Валерий Сидоров Грандмастер

Может ли журнал событий Windows стать увлекательным чтением?

Со мною вот что происходит:
ко мне мой юзер не приходит,
а ходят в праздной суете
разнообразные не те…
(Песенка Windows о любимом юзере)

Что такое журнал событий
Всё, что происходит на ПК под управлением Windows (клик мыши, нажатие клавиши, запуск программы…), — это события (events). Наиболее важные (с точки зрения Windows!) события (например, неполадки оборудования, приложений и системы) фиксируются ОС в так называемых журналах событий.

Как просмотреть журналы событий
Windows Vista: Пуск → Панель управления → Администрирование → Просмотр событий.

Windows XP: Пуск → Настройка → Панель управления → Администрирование → Просмотр событий (или Пуск → Выполнить → в окне Запуск программы в текстовое поле Открыть введите eventvwr.msc /s → нажмите OK).

Основные виды журналов
 — журнал приложений (содержит данные, относящиеся к работе приложений и программ. Записи этого журнала создаются самими приложениями. События, вносимые в журнал приложений, определяются разработчиками соответствующих приложений);
 — журнал безопасности (содержит записи о таких событиях, как успешные и безуспешные попытки доступа в систему, а также о событиях, относящихся к использованию ресурсов, например о создании, открытии и удалении файлов и других объектов. Решение о событиях, сведения о которых заносятся в журнал безопасности, принимает администратор. Например, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности);
 — журнал системы (содержит записи о событиях, внесенные компонентами операционной системы Windows. Например, в журнале системы регистрируются сбои при загрузке драйверов или других системных компонентов при запуске системы).

В окне «Просмотр событий» отображаются события следующих типов:
 — ошибка (серьезные трудности, например, потеря данных или функциональности. Если происходит сбой загрузки службы при запуске, в журнал заносится сообщение об ошибке. Записи об ошибках отмечаются красным кругом с белым крестиком внутри);
 — предупреждение (события, которые в момент записи в журнал не были существенными, но могут привести к сложностям в будущем. Например, если на диске осталось мало свободного места, в журнал заносится предупреждение. Предупреждения отмечаются желтым треугольником с черным восклицательным знаком);
 — уведомление (событие, описывающее удачное завершение действия приложением, драйвером или службой. Например, после успешной загрузки драйвера в журнал заносится событие уведомления. Уведомления отмечаются белым кругом с «хвостиком» и синей буквой i внутри);
 — аудит успехов (событие, соответствующее успешно завершенному действию, связанному с поддержкой безопасности системы. Например, в случае успешного входа пользователя в систему, в журнал заносится событие с типом «Аудит успехов»);
 — аудит отказов (событие, соответствующее неудачно завершенному действию, связанному с поддержкой безопасности системы. Например, в случае неудачной попытки доступа пользователя к сетевому диску в журнал заносится событие типа «Аудит отказов»).

Как использовать журналы событий для устранения неполадок
Тщательный анализ журналов событий помогает предотвратить неполадки в работе системы и определить причины их возникновения. Например, если в журнале присутствует предупреждение о том, что драйверу диска удается считать или записать какой-либо сектор только после нескольких попыток, то, возможно, этот сектор скоро станет непригодным для использования.
Журналы могут также помочь в разрешении вопросов, связанных с работой приложений. Например, если какая-то программа аварийно завершается, в журнале приложений, как правило, присутствуют записи о событиях, которые приводят к этому.

Чтение журналов событий — святая (ежедневная!) обязанность программистов и системных администраторов. Зачастую и рядовому пользователю просмотр этих журналов может сильно облегчить жизнь, сделав общение с ПК более приятным и продуктивным!

Примечания
1. Служба журналов событий запускается автоматически при запуске Windows.
2. Все пользователи могут просматривать журналы приложений и системы. Журналы безопасности доступны только системному администратору.
3. По умолчанию сведения в журнал безопасности не заносятся. Для включения записи событий в журнал безопасности можно воспользоваться компонентом «Групповая политика». Администратор может настроить параметры Реестра для политики аудита так, что работа системы будет прекращаться в случае невозможности дальнейшей записи сведений в журнал безопасности.

Обновлено 4.04.2008
Статья размещена на сайте 3.04.2008

Комментарии (0):

Чтобы оставить комментарий зарегистрируйтесь или войдите на сайт

Войти через социальные сети: