Просмотр событий



Просмотр событий (англ. Event Viewer) — компонент, включённый в состав операционных систем семейства Windows NT, разрабатываемых Microsoft, который позволяет администраторам просматривать лог событий на локальном компьютере или на удалённой машине. В Windows Vista Microsoft переработала систему событий.

Из-за регулярного предоставления отчётов о незначительных ошибках запуска и обработки событий (которые на самом деле не наносят вреда или урона компьютеру) программное обеспечение часто используется мошенниками под видом «технической поддержки», чтобы убедить пользователей, незнакомых с «Просмотром событий», в том, что их компьютер содержит критические ошибки и нуждается в немедленной технической поддержке. Примером может служить поле «Административные события» в разделе «Пользовательские представления», которое может содержать более тысячи ошибок или предупреждений, зарегистрированных в течение месяца.

Описание

В Windows NT журналы событий появились с момента выпуска в 1993 году. Приложения и компоненты операционной системы могут использовать эту централизованную службу журналов для сообщения о событиях, которые произошли, например, при запуске компонента или выполнении действия.

«Просмотр событий» использует идентификаторы событий для определения уникально идентифицируемых событий, с которыми может столкнуться компьютер на базе ОС Windows. Например, когда аутентификация пользователя завершается с ошибкой, система может генерировать идентификатор события 672.

Windows NT 4.0 получила поддержку определения «источников событий» (приложений, создавших событие) и выполнения резервных копий журналов.

В Windows 2000 добавлена возможность приложениям создавать свои собственные источники журналов в дополнение к трём системным логам «Система», «Приложение» и «Безопасность». В Windows 2000 также заменено средство просмотра событий из Windows NT 4.0 консолью управления Microsoft (MMC).

В Windows Server 2003 добавлены вызовы AuthzInstallSecurityEventSource () API , чтобы приложения могли регистрироваться с логами безопасности и записывать входы в аудит безопасности.

Версии Windows на базе ядра Windows NT 6.0 (Windows Vista и Windows Server 2008) больше не имеют ограничения в 300 МБ на общий размер логов. До ядра NT 6.0 система открывала файлы на диске как файлы с отображением памяти в пространстве памяти ядра, которые использовали те же пулы памяти, что и другие компоненты ядра. Файлы «Просмотра событий» с расширением .evtx обычно отображаются в каталоге, таком как C: Windows System32 winevt Logs

Windows XP (командная строка)

Windows XP предоставляет набор из трёх инструментов командной строки, полезных для автоматизации задач:

  • eventquery.vbs — официальный скрипт для запроса, фильтрации и вывода результатов на основе логов событий. Убран в следующих Windows.
  • eventcreate — команда (продолжил развитие в Windows Vista и Windows 7) для размещения пользовательских логах событий.
  • eventtriggers — команда для создания задач, управляемых событиями. Убран в следующих Windows, заменён компонентом «Прикрепить задачу к этому событию» (англ. Attach task to this event).

Windows Vista

Средство просмотра событий состоит из переписанной архитектуры отслеживания событий и регистрации в Windows Vista. Оно было переписано в виде структурированного формата логов XML и определённого типа лога, чтобы позволить приложениям более точно регистрировать события и помогать специалистам технической поддержки и разработчикам понимать события. XML-представление события можно просмотреть во вкладке «Сведения» в свойствах события. Кроме того, можно просмотреть все потенциальные события, их структуры, зарегистрированных владельцев событий и их конфигурацию с помощью утилиты wevtutil, даже до начала событий. Существует большое количество логов событий различного типа, включая административные, операционные, аналитические и отладочные логи. Выбор узла «Логи приложений» на панели «Область» показывает множество новых подкатегорий логов событий, в том числе многие, помеченные как логи диагностики. Аналитические и отладочные события, которые являются высокочастотными, непосредственно сохраняются через файл трассировки, в то время как административные и операционные события нередки, чтобы обеспечить дополнительную обработку, не влияя на производительность системы, поэтому они доставляются в службу журнала событий. События публикуются асинхронно, чтобы снизить влияние производительности на приложение публикации событий. Атрибуты событий также намного более детализированы и отображают свойства «ID события», «Уровень», «Задача», «Код операции» и «Ключевые слова».

Пользователи могут фильтровать журналы событий по одному или нескольким критериям или ограниченным выражением XPath 1.0, а пользовательские представления могут быть созданы для одного или нескольких событий. Использование XPath в качестве языка запросов позволяет просматривать журналы, относящиеся только к определённой подсистеме или к проблеме только с определённым компонентом, архивировать события выбора и отправлять трассировки «на лету» в службу технической поддержки.

Подписчики событий

К числу основных подписчиков событий относятся службы «Сборщик событий» и «Планировщик задач» 2.0. Служба «Сборщик событий» может автоматически пересылать журналы событий на другие удалённые системы под управлением Windows Vista, Windows Server 2008 или Windows Server 2003 R2 согласно настраиваемому расписанию. Журналы событий также могут быть удалённо просмотрены с других компьютеров, или несколько журналов событий могут централизованно регистрироваться и контролироваться без агента и управляться с одного компьютера. События также могут быть непосредственно связаны с задачами, которые выполняются в изменённом планировщике заданий и запускают автоматические действия, когда происходят определённые события.