Как работать с журналом событий Windows

Что такое Журнал событий Windows и как с ним работать?

Журнал событий Windows – это специальные лог-файлы, в которые система и приложения записывают все значимые для вашего компьютера события: например, установка нового устройства; ошибки в работе приложений; вход пользователей в систему; незапустившиеся службы и т.д. Анализ данных из журнала событий поможет системному администратору (и даже обычному пользователю) устранить неисправности в работе операционной системы, программного обеспечения и оборудования.

Для того чтобы система регистрировала события в журнале – на компьютере должна быть запущена одноименная служба “Журнал событий Windows”. Данная служба запускается автоматически после включения компьютера. Не рекомендуется останавливать или выключать службу “Журнал событий Windows” – это может ухудшить стабильность и безопасность системы:

Для просмотра и управления журналами событий необходимо запустить в Windows стандартную программу “Просмотр событий”. Для этого перейдите в меню “Пуск”– “Панель управления” – “Администрирование” – “Просмотр событий”:Либо можно нажать на клавиатуре сочетание клавиш Win+R – в открывшемся окошке ввести eventvwr.msc и нажать ОК:

Запущенная утилита “Просмотр событий” имеет следующий вид:

В среднем столбце отображается список событий выбранной категории;

В правом столбце – список доступных действий с выбранным журналом;

Внизу находится панель подробных сведений о конкретной записи (область просмотра).

Внешний вид утилиты можно настроить по своему усмотрению. Например, с помощью кнопок под строкой меню можно скрыть или отобразить дерево консоли слева и панель действий справа:Область по центру снизу называется Областью просмотра. Здесь представлены общие и подробные сведения о выбранном событии. Ее можно скрыть, если снять соответствующую галку в меню “Вид”, или нажать на крестик в правом верхнем углу области просмотра:

Как же работать с утилитой “Просмотр событий” и решать с ее помощью возникающие проблемы?

Для нас наибольший интерес представляет раздел “Журналы Windows” – именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ.

Данный раздел включает три основные и две дополнительные категории: основные – это Приложение, Система, Безопасность; дополнительные – Установка и Перенаправленные события.

Приложение – хранит важные события, связанные с конкретным приложением. Эти данные помогут системному администратору установить причину отказа той или иной программы.

Система – хранит события операционной системы или ее компонентов (например, неудачи при запусках служб или инициализации драйверов; общесистемные сообщения и прочие сообщения, относящиеся к системе в целом).

Безопасность – хранит события, связанные с безопасностью (такие как: вход/выход из системы, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам).

В утилите “Просмотр событий” предусмотрена возможность поиска и фильтрации событий:

Например, была у меня такая ситуация: на компьютере некорректно работала одна программа – точнее не работала совсем: сразу после запуска она сама по себе отключалась. Как понять в чем именно проблема?

В этом случае я открыл утилиту “Просмотр событий” – зашел в “Журнал Windows” – “Приложение”. Там нашел ошибку со следующим описанием: Application Error 1000 (100) «Имя сбойного приложения: , Имя сбойного модуля: KERNELBASE.dll.

Была у меня и другая ситуация: сижу, работаю за компьютером – вдруг ни с того ни с сего он резко выключается. Тогда я включаю его снова – захожу в журнал Windows в подраздел “Система” и читаю описание критического события, которое только что произошло. А там написано: “Система перезагрузилась, завершив работу с ошибками. Возможные причины ошибки: система перестала отвечать на запросы, произошел критический сбой или неожиданно отключилось питание”.

Итак, сегодня мы узнали, что такое Журнал событий Windows, и как с ним работать.
Журнал событий – важный источник информации для системных администраторов, технических специалистов и обычных пользователей при поиске причин отказов и проблем с компьютером.

Журнал системного администратора

Как вести документацию сисадмину. Журнал сисадмина

Хороший системный администратор не только знает, что, где и как необходимо настраивать, но и помнит, какие параметры конфигурации системы изменял, а главное – зачем изменял. Но проходит месяц, второй и требуется расширить сеть, подключить дополнительный канал доступа в интернет или предоставить доступ к компьютеру из внешней сети.

И вот – сеть не работает, доступ предоставить не удается, пользователи не могут авторизоваться в системе. А все потому, что админ забыл, какие настройки безопасности в групповых политиках он делал пару месяцев назад, какие адреса присвоены компьютерам сети, какие службы были отключены и т.п. В результате тратится много времени и сил, чтобы найти и устранить проблему. Во избежание всех этих неприятностей рекомендуется вести журнал системного администратора.

Запомните: любое изменение инфраструктуры должно быть спланировано и задокументировано!

В журнале администратора необходимо в хронологическом порядке регистрировать все изменения, производимые в сети. А также заносить все важные данные о конфигурации компьютеров, сети, программного обеспечения и их изменении. Записи можно вести в электронном виде (например, в таблице Excel) или в бумажном варианте (что менее удобно). Электронный документ или тетрадь с журналом необходимо держать в надежном месте, чтобы никто посторонний не имел к нему доступ.

Форма журнала может быть произвольной. Рекомендуется заносить в него дату, время и суть информации, разделенной по следующим категориям:

Компьютеры (рабочие станции) :

• имя компьютера
• рабочая группа
• IP-адрес
• установленная операционная система
• сведения об аппаратной части компьютера (процессор, оперативная память, объем жесткого диска и т.п.)
• сведения об изменениях в аппаратной части и установки программного обеспечения (например: заменена видеокарта по причине неисправности старой; установлен Adobe Photoshop и т.п.)
• особые настройки (например: в групповых политиках запрещен доступ к ПК из сети и т.п.)

Сеть :

• архитектура, схема сети
• IP-адреса компьютеров
• другая информация, касающаяся сетевой инфраструктуры

Желательно также нарисовать графическую схему сети (не обязательно в графической программе, можно от руки) и обозначить основные узлы: коммутаторы, сервера, общие принтеры, роутеры и т.п.

Обязательно указывайте адреса серверов с базами данных, интернет-шлюза, почтовых серверов, маршрутизаторов, использующихся в вашей организации. Для обычных рабочих станций можно указать диапазон IP-адресов (например: бухгалтерия: 192.168.1.20 – 192.168.1.40).

• назначение
• сетевое имя и IP-адрес сервера
• расположение сервера
• важнейшие настройки и т.п.

Пользователи :

• дата добавления учетной записи пользователя
• логин
• пароль
• группа
• основной компьютер пользователя
• ФИО
• должность
• отдел
• сетевые и другие логины и пароли, которые вы назначали для данного пользователя

• сведения об установленном программном обеспечении
• приобретенные лицензии и срок их окончания (например, 26.07.2013 купили антивирус DrWeb на 10 компьютеров на сумму XXXX рублей, лицензия истекает 01.02.2015)

Работы по обслуживанию сети и серверов (работы по обслуживанию рабочих станций пользователей можно вести в разделе “Компьютеры”).

Работы по устранению неисправностей в аппаратной и программной частях

Безопасность : особые настройки оборудования для повышения уровня безопасности, инциденты безопасности (например: обнаружена хакерская атака на веб-сервер XXX, настроен межсетевой экран и маршрутизатор, устранены уязвимости в ПО сервера).

Вы можете добавить собственные разделы, исходя из специфики вашей IT-инфраструктуры. Конечно, ведение журнала займет некоторое время, но зато в любой момент вы сможете объективно оценить ситуацию, быстро устранить проблемы в работе сети или пресечь инциденты по безопасности, вместо того, чтобы копаться в настройках и гадать, где и какой флажок вы поставили пару месяцев назад. Не говоря уже о том, что такой дневник – хороший показатель вашей работы и профессионализма.

Еще один плюс журнала: если вы переходите на работу в другую компанию и вам необходимо передать все дела своему приемнику, то, имея такой журнал, это можно будет сделать намного быстрее и проще как для вас, так и для него.

Журналы Windows

Операционная система Windows, системные службы и приложения записывают события и ошибки в системные журналы, чтобы в дальнейшем у системного администратора была возможность проверки операционной системы и диагностики проблем.

Получить доступ к этим записям можно через встроенное приложение Просмотр событий (Event Viewer). Есть несколько вариантов запуска данного приложения:

• через меню Пуск – Средства администрирования Windows – >Просмотр событий (Start – Windows Administrative Tools – Event Viewer);
• в командной строке или в окне Выполнить набрать eventvwr.msc:

В Диспетчере серверов в разделе Средства выбрать Просмотр событий (Server Manager – Tools – Event Viewer):

Описание интерфейса программы

Окно программы состоит из следующих компонентов:

Скриншот №3. Интерфейс программы

• Панель навигации позволяет выбрать конкретный журнал, записи которого необходимо просмотреть;
• Список событий, содержащийся в выбранном журнале. В колонках выведена базовая информация о событии. Их можно отсортировать по датам, типам, категориям событий и т.д.;
• Детальная информация о выбранном во второй панели событии. Также детальную информацию можно открыть в отдельном окне, если кликнуть по нужному событию два раза;
• Панель быстрых действий, которые можно совершить с данным журналом или событием. Действия также доступны в контекстном меню (клик правой кнопкой мыши по журналу или событию).

Для удобства просмотра и управления системные журналы разбиты по категориям:

• Приложения (Application) – как и гласит название, содержит события и ошибки приложений;
• Безопасность (Security) – если в операционной системе включена и настроена функция аудита, журнал будет содержать записи, связанные с отслеживанием соответствующих событий (например, авторизация пользователя или попытки неудачного входа в операционную систему);
• Система (System) – здесь регистрируются события операционной системы и системных сервисов;
• Установка (Setup) – события, связанные с инсталляцией обновлений Windows, дополнительных приложений.

В разделе Журналы приложений и служб (Applications and Services Logs) можно найти более детальную информацию о событиях отдельных служб и приложений, зарегистрированных в операционной системе, что бывает полезно при диагностике проблем в работе отдельных сервисов.

Сами события также разделяются на типы:

• Сведения (Information) — информируют о штатной работе приложений.
• Предупреждение (Warning) — событие, свидетельствующее о возможных проблемах в будущем (например, заканчивается свободное место на диске – приложения могут продолжать работу в штатном режиме, но когда место закончится совсем, работа будет невозможна).
• Ошибка (Error) — проблема, ведущая к деградации приложения или службы, потерям данных.
• Критическое (Critical) — значительная проблема, ведущая к неработоспособности приложения или службы.
• Аудит успеха (Success audit) — событие журнала Безопасность (Security), обозначающее успешно осуществленное действие, для которого включено отслеживание (например, успешный вход в систему).
• Аудит отказа (Failure audit) — событие журнала Безопасность (Security) обозначающее безуспешную попытку осуществить действие, для которого включено отслеживание (например, ошибка входа в систему).

Работа с журналами

Службы и приложения могут генерировать огромное количество самых разнообразных событий. Для простоты доступа к нужным записям журнала можно использовать функцию фильтрации журнала:

Правый клик по журналу – Фильтр текущего журнала… (>Filter Current Log…), либо выбрать данную функцию в панели быстрых действий. Открывшееся окно позволяет настроить фильтр и отобразить только те события, которые необходимы в данный момент:

Можно задать временной период, уровни события, выбрать журналы и конкретные источники событий. Если известны коды событий, которые нужно включить или исключить из фильтра, их также можно указать.

Когда необходимость в фильтрации событий отпадет, ее можно отключить действием Очистить фильтр (Clear Filter):

Приложение Просмотр событий (Event Viewer) позволяет также настроить дополнительные свойства журналов. Доступ к настройкам можно получить через панель быстрых действий, либо через контекстное меню журнала – правый клик по журналу – Свойства (Properties):

В открывшемся окне настроек можно увидеть путь, по которому сохраняется файл журнала, текущий размер, а также можно задать максимальный размер файла:

В нижней части окна можно выбрать вариант действия при достижении журналом максимального значения:

• Переписывать события при необходимости (Overwrite events as needed) – новое событие будет записываться поверх самого старого события в журнале, таким образом будут доступны события только за определенный диапазон времени.
• Архивировать журнал при заполнении (Overwrite the log when full) – заполненный журнал будет сохранен, последующие события будут записываться в новый файл журнала. При необходимости доступа к старым событиям, архивный файл можно будет открыть в приложении Просмотр событий (Event Viewer).
• Не переписывать события (Do not overwrite events) – при заполнении журнала выдается системное сообщение о необходимости очистить журнал, старые события не перезаписываются.