Будь-яка сучасна ОС з графічним інтерфейсом заснована на подіях. Те ж саме стосується і програмного забезпечення, для таких ОС розробленого. Подія – наріжний камінь цієї інфраструктури. Під подіями розуміються не тільки інтерактивні дії користувача, а й результати різноманітних системних процесів, прихованих від очей натискає на кнопки і клацання по клавішах оператора системи.
Події бувають вбудовані, тобто такі, що зумовлені архітектурою, і створювані адміністратором або розробником. У нашій статті ми розглянемо класифікацію подій в Windows, засоби їх журналирования і перегляду, а також методи роботи з ними.
Інтерфейс для перегляду відбулися в системі подій носить назву «системного журналу». Записи в журналі створюються в результаті деяких дій програм або користувачів, зарезервованих ОС в якості подій. Зрозуміло, не кожна дія фіксується в журналі. Для цього їх занадто багато.
Наприклад, пересування миші хоча б на один піксель, вже породжує програмне виключення і потенційно може оброблятися «операционкой», що, по суті, і відбувається – такі дії в журнал не потрапляють. А ось попередження системи безпеки – протоколюються, так як складають критично важливі відомості.
Windows допускає тонке налаштування переліку критично важливих системних виключень. До деякої міри ви самі вільні вирішувати, що саме протоколювати, а без якої інформації можна і обійтися. Щоб дати вам уявлення про це, перерахуємо деякі з стандартних операцій з журналом:
- Перегляд переліку подій.
- Фільтрація переліку за певними критеріями.
- Створення «тригерів» реакцій на процеси в системі – так звана «підписка».
- Призначення типу реакції на ту чи іншу подію.
Як здійснити перегляд?
Щоб здійснювати перегляд вмісту журналу, потрібно запустити відповідну програму. Робиться це так:
- Переходимо в меню «Пуск» => “Панель управління”.
- Вибираємо розділ «Адміністрування».
- В цьому розділі клацаємо по імені компоненти «Перегляд подій».
- Запуститься програма з вікном характерного вигляду – так звана «оснащення». Це оснащення і є візуальний інтерфейс для нашого протоколу.
Того ж самого можна добитися, якщо у віконці «Виконати» (викликається з того ж меню «Пуск») набрати команду mmc. Ця команда запустить загальний інтерфейс для всіх оснасток, в якому потрібно буде перейти в меню «Консоль» => «Додати або видалити оснастку» і з переліку всіх оснасток викликати потрібну. У сьомій версії Windows все це проробляється так само, як і в попередній. Віконце «Виконати» можна викликати і за допомогою клавіатурної комбінації «Win» + «R» – результат буде тим же. За підсумком наших маніпуляцій з’явиться вікно такого виду:
Класифікація подій ОС
Далі ми наведемо класифікацію записів в журналі по їх значенню для користувача. Події діляться на ті, що генеруються самою операційною системою, і ті, що виходять від додатків і служб. Однак така класифікація не враховує сенсу фіксуються явищ. Більш детальна їх угруповання виглядає наступним чином:
Група «Додаток» включає реакції системи на деякі результати роботи додатків. Наприклад, поштовий сервер може залишати в журналі записи про відправлення і отримання електронної пошти. Відповідні дані зберігаються у файлі% SystemRoot% \ System32 \ Winevt \ Logs \ Application.Evtx.- Група «Безпека» не потребує коментарів – сюди складується все, що так чи інакше зачіпає підсистему захисту від незаконних вторгнень. Наприклад, відзначаються вдалі і невдалі спроби користувача увійти в систему. Адреса файлу:% SystemRoot% \ System32 \ Winevt \ Logs \ Security.Evtx.
- Група «Установка» – тут журнал подій Windows 7 логірует успішні і неуспішні спроби інсталювати ті чи інші компоненти в процесі установки ОС. Так що якщо установка не увінчалася успіхом або призвела до нестабільної роботи поставленої системи – аналіз цього логу може допомогти виявити джерело проблеми. Файл зберігається тут:% SystemRoot% \ System32 \ Winevt \ Logs \ Setup.Evtx.
- Група «Система» – найбільша сюди потрапляють результати ініціалізації драйверів, запуску служб та інші критично важливі для ОС повідомлення. Файл% SystemRoot% \ System32 \ Winevt \ Logs \ System.Evtx – місце зберігання цих відомостей.
- Група «Надсилаються події» – це зібрання інформації про пересиланнях даних між серверами. Всі результати таких пересилань накопичуються в файлі% SystemRoot% \ System32 \ Winevt \ Logs \ ForwardedEvents.Evtx.
- Сховище «Internet Explorer» (% SystemRoot% \ System32 \ Winevt \ Logs \ InternetExplorer.Evtx) містить логи роботи браузера.
- Переглянути логи взаємодії користувача з оновленим інтерфейсом командного рядка «Power Shell» можна тут:% SystemRoot% \ System32 \ Winevt \ Logs \ WindowsPowerShwll.Evtx.
- Реєстрація неадекватної поведінки обладнання ведеться в файлі% SystemRoot% \ System32 \ Winevt \ Logs \ HardwareEvent.Evtx.
Всі дані зберігаються в популярному форматі XML, тому для їх читання і обробки необхідна оболонка зразок журналу подій. Безпосередній перегляд подій в системі Windows 7 в файлах хоча і можливий, але вкрай скрутний. Однак займатися цим немає потреби, так як журнал подій Windows 7 робить це за нас.
параметри записів
Кожен запис в журналі ОС Windows має однаковий набір параметрів, що характеризують її властивості: покажчик на джерело походження, спеціальний ідентифікує код, ступінь критичності і багато інших.
Деякі параметри мають сенс для будь-яких подій, інші ж відносяться тільки до певних їх типів. Журнал має меню з безліччю опцій, що спрощують роботу користувача з його записами:
Тепер ви знаєте, як в Windows 7 відкрити журнал подій і що він собою являє.
