Prohlížeč událostí - Event Viewer

eventquery.vbs, eventcreate, eventtriggers
Vývojáři	Microsoft
První vydání	25. října 2001; Před 19 lety
Operační systém	Microsoft Windows
Typ	Příkaz
Licence	Proprietární komerční software
webová stránka	dokumenty. Microsoft.com/ en-us/ windows-server/správa/ windows-commands/ eventcreate

Protokol Prohlížeče událostí
	Prohlížeč událostí ve Windows 10
Vývojáři	Microsoft
Operační systém	Microsoft Windows
Název služby	Protokol událostí systému Windows (záznam událostí)
Typ	Utility software
webová stránka	www. Microsoft.com

Prohlížeč událostí je součástí Microsoft je Windows NT operační systém který umožňuje správcům a uživatelům prohlížet protokoly událostí na místním nebo vzdáleném počítači. Aplikace a komponenty operačního systému mohou používat tuto centralizovanou službu protokolu k hlášení událostí, ke kterým došlo, například selhání spuštění komponenty nebo dokončení akce. v Windows Vista Společnost Microsoft přepracovala systém událostí.^[1]

Kvůli rutinnímu hlášení Prohlížeče událostí o menších chybách při spuštění a zpracování (které ve skutečnosti nepoškodí nebo nepoškodí počítač) je software často používán podvodníci technické podpory přimět oběť, aby si myslela, že její počítač obsahuje kritické chyby vyžadující okamžitou technickou podporu. Příkladem je pole „Administrativní události“ v části „Vlastní zobrazení“, které může mít za měsíc více než tisíc chyb nebo varování.

Přehled

Windows NT obsahuje protokoly událostí od jeho vydání v roce 1993.

Prohlížeč událostí používá ID událostí k definování jednoznačně identifikovatelných událostí, se kterými se může počítač Windows setkat. Například když uživatel autentizace selže, systém může vygenerovat ID události 672.

Windows NT 4.0 přidána podpora pro definování „zdrojů událostí“ (tj. aplikace, která událost vytvořila) a provádění zálohování protokolů.

Windows 2000 přidal možnost aplikací vytvářet své vlastní zdroje protokolů kromě tří systémově definovaných protokolů „Systém“, „Aplikace“ a „Zabezpečení“. Windows 2000 také nahradil Prohlížeč událostí NT4 za Konzola pro správu Microsoft (MMC) modul snap-in.

Windows Server 2003 přidal AuthzInstallSecurityEventSource () Volání API, aby se aplikace mohly zaregistrovat do protokolů událostí zabezpečení a zapisovat položky auditu zabezpečení.^[2]

Verze systému Windows založené na jádru Windows NT 6.0 (Windows Vista a Windows Server 2008 ) již nemají limit 300 megabajtů na jejich celkovou velikost. Před NT 6.0 systém otevíral soubory na disku jako soubory mapované do paměti v paměťovém prostoru jádra, který používal stejné paměťové oblasti jako ostatní součásti jádra.

Protokoly Prohlížeče událostí s přípona souboru evtx obvykle se objevují v adresáři, jako je C: WindowsSystem32winevtLogs

Rozhraní příkazového řádku

Windows XP představil sadu tří rozhraní příkazového řádku nástroje užitečné pro automatizaci úkolů:

eventquery.vbs - Oficiální skript pro dotazování, filtrování a výstupní výsledky na základě protokolů událostí.^[3] Přerušeno po XP.
vytvořit - příkaz (pokračování v systémech Vista a 7) pro vložení vlastních událostí do protokolů.^[4]
spouštěče událostí - příkaz k vytvoření úkolů řízených událostmi.^[5] Po XP ukončeno, nahrazeno funkcí „Připojit úkol k této události“.

Windows Vista

Prohlížeč událostí se skládá z přepsaného trasování událostí a protokolování architektura v systému Windows Vista.^[1] Bylo přepsáno kolem strukturované XML formát protokolu a určený typ protokolu umožňující aplikacím přesněji zaznamenávat události a pomáhat technikům a vývojářům podpory interpretovat události.

XML reprezentaci události lze zobrazit na webu Detaily karta ve vlastnostech události. Je také možné zobrazit všechny potenciální události, jejich struktury, registrované vydavatelé událostí a jejich konfigurace pomocí wevtutil nástroj, ještě před spuštěním událostí.

Existuje velké množství různých typů protokolů událostí, včetně administrativních, provozních, analytických a ladicích typů protokolů. Výběr Protokoly aplikací uzel v Rozsah podokno odhaluje řadu nových podkategorizovaných protokolů událostí, včetně mnoha označených jako diagnostické protokoly.

Analytické a ladicí události, které mají vysokou frekvenci, se přímo ukládají do trasovacího souboru, zatímco administrátorské a provozní události jsou natolik časté, že umožňují další zpracování bez ovlivnění výkonu systému, takže se doručují do služby Protokol událostí.

Události jsou publikovány asynchronně, aby se snížil dopad na výkon publikování událostí aplikace. Atributy události jsou také mnohem podrobnější a zobrazují vlastnosti EventID, Level, Task, Opcode a Keywords.

Uživatelé mohou filtrovat protokoly událostí podle jednoho nebo více kritérií nebo podle omezení XPath 1.0 výraz a pro jednu nebo více událostí lze vytvořit vlastní zobrazení. Použití XPath jako dotazovacího jazyka umožňuje prohlížení protokolů souvisejících pouze s určitým subsystémem nebo problémem pouze s určitou komponentou, archivaci vybraných událostí a průběžné odesílání stop technickým technikům.

Filtrování pomocí XPath 1.0

Otevřete protokol událostí systému Windows
Rozbalit Protokoly systému Windows
Vyberte požadovaný soubor protokolu (v níže uvedeném příkladu je Bezpečnostní používá se protokol událostí)
Pravým tlačítkem klikněte na Protokol událostí a vyberte Filtrovat aktuální protokol ...
Změnit vybranou kartu z Filtr na XML
Zaškrtněte políčko Upravit dotaz ručně '
Vložte dotaz do textového pole. Ukázkové dotazy naleznete níže.

Zde jsou příklady jednoduchých vlastních filtrů pro nový protokol událostí okna:

Vyberte všechny události v protokolu událostí zabezpečení, kde je název účtu (TargetUserName) „JUser“
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>
Vyberte všechny události v protokolu událostí zabezpečení, kde jakýkoli datový uzel sekce EventData je řetězec „JUser“
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>
Vyberte všechny události v protokolu událostí zabezpečení, kde jakýkoli datový uzel sekce EventData je „JUser“ nebo „JDoe“
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>
Vyberte všechny události v protokolu událostí zabezpečení, kde jakýkoli datový uzel sekce EventData je „JUser“ a ID události je „4471“
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID="4471"]] and *[EventData[Data="JUser"]]</Select></Query></QueryList>
Reálný příklad balíčku s názvem Goldmine, který má dva @Names
<QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>

Upozornění:

Existují omezení k implementaci XPath společností Microsoft^[6]
Dotazy pomocí Funkce řetězce XPath bude mít za následek chybu^[7]

Předplatitelé událostí

Hlavní, důležitý předplatitelé událostí zahrnují službu Event Collector a Plánovač úkolů 2.0. Služba Collector událostí může automaticky přeposílat protokoly událostí do jiných spuštěných vzdálených systémů Windows Vista, Windows Server 2008 nebo Windows Server 2003 R2 podle konfigurovatelného plánu. Protokoly událostí lze také vzdáleně prohlížet z jiných počítačů nebo je možné centrálně protokolovat a monitorovat více protokolů událostí bez agenta a spravovat je z jednoho počítače. Události lze také přímo spojit s úkoly, které běží v přepracovaném designu Plánovač úkolů a spouštět automatizované akce, když nastanou konkrétní události.

Viz také

Reference

^ ^A ^b „Nové nástroje pro správu událostí v systému Windows Vista“. TechNet. Microsoft. Listopadu 2006.
^ "Funkce AuthzInstallSecurityEventSource". MSDN. Microsoft. Citováno 2007-10-05.
^ LLC), Tara Meyer (Aquent. „Eventquery.vbs“. docs.microsoft.com.
^ LLC), Tara Meyer (Aquent. „Vytvoření události“. docs.microsoft.com.
^ LLC), Tara Meyer (Aquent. „Spouštěče událostí“. docs.microsoft.com.
^ „Implementace společnosti Microsoft a omezení XPath 1.0 v protokolu událostí systému Windows“. MSDN. Microsoft. Citováno 2009-08-07.
^ "Skript Powershellu k filtrování událostí pomocí dotazu Xpath". Citováno 2011-09-20.

externí odkazy

Oficiální zdroje:
- Dokumentace vývojáře pro protokolování událostí (NT 3.1 až XP), (Windows Vista)
- Popis událostí zabezpečení systému Windows 2000 (Část 1 ze 2), (Část 2 ze 2)
- Zabezpečení systému Windows Server 2003 - Hrozby a protiopatření - Kapitola 6: Protokol událostí z Microsoft TechNet
- Události a chyby (Windows Server 2008) na Microsoft TechNet
Jiný:
- eventid.net - Obsahuje několik tisíc položek protokolu událostí Windows spolu s návrhy řešení potíží pro každou z nich

[Eventlog-1] A ^b „Nové nástroje pro správu událostí v systému Windows Vista“. TechNet. Microsoft. Listopadu 2006.

[2] "Funkce AuthzInstallSecurityEventSource". MSDN. Microsoft. Citováno 2007-10-05.

[3] LLC), Tara Meyer (Aquent. „Eventquery.vbs“. docs.microsoft.com.

[4] LLC), Tara Meyer (Aquent. „Vytvoření události“. docs.microsoft.com.

[5] LLC), Tara Meyer (Aquent. „Spouštěče událostí“. docs.microsoft.com.

[6] „Implementace společnosti Microsoft a omezení XPath 1.0 v protokolu událostí systému Windows“. MSDN. Microsoft. Citováno 2009-08-07.

[7] "Skript Powershellu k filtrování událostí pomocí dotazu Xpath". Citováno 2011-09-20.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

Okna příkazový řádek programy a vestavěné prostředí
COMMAND.COM Příkazový řádek Windows PowerShell Konzola pro zotavení
Navigace v systému souborů	CD (chdir) dir popd pushd strom
Správa souborů	attrib cacls šifra kompaktní kopírovat del (vymazat) deltree icacls mkdir (md) mklink přestěhovat se otevřené soubory zotavit se ren (přejmenovat) nahradit rmdir (rd) robocopy odebrat xcopy
Archivace	rozšířit extrac32 výpis makecab pax dehet
Správa disků	chkdsk konvertovat defragmentovat diskcomp diskopie diskpart strach diskshadow drvspace fdisk formát fsutil označení spravovat-bde dílčí skandisk sys sv vssadmin
Procesy	v výstup zabít powercfg běž jako sc schtasks vypnout Start úkol seznam úkolů
Registr	doc typ reg regini regsvr32
Uživatelské prostředí	chcp cmdkey datum graftabl režimu cesta soubor nastavovač setx čas titul ver kde kdo jsem
Obsah souboru	komp Upravit Edlin fc nalézt findstr tisk typ
Skriptování	výběr klip cscript klíč echo pro forfiles jít do -li více pauza výzva rem Časový limit
Síťování	arp BITSAdmin kučera getmac název hostitele ipconfig nbtstat síť síť netstat nslookup PathPing ping rpcping trasa scp sftp ssh ssh-přidat ssh-agent ssh-keygen ssh-keyscan tracert winrm vítězové
Údržba a péče	auditpol dispdiag dotaz na řidiče vytvořit spouštěče událostí logman mofcomp msiexec ntbackup pnpunattend pnputil REAgentC přepsat sfc sxstrace systémová informace stopa typeperf w32tm WBAdmin Wecutil wevtutil winmgmt winsat wmic
Správa bootování	bcdedit bootcfg bootect fixboot fixmbr
Vývoj softwaru	ladit exe2bin QZákladní
Smíšený	přestávka cls dism dpath gpresult gpupdate Pomoc MSCDEX pentnt wsl
Seznam příkazů systému DOS Proměnné prostředí