Использование сборщика журналов Windows Server Essentials Use the Windows Server Essentials Log Collector

Область применения: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials Applies To: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials

При устранении неполадок, связанных с компьютером, у представителя службы поддержки пользователей Майкрософт могут попросить вас собрать журналы с серверов, компьютеров в сети или с помощью сборщика журналов Windows Server Essentials. When you are troubleshooting computer issues, a representative from Microsoft Customer Service and Support may ask you to gather logs from servers, computers on the network, or both by using the Windows Server Essentials Log Collector.

Сборщик журналов копирует журналы программ, событий и прочую информацию среды в единый ZIP-файл по указанному адресу. The Log Collector copies program logs, event reviewer logs, and related environment information into a single zip file at a specified location. Сборщик журналов можно запускать непосредственно c сервера или любого компьютер сети, а также через удаленное подключение к компьютерам. You can run the Log Collector directly from the server or any computer on the network, or by using a remote connection to the computers.

Сборщик журналов не проводит анализ сетевых проблем и не вносит изменения в настройки серверов или компьютеров сети. The Log Collector does not analyze network issues or make changes to any server or computer on the network. Дополнительную информацию об устранении сетевых неполадок см. в справочной документации по вашему серверу. For information about how to troubleshoot network issues, see the Help documentation for your server product. В этом разделе Компьютеры в сети, отличные от сервера, называются сетевыми компьютерами. In this guide, the computers on your network, other than your server, are called network computers.

Чтобы установить и запустить сборщик журналов, выполните шаги, описанные в следующих разделах. To install and run the Log Collector, perform the steps in the following topics:

Сбор сведений о среде Environment information collected

Для каждого компьютера сети или сервера, указанного вами, сборщик журналов собирает следующие сведения о среде и помещает их в файл журнала коллекции: For each network computer or server that you specify, the Log Collector gathers the following environment information and places it into the log collection file.

Версия операционной системы Operating system version

Изготовитель и описание ЦП CPU manufacturer and description

Объем памяти и ее выделение Memory amount and allocation

Сетевые адаптеры, связанные с TCP/IP Network adapters that are bound to TCP/IP

Языковой стандарт Locale

Конфигурация хранилища Storage configuration

Сведения о файле узла Host file information

Журналы событий, включая события приложений, системные события, события Windows Server и Media Center Event Logs including Application, System, Windows Server and Media Center

Сообщения диспетчера управления службами Service Control Manager messages

События перезагрузки и Центра обновления Windows Reboot events and Windows Update events

Системные ошибки и ошибки приложений System Errors and Application Errors

Собираемые сведения о службах Services information collected

Службы сервера Server services

Служба резервного копирования Windows Server клиентского компьютера Windows Server Client Computer Backup Service

Поставщик службы резервного копирования Windows Server клиентского компьютера Windows Server Client Computer Backup Provider Service

Поставщик устройств Windows Server Windows Server Devices Provider

Управление доменными именами Windows Server Windows Server Domain Name Management

Реестр поставщика службы Windows Server Windows Server Service Provider Registry

Поставщик параметров Windows Server Windows Server Settings Provider

Служба UPnP-устройств Windows Server Windows Server UPnP Device Service

Поставщик средств удаленного администрирования Windows Server Windows Server Remote Web Access Administration Provider

Служба работоспособности Windows Server Windows Server Health Service

Служба хранения данных Windows Server Windows Server Storage Service

Служба SQM Windows Server Windows Server SQM Service

Службы сетевых компьютеров Network computer services

Поставщик службы резервного копирования Windows Server клиентского компьютера Windows Server Client Computer Backup Provider Service

Служба работоспособности Windows Server Windows Server Health Service

Реестр поставщика службы Windows Server Windows Server Service Provider Registry

Служба SQM Windows Server Windows Server SQM Service

Сбор сведений из журналов и реестров Logs and registry information collected

Для каждого указанного компьютера сети или сервера сборщик журналов собирает следующие сведения из журналов и реестра от сервера и компьютеров сети: For each network computer or server specified, the Log Collector gathers log and registry information from the server and network computer as follows.

Сведения из журналов и реестра сервера Server logs and registry information

Журналы серверных продуктов, с \Микрософт\виндовс сервер\логс Server product logs, from

Запланированные задачи Scheduled tasks

Журналы API установки Setup API logs

Журналы центра обновления Windows Windows Update logs

Файл оповещений о работоспособности Health Alerts file

Файл сведений об устройствах Devices Info file

Файл журнала архивации сервера Server Backup Log file

Файл журнала Panther Panther Log file

Разделы реестра из Registry keys, from

\\ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Server \\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Server \

Сведения из журналов и реестра компьютеров сети Network computer logs and registry information

Журналы продуктов для сетевого компьютера в \Микрософт\виндовс сервер\логс Network computer product logs at

Файл оповещений о работоспособности в \Микрософт\виндовс сервер\дата Health Alerts file at

Журналы центра обновления Windows Windows Update logs

Журналы API установки Setup API logs

Сведения о запланированных задачах Scheduled tasks info

Разделы реестра от \ \ HKEY_LOCAL_MACHINE \Софтваре\микрософт\виндовс Server Registry keys from \\HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Server \

Журналы компьютеров, которые работают не под управлением ОС Windows Logs for computers that do not run a version of the Windows operating system

Сборщик журналов не собирает файлы журналов с компьютеров, которые работают не под управлением ОС Windows. The Log Collector does not gather log files from computers that do not run a version of the Windows operating system. При использовании компьютеров, работающих под управлением ОС, отличной от Windows, вручную скопируйте следующие файлы журналов в ту же папку, где хранятся файлы сборщика журналов: For non-Windows computers, manually copy the following log files to the same location where you are storing the Log Collector files.

Library/Logs/Windows Server.log Library/Logs/Windows Server.log

Библиотека/журналы/Крашрепортер/панель запуска — (копирование всех файлов панели запуска- . Crash) Library/Logs/CrashReporter/LaunchPad- (copy all of the LaunchPad- .crash files)

Библиотека/журналы/Диагностикрепортс/панель запуска — (копирование всех файлов панели запуска- . Crash) Library/Logs/DiagnosticReports/LaunchPad- (copy all of the LaunchPad- .crash files)

Как посмотреть логи Windows?

Логи — это системные события, который происходят в любой операционной системе. С помощью логов можно легко отследить кто, что и когда делал. Читать логи могут не только системные администраторы, поэтому в данной инструкции рассмотрим, как смотреть логи ОС windows.

Ищете сервер с Windows? Выбирайте наши Windows VDS

Просмотр событий для проверки логов.

После нажатия комбинации “ Win+R и введите eventvwr.msc ” в любой системе Виндовс вы попадаете в просмотр событий. У вас откроется окно, где нужно развернуть Журналы Windows. В данном окне можно просмотреть все программы, которые открывались на ОС и, если была допущена ошибка, она также отобразится.

Аудит журнал поможет понять, что и кто и когда делал. Также отображается информация по запросам получения доступов.

В пункте Установка можно посмотреть логи ОС Виндовс, например, программы и обновления системы.

Система — наиболее важный журнал. С его помощью можно определить большинство ошибок ОС. К примеру, у вас появлялся синий экран. В данном журнале можно определить причину его появления.

Логи windows — для более специфических служб. Это могут быть DHCP или DNS.

Фильтрация событий.

С помощью Фильтра текущего журнала (раздел Действия) можно отфильтровать информацию, которую вы хотите просмотреть.

Обязательно нужно указать уровень Событий:

• Критическое
• Ошибка
• Предупреждение
• Сведения
• Подробности

Для сужения поиска можно отфильтровать источник событий и код.

Просмотр PowerShell логов.

Открываем PowerShell и вставляем следующую команду Get-EventLog -Logname ‘System’

В результате вы получите логи Системы

Для журнала Приложения используйте эту команду Get-EventLog -Logname ‘Application

Также обязательно ознакомьтесь с перечнем аббревиатур:

• Код события — EventID
• Компьютер — MachineName
• Порядковый номер события — Data, Index
• Категория задач — Category
• Код категории — CategoryNumber
• Уровень — EntryType
• Сообщение события — Message
• Источник — Source
• Дата генерации события — ReplacementString, InstanceID, TimeGenerated
• Дата записи события — TimeWritten
• Пользователь — UserName
• Сайт — Site
• Подразделение — Conteiner

Для выведения событий в командной оболочке только со столбцами «Уровень», «Дата записи события», «Источник», «Код события», «Категория» и «Сообщение события» для журнала «Система» используйте:

Get-EventLog –LogName ‘System’ | Format-Table EntryType, TimeWritten, Source, EventID, Category, Message

Если нужна подробная информация, замените Format-Table на Format-List на

Get-EventLog –LogName ‘System’ | Format-List EntryType, TimeWritten, Source, EventID, Category, Message

Формат информации станет более легким

Для фильтрации журнала, например, для фильтрации последних 20 сообщений, используйте команду

Get-EventLog –Logname ‘System’ –Newest 20

Если нужен список, позднее даты 1 января 2018 года, команда

Get-EventLog –LogName ‘System’ –After ‘1 января 2018’

Надеемся, данная статья поможет вам быстро и просто читать логи ОС Windows.

Желаем приятной работы!

Как установить свой образ на ВДС сервер с Виндовс, читайте в предыдущей статье.

Логи сервера, где искать и что означают

Что такое логи сервера

Логи сервера это текстовые файлы, которые генерирует сервер для протоколирования доступа к нему.

Текстовый файл может быть без расширения. Находится обычно в папке logs на сервере. В него заносятся результаты обращений к серверу.

Где найти и как выглядят логи

Специалисты знают где смотреть, а обычному пользователю доступ на сервер, как правило, закрыт. Однако большинство хостингов выводит логи через графический интерфейс. Таким образом позволяя пользователям самим анализировать результаты работы сайта. Чтобы найти логи посмотрите внимательно интерфейсы панели управления сайтом.

Так выглядит папка с логами на хостинге hostland через фтп проводник:

В данном случае это запакованные текстовые файлы. Скачиваем на компьютер нужный (по дате и веремни создания), распаковываем и смотрим любым тестовым редактором.

Если затруднились найти, то почитайте справку или обратитесь в техподдержку.

Вот это, например, строки из одного такого файла

109.173.59.49 — — [03/Apr/2015:12:56:18 +0300] «GET /sites/all/modules/fivestar/widgets/default/star.gif HTTP/1.0» 200 434 « http://linksfree.ru/content/kak-zamenit-posadochnuyu-stranicu » «Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 Version/12.16» linksfree.ru
109.173.59.49 — — [03/Apr/2015:12:56:18 +0300] «POST /modules/statistics/statistics.php HTTP/1.0» 200 — « http://linksfree.ru/content/kak-zamenit-posadochnuyu-stranicu » «Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 Version/12.16» linksfree.ru
195.154.188.41 — — [03/Apr/2015:12:57:52 +0300] «GET /content/pochta-dlya-domena-besplatno HTTP/1.0» 200 35412 « http://linksfree.ru/content/pochta-dlya-domena-besplatno » «Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; MRA 5.10 (build 5339); GTB7.5; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; .NET CLR 1.1.4322)» linksfree.ru
195.154.188.41 — — [03/Apr/2015:12:57:53 +0300] «GET /taxonomy/term/4 HTTP/1.0» 301 — « http://linksfree.ru/taxonomy/term/4 » «Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; MRA 5.10 (build 5339); GTB7.5; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; .NET CLR 1.1.4322)» linksfree.ru

Не очень показательно тут. На самом деле одна запись занимает одну строку. Записи разделены в файле построчно. Новая запись — новая строка.

Как читать лог сервера

Разбиваем строку на части:

1. 109.173.59.49 — IP адрес с которого был запрос

2. [03/Apr/2015:12:56:18 +0300] — дата и время запроса

3. GET или POST — тип запроса, иногда можно встретить определение «метод запроса»

4. /sites/all/modules/fivestar/widgets/default/star.gif — объект запроса

5. HTTP/1.0 — протокол по которому прошел запрос

6,7. 200 434 — коды ответа сервера . В данном случае запрос прошел (код 200 ОК), но запрашиваемая страница недоступна (код 434 запрашиваемый адрес недоступен)

8. « http://linksfree.ru/content/kak-zamenit-posadochnuyu-stranicu « страница по которой был запрос (то есть страница разбивается на объекты и идет иерархический доступ)

9. «Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 Version/12.16» — данные о постетителе , с какой системы пришел запрос

10. linksfree.ru сайт по которому идет обращение.

В целом это какая страница запрашивалась, с какой странице пришел запрос и что в ответ выдал сервер. А что в каком порядке утверждать не возьмусь без справочника. Главное, что общая картина понятна.

В целом иерархия такая: сайт — страница — объект на странице — объект на объекте.

Коды лога сервера

Подробно коды ответов в логах сервера можно посмотреть в википедии.

Можно особо не заморачиваться, если понимать общий принцип кодов. Он прост. Первая цифра определяет группу кодов. Последние уточняют сам код.

2хх — всё хорошо и ответ получен

3хх — ответ получен, но будет перенаправление

4хх — ответ получен, но в результате объект недоступен. Сайт доступен, но материала нет.

5хх — ошибка сервера. Тут проблемы глобальные. Или база данных рухнула или сервер полетел.

• 1xx: Informational (информационные):
• 100 Continue («продолжай»).
• 101 Switching Protocols («переключение протоколов»).
• 102 Processing («идёт обработка»).
• 105 Name Not Resolved («не удается преобразовать DNS-адрес сервера»).
• 2xx: Success (успешно):
• 200 OK («хорошо»).
• 201 Created («создано»).
• 202 Accepted («принято»).
• 203 Non-Authoritative Information («информация не авторитетна»).
• 204 No Content («нет содержимого»).
• 205 Reset Content («сбросить содержимое»).
• 206 Partial Content («частичное содержимое»)
• 207 Multi-Status («многостатусный»).
• 226 IM Used («использовано IM»).
• 3xx: Redirection (перенаправление):

• 300 Multiple Choices («множество выборов»).
• 301 Moved Permanently («перемещено навсегда»).
• 302 Moved Temporarily («перемещено временно»).
• 302 Found («найдено»).
• 303 See Other (смотреть другое).
• 304 Not Modified (не изменялось).
• 305 Use Proxy («использовать прокси»).
• 306 — зарезервировано (код использовался только в ранних спецификациях).
• 307 Temporary Redirect («временное перенаправление»).
• 4xx: Client Error (ошибка клиента):
• 400 Bad Request («плохой, негодный запрос»).
• 401 Unauthorized («неавторизован»).
• 402 Payment Required («необходима оплата»).
• 403 Forbidden («запрещено»).
• 404 Not Found («не найдено»).
• 405 Method Not Allowed («метод не поддерживается»).
• 406 Not Acceptable («неприемлемо»).
• 407 Proxy Authentication Required («необходима аутентификация прокси»).
• 408 Request Timeout («истекло время ожидания»).
• 409 Conflict («конфликт»).
• 410 Gone («удалён»).
• 411 Length Required («необходима длина»).
• 412 Precondition Failed («условие ложно»).
• 413 Request Entity Too Large («размер запроса слишком велик»).
• 414 Request-URI Too Large («запрашиваемый URI слишком длинный»).
• 415 Unsupported Media Type («неподдерживаемый тип данных»).
• 416 Requested Range Not Satisfiable («запрашиваемый диапазон не достижим»).
• 417 Expectation Failed («ожидаемое неприемлемо»).
• 418 I’m a teapot («я — чайник»).
• 422 Unprocessable Entity («необрабатываемый экземпляр»).
• 423 Locked («заблокировано»).
• 424 Failed Dependency («невыполненная зависимость»).
• 425 Unordered Collection («неупорядоченный набор»).
• 426 Upgrade Required («необходимо обновление»).
• 428 Precondition Required («необходимо предусловие»).
• 429 Too Many Requests («слишком много запросов»).
• 431 Request Header Fields Too Large («поля заголовка запроса слишком большие»).
• 434 Requested host unavailable. («Запрашиваемый адрес недоступен»)
• 449 Retry With («повторить с»).
• 451 Unavailable For Legal Reasons («недоступно по юридическим причинам»).
• 456 Unrecoverable Error («некорректируемая ошибка»).
• 499 Используется Nginx, когда клиент закрывает соединение до получения ответа.
• 5xx: Server Error (ошибка сервера):
• 500 Internal Server Error («внутренняя ошибка сервера»).
• 501 Not Implemented («не реализовано»).
• 502 Bad Gateway («плохой, ошибочный шлюз»).
• 503 Service Unavailable («сервис недоступен»).
• 504 Gateway Timeout («шлюз не отвечает»).
• 505 HTTP Version Not Supported («версия HTTP не поддерживается».
• 506 Variant Also Negotiates («вариант тоже проводит согласование»).
• 507 Insufficient Storage («переполнение хранилища»).
• 508 Loop Detected («обнаружена петля»).
• 509 Bandwidth Limit Exceeded («исчерпана пропускная ширина канала»).
• 510 Not Extended («не расширено»).
• 511 Network Authentication Required («требуется сетевая аутентификация»).

Деление лог файлов по типам

Хорошим тоном считается деление файлов по типам. Типов может быть множество. В основном встречаем два:

— файл с нормальными ответами.

Выше привел файл с нормальными ответами. Вот лога ошибок у меня нет. Точнее есть, но он пустой. Нет ошибок в работе сервера.

Принципиально он ничем не отличается по структуре от показанного файла. Только туда помещаются сообщения об ошибках. Обычно это ошибки 5 группы (фатальные на стороне сервера). Ошибки групп 1-4 показывают, что сайт работает в нормальном режиме и ошибки не критичны (для сервера. для посетителя 404 ошибка может быть критична).

Основное вроде всё. Ай пи адреса ясно, протоколы HTTP и HTTPS почти всем занакомы (структура мало кому интересна). Разве что про методы POST и GET пояснить чуток.

Методы POST и GET в лог файлах

Эти методы часто встречаются в лог файлах. Кроме них еще есть и другие.

МетодыOPTIONS · GET · HEAD · POST ·PUT · DELETE · TRACE ·CONNECT · PATCH

Метод указывает на тип операции с ресурсом. За подробностями можно снова сходить в википкдию и прочитать про методы доступа. На а тут кратенько.

GET — получить содержимое.

POST — метод обработки данных с возможностью отправки. Используется для диалога с пользователем (ввод пароля, комментария, адреса..).

Про остальные — в вики читайте.

Статья помогла — поделитесь в соцсети. Есть замечания-пожелания? Добро пожаловать в комментарии!

Используете материал на своем ресурсе — ставьте ссылку на оригинал!

Спасибо! И пусть не будет ошибок 5 группы в логах!

Помог материал — поставьте лайк, оставьте комментарий. Это поможет и другим пользователям интернета найти решение аналогичной проблемы.

Если темы интересны — подиписывайтесь на канал!