsoft Windows security
auditing). (Дату просмотра можно изменить,
и просматривать только события,
произошедшие за последний час, 12 часов
и т. д.)

Из
всех событий аудита выбраны только
события с кодом 4663, связанные с доступом
к объекту файловой системы (Категория
задачи — Файловая система). В результате
применения фильтра количество
просматриваемых событий резко уменьшается.
Еще больше сузить область поиска
конкретных событий можно с помощью
команды Найти
(Find),
выполняющейся из контекстного меню
журнала или представления, а также
присутствующей на панели Действия
(Actions).
Например, можно ввести строку «Запись
данных» (или имя интересующего файла)
и просматривать только операции изменения
и создания файлов или папок (или события,
связанные с конкретным файлом). При
выполнении поиска в окне оснастки видны
все свойства найденного события, поэтому
нужную информацию находить очень легко.

Все
созданные настраиваемые представления
сохраняются в папке Настраиваемые
представления (Custom
Views) Их название и другие свойства,
включая параметры фильтра, можно менять
в любой момент. Просмотр представлений
и выполнение других операций ничем не
отличают-

ся
от способов работы с обычными системными
журналами (Приложение, Безопасность и
т. д.).

Источник

Подборка по базе: Самостоятельная работа по теме 1.1. Джураева.docx, контрольная работа ода.docx, Курсовая работа.docx, контрольная работа №1 и 2 Сидорова.docx, Психология общения Практическая работа второй семестр.docx, Контрольная работа соц. псих. Андриянова Е.А.docx, Контрольная работа по ТРИУС.docx, практическая работа 1 .docx, Практическая работа 1 Шеина В.А..docx, Русский язык и культура речи. Самостоятельная работа 1.6..odt

Запуск приложения «Просмотр событий»

Приложение «Просмотр событий» можно открыть следующими способами:

Нажмите на кнопку «Пуск» для открытия меню, откройте «Панель управления», из списка компонентов панели управления выберите «Администрирование» и из списка административных компонентов стоит выбрать «Просмотр событий».
Воспользоваться комбинацией клавиш +R для открытия диалога «Выполнить». В диалоговом окне «Выполнить», в поле «Открыть» введите eventvwr.msc и нажмите на кнопку «ОК».

Журналы событий в Windows 7

В операционной системе Windows 7 существуют две категории журналов событий:

журналы Windows – используются операционной системой для регистрации общесистемных событий, связанных с работой приложений, системных компонентов, безопасностью и запуском;
журналы приложений и служб – используются приложениями и службами для регистрации событий, связанных с их работой.

Типы журналов:

Приложение – хранит важные события, связанные с конкретным приложением.

Безопасность – хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам.

Установка – в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов.

Система – хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом.

Пересылаемые события – если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов.

Windows PowerShell – в этом журнале регистрируются события, связанные с использованием оболочки PowerShell.

События оборудования – если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами.

Свойства событий

Источник – это программа, зарегистрировавшая событие в журнале.

Код события – это число, определяющее конкретный тип события.

Уровень – это уровень важности события.

В журналах системы и приложений события могут иметь следующие уровни важности:

Уведомление — обозначает изменение в приложении или компоненте, такое как возникновение информационного события, связанного с успешным действием, создание ресурса или запуск службы.
Предупреждение — обозначает предупреждение общего характера на неполадку, способную повлиять на службу или привести к более серьезной проблеме, если оставить ее без внимания;
Ошибка — обозначает, что возникла проблема, которая может повлиять на функции, внешние по отношению к приложению или компоненту, вызвавшим событие;
Критическая ошибка — обозначает, что произошел сбой, после которого приложение или компонент, инициировавшие событие, не могут восстановиться автоматически;
Аудит успехов – успешное выполнение действий, которые вы отслеживаете через аудит, например использование какой-либо привилегии;
Аудит отказов – неудачное выполнение действий, которые вы отслеживаете через аудит, например ошибка при входе в систему.

Пользователь – определяет учетную запись пользователя, от имени которого возникло данное событие. В этом поле может стоять N/A (Н/Д), если в данной ситуации учетная запись неприменима.

Рабочий код — содержит числовое значение, которое определяет операцию либо точку в пределах операции, при выполнении которой возникло данное событие

Журнал — имя журнала, в который было записано данное событие.

Категория и задачи – определяет категорию события, иногда используемую для последующего описания допустимого действия. У каждого источника событий свои категории. Например, следующие категории: вход/выход, использование привилегий, изменение политики и управление учетной записью.

Ключевые слова – это набор категорий или меток, которые могут использоваться для фильтрации или поиска событий.

Компьютер – идентифицирует имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но также может быть имя компьютера, переславшего событие, или имя локального компьютера до того, как оно было изменено.

Дата и время – определяет дату и время возникновения данного события в журнале.

ИД процесса – представляет идентификационный номер процесса, создавшего данное событие.

ИД потока – представляет идентификационный номер потока, создавшего данное событие. Процесс, порождённый в операционной системе, может состоять из нескольких потоков, выполняющихся «параллельно», то есть без предписанного порядка во времени.

ИД процессора – представляет идентификационный номер процессора, обработавшего событие.

Код сеанса – это идентификационный номер сеанса на сервере терминалов, в котором произошло событие.

Время работы в режиме ядра – определяет время, потраченное на выполнение инструкций режима ядра, в единицах времени ЦП.

Время работы в пользовательском режиме – определяет время, потраченное на выполнение инструкций пользовательского режима, в единицах времени ЦП.

Загруженность процессора – это время, потраченное на выполнение инструкций пользовательского режима, в тиках ЦП.

Задания для выполнения:

При выполнении лабораторной работы требуется оформление отчета.

Запустите программу Просмотр событий.
В дереве консоли выберите Журналы Windows.
Выберите и просмотрите журнал Система.
Выберите и просмотрите журнал Приложения.
Определите количество записанных событий в журнале Приложения.
Используя меню Вид  Область просмотра, отобразите более подробные сведения.
Используя меню Вид  Сортировка, отсортируйте события в журнале по уровню, затем по дате и времени.
Используя меню Вид  Добавить или удалить столбцы, добавьте столбцы Пользователь и Компьютер.
Откройте программу Excel.
Обновите события в журнале Приложения. Для этого вызовите контекстное меню и выберите пункт Обновить.
Просмотрите новое событие в журнале, которое появилось после запуска программы Excel.
Привяжите новое событие к задаче. Для этого:

выделите событие и вызовите контекстное меню, выберите пункт Привязать задачу к событию;
введите имя – ваша фамилия, нажмите кнопку Далее;
в следующем окне нажмите кнопку Далее;
выберите действие для задачи – Отобразить сообщение, нажмите кнопку Далее;
в следующем окне введите заголовок – ваша фамилия, сообщение – Вы запустили программу Excel, нажмите кнопку Далее;
в следующем окне нажмите кнопку Готово.

Закройте и снова откройте программу Excel. Убедитесь в появлении окна с сообщением.
Используя Фильтр, отобразите события за последние 24 часа.
Очистите фильтр.
Используя Фильтр, отобразите события за последние 10 дней.
Очистите фильтр.
Используя Фильтр, отобразите события Ошибка.
Очистите фильтр.
Используя Фильтр, отобразите события Ошибка и Предупреждения за последние 3 дня.
Используя элемент окна Действия, сохраните выбранные события в файл, именем которого является ваше фамилия в формате .evtx.
Очистите фильтр.
Откройте сохраненный файл.
Используя Фильтр, отобразите события Сведения за последние 12 часов.
Используя элемент окна Действия, сохраните файл отфильтрованного журнала, именем которого является ваше фамилия в формате . txt.
Откройте сохраненный файл.
Используя элемент окна Действия, сохраните файл отфильтрованного журнала, именем которого является ваше фамилия в формате . txt.
Сохраните выбранные события в настраиваемом представлении. Для этого:

в окне Действия нажмите Сохранить фильтр в настраиваемое представление;
нажмите кнопку Создать папку, введите имя папки – ваша фамилия;
введите имя настраиваемого представления – ваша фамилия;
в левой части окна консоли должно появиться созданное представление.

Создайте еще одно настраиваемое представление, отфильтровав журнал Система по-своему выбору.
Используя элемент окна Действия, выведите свойства журнала Приложение. Определите размер журнала и политику сохранения журнала.

Контрольные вопросы

Что такое Просмотр событий?
Что позволяет программа Просмотр событий?
Как запустить приложение Просмотр событий?
Какие существуют категории журналов событий?
Назовите типы журналов.
Какие существуют свойства событий (назовите несколько)?
Какие уровни важности имеют события в журналах Windows?

Лабораторная работа № 9. Командные файлы
Цель: научиться создавать командные файлы
Краткие теоретические сведения

Командный (пакетный) файл – это текстовый файл, который может содержать группу команд DOS и/или обращений к прикладным программам.

Командный файл имеет расширение bat и принадлежит к категории исполняемых файлов.

Содержимое командного файла интерпретируется командным процессором и может включать:

внешние или внутренние команды ОС;
обращения к исполняемым программам *.COM или *.EXE, и вызовы других командных файлов;
команды для управления выводом на экран, а также для организации ветвлений и циклов;
метки, на которые совершается переход при выполнении заданного в файле условия.

Каждая команда находится на отдельной строке.

При использовании стандартного приложения «Блокнот» (notepad.exe) для написания командного файла для правильного отображения символов русского алфавита нужно выбрать шрифт Terminal, с помощью меню Правка — Шрифт.

Работа с командным процессором предполагает использование двух устройств — устройства ввода (клавиатуры) и устройства вывода (дисплей). Для изменения стандартно используемых устройств ввода-вывода применяются специальные символы – символы перенаправления:

> — перенаправление вывода;

< — перенаправление ввода.

Пример:

Для вывода справки не на экран а, в файл с именем help.txt, можно использовать команду help > help.txt.

При выполнении данной команды, в текущем каталоге будет создан файл с именем help.txt, содержимым которого будет результат вывода команды help. Если файл help.txt существовал на момент выполнения команды, его содержимое будет перезаписано. Для того, чтобы дописать данные в конец существующего файла, используют удвоение символа перенаправления вывода — «>>».

Команды пакетной обработки:

cls – очистка окна командной строки.

rem [любая строка] — комментарий в тексте файла. Служит для каких-либо пояснений в содержимом командного файла или для временной блокировки команд. Строка командного файла, начинающаяся со слова rem, игнорируется.

echo [on или off или Сообщение] — вывод на экран сообщений.

Параметры on и off включают и выключают выдачу на экран системных сообщений («эха»). Команда echo off используется, чтобы не «засорять» экран при исполнении bat-файла. Произвольная строка после echo понимается как сообщение и без изменений выводится на экран.

Пример: echo Перейти к следующей строке

@ — служит для отмены вывода на экран строки, следующей непосредственно за символом, может быть только первым символом строки.

Пример: @echo off

Символ @ отключает вывод команды echo off и следующих далее системных сообщений. Этой строкой обычно начинаются командные файлы.

pause – прерывает выполнения командного файла до тех пор, пока не будет нажата любая клавиша на клавиатуре, при этом на экран выводится сообщение «Нажмите любую клавишу…»
Задания:

Каждый командный файл сохранять в отдельном файле на своем диске.

Создать командный файл с именем hello.bat, который записывает в файл help.txt результат использования команды HELP.
Создать командный файл с именем helpdir.bat, который записывает в файл helpdir.txt результат использования команды HELP DIR.
Создать командный файл, который дописывает в файл helpdir.txt справку по использованию команды COLOR.
В корневом каталоге своего диска создать командный файл, который создает дерево каталогов, как показано на рисунке.
В каталоге Ваша_фамилия с помощью командной строки создать следующие файлы: 1.txt, 2.txt, 3.txt, lab1.pas, lab2.pas, face.bmp, foot.bmp, arm.bmp, beatles.mp3, rock.mp3.
Содержимое текстовых файлов 1.txt, 2.txt, 3.txt произвольное, остальные файлы оставить пустыми.
Создать командный файл Ваша_фамилия.bat в каталоге Ваша_фамилия, описать следующую последовательность команд и прокомментировать каждую из них:

удалить каталог В3, в каталоге А1 создать подкаталоги В4 и В5 и удалить каталог В2;
скопировать файл lab1.pas в каталог А2 и переименовать его в файл lab3.pas;
очистить экран от служебных записей;
вывести на экран поочередно информацию, хранящуюся во всех текстовых файлах в каталоге Ваша_фамилия;
скопировать все графические и текстовые файлы из каталога Ваша_фамилияв каталог С2;
объединить все текстовые файлы, хранящиеся в каталоге С2, в файл man.txt и вывести его содержимое на экран;
скопировать файл man.txt в каталог А1;
вывести на экран информацию о содержимом каталога Ваша_фамилия.

Создать командный файл с именем Ваше_имя.bat, выполняющий действия:

создание каталога Day;
вывод на экран сообщения «Объединение и переименование файлов»;
создание в каталоге Day текстовых файлов anew.txt и bnew.txt;
содержимое файла anew.txt: «Не бойтесь начинать что-то делать,»;
содержимое файла bnew.txt: «бойтесь не начинать»;
объединение содержимого файлов anew. txt и bnew. txt, находящихся в каталоге Day, в файл cnew.txt в каталоге Day;
вывод содержимого файла cnew.txt на экран;
ожидание нажатия клавиши;
переименование файлов anew. txt и bnew. txt в aold. txt и bold. txt соответственно;
вывод на экран: «Задание выполнено».

Написать bat-файл формирующий список всех файлов, расположенных на диске C: в каталоге Windows, выдать на экран и в файл Ваша_фамилия.txt.
Написать bat-файл, который имена файлов, содержащих в расширении символ x, записывает в файл Ваше_имя.txt.

Контрольные вопросы:

Что такое командный файл? Какой компонент ОС обрабатывает командные файлы?
Что может включать командный файл?
Какие существуют символы перенаправления?
Как настроить окно командной строки?
Какие существуют команды пакетной обработки?

Лабораторная работа № 10. Управление общими ресурсами в операционной системе
Цель работы: научиться управлять параметрами использования общих ресурсов
Задания:

При выполнении лабораторной работы требуется оформление отчета.
Часть I. Настройка общего доступа к файлам и каталогам через диалог Свойства

Используя вкладку Доступ, настройте общий доступ к папке с именем Ваша_фамилия, ограничьте количество пользователей до 2. Для этого:

создайте новую папку, именем которой является Ваша_фамилия;
откройте проводник, выделите созданную папку, нажмите на ней правой кнопкой мыши и из контекстного меню выберите команду «Свойства»;
в диалоговом окне Свойства перейдите на вкладку Доступ, нажмите кнопку Расширенная настройка;
включите параметр «Открыть общий доступ к этой папке» для предоставления разрешений пользователя и группам;
определите имя общего ресурса – Ваша_фамилия, ограничить число одновременных пользователей до 2;
проверьте результат.

Настройте общий доступ к папке с именем Ваша_фамилия_2, добавьте двух разных пользователей с различными разрешениями, проверив при этом имена. Для этого:

создайте новую папку, именем которой является Ваша_фамилия_2;
вызовите свойства папки;
в диалоговом окне Свойства перейдите на вкладку Доступ, нажмите кнопку Расширенная настройка;
включите параметр «Открыть общий доступ к этой папке»;
определите имя общего ресурса – Ваша_фамилия_2;
нажмите кнопку Разрешения;
в открывшемся окне нажмите кнопку Добавить;
нажав на кнопку Типы объектов, выберите тип объектов Пользователи;
введите имена выбираемых объектов (учетные записи студентов вашей группы) в соответствующем поле, проверьте имена;
для одного пользователя разрешите чтение, для другого запретите изменения;
проверьте результат.

Настройте доступ к папке с именем Ваша_фамилия_3, используя вкладку Безопасность. Для этого:

создайте новую папку, именем которой является Ваша_фамилия_3;
вызовите свойства папки;
в диалоговом окне Свойства перейдите на вкладку Безопасность;
для установки разрешений нажмите кнопку Дополнительно;
в открывшемся окне нажмите кнопку Изменить разрешения;
в открывшемся окне нажмите кнопку Добавить;
нажав на кнопку Типы объектов, выберите тип объектов Пользователи;
введите в поле имена выбираемых объектов имя своей учетной записи;
в следующем окне запретите создание папок/дозапись;
просмотрите действующие разрешения, проверьте результат.

Настройте доступ к папке с именем Ваша_фамилия_4, используя вкладку Безопасность. Запретите создание папок/дозапись для любого выбранного компьютера сети.
Создайте файл в формате .docx с именем Ваше_ФИО. Используя диалоговое окно Свойства файла, установите атрибут Только чтение. Проверьте невозможность внесения изменений с файл.
Создайте файл в формате .docx с именем Ваше_имя. Используя диалоговое окно Свойства файла, вкладку безопасность запретите удаление этого файла для любых двух пользователей. Проверьте результат.

Источник

Заметка о том, как провести аудит событий безопасности в операционной системе. Изучив эту заметку, вы ознакомитесь с подсистемой безопасности на примере Windows 10. После чего вы сможете самостоятельно проводить аудит событий безопасности операционных систем Windows.

Политика аудита

Политика аудита безопасности операционной системы предназначена для определения категорий сообщений о событиях безопасности. Выбранные категории сохраняются в соответствующих журналах безопасности. Для настройки политики используется приложение локальная политика безопасности.

Для запуска введите его название в строке поиска.

В политике аудита находится набор параметров безопасности по категориям. В свойствах выбранной категории можно влачить фиксацию в журнале определенного события.

События входа и выхода

Например, в категории «аудит входа в систему» можно включить фиксацию успешных или неудачных попыток входа в систему.

При анализе журнала вы сможете посмотреть пытались ли злоумышленники зайти в операционную систему. Если да, тогда, сколько было попыток и были ли успешные попытки.

Проверим, как это работает. Я включу оба типа событий.

Учет ведется для каждой учетной записи, в том числе при попытке войти на рабочую станцию, которая находится в контроллере домена.

Теперь я попробую ввести неверный пароль, пытаясь зайти под одним пользователем. А затем совершить удачную попытку входа под другим пользователем.

Я ввел несколько раз неправильный пароль, пытаясь зайти под одной учетной записью, а затем зашел под своей учетной записью.

Для просмотра событий нужно открыть приложение просмотр событий.

Затем выбрать пункт меню журналы Windows –> Безопасность. В журнале будут отображены неудачные и удачные попытки входа в систему.

Кликнув на событие, вы можете просмотреть его свойства и подробности.

Существуют следующие типы входов операционную систему Windows.

Тип	Название	Описание
0	Системный (System)	Используется только учетной записью System, например при запуске системы.
2	Интерактивный (Interactive)	Локальный вход пользователя на компьютер.
3	Сетевой (Network)	Пользователь вошёл на данный компьютер через сеть.
4	Пакетный (Batch)	Пакетный тип входа используется пакетными серверами
5	Служба (Service)	Служба запущена Service Control Manager.
7	Разблокирование (Unlock)	Эта рабочая станция разблокирована
8	Сетевой ввод пароля (NetworkCleartext)	Пользователь вошёл на данный компьютер через сеть. Пароль пользователя передан в нехэшированной форме.
9	Новые полномочия (NewCredentials)	Посетитель клонировал свой текущий маркер и указал новые учётные записи для исходящих соединений
10	Удаленный интерактив (RemoteInteractive)	Пользователь выполнил удалённый вход на этот компьютер, используя службу терминалов или удаленный рабочий стол.
11	Кешированный интерактив (CachedInteractive)	Пользователь вошёл на этот компьютер с сетевыми учётными данными, которые хранились локально на компьютере.
12	Кешированный удаленный интерактив (CachedRemoteInteractive)	Метод используется для внутреннего аудита, аналогичен типу 11.

События администрирования

Вернемся к приложению локальная политика безопасности. Рассмотрим аудит управления учетными записями.

Данный аудит фиксирует события, которые связаны с управлением учетными записями. Фиксируются изменения в учетных записях. Если вы добавите новую учетную запись пользователя, или удалите существующую, то в журнале будет запись о том кто (имя учетной записи) когда и какое действие с учетной записью (создал, удалил, изменил) произвел.

Для примера я включил оба типа событий.

Затем я изменил тип учетной записи – сделал пользователя администратором.

В журнале безопасности появилась соответствующая запись.

Если присмотреться, можно увидеть несколько записей. Это связано с тем, что когда я назначил пользователя администратором, то он стал членом групп, в которые входит администратор. На каждую группу создалась соответствующая запись.

Аудит изменения политики

Данный параметр фиксирует события связанные с изменением политик аудита. Разберемся на примере. Я включил оба типа событий.

После чего я добавил пользователя Local use в свойства прав архивация файлов и каталогов.

Теперь в журнале безопасности мы видим соответствующую запись об изменении прав пользователя.

Попробуйте выполнить какие-либо действия с политиками и отследить их в журнале безопасности операционной системы.

Аудит использования привилегий

Аудит использования привилегий фиксирует события связанные с применением пользователем назначенных ему привилегий.

Например, у пользователя есть привилегия на изменение системного времени. Включите тип события успех в аудите.

Измените системное время.

В журнале безопасности вы увидите соответствующую запись о том, что системное время изменено.

Аудит событий операционной системы

Для аудита событий происходящих с операционной системой (например, отключение элементов безопасности системы) предназначен параметр аудит системных событий.

Я включу аудит событий с типом успех. Затем очищу журнал аудита событий.

После этого действия журнал будет содержать одну запись – журнал аудита был очищен. В записи содержится имя пользователя, который выполнил очистку журнала.

Аудит доступа пользователя к объектам

Этот аудит фиксирует события, которые связаны с доступом к файлам, папкам, реестру, оборудованию и так далее. При этом можно настроить аудит на различные типы доступа к папкам и файлам, например чтение, изменение, печать.

Я включу аудит двух типов событий.

Этот вид аудита в операционной системе Windows доступен только для файловой системы NTFS. При этом аудит доступен, если включить его в самом объекте.

Для примера я создам текстовый фал. Для настройки нужно перейти в его свойства -> безопасность -> дополнительно -> аудит. Далее следует добавить субъект и разрешения.

Я установил тип успех на чтение и выполнение этого файла.

После применения аудита я открыл и прочитал файл. Об этом появилась соответствующая запись в журнале безопасности.

Управление журналом аудита

Если вы войдете в операционную систему под учетной записью обычного пользователя, то вы не сможете просмотреть журнал событий безопасности.

Что бы выдать права для работы с журналом пользователю необходимо войти под учетной записью администратора в локальную политику безопасности и добавить пользователя в список учетных записей «Управление аудитом и журналом безопасности».

При необходимости администратор может настроить вид журнала безопасности для определенного пользователя. Делается это с помощью меню фильтр текущего журнала.

На этом короткое руководство по аудиту событий безопасности в операционной системе Windows закончено.

Если у вас возникли вопросы – задавайте их в комментариях к данной заметке.

Источник

Многие пользователи ПК даже не догадываются о наличии на их устройстве очень полезного дополнения. Оно фиксирует все события, происходящие в ОС. А ведь считывание и запись данных происходит даже в период отсутствия активности со стороны человека. Журнал событий в Windows 10 предоставляет пользователю возможность ознакомиться с ошибками, предупреждениями и прочей немаловажной информацией.

В некоторых случаях анализ этих данных может значительно облегчить поиск причин возникновения неисправностей. А это важный шаг на пути к их устранению и даже предупреждению. Конечно, к подобным манипуляциям чаще прибегают владельцы серверов. Однако рядовому пользователю изучение истории также может быть полезным.

Запуск утилиты осуществляется несколькими способами. Первый подразумевает использование окна «Выполнить». Для этого необходимо:

Зажатием клавиш «Win» + «R» вызвать окно.
Прописать команду «eventvwr».
Нажать «OK».

А второй требует использования панели управления, где требуется:

Выбрать раздел «Система и безопасность».
Проследовать в подраздел «Администрирование».
Выбрать «Просмотр событий».

Попав в журнал событий в Windows 10, можно приступить к разбору его интерфейса.

В левой колонке расположены журналы событий. Они уже отсортированы по разделам. Что облегчает работу пользователя. Наибольший интерес представляет раздел «Журналы Windows», состоящий из категорий:

Приложение (основная) — записи, созданные программами.
Безопасность (основная) — сведения о безопасности системы.
Установка (дополнительная).
Система (основная) — сведения о работе системных компонентов.
Перенаправленные события (дополнительная).

По центру утилиты расположено два окна. Первое отображает произошедшие события. А второе подробную информацию о каждом из них. Правая же колонка содержит рабочие инструменты журнала.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Нюансы работы в журнале

Число обозреваемых событий может исчисляться тысячами и даже десятками тысяч. Для создания комфортных условий работы журнал событий в Windows 10 оснащен встроенным фильтром. Он позволяет отсортировать имеющуюся информацию по:

важности;
времени;
источнику;
имени компьютера и пользователя;
коду и прочим параметрам.

Но найти в журнале необходимую ошибку это полбеды. Специфичность содержащихся сведений не каждому позволит сходу понять в чём проблема. Например, пользователь может увидеть нечто вроде:

Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания

Поиск описания потребует выхода в интернет и посещения сайта Microsoft. Или иных ресурсов, предоставляющих подобную информацию.

Стоит упомянуть, что наличие ошибок – нормальное явление ОС. Любые, даже самые незначительные сбои вносятся в реестр. Так что не стоит переживать, обнаружив их в журнале.

Что такое Журнал событий и для чего он нужен

Даже если компьютер работает без каких-либо сбоев, лучше заранее узнать, где посмотреть журнал ошибок Windows 10. Периодическая его проверка поможет заранее обнаружить и предупредить появление серьезных проблем. При возникновении нештатных ситуаций, когда пользователь не видит явных причин возникновения неполадок, журнал событий Windows 10 является незаменимым помощником. Необходимо учитывать, что даже на исправном компьютере иногда возникают ошибки, которые могут не влиять на качество работы, но при наличии критических ошибок обязательно нужно принимать меры для их устранения.

Как очистить журнал событий в Windows 10

Среди способов, как почистить журнал событий в Windows 10, можно выделить 5 основных.

Вручную

Этот способ весьма прост. Он не требует специальных навыков или дополнительного софта. Все что необходимо, это:

Открыть журнал событий.
Нажать правой кнопкой мыши на необходимый раздел.
Выбрать команду «Очистить журнал…».

Как вы, наверное, заметили, это самый простой способ. Однако некоторые ситуации требуют прибегнуть к иным методам.

Создание файла .bat

Этот способ также позволяет быстро провести очистку. Для его реализации вам потребуется код:

@echo off FOR /F «tokens=1,2*» %%V IN (‘bcdedit’) DO SET adminTest=%%V IF (%adminTest%)==(Access) goto theEnd for /F «tokens=*» %%G in (‘wevtutil.exe el’) DO (call :do_clear «%%G») goto theEnd :do_clear echo clearing %1 wevtutil.exe cl %1 goto :eof :theEnd

Его необходимо использовать в следующем алгоритме:

Создайте текстовый документ.
Скопируйте в него код, указанный выше.
Сохраните документ с расширением .bat (подробнее о расширениях можно прочесть в статье «Расширения файлов Windows. Как открыть и изменить расширения файлов»)
Запустите полученный файл от имени администратора.

После этого все отчеты будут удалены.

Через командную консоль

Очистить журнал событий в Windows 10 можно и при помощи данного инструмента. Для этого потребуется:

Нажать клавишу «Win».
Вести «Командная строка».
Запустить утилиту от имени администратора.
Ввести указанную ниже команду и нажать «Enter».

for /F “tokens=*” %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl “%1″

Через PowerShell

PowerShell – более продвинутая версия командной строки. Очистка журнала с его помощью проводится аналогичным образом. За исключением вводимой команды. В данном случае она имеет следующий вид:

wevtutil el | Foreach-Object {wevtutil cl “$_”}

Вертим логи как хотим ― анализ журналов в системах Windows

Пора поговорить про удобную работу с логами, тем более что в Windows есть масса неочевидных инструментов для этого. Например, Log Parser, который порой просто незаменим.

В статье не будет про серьезные вещи вроде Splunk и ELK (Elasticsearch + Logstash + Kibana). Сфокусируемся на простом и бесплатном.

До появления PowerShell можно было использовать такие утилиты cmd как find и findstr. Они вполне подходят для простой автоматизации. Например, когда мне понадобилось отлавливать ошибки в обмене 1С 7.7 я использовал в скриптах обмена простую команду:

findstr «Fail» *.log >> fail.txt

Она позволяла получить в файле fail.txt все ошибки обмена. Но если было нужно что-то большее, вроде получения информации о предшествующей ошибке, то приходилось создавать монструозные скрипты с циклами for или использовать сторонние утилиты. По счастью, с появлением PowerShell эти проблемы ушли в прошлое.

Основным инструментом для работы с текстовыми журналами является командлет Get-Content, предназначенный для отображения содержимого текстового файла. Например, для вывода журнала сервиса WSUS в консоль можно использовать команду:

Get-Content -Path ‘C:Program FilesUpdate ServicesLogFilesSoftwareDistribution.log’ | Out-Host -Paging

Для вывода последних строк журнала существует параметр Tail, который в паре с параметром Wait позволит смотреть за журналом в режиме онлайн. Посмотрим, как идет обновление системы командой:

>Get-Content -Path «C:WindowsWindowsUpdate.log» -Tail 5 -Wait

Если же нам нужно отловить в журналах определенные события, то поможет командлет Select-String, который позволяет отобразить только строки, подходящие под маску поиска. Посмотрим на последние блокировки Windows Firewall:

Select-String -Path «C:WindowsSystem32LogFilesFirewallpfirewall.log» -Pattern ‘Drop’ | Select-Object -Last 20 | Format-Table Line

При необходимости посмотреть в журнале строки перед и после нужной, можно использовать параметр Context. Например, для вывода трех строк после и трех строк перед ошибкой можно использовать команду:

Select-String ‘C:WindowsClusterReportsCluster.log’ -Pattern ‘ err ‘ ‑Context 3

Оба полезных командлета можно объединить. Например, для вывода строк с 45 по 75 из netlogon.log поможет команда:

Get-Content ‘C:Windowsdebugnetlogon.log’ | Select-Object -First 30 -Skip 45

Журналы системы ведутся в формате .evtx, и для работы с ними существуют отдельные командлеты. Для работы с классическими журналами («Приложение», «Система», и т.д.) используется Get-Eventlog. Этот командлет удобен, но не позволяет работать с остальными журналами приложений и служб. Для работы с любыми журналами, включая классические, существует более универсальный вариант ― Get-WinEvent. Остановимся на нем подробнее.

Для получения списка доступных системных журналов можно выполнить следующую команду:

Get-WinEvent -ListLog *

Для просмотра какого-то конкретного журнала нужно лишь добавить его имя. Для примера получим последние 20 записей из журнала System командой:

Get-WinEvent -LogName ‘System’ -MaxEvents 20

Для получения определенных событий удобнее всего использовать хэш-таблицы. Подробнее о работе с хэш-таблицами в PowerShell можно прочитать в материале Technet about_Hash_Tables.

Для примера получим все события из журнала System с кодом события 1 и 6013.

Get-WinEvent -FilterHashTable @{LogName=’System’;ID=’1′,’6013′}

В случае если надо получить события определенного типа ― предупреждения или ошибки, ― нужно использовать фильтр по важности (Level). Возможны следующие значения:

0 ― всегда записывать;
1 ― критический;
2 ― ошибка;
3 ― предупреждение;
4 ― информация;
5 ― подробный (Verbose).

Собрать хэш-таблицу с несколькими значениями важности одной командой так просто не получится. Если мы хотим получить ошибки и предупреждения из системного журнала, можно воспользоваться дополнительной фильтрацией при помощи Where-Object:

Get-WinEvent -FilterHashtable @{LogName=’system’} | Where-Object -FilterScript {($_.Level -eq 2) -or ($_.Level -eq 3)}

Аналогичным образом можно собирать таблицу, фильтруя непосредственно по тексту события и по времени.

Подробнее почитать про работу обоих командлетов для работы с системными журналами можно в документации PowerShell:

Get-EventLog.
Get-WinEvent.

PowerShell ― механизм удобный и гибкий, но требует знания синтаксиса и для сложных условий и обработки большого количества файлов потребует написания полноценных скриптов. Но есть вариант обойтись всего-лишь SQL-запросами при помощи замечательного Log Parser.

Утилита Log Parser появилась на свет в начале «нулевых» и с тех пор успела обзавестись официальной графической оболочкой. Тем не менее актуальности своей она не потеряла и до сих пор остается для меня одним из самых любимых инструментов для анализа логов. Загрузить утилиту можно в Центре Загрузок Microsoft, графический интерфейс к ней ― в галерее Technet. О графическом интерфейсе чуть позже, начнем с самой утилиты.

О возможностях Log Parser уже рассказывалось в материале «LogParser — привычный взгляд на непривычные вещи», поэтому я начну с конкретных примеров.

Для начала разберемся с текстовыми файлами ― например, получим список подключений по RDP, заблокированных нашим фаерволом. Для получения такой информации вполне подойдет следующий SQL-запрос:

SELECT extract_token(text, 0, ‘ ‘) as date, extract_token(text, 1, ‘ ‘) as time, extract_token(text, 2, ‘ ‘) as action, extract_token(text, 4, ‘ ‘) as src-ip, extract_token(text, 7, ‘ ‘) as port FROM ‘C:WindowsSystem32LogFilesFirewallpfirewall.log’ WHERE action=’DROP’ AND port=’3389′ ORDER BY date,time DESC

Посмотрим на результат:

Разумеется, с полученной таблицей можно делать все что угодно ― сортировать, группировать. Насколько хватит фантазии и знания SQL.

Log Parser также прекрасно работает с множеством других источников. Например, посмотрим откуда пользователи подключались к нашему серверу по RDP.

Работать будем с журналом TerminalServices-LocalSessionManagerOperational.

Не со всеми журналами Log Parser работает просто так ― к некоторым он не может получить доступ. В нашем случае просто скопируем журнал из %SystemRoot%System32WinevtLogsMicrosoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx в %temp%test.evtx.

Данные будем получать таким запросом:

SELECT timegenerated as Date, extract_token(strings, 0, ‘|’) as user, extract_token(strings, 2, ‘|’) as sourceip FROM ‘%temp%test.evtx’ WHERE EventID = 21 ORDER BY Date DESC

Особенно удобно использовать Log Parser для работы с большим количеством файлов журналов ― например, в IIS или Exchange. Благодаря возможностям SQL можно получать самую разную аналитическую информацию, вплоть до статистики версий IOS и Android, которые подключаются к вашему серверу.

В качестве примера посмотрим статистику количества писем по дням таким запросом:

SELECT TO_LOCALTIME(TO_TIMESTAMP(EXTRACT_PREFIX(TO_STRING([#Fields: date-time]),0,’T’), ‘yyyy-MM-dd’)) AS Date, COUNT(*) AS FROM ‘C:Program FilesMicrosoftExchange ServerV15TransportRolesLogsMessageTracking*.LOG’ WHERE (event-id=’RECEIVE’) GROUP BY Date ORDER BY Date ASC

Если в системе установлены Office Web Components, загрузить которые можно в Центре загрузки Microsoft, то на выходе можно получить красивую диаграмму.

Следует отметить, что после установки Log Parser в системе регистрируется COM-компонент MSUtil.LogQuery. Он позволяет делать запросы к движку утилиты не только через вызов LogParser.exe, но и при помощи любого другого привычного языка. В качестве примера приведу простой скрипт PowerShell, который выведет 20 наиболее объемных файлов на диске С.

$LogQuery = New-Object -ComObject «MSUtil.LogQuery» $InputFormat = New-Object -ComObject «MSUtil.LogQuery.FileSystemInputFormat» $InputFormat.Recurse = -1 $OutputFormat = New-Object -ComObject «MSUtil.LogQuery.CSVOutputFormat» $SQLQuery = «SELECT Top 20 Path, Size INTO ‘%temp%output.csv’ FROM ‘C:*.*’ ORDER BY Size DESC» $LogQuery.ExecuteBatch($SQLQuery, $InputFormat, $OutputFormat) $CSV = Import-Csv $env:TEMP’output.csv’ $CSV | fl Remove-Item $env:TEMP’output.csv’ $LogQuery=$NULL $InputFormat=$NULL $OutputFormat=$NULL

Ознакомиться с документацией о работе компонента можно в материале Log Parser COM API Overview на портале SystemManager.ru.

Благодаря этой возможности для облегчения работы существует несколько утилит, представляющих из себя графическую оболочку для Log Parser. Платные рассматривать не буду, а вот бесплатную Log Parser Studio покажу.

Основной особенностью здесь является библиотека, которая позволяет держать все запросы в одном месте, без россыпи по папкам. Также сходу представлено множество готовых примеров, которые помогут разобраться с запросами.

Вторая особенность ― возможность экспорта запроса в скрипт PowerShell.

В качестве примера посмотрим, как будет работать выборка ящиков, отправляющих больше всего писем:

При этом можно выбрать куда больше типов журналов. Например, в «чистом» Log Parser существуют ограничения по типам входных данных, и отдельного типа для Exchange нет ― нужно самостоятельно вводить описания полей и пропуск заголовков. В Log Parser Studio нужные форматы уже готовы к использованию.

Помимо Log Parser, с логами можно работать и при помощи возможностей MS Excel, которые упоминались в материале «Excel вместо PowerShell». Но максимального удобства можно достичь, подготавливая первичный материал при помощи Log Parser с последующей обработкой его через Power Query в Excel.

Приходилось ли вам использовать какие-либо инструменты для перелопачивания логов? Поделитесь в комментариях.

Свойства событий

Каждый столбец это определенное свойство события. Все эти свойства отлично описал Дмитрий Буланов здесь. Приведу скриншот. Для увеличения нажмите на него.

Устанавливать все столбцы в таблице не имеет смысла так как ключевые свойства отображаются в области просмотра. Если последняя у вас не отображается, то дважды кликнув левой кнопкой мышки на событие в отдельном окошке увидите его свойства

На вкладке Общие есть описание этой ошибки и иногда способ ее исправления. Ниже собраны все свойства события и в разделе Подробности дана ссылка на Веб-справку по которой возможно будет информация по исправлению ошибки.

Как открыть

Для запуска нажмите «Win+R», пропишите «control». Далее:

Другой способ

Нажмите (Win+R), пропишите «eventvwr.msc».

приложений;
служб;
подписки.

Средняя колонка отображает события. Правая — действия. Ниже — сведения о выбранной записи.

Система. Содержит действия, которые созданы драйверами и модулями ОС;
Установка;
Безопасность. Информация о входе в аккаунты, учетные записи, доступ к файлам, установки процессов;
Приложение. Информация про ошибки, созданные установленным софтом. Используются чтобы найти причину неработоспособности приложений;
Перенаправление.

Событий в системе исчисляется десятками тысяч. Поэтому утилита для удобства предоставляет поиск по времени, коду источнику. Например, как увидеть системные ошибки? Нажмите по ссылке «Фильтр».

Как использовать просмотр событий Windows для решения проблем с компьютером

05.06.2014 windows | для начинающих
Тема этой статьи — использование малознакомого большинству пользователей инструмента Windows: Просмотр событий или Event Viewer.

Для чего это может пригодиться? Прежде всего, если вы хотите сами разобраться что происходит с компьютером и решить различного рода проблемы в работе ОС и программ— данная утилита способна вам помочь, при условии, что вы знаете, как ее использовать.

Дополнительно на тему администрирования Windows

Администрирование Windows для начинающих
Редактор реестра
Редактор локальной групповой политики
Работа со службами Windows
Управление дисками
Диспетчер задач
Просмотр событий (эта статья)
Планировщик заданий
Монитор стабильности системы
Системный монитор
Монитор ресурсов
Брандмауэр Windows в режиме повышенной безопасности

Как запустить программу Просмотра событий

Чтобы осуществить запуск программы Просмотр событий нужно:

Открыть меню Пуск.
Ввести в строке поиска «Просмотр событий».
Нажать Ввод.

Также данная программа открывается через папку Администрирование в меню Пуск.

Важно знать, что все события распределены по категориям – к примеру, в категории Приложения размещены события приложений, в категории Система находятся системные новости. Если же на ПК настроен анализ событий безопасности (аудит событий входа в систему), то сообщения аудита поступают в категорию Безопасность.

Получить дополнительную информацию о событиях

Если вы хотите получить дополнительную информацию, предоставляемую средством просмотра событий Windows, вы можете посетить сайт EventID.net. EventID.net предоставляет базу данных, содержащую тысячи событий с соответствующими комментариями или статьями, предоставленными инженерами сайта, а также внешними сотрудниками.

Поиск может быть выполнен путём ввода идентификатора события, источника или одного или нескольких ключевых слов.

Источник

Содержание:

1 Где находится журнал событий Windows
2 Как открыть журнал
3 Как использовать содержимое журнала
4 Очистка, удаление и отключение журнала

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object {wevtutil cl «$_»}

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Источник