Журналы событий Windows

Что такое журнал событий Windows?

Журналы событий это специальные файлы в которые система и приложения записывают значимые для вашего компьютера события, такие как события входа пользователей в систему или ошибки, возникающие при работе приложений. Когда возникают подобные типы событий, система Windows создает записи в журналах событий. В детальных описаниях событий пользователи могут найти информацию, полезную для устранения неисправностей, обнаружения причин проблем с системой, приложениями, оборудованием компьютера.

Журналы событий Windows это не текстовые файлы (не как UNIX syslog) и их нельзя просматривать и исследовать простыми текстовыми редакторами. Журналы событий Windows это бинарные файлы специального формата, похожие на файлы баз данных, состоящие из специальных записей — событий Windows.

Microsoft Windows запускает специальную службу (сервис) Журнал событий Windows для обслуживания задач, связанных с журналами событий — управления журналами событий, записью новых событий в журналы, обслуживанием запросов на чтение данных из журналов и т.п. Служба Журнал событий Windows предоставляет специальное API, которое позволяет приложениям работать с журналами событий.

Регистрация событий как стандартный системный механизм обеспечения безопасности и отказоустойчивости появилась в версии Microsoft Windows NT 3.1 в 1993 году. Начиная с этой версии в любой Windows присутствуют 3 основных журнала — журнал Приложения, журнал Система и журнал Безопасность. В современных версиях Windows и Windows Server число журналов может превышать сотню, так как теперь и приложения могут создавать свои собственные журналы, интегрированные в систему регистрации событий Windows.

Как просматривать журналы событий?

Просматривать и исследовать события Windows можно стандартным приложением Проосмотр событий или специальными программами, поставляемыми независимыми разработчиками. Мы рекомендуем использовать нашу программу Event Log Explorer, которая дает существенно больше возможностей, чем стандартное приложение Просмотр событий.

Что такое служба «Журнал событий Windows»?

Служба (сервис) «Журнал событий Windows» — это специальная служба (сервис) для управления событиями и журналами событий. Она поддерживает выполнение операций записи новых событий, чтения событий приложениями, подписки на событий, резервного копирования и архивирования журналов событий и т.п. По умолчанию, после установки системы Windows служба «Журнал событий Windows» включена и запускается автоматически. Не стоит останавливать или выключать эту службу. Остановка службы «Журнал событий Windows» может ухудшить стабильность и безопасность системы.

Что такое файлы журналов событий Windows?

Журналы событий Windows хранятся в специальных файлах с системном каталоге Windows. Служба (сервис) «Журнал событий Windows» позволяет пользователям сохранять журналы и делать резервные копии журналов в файлы. Windows NT, 2000 и XP/Server 2003 хранят журналы событий в файлах EVT формата. Windows Vista/Server 2008 и более новые системы хранят журналы событий в EVTX формате. Анализ файлов журналов событий и их резервных копия является основой расследования различных инцидентов.

Рабочие версии файлов журналов событий Windows обычно заблокированы системой, точнее службой «Журнал событий Windows» и их невозможно непосредственно открыть на живой, работающей системе. Но если компьютер будет загружен другой системой с другого диска, то рабочие файлы журналов системы можно открыть или скопировать. Также их можно скопировать или открыть, если подключить системный диск к другому компьютеру. По умолчанию, файлы журналов событий Windows Vista/Server 2008 хранятся в каталоге
«C:\Windows\System32\winevt\Logs\»
Открыть файл журнала событий в приложении Просмотр событий Windows можно выполнив следующие шаги:

Запустите приложение Просмотр событий.

Нажмите «Открыть сохраненный журнал» в панели «Действия», расположенной в правой части окна.

Найдите и выберите нужный вам файл в списке файлов, нажмите кнопку «Открыть» и его содержимое отобразиться в области просмотра событий в приложении.

Наша программа Event Log Explorer также работает с файлами журналов событий и работает лучше, чем «Просмотр событий». Например, в Event Log Explorer вы можете прочитать данные даже из поврежденных файлов журналов событий.

Что такое журнал событий Приложения?

Журнал событий Приложений содержит события, сгенерированные приложениями, а не системой. Например, сервер базы данных может записывать ошибки, возникающие при его работе в журнал приложений. Разработчики программ сами решают какие события имеет смысл протоколировать в журнале событий Приложения. Например, Microsoft SQL Server протоколирует подробную информцию о важных аварийных ситуациях возникающих при работе SQL-сервера, таких как «недостаточно памяти», «сбой при резервном копировании базы данных» и т.д. При этом события, сгенерированные разными приложениями, попадают в единый журнал приложений. Приложения идентифицируются как разные «источники» в базовом свойстве событий. Поэтому несложно выделить события конкретного приложения. Также стоит учитывать что ID события (код события) тоже определяется приложением, сгенерировавшим событие и коды могут дублироваться для разных источников. Таким образом события определенного типа идентифицируются и источником и кодом, а не только кодом, как для других журналов, например для журнала Безопасность.

Что такое журнал событий Система?

Журнал событий Система содержит события, сгенерированные системными компонентами. Например, отказы драйверов или других системных компонентов при запуске системы записываются в системный журнал событий. Типы и коды событий системных компонентов предопределены разработчиками операционной системы Windows. Аналогично журналу приложений, системный журнал содержит события из разных источников (системных компонентов) и следует учитывать что конкретные события идентифицируются не только кодом, но источником. Журнал событий Система — важный источник информации при поиске причин отказов и проблем системными администраторами и техническими специалистами.

Что такое журнал событий Безопасность?

Журнал событий Безопасность содержит события, влияющие на безопасность системы. Это попытки (иудачные и неудачные) входа в аккаунты системы, использование ресурсов (файлов, реестра, устройств), управление учетными записями, изменения прав и привилегий аккаунтов, запуск и остановка процессов (программ) и т.д. Администратор может сконфигурировать какие категории событий необходимо регистрировать. Например, по умолчанию система сконфигурирована регистрировать события управления учетными записями, события входа в систему, а аудит доступа к объектам не включен. Стоит быть осторожным при настройке аудита доступа к файлам, то это может привести к появлению большого количества событий, что в свою очередь может негативно отразиться на общей производительности системы и быстрому переполнению журнала безопасности.
Подробнее про аудит событий безопасности можно прочесть тут.
Запись в журнал безопасности производится только системными компонентам, коды событий однозначно идентифицируют события. Журнал событий Безопасность является важным источником информации при расследовании инцидентов нарушения безопасности и его анализ актуален для администраторов безопасности, специалистов по информационной безопасности и специалистов по цифровой криминалистической экспертизе.

Журнал событий Windows 7. Где найти системный журнал

В операционной системе Windows седьмой версии реализована функция отслеживания важных событий, которые происходят в работе системных программ. В «Майкрософт» под понятием «события» подразумеваются любые происшествия в системе, которые фиксируются в специальном журнале и сигнализируют о себе пользователям или администраторам. Это может быть служебная программа, не желающая запускаться, сбой в работе приложений или некорректная установка устройств. Все происшествия регистрирует и сохраняет журнал событий Windows 7. Он также располагает и показывает все действия в хронологическом порядке, помогает производить системный контроль, обеспечивает безопасность операционки, исправляет ошибки и диагностирует всю систему.

Следует периодически просматривать этот журнал на предмет появления поступающей информации и производить настройку системы для сохранения важных данных.

Window 7 — программы

Компьютерное приложение «Просмотр событий» является основной частью служебных утилит «Майкрасофт», которые предназначены для контроля и просмотра журнала событий. Это необходимый инструмент для мониторинга работоспособности системы и ликвидации появляющихся ошибок. Служебная программа «Виндовс», управляющая документированием происшествий, называется «Журналом событий». Если эта служба запущена, то она начинает собирать и протоколировать все важные данные в своем архиве. Журнал событий Windows 7 разрешает совершать следующие действия:

— просмотр данных, записанных в архив;

— использование различных фильтров событий и их сохранение для дальнейшего применения в настройках системы;

— создание подписки по определенным происшествиям и управление ими;

— назначать определенные действия при возникновении каких-либо событий.

Как открыть журнал событий Windows 7?

Программа, отвечающая за регистрацию происшествий, запускается следующим образом:

1. Активируется меню нажатием кнопки «Пуск» в левом нижнем углу монитора, затем открывается «Панель управления». В списке элементов управления выбираем «Администрирование» и уже в этом подменю нажимаем на «Просмотр событий».

2. Есть другой способ, как посмотреть журнал событий Windows 7. Для этого следует перейти в меню «Пуск», в поисковом окошке набрать mmc и отправить запрос на поиск файла. Далее откроется таблица MMC, где нужно выбрать параграф, обозначающий добавление и удаление оснастки. Затем производится добавка «Просмотра событий» на главное окно.

Что представляет собой описываемое приложение?

В операционных системах Widows 7 и Vista установлены два вида журналов событий: системные архивы и служебный журнал приложений. Первый вариант используется для фиксации общесистемных происшествий, которые связаны с производительностью различных приложений, запуском и безопасностью. Второй вариант отвечает за запись событий их работы. Для контроля и управления всеми данными служба «Журнал событий» использует вкладку «Просмотра», которая подразделяется на следующие пункты:

— Приложение – здесь хранятся события, которые связаны с какой-то определенной программой. Например, почтовые службы хранят в этом месте историю пересылки информации, различные события в почтовых ящиках и так далее.

— Пункт «Безопасность» сохраняет все данные, относящиеся к входам в систему и выходу из нее, использованию административных возможностей и обращению к ресурсам.

— Установка – в этот журнал событий Windows 7 заносятся данные, которые возникают при установке и настройке системы и ее приложений.

— Система – фиксирует все события операционки, такие как сбой при запуске служебных приложений или при установке и обновлении драйверов устройств, разнообразные сообщения, касающиеся работы всей системы.

— Пересылаемые события – если этот пункт настроен, то в нем хранится информация, которая приходит с других серверов.

Другие подпункты основного меню

Также в меню «Администрирование», где журнал событий в Windows 7 и находится, есть такие дополнительные пункты:

— Internet Explorer – здесь регистрируются события, которые возникают при работе и настройке одноименного браузера.

— Windows PowerShell – в этой папке фиксируются происшествия, имеющие связь с применением оболочки PowerShell.

— События оборудования – если этот пункт настроен, то в журнал заносятся данные, которые генерируют устройства.

Вся структура «семерки», которая обеспечивает запись всех событий, основана по типу «Висты» на XML. Но для использования в Window 7 программы журнала событий нет необходимости знать, как применять этот код. Приложение «Просмотр событий» все сделает само, предоставив удобную и простую таблицу с пунктами меню.

Характеристики происшествий

Пользователь, желающий узнать, как посмотреть журнал событий Windows 7, должен также разбираться и в характеристиках тех данных, которые он хочет просмотреть. Ведь существуют различные свойства тех или иных происшествий, описанных в «Просмотре событий». Эти характеристики мы рассмотрим ниже:

— Источники – программа, фиксирующая события в журнале. Здесь записываются имена приложений или драйверов, повлиявших на то или иное происшествие.

— Код события – набор чисел, определяющих тип происшествия. Этот код и имя источника события используется технической поддержкой системного обеспечения для исправления ошибок и ликвидации программных сбоев.

— Уровень – степень важности события. Журнал событий системы имеет шесть уровней происшествий:

4. Опасная ошибка.

5. Мониторинг успешных операций по исправлению ошибок.

6. Аудит неудачных действий.

— Пользователи – фиксирует данные учетных записей, от имени которых произошло происшествие. Это могут быть имена различных сервисов, а также реальных пользователей.

— Дата и время – регистрирует временные показатели появления события.

— Загрузка центрального процессора – время, необходимое для выполнения команд пользователя.

Существует масса других событий, которые возникают при работе операционной системы. Все происшествия высвечиваются в «Просмотре событий» с описанием всех сопутствующих информационных данных.

Как работать с журналом событий?

Очень важным моментом в предохранении системы от сбоев и зависаний является периодическое просматривание журнала «Приложение», в котором фиксируются сведения о происшествиях, недавних действиях с той или иной программой, а также предоставляется выбор доступных операций.

Зайдя в журнал событий Windows 7, в подменю «Приложение» можно увидеть список всех программ, вызвавших различные негативные события в системе, время и дату их появления, источник, а также степень проблемности.

В этой консоли можно сохранить все события за последние несколько месяцев, очистить журнал от старых записей, изменить размер таблицы и многое другое.

Ответные действия пользователя на события

Изучив, как открыть журнал событий Windows 7 и каким образом им пользоваться, следует далее научиться применять с этим полезным приложением «Планировщик задач». Для этого необходимо правой клавишей мыши кликнуть на любое происшествие и в открывшемся окне выбрать меню привязки задачи к событию. В следующий раз, когда произойдет такое происшествие в системе, операционка автоматом запустит установленную задачу на обработку ошибки и ее исправление.

Ошибка в журнале не является поводом для паники

Если, просматривая журнал системных событий Windows 7, вы увидите появляющиеся периодически ошибки системы или предупреждения, то не следует переживать и паниковать по этому поводу. Даже при отлично работающем компьютере могут регистрироваться различные ошибки и сбои, большинство из которых не несут серьезной угрозы работоспособности ПК.

Описываемое нами приложение создано для того, чтобы облегчить системному администратору контроль над компьютерами и устранение появляющихся проблем.

Вывод

Исходя из всего вышесказанного, становится ясно, что журнал событий – способ, позволяющий программам и системе фиксировать и сохранять все события на компьютере в одном месте. В таком журнале хранятся все операционные ошибки, сообщения и предупреждения системных приложений.

Где находится журнал событий в Windows 7, чем его открыть, как им пользоваться, каким образом исправлять появившиеся ошибки – все это мы узнали из этой статьи. Но многие спросят: «А зачем нам это нужно, мы не системные администраторы, не программисты, а обыкновенные пользователи, которым эти знания как бы не нужны?» Но этот подход неправильный. Ведь когда человек чем-то заболевает, перед походом к врачу он пытается сам вылечиться теми или иными способами. И у многих часто это получается. Так и компьютер, являющийся цифровым организмом, может «заболеть», и в этой статье показан один из способов, как диагностировать причину такого «заболевания», по результатам такого «обследования» можно принять правильное решение о методах последующего «лечения».

Так что информация о способе просмотра событий будет полезна не только системщику, но и обыкновенному пользователю.