Использование оснастки Event Viewer консоли управления Computer Management Console в операционной системе Windows Server 2003

Администраторы Windows Server 2003 смогут существенно улучшить процесс управления сервером при помощи различных системных приложений консоли управления Computer Management Console. В этой статье будет подробно рассмотрено одно из них: Event Viewer (Просмотр событий). Для доступа к Computer Management Console в системе Windows Server 2003, нажмите правой кнопкой мыши на значок My Computer (Мой компьютер) в меню Start (Пуск) и выберите пункт Manage (Управление).

Оснастка Event Viewer отображает события, регистрируемые системой при выполнении различных операций. Ее можно запустить путем ввода команды eventvwr в строку Run и нажав OK.

По умолчанию события записываются в одном из трех журналов:

System (Система): отображает системные события Windows.
Application (Приложения): отображает события, записанные установленными приложениями.
Security (Безопасность): отображает записи регистрации входа и выхода в систему, а также действия, связанные с доступом к файлам и папкам.

(Прочие программы, в том числе последние версии Microsoft Office и Internet Explorer, Microsoft Active Directory и File Replication Services, создают собственные журналы событий)

В каждом из них при помощи Event Viewer можно просмотреть, какие действия выполнялись в системе. Например, в журнале System записывается информация о запуске и остановке системных служб.

Журналы System и Application регистрируют предупреждения и критические события. Предупреждения (Warning events) — тип событий, которые не сигнализируют о неотложной проблеме, но могут вызвать более серьезные неприятности, если их не решить вовремя. Критические события (Critical events) записываются, когда в работе компонентов системы или приложений возникают ошибки при выполнении заданий. Примером критического события в журнале служб каталогов (Directory Services) может служить ошибка, которая случается, когда контроллеры домена (Domain Controllers) в среде активной директории (Active Directory) не могут копировать друг другу информацию о службе каталогов. Несмотря на то, что вызвавшие ее причины могут быть самыми разными, включая перебои в сети и проблемы с DNS, она классифицируется как критическая, так служит предвестником возможных нарушений в системной среде.

Резервное копирование, очистка и изменение размеров журналов событий

Оснастку Event Viewer можно применять для резервного копирования и очистки журналов событий, например в тех случаях, когда они достигают максимального размера.

Для удаления из журнала всех записей:

1. В левой части окна консоли управления Computer Management Console нажмите правой кнопкой на журнал, который требуется очистить, и выберите пункт меню Clear Log (Очистка журнала).
2. Windows Server 2003 спросит, не желаете ли вы сохранить содержимое файла перед его удалением. Нажмите Yes (Да) и укажите путь к папке для сохранения записей из журнала.
3. Нажмите Save (Сохранить). Таким образом, все записи из журнала удалятся, но будут сохранены в виде архивной копии на жестком диске.

Для изменения предельно допустимого размера журнала:

1. Нажмите правой кнопкой на нужный журнал и выберите пункт Properties (Свойства).
2. В поле Maximum Size (Максимальный размер) введите новое значение (по умолчанию 512 Кб) и нажмите OK.

Автоматическое управление журналами событий

По умолчанию максимально допустимая величина создаваемых журналов составляет 512 Кб. Этого вполне достаточно для удобного управления ими; однако система довольно часто регистрирует в них различные процессы. Журнал Security, например, может пополняться гораздо быстрее, чем хотелось бы, и в результате система со временем станет запрещать вход всем пользователям, не имеющим полномочий администратора. Это не столько типичная проблема серверных систем, сколько пример того, что может случиться при переполненном объеме журнала событий.

Для решения такой проблемы предусмотрены три опции:

• Overwrite events as needed — Перезаписывать события (перезапись начинается с самых старых записей).
• Archive log when full — Архивировать журнал при достижении предельного объема (перезапись событий не происходит).
• Do not overwrite events — Не перезаписывать события (очистка журнала производится в ручную).

При выборе одной из первых двух опций, управление журналов будет осуществляться автоматически в соответствии с разерами свободного пространства жесткого диска.

Примечание: Для проверки функционирования Windows Server 2003 необходимо регулярно просматривать журналы событий. Возможность создания архивных копий записей позволит администратору анализировать содержимое старых событий, не вмешиваясь в работу текущих журналов.

Журнал событий в Windows: как его открыть и найти информацию об ошибке

Доброго дня!

Даже если вы за компьютером ничего не делаете — в процессе работы ОС Windows записывает часть данных в спец. документы (их еще называют логами или системными журналами) . Как правило, под-запись попадают различные события, например, включение/выключение ПК, возникновение ошибок, обновления и т.д.

Разумеется, в некоторых случаях эти записи могут быть очень полезными. Например, при поиске причин возникновения ошибок, синих экранов, внезапных перезагрузок и т.д. Отмечу, что если у вас установлена не официальная версия Windows — может так стать, что журналы у вас отключены.

В общем, в этой заметке покажу азы работы с журналами событий в Windows (например, как найти ошибку и ее код, что несомненно поможет в диагностике).

Работа с журналом событий (для начинающих)

Как его открыть

Этот вариант универсальный и работает во всех современных версиях ОС Windows.

1. нажать сочетание кнопок Win+R — должно появиться окно «Выполнить»;
2. ввести команду eventvwr и нажать OK ( примечание : также можно воспользоваться диспетчером задач (Ctrl+Shift+Esc) — нажать по меню «Файл/новая задача» и ввести ту же команду eventvwr ) ;

eventvwr — команда для вызова журнала событий

после этого у вас должно появиться окно «Просмотр событий» — обратите внимание на левую колонку, в ней как раз и содержатся всевозможные журналы Windows.

сначала необходимо открыть панель управления и перейти в раздел «Система и безопасность» ;

Система и безопасность

далее необходимо перейти в раздел «Администрирование» ;

после кликнуть мышкой по ярлыку «Просмотр событий» .

Просмотр событий — Администрирование

Актуально для пользователей Windows 10.

1) Нажать по значку с «лупой» на панели задач, в поисковую строку написать «событий» и в результатах поиска ОС Windows предоставит вам ссылку на журнал (см. скрин ниже).

Windows 10 — события

2) Еще один способ: нажать сочетание Win+X — появится меню со ссылками на основные инструменты, среди которых будет и журнал событий.

Win+X — вызов меню

Журналы Windows

Наибольшую пользу (по крайней мере, для начинающих пользователей) представляет раздел «Журналы Windows» (выделен на скрине выше). Довольно часто при различных неполадках приходится изучать как раз его.

В нем есть 5 вкладок, из которых 3 основных: «Приложение», «Безопасность», «Система». Именно о них пару слов подробнее:

1. «Приложение» — здесь собираются все ошибки (и предупреждения), которые возникают из-за работы программ. Вкладка будет полезна в тех случаях, когда у вас какое-нибудь приложение нестабильно работает;
2. «Система» — в этой вкладке содержатся события, которые сгенерированы различными компонентами ОС Windows (модули, драйверы и пр.);
3. «Безопасность» — события, относящиеся к безопасности системы (входы в учетную запись, раздача прав доступа папкам и файлам, и т.д.).

Как найти и просмотреть ошибки (в т.ч. критические)

Надо сказать, что Windows записывает в журналы очень много различной информации (вы в этом можете убедиться, открыв любой из них). Среди стольких записей найти нужную ошибку не так просто. И именно для этого здесь предусмотрены спец. фильтры. Ниже покажу простой пример их использования.

И так, сначала необходимо выбрать нужный журнал (например «Система») , далее кликнуть в правой колонке по инструменту «Фильтр текущего журнала» .

Система — фильтр текущего журнала / Кликабельно

После указать дату, уровень события (например, ошибки), и нажать OK.

В результате вы увидите отфильтрованный список событий. Ориентируясь по дате и времени вы можете найти именно ту ошибку, которая вас интересует. Например, в своем примере я нашел ошибку из-за которой компьютер перезагрузился (благодаря коду ошибки и подробному описанию можно найти ее решение на сайте Microsoft) .

Представлены все ошибки по дате и времени их возникновения / Кликабельно

Т.е. как видите из примера — использование журнала событий очень даже помогает в решении самых разных проблем с ПК.

Можно ли отключить журналы событий

Можно! Только нужно ли? (хотя не могу не отметить, что многие считают, что на этом можно сэкономить толику дискового пространства, плюс система более отзывчива и меньше нагрузка на жесткий диск)

Для отключения журналов событий нужно:

открыть «службы» (для этого нажмите Win+R , введите команду services.msc и нажмите OK) ;

Открываем службы — services.msc (универсальный способ)

далее нужно найти службу «Журнал событий Windows» и открыть ее;

Службы — журналы событий

после перевести тип запуска в режим «отключена» и нажать кнопку «остановить» . Затем сохранить настройки и перезагрузить компьютер.

Создание записей в журнале событий операционной системы Windows Server 2003

Windows Server 2003 регистрирует множество операций всевозможных видов, включая протоколы работы приложений, системных и защитных процессов. Эти журналы помогают отслеживать производительность и появление проблем в работе операционной системы или программ, запускаемых на сервере. Журналы могут оказаться особенно полезными для записи в них других значимых процессов.

Это осуществляется при помощи специальной утилиты командной строки Windows Server 2003. Запустить ее можно из программного batch-файла или обратиться к ней в процессе регистрации записи в журнале событий.

Для создания записи в системном журнале применяется команда EventCreate. При запуске EventCreate с параметром /? применяется следующий синтаксис.

С помощью этой команды в журнал можно записать любое событие. Windows Server 2003 регистрирует множество процессов без вмешательства пользователя, но произвольные коды, созданные пользователем для помощи в решении различных задач, могут остаться вне журнала, если их не внести туда собственноручно.

Парамтеры и действия

/S — Определяет имя удаленной системы для соединения при записи события
/U — Определяет имя пользователя для записи события, если это необходимо
/P — Определяет пароль к заданному имени пользователя; Запрашивает ввод в случае, если пароль не был назначен.
/L — Определяет журнал для записи, например, Application (Приложение), System (Система), Security (Безопасность)
/T — Определяет тип создаваемого события: SUCCESS (УСПЕХ), ERROR (ОШИБКА), WARNING (ПРЕДУПРЕЖДЕНИЕ), INFORMATION (ИНФОРМАЦИЯ)
/SO — Определяет источник события (например, приложение WinWord или Microsoft Word)
/ID — Назначает идентификатор записи (допустимые значения от 1 до 1000, без запятых)
/D — Добавляет описание события (в кавычках)

Регистрация в журнале событий записей автоматических процессов, выполняемых на удаленных машинах, помогает администраторам установить, какие именно действия производились пользователями и как на них реагировала система.

Примечание: команда eventcreate работает также в Windows XP и Windows Vista.

Аудит объектов Active Directory в Windows Server 2003

В этой пошаговой статье описывается использование аудита Windows Server 2003 для отслеживания действий пользователей и системных событий в Active Directory.

Исходная версия продукта: Windows Server 2003
Исходный номер КБ: 814595

Аннотация

При использовании аудита Windows Server 2003 на компьютере можно отслеживать как действия пользователей, так и действия с Windows Server 2003 с именами событий. При использовании аудита можно указать, какие события будут записаны в журнал безопасности. Например, журнал безопасности может вести запись как допустимых, так и недопустимых попыток входа и событий, которые связаны с созданием, открытием или удалением файлов или других объектов. Запись аудита в журнале безопасности содержит следующие сведения:

• Выполнено действие.
• Пользователь, выполвший действие.
• Успех или сбой события и время его проведения.

Параметр политики аудита определяет категории событий, которые Windows Server 2003 регистрет в журнале безопасности на каждом компьютере. Журнал безопасности позволяет отслеживать события, которые вы указали.

При аудите событий Active Directory Windows Server 2003 записывает событие в журнал безопасности контроллера домена. Например, если пользователь попытается войти в домен с помощью учетной записи пользователя домена и попытка входа не будет выполнена, событие будет записано на контроллер домена, а не на компьютер, на котором была предпринята попытка входа. Это происходит из-за того, что контроллер домена попытался проверить подлинность попытки регистрации, но не смог сделать это.

Используйте окно просмотра событий для просмотра событий, которые Windows Server 2003 регистрет в журнале безопасности. Вы также можете архивировать файлы журналов для отслеживания тенденций с течением времени. Например, если вы хотите определить использование принтеров или файлов или проверить использование неавторизованных ресурсов.

Чтобы включить аудит объектов Active Directory:

• Настройка параметра политики аудита для контроллера домена. При настройке параметра политики аудита можно проводить аудит объектов, но нельзя указать объект, который нужно аудитировать.
• Настройка аудита для определенных объектов Active Directory. После указания событий для аудита файлов, папок, принтеров и объектов Active Directory Windows Server 2003 отслеживает и записи этих событий.

Настройка параметра политики аудита для контроллера домена

По умолчанию аудит отключен. Для контроллеров домена параметр политики аудита настраивается для всех контроллеров домена в домене. Для аудита событий, происходящих на контроллерах домена, настройте параметр политики аудита, который применяется ко всем контроллерам домена в не локальном объекте групповой политики (GPO) для домена. Доступ к этому параметру политики можно получить через подразделение «Контроллеры домена». Чтобы проверять доступ пользователей к объектам Active Directory, настройте категорию событий доступа к службе каталогов аудита в параметре политики аудита.

• Необходимо предоставить пользователю журнала аудита и безопасности право на компьютер, на котором необходимо настроить параметр политики аудита или просмотреть журнал аудита. По умолчанию Windows Server 2003 предоставляет эти права группе администраторов.
• Файлы и папки, которые необходимо проверять, должны быть в томах файловой системы Microsoft Windows NT файловой системы (NTFS).

Чтобы настроить параметр политики аудита для контроллера домена:

Нажмите кнопку «Начните», выберите пункт «Программы»,«Администрирование» и «Пользователи и компьютеры Active Directory».

В меню Вид выберите пункт Дополнительные параметры.

Щелкните правой кнопкой мыши контроллеры домена и выберите «Свойства».

Перейдите на вкладку «Групповая политика», выберите политику контроллера домена по умолчанию и нажмите кнопку «Изменить».

Щелкните «Конфигурация компьютера», дважды щелкните «Параметры Windows», дважды щелкните «Параметры безопасности», дважды щелкните «Локальные политики», а затем дважды щелкните «Политика аудита».

В правой области щелкните правой кнопкой мыши доступ к службам каталогов аудита и выберите «Свойства».

Щелкните «Определить эти параметры политики» и выберите один или оба следующих флажка:

• Success: Click to select this check box to audit successful attempts for the event category.
• Failure: Click to select this check box to audit failed attempts for the event category.

Щелкните правой кнопкой мыши любую другую категорию событий, для аудита и выберите «Свойства».

Нажмите кнопку ОК.

Так как изменения, внесенные в параметр политики аудита на компьютере, вступает в силу только при распространении или применении параметра политики на компьютере, выполните одно из следующих действий, чтобы инициировать распространение политики:

• Введите gpupdate /Target:computer в командной области и нажмите ввод.
• Дождись автоматического распространения политики, которое будет происходить через определенные интервалы времени, которые можно настроить. По умолчанию распространение политики происходит каждые пять минут.

Откройте журнал безопасности, чтобы просмотреть зарегистрированные события.

Если вы — администратор домена или предприятия, вы можете включить аудит безопасности рабочих станций, рядовых серверов и контроллеров домена удаленно.

Настройка аудита для определенных объектов Active Directory

После настройки параметра политики аудита можно настроить аудит для определенных объектов, таких как пользователи, компьютеры, подразделения или группы, указав как типы доступа, так и пользователей, доступ к которым нужно проверять. Настройка аудита для определенных объектов Active Directory:

Нажмите кнопку «Начните», выберите пункт «Программы»,«Администрирование» и «Пользователи и компьютеры Active Directory».

Убедитесь, что в меню «Вид» выбраны дополнительные функции, убедившись, что рядом с командой есть контрольный знак.

Щелкните правой кнопкой мыши объект Active Directory, который нужно аудит, и выберите «Свойства».

Щелкните вкладку «Безопасность» и выберите «Дополнительные».

Щелкните вкладку «Аудит» и нажмите кнопку «Добавить».

Выполните одно из следующих ок.

• Введите имя пользователя или группы, доступ к которой нужно отлажать, в поле «Введите имя объекта для выбора» и нажмите кнопку «ОК».
• В списке имен дважды щелкните пользователя или группу, доступ к которой нужно проверять.

Щелкните, чтобы выбрать для действий аудита либо успешное, либо «Сбой», а затем нажмите кнопку «ОК».

Щелкните ОК, а затем щелкните ОК.

Устранение неполадок

Размер журнала безопасности ограничен. В связи с этим корпорация Майкрософт рекомендует тщательно выбирать файлы и папки, которые нужно проверять. Также учитывайте объем дискового пространства, который необходимо выделить в журнале безопасности. Максимальный размер определяется в представлении событий.