Як відкрити журнал подій Windows 7

Будь-яка сучасна ОС з графічним інтерфейсом заснована на подіях. Те ж саме стосується і програмного забезпечення, для таких ОС розробленого. Подія – наріжний камінь цієї інфраструктури. Під подіями розуміються не тільки інтерактивні дії користувача, а й результати різноманітних системних процесів, прихованих від очей натискає на кнопки і клацання по клавішах оператора системи.

Події бувають вбудовані, тобто такі, що зумовлені архітектурою, і створювані адміністратором або розробником. У нашій статті ми розглянемо класифікацію подій в Windows, засоби їх журналирования і перегляду, а також методи роботи з ними.

Інтерфейс для перегляду відбулися в системі подій носить назву «системного журналу». Записи в журналі створюються в результаті деяких дій програм або користувачів, зарезервованих ОС в якості подій. Зрозуміло, не кожна дія фіксується в журналі. Для цього їх занадто багато.

Наприклад, пересування миші хоча б на один піксель, вже породжує програмне виключення і потенційно може оброблятися «операционкой», що, по суті, і відбувається – такі дії в журнал не потрапляють. А ось попередження системи безпеки – протоколюються, так як складають критично важливі відомості.

Windows допускає тонке налаштування переліку критично важливих системних виключень. До деякої міри ви самі вільні вирішувати, що саме протоколювати, а без якої інформації можна і обійтися. Щоб дати вам уявлення про це, перерахуємо деякі з стандартних операцій з журналом:

  • Перегляд переліку подій.
  • Фільтрація переліку за певними критеріями.
  • Створення «тригерів» реакцій на процеси в системі – так звана «підписка».
  • Призначення типу реакції на ту чи іншу подію.

Як здійснити перегляд?

Щоб здійснювати перегляд вмісту журналу, потрібно запустити відповідну програму. Робиться це так:

  • Переходимо в меню «Пуск» => “Панель управління”.
  • Вибираємо розділ «Адміністрування».
  • В цьому розділі клацаємо по імені компоненти «Перегляд подій».
  • Запуститься програма з вікном характерного вигляду – так звана «оснащення». Це оснащення і є візуальний інтерфейс для нашого протоколу.

Того ж самого можна добитися, якщо у віконці «Виконати» (викликається з того ж меню «Пуск») набрати команду mmc. Ця команда запустить загальний інтерфейс для всіх оснасток, в якому потрібно буде перейти в меню «Консоль» => «Додати або видалити оснастку» і з переліку всіх оснасток викликати потрібну. У сьомій версії Windows все це проробляється так само, як і в попередній. Віконце «Виконати» можна викликати і за допомогою клавіатурної комбінації «Win» + «R» – результат буде тим же. За підсумком наших маніпуляцій з’явиться вікно такого виду:

Класифікація подій ОС

Далі ми наведемо класифікацію записів в журналі по їх значенню для користувача. Події діляться на ті, що генеруються самою операційною системою, і ті, що виходять від додатків і служб. Однак така класифікація не враховує сенсу фіксуються явищ. Більш детальна їх угруповання виглядає наступним чином:

  • Група «Додаток» включає реакції системи на деякі результати роботи додатків. Наприклад, поштовий сервер може залишати в журналі записи про відправлення і отримання електронної пошти. Відповідні дані зберігаються у файлі% SystemRoot% \ System32 \ Winevt \ Logs \ Application.Evtx.
  • Група «Безпека» не потребує коментарів – сюди складується все, що так чи інакше зачіпає підсистему захисту від незаконних вторгнень. Наприклад, відзначаються вдалі і невдалі спроби користувача увійти в систему. Адреса файлу:% SystemRoot% \ System32 \ Winevt \ Logs \ Security.Evtx.
  • Група «Установка» – тут журнал подій Windows 7 логірует успішні і неуспішні спроби інсталювати ті чи інші компоненти в процесі установки ОС. Так що якщо установка не увінчалася успіхом або призвела до нестабільної роботи поставленої системи – аналіз цього логу може допомогти виявити джерело проблеми. Файл зберігається тут:% SystemRoot% \ System32 \ Winevt \ Logs \ Setup.Evtx.
  • Група «Система» – найбільша сюди потрапляють результати ініціалізації драйверів, запуску служб та інші критично важливі для ОС повідомлення. Файл% SystemRoot% \ System32 \ Winevt \ Logs \ System.Evtx – місце зберігання цих відомостей.
  • Група «Надсилаються події» – це зібрання інформації про пересиланнях даних між серверами. Всі результати таких пересилань накопичуються в файлі% SystemRoot% \ System32 \ Winevt \ Logs \ ForwardedEvents.Evtx.
  • Сховище «Internet Explorer» (% SystemRoot% \ System32 \ Winevt \ Logs \ InternetExplorer.Evtx) містить логи роботи браузера.
  • Переглянути логи взаємодії користувача з оновленим інтерфейсом командного рядка «Power Shell» можна тут:% SystemRoot% \ System32 \ Winevt \ Logs \ WindowsPowerShwll.Evtx.
  • Реєстрація неадекватної поведінки обладнання ведеться в файлі% SystemRoot% \ System32 \ Winevt \ Logs \ HardwareEvent.Evtx.

Всі дані зберігаються в популярному форматі XML, тому для їх читання і обробки необхідна оболонка зразок журналу подій. Безпосередній перегляд подій в системі Windows 7 в файлах хоча і можливий, але вкрай скрутний. Однак займатися цим немає потреби, так як журнал подій Windows 7 робить це за нас.

параметри записів

Кожен запис в журналі ОС Windows має однаковий набір параметрів, що характеризують її властивості: покажчик на джерело походження, спеціальний ідентифікує код, ступінь критичності і багато інших.

Деякі параметри мають сенс для будь-яких подій, інші ж відносяться тільки до певних їх типів. Журнал має меню з безліччю опцій, що спрощують роботу користувача з його записами:

Тепер ви знаєте, як в Windows 7 відкрити журнал подій і що він собою являє.

Ссылка на основную публикацию