Создаем собственный журнал событий в Windows

Как вы знаете, большинство «нормальных» приложений записывают свои события в журнал событий Windows (Application Event Log). Это отличное место для централизованного хранения и просмотра событий приложений, однако зачастую при возникновении необходимости журналировать события от определенного приложения в данном журнале, мы можем столкнуться с тем, что из-за большого количества и чрезмерной подробности событий, работать со стандартным журналом приложений Windows становится очень неудобно. В данном случае было бы удобно создать собственный журнал событий для данного приложения, и для него настраивать различные параметры, такие как размер журнала, фильтры и т.д., а стандартный журнал Application можно использовать как обычно, не засоряя его ненужной информацией. В ОС семейства Windows присутствует функция, позволяющая создать собственный журнал событий.

Сначала создадим новый файл журнала. Сделать это можно при помощи реестра. Запустите редактор реестра regedit и перейдите в ветку:

Щелкните правой кнопкой по узлу Eventlog и создайте новый ключ (New > Key)

Имя ключа в этом случае будет являться и именем нового журнала. По умолчанию новый журнал (файл .evt) создается тут:

Его можно переименовать, изменив строковый параметр в реестре по своему усмотрению.

Далее нужно добавить источники (Sources) событий для нового журнала. Создайте новый ключ типа Multi-String с именем “Sources”, в качестве параметров укажите имена всех приложений, который будут использовать данный журнал (каждое приложение с новой строки).

Затем нужно перенести ассоциации ваших приложений из стандартного журнала Application в ваш новый журнал. Разверните ветку “Application”, находящуюся по адресу:

И скопируйте все ветки, которые относятся к интересуемым Вами приложениям в новый ветку реестра нового журналa:

Т.к. команда скопировать/вставить в редакторе реестра не работает, их можно пересоздать вручную (если их немного), или же можно осуществить перенос при помощи процедуры экспорта/импорта веток реестра с ручным редактирование .reg файла. Убедитесь, что после переноса вы удалили ключи реестра ваших приложений из ветки Application, иначе Windows не поймет, что нужно писать события в новый журнал. В том случае, если вы используете новый источник событий для журнала, нужно будет создать параметр типа DWORD с именем CustomSource и значением равным 1:

В моем примере, я создал собственное приложение .NET 2.0, причем я хочу, чтобы оно записывало события в созданный нами журнал. Для этого я создам новый ключ реестра EventMessageFile и укажу в нем путь к библиотеке журналирования.NET 2.0:

Затем нужно перезагрузить Windows, а после загрузки системы вы увидите новый журнал событий в разделе Event Viewer-а. В том случае, если ваше приложение по какой-либо причине не пишет событий в новый журнал, можно протестировать его работу вручную, откройте командую строку и перейдите в каталог:

В том случае, если вы все сделали правильно должно появиться окно, сообщающее о том, что событие было успешно записан в журнал, либо сообщение об ошибки и причины ее появления.

Update:

Небольшое обновление статьи по письмам читателей:

Вышеприведенная инструкция по созданию собственного журнала ориентирована на серверные ОС семейства Microsoft. Более общий способ, который должен работать в большинстве Windows следующий (отличаются пути в реестре и ключи):

Создаем новый раздел в реестре (имя раздела — имя создаваемого журнала), путь к созданному будет таким:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\NewEventLog , в котором нужно создать следующие ключи:

• «AutoBackupLogFiles» — тип DWORD, создавать или нет резервные копии журнала (0 — не создавать)
• «MaxSize» -тип DWORD, максимальны размер журнала в байтах, значение должно быть кратным 64Кб
• «Retention» — тип DWORD, время хранения записей в случае переполнения журнала.
• «File» — тип REG_EXPAND_SZ, строка, в которой содержится путь к логу журнала на жестком диске, например %SystemRoot%\System32\config\NewEventLog.evt)
• «Sources»- тип REG_MULTI_SZ, здесь указан список источников событий, чьи логи должны попадать в этот журнал, каждый источник с новой строки

Создание журнала с помощью системного монитора в Windows

Аннотация

В этой статье описано, как создавать файлы журналов с помощью системного монитора в Microsoft Windows 2000, Microsoft Windows XP и Microsoft Windows Server 2003. Скачайте и используйте мастер системного монитора (PerfWiz), чтобы упростить настройку журнала.

Дополнительная информация

Средство системного монитора, которое входит в состав Windows 2000, Windows XP и Windows Server 2003, — это средство администрирования, которое заменяет средство «системный монитор», которое входит в состав Windows NT 4,0. Ниже приведен список некоторых улучшений средства системного монитора.

Вы можете регистрировать определенные счетчики и экземпляры объекта, что помогает уменьшить размер файлов журнала.

Объект «очередь печати» — это новый объект производительности, позволяющий отслеживать аспекты очереди печати.

Вы можете запустить журнал событий с помощью журналов и оповещений о производительности.

Кроме того, были добавлены другие объекты производительности.

Пример файла журнала входит в состав Windows 2000.

Чтобы создать новый журнал, выполните указанные ниже действия.

Щелкните правой кнопкой мыши журналы счетчиков, выберите пункт новые параметры журнала, введите имя журнала и нажмите кнопку ОК.

На вкладке Общие в Windows 2000 нажмите кнопку Добавить , чтобы добавить нужные счетчики. На вкладке Общие в Windows XP или windows Server 2003 нажмите кнопку Добавить счетчики.

На вкладке файлы журнала выберите нужные параметры ведения журнала.

На вкладке Расписание выберите нужные параметры планирования.

Аналогичные параметры можно настроить в оповещениях. Например, вы можете настроить оповещение для отправки сообщения, запуска журнала данных производительности или выполнения программы, если счетчик превышает определенное значение.

Использование мастера системного монитора

Для получения и загрузки мастера системного монитора (PerfWiz). Мастер мониторинга производительности упрощает сбор журналов системного монитора. Она настраивает правильные счетчики для сбора образцов интервалов и размеров файлов журнала. Этот мастер может создавать журналы для устранения проблем с производительностью операционной системы или Exchange Server. Заметки:

Если вы можете устранить неполадки с производительностью или проблемы, которые выглядят как утечки памяти, объекты, которые системный монитор должен включить в журнал, но не ограничиваются указанными ниже элементами. Проблемы с ресурсами памяти:

Кэша Хватки Object Файл подкачки Процесса Воздуш Администратор Службы терминалов (если сервер терминалов) Для всех прочих проблем с ресурсами добавьте дополнительные счетчики.

Логический диск Подключения NBT Сетевой интерфейс Физический диск Перенаправителе Server Рабочие очереди сервера Поток (не захватывать, если сервер терминалов) Все счетчики сервера терминалов (если сервер терминалов) Все счетчики протокола, привязанные к сетевым адаптерам

Счетчики физического диска представлены по умолчанию в Windows 2000.

Для получения дополнительных сведений о том, как просмотреть файлы журнала для утечек памяти и узких мест производительности, щелкните следующий номер статьи базы знаний Майкрософт:

150934 Создание журнала системного монитора для устранения неполадок в системе NT Также ознакомьтесь с определением приемлемых значений для счетчиков в справке Windows 2000 в разделе счетчики производительности .

Запуск сборщика журналов в Windows Server Essentials Run the Windows Server Essentials Log Collector

Сборщик журналов Windows Server Essentials можно запустить с сервера или компьютера в сети. You can run the Windows Server Essentials Log Collector from the server or a computer on the network. При запуске сборщика журналов на сервере можно будет собирать журналы только с сервера. If you run the Log Collector from the server, you can only collect logs from the server. При запуске сборщика журналов на сетевом компьютере можно собирать журналы с сервера, а также журналов с этого компьютера. If you run the Log Collector from a network computer, you can choose to collect logs from the server, in addition to the logs for that computer.

Для запуска сборщика журналов необходимо иметь соответствующие права администратора. You must have appropriate administrative privileges to run the Log Collector. При сборе файлов журнала для сервера необходимо быть администратором сервера. При сборе файлов журнала на компьютере необходимо быть администратором клиентов для этого компьютера. If you are collecting log files for a server, you must be a Server Administrator; if you are collecting log files on a network computer, you must be a Client Administrator for that computer.

Запуск сборщика журналов на сервере с помощью мастера To run the Log Collector on the server by using the wizard

На начальной странице сервера щелкните сборщик журналов Windows Server Essentials. On the Start page of the server, click Windows Server Essentials Log Collector.

• Если программа сборщика данных журнала не отображается на начальной странице, перейдите к %систем%\програм Files (x86) \Windows Server Essentials log сборщика, а затем дважды щелкните LogCollector. If the Log Collector program does not appear on the Start page, browse to %system%\Program Files (x86)\Windows Server Essentials Log Collector, and then double-click LogCollector.
  • Если вы вошли на сервер без прав администратора, сборщик журналов предложит ввести учетные данные. If you are not logged on to the server with administrative privileges, the Log Collector prompts you to enter your credentials.

При появлении запроса на сохранение собранных файлов журнала можно выбрать расположение по умолчанию \ \ \Logs или указать другое расположение. When you are prompted for a location to save the collected log files, you can choose the default location, \\ \logs, or specify another location. Чтобы принять расположение по умолчанию, щелкните Далее. To accept the default location, click Next. Чтобы изменить расположение, нажмите кнопку Обзор, перейдите в папку, в которую необходимо сохранить файлы журнала, а затем нажмите кнопку Сохранить. To change the location, click Browse, navigate to the folder where you want to save the log files, and then click Save.

Для файлов журнала имена файлов указывать не надо. You do not need to supply file names for the log files. Сборщик журнала присваивает имя коллекции ZIP-файлов путем сцепления имени компьютера и метки времени файла. The Log Collector names the zip file collection by concatenating the computer name and the time stamp of the file.

Во время сбора журналов отображается индикатор хода выполнения. A progress bar is displayed while the logs are being collected.

Для просмотра содержимого файла коллекции журналов установите флажок Открыть расположение файла, где сохранены журналы и щелкните Закрыть, чтобы закрыть мастер и открыть файл коллекции журналов. To view the contents of the log collection file, select the Open the file location where the logs were saved check box, and click Close to close the wizard and open the log collection file.

Запуск сборщика журналов на сетевом компьютере с помощью мастера To run the Log Collector on a network computer by using the wizard

Перейдите к файлу %систем%\програм Files (x86) \Windows Server Essentials log, а затем дважды щелкните файл LogCollector.exe. Browse to %system%\Program Files (x86)\Windows Server Essentials Log Collector, and then double-click the file LogCollector.exe.

Если вы вошли на компьютер сети без прав администратора, введите имя пользователя и пароль при появлении соответствующего запроса, а затем нажмите кнопку Далее. If you are not logged on to the network computer with administrative privileges, enter your user name and password when prompted, and then click Next.

Выберите журналы, которые необходимо собрать, следующим образом: Select which logs you would like to collect, as follows:

Установите флажок Файлы журнала сервера, чтобы собрать файлы журнала на сервере. Select the Server log files check box to collect log files on the server.

Флажок Файлы журнала клиентского компьютера (этот компьютер) устанавливается по умолчанию, указывая на то, что сборщик журналов будет собирать журналы из сетевого компьютера, на котором он выполняется. The Client computer log files (this computer) check box is selected by default, indicating that the Log Collector will collect the logs from the network computer that is running the. Если требуется собирать журналы сервера, снимите флажок Файлы журнала клиентского компьютера (этот компьютер). If you only want to collect server logs, clear the Client computer log files (this computer) check box.

Нажмите кнопку Далее. Click Next.

При появлении соответствующего запроса введите имя пользователя и пароль для администратора сервера, а затем нажмите кнопку Далее. When prompted, type the user name and password for a server administrator, and then click Next.

Введите или выберите путь к расположению, где вы хотите сохранить файлы журнала, и нажмите кнопку Далее. Type or browse to the location where you want to save the log files, and then click Next.

Для файлов журнала имена файлов указывать не надо. You do not need to supply file names for the log files. Сборщик журнала присваивает имя коллекции ZIP-файлов путем сцепления имени компьютера и метки времени файла. The Log Collector names the zip file collection by concatenating the computer name and the time stamp of the file.

Во время сбора журналов отображается индикатор хода выполнения. A progress bar is displayed while the logs are being collected.

Для просмотра содержимого файла коллекции журналов установите флажок Открыть расположение файла, где сохранены журналы и щелкните Закрыть, чтобы закрыть мастер и открыть файл коллекции журналов. To view the contents of the log collection file, select the Open the file location where the logs were saved check box, and click Close to close the wizard and open the log collection file.

Запуск сборщика журналов вручную Running the Log Collector manually

После установки сборщика журналов создается запланированное задание, позволяющее запускать данный инструмент. After the Log Collector is installed, a scheduled task is created to run the tool. Впоследствии при возникновении проблем с запуском мастера для запуска сборщика журналов можно будет использовать Диспетчер запланированных задач (без применения мастера). You can subsequently run the Log Collector from the Scheduled Task Manager without using the wizard, if there are issues with starting the wizard.

Запуск сборщика журналов на сервере вручную To manually run the Log Collector on the server

Войдите на сервер напрямую или удаленно. Log on directly or remotely to the server.

Откройте Планировщик задач. Open the Task Scheduler.

В корне Библиотеки планировщика задач найдите запланированную задачу с именем LogCollector. In the root of the Task Scheduler Library, browse to the scheduled task named LogCollector.

Щелкните правой кнопкой мыши LogCollector, а затем нажмите кнопку Выполнить. Right-click LogCollector, and then click Run. Сборщик журналов помещает журналы в папку по умолчанию на сервере \ \ \Logs. The Log Collector places the logs in the default folder on the server, \\ \Logs. Если у вас нет разрешения на запись в папку или папка не существует, журналы помещаются в подкаталог . If you do not have write permission for the folder, or the folder does not exist, logs are placed in the subdirectory.

Запуск сборщика журналов на сетевом компьютере вручную To manually run the Log Collector on a network computer

Войдите на сетевой компьютер напрямую или удаленно. Log on directly or remotely to the network computer.

Откройте Планировщик задач. Open the Task Scheduler.

В корне Библиотеки планировщика задач найдите запланированную задачу с именем LogCollector. In the root of the Task Scheduler Library, browse to the scheduled task named LogCollector.

Щелкните правой кнопкой мыши LogCollector, а затем нажмите кнопку Выполнить. Right-click LogCollector, and then click Run. Сборщик данных журнала помещает журналы в папку на сетевом компьютере. The Log Collector places the logs in the folder on the network computer.