Какво е Windows Event Log? – Ръководство за въведение
Windows Event Log е вградена функция на операционната система Microsoft Windows, която записва и съхранява различни събития на системата, сигурността и приложенията, които се случват на компютъра.
Тези събития могат да включват грешки, предупреждения и информационни съобщения. С помощта на този регистър на събитията администраторите могат да отстраняват проблеми, да наблюдават изправността на системата и да проследяват активността на потребителите.
Регистърът на събитията на Windows е организиран в три основни категории:
Система, приложение и сигурност.
Регистърът на приложенията съдържа събития, свързани с приложения и услуги, докато системният регистър включва събития, свързани със системни компоненти и драйвери. Сесии за влизане, неуспешни опити за влизане и други инциденти, свързани със сигурността, се документират в регистъра за сигурност.
Тези записи в регистъра на събитията на Windows включват подробна информация като датата и часа на възникване на събитието, източника на събитието и всички съответни кодове на грешка.
Важност на регистъра на събитията на Windows
Ролята на мониторинга на регистрационния файл на събития е от решаващо значение за системните и мрежовите инженери, защото им позволява да бъдат информирани за всякакви проблеми, незаконна дейност, сривове в мрежата и други ключови проблеми, които могат да възникнат в компютъра.
Той предоставя пълни подробности за всяко събитие, включително неговия произход, потребителско име, ниво на чувствителност и друга информация. Тази информация може да бъде много полезна при идентифициране и разрешаване на структурни повреди, както и при прогнозиране на предстоящи предизвикателства въз основа на модели на данни.
Мрежовите администратори могат ефективно да откриват и обработват проблеми, преди те да станат сериозни, като следят регистрационните файлове на събитията. Това вероятно може да спести много време и усилия при проучване и отстраняване на проблема. Това може да помогне да се гарантира, че системите продължават да бъдат безопасни, надеждни и работещи по най-добрия начин.
Как да получите достъп до Windows Event Log?
#1. Използване на GUI
Стъпка 1 – Отворете менюто „Старт“ и потърсете „Преглед на събития“.
Стъпка 2 – Щракнете върху приложението Event Viewer, за да го отворите.
Стъпка 3 – В най-левия панел ще видите списък с регистрационни файлове на събития. Изберете опцията Windows Logs и след това щракнете върху желания регистрационен файл, за да го видите.
Стъпка 4 – В средния панел можете да видите списък със събития за избрания дневник. Можете да използвате опциите за филтриране от дясната страна на екрана, за да стесните събитията, които ви интересуват.
Стъпка 5 – За да видите подробности за събитие, щракнете двукратно върху него. Това ще отвори диалоговия прозорец Свойства на събитието, който съдържа подробна информация за ИД на събитието, източник, ниво на сериозност, дата и час, потребителско име, име на компютър и описание.
Стъпка 6 – Можете да използвате опциите на менюто и лентата с инструменти в горната част на екрана, за да извършвате различни действия като запазване и изчистване на регистрационни файлове, създаване на персонализирани изгледи и филтриране на събития.
#2. Използване на командния ред
Можете да осъществите достъп до регистъра на събитията на Windows, като използвате командния ред или PowerShell, като използвате командата „wevtutil“. Ето няколко примера.
- За показване на всички събития в системния регистър
wevtutil qe System
- За показване на събитията в регистъра на приложението
wevtutil qe Application
Резултатът може да изглежда така.
- За показване на всички събития в регистъра за сигурност
wevtutil qe Security
- За показване на събития от конкретен източник в системния регистър.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name="source_name"]]]"
Тук трябва да замените „source_name“ с името на източника на събитието, който искате да видите.
- За да експортирате събития от дневник във файл
wevtutil epl System C:LogsSystemLog.evtx
Заменете „System“ с името на дневника, който искате да експортирате, и „C:LogsSystemLog.evtx“ с пътя и името на файла, където искате да запишете експортирания дневник.
#3. Използване на Run
Можете също да получите достъп до регистъра на събитията на Windows, като използвате диалоговия прозорец Изпълнение в Windows. Ето как:
Стъпка 1 – Натиснете клавиша Windows + R на клавиатурата, за да отворите диалоговия прозорец Изпълнение.
Стъпка 2 – Въведете „eventvwr.msc“ в диалоговия прозорец Изпълнение и натиснете Enter.
Стъпка 3 – Помощната програма Event Viewer ще се отвори и ще покаже главния прозорец на конзолата.
Стъпка 4 – В прозореца на конзолата отляво можете да разгънете папката „Регистри на Windows“, за да видите регистрационните файлове на системата, приложението, сигурността, настройката и други.
Стъпка 5 – Щракнете върху дневника, чието съдържание искате да видите в десния панел. Можете да филтрирате и сортирате събитията, както и да създавате персонализирани изгледи и да ги запазвате за бъдеща употреба.
Кога да използвате тези журнали на събития?
Като цяло можете да използвате регистъра на събитията на Windows, когато трябва да наблюдавате, отстранявате неизправности или проверявате събития в система Windows. Ето някои конкретни ситуации, в които можете да го използвате.
Мониторинг на здравето на системата
Регистърът на събитията на Windows може да предостави ценна информация за системни грешки, предупреждения и проблеми с производителността, което ви позволява проактивно да наблюдавате и поддържате изправността на вашата система.
Отстраняване на проблеми
Когато срещнете проблем в система Windows, регистърът на събитията може да предостави индикация за причината и да ви помогне да диагностицирате проблема. Чрез анализиране на регистрационните файлове на събития можете лесно да идентифицирате основната причина за даден проблем и да предприемете стъпки за разрешаването му.
Одитиране и проследяване на активността на потребителите
Регистърът за сигурност в регистъра на събитията може да се използва за проследяване на потребителски влизания, излизане, неуспешни опити за влизане и други събития, свързани със сигурността, което може да ви помогне да идентифицирате потенциални заплахи за сигурността и да предприемете подходящи действия.
Отчитане на съответствието
Много регулаторни рамки като HIPAA, PCI-DSS и GDPR изискват от организациите да поддържат регистрационни файлове за събития и да предоставят редовни отчети. Windows Event Log може да се използва за изпълнение на тези изисквания за съответствие.
Как да чета тези журнали на събития?
Първоначално може да е малко трудно да се разчете регистърът на събитията на Windows, но с достатъчно практика и познаване става по-лесно да се разберат данните, които предоставя. Ето някои общи стъпки, които трябва да следвате, когато четете регистъра на събитията на Windows.
#1. Отворете регистъра на събитията
Първата стъпка е да отворите регистъра на събитията. Можете да получите достъп до него, като използвате някой от гореспоменатите методи.
#2. Отидете до съответния дневник
Има няколко регистрационни файлове в Event Viewer, включително регистрационните файлове на приложението, системата, сигурността и настройката. Всеки дневник съдържа различни видове събития. Изберете дневника, който съдържа събитията, които искате да видите.
#3. Филтриране на събитие
Можете да филтрирате събития по ниво на тежест, източник на събитие, период от време и други критерии. Това може да ви помогне да стесните събитията, които ви интересуват.
#4. Вижте подробности за събитието
Разгледайте внимателно всяко събитие, за да видите неговите подробности, включително ID на събитието, източник, ниво на сериозност, дата и час, потребителско име, име на компютър и описание. Тази информация може да ви помогне да идентифицирате причината за събитието и да предприемете подходящи действия.
#5. Използвайте свойствата на събитието
Много събития имат допълнителни свойства, които предоставят повече информация за събитието.
Например събитие за сигурност може да има свойства като тип на влизане, процес на влизане и пакет за удостоверяване. Тези свойства могат да ви помогнат да разберете контекста на събитието и неговото значение.
#5. Анализирайте моделите
Винаги се опитвайте да търсите модели в събитията, за да идентифицирате повтарящи се проблеми или тенденции. Например, ако видите поредица от грешки на диска, това може да означава проблем с хардуера или конфигурацията на диска.
Нива на сериозност на събития в Windows
Регистърът на събитията на Windows използва нива на сериозност, за да категоризира събитията въз основа на тяхната важност или въздействие върху системата. Има пет нива на сериозност в регистъра на събитията на Windows, изброени по-долу от най-високата до най-ниската степен на тежест:
- Критично: Това ниво на сериозност е запазено за събития, които показват критична повреда на системата или приложението, която изисква незабавно внимание. Примерите включват системни сривове, големи хардуерни повреди и критични грешки в приложенията.
- Грешка: Използва се за събития, които показват сериозен проблем, който изисква внимание, но не непременно незабавни действия. Някои често срещани примери са сривове на приложения, грешки в мрежовата свързаност и дискови грешки.
- Предупреждение: Показва потенциален проблем, който системните администратори трябва да следят, включително предупреждения за ниско дисково пространство и нарушения на правилата за сигурност.
- Подробен: Използва се за събития, които предоставят подробна информация за дейността на системата или приложението, обикновено за целите на отстраняване на неизправности или отстраняване на грешки.
- Информация: Това показва, че всичко е минало гладко. Почти всички регистрационни файлове включват информационни събития.
Тези нива на сериозност позволяват на администраторите и системните анализатори бързо да идентифицират критични проблеми, които изискват внимание, и съответно да приоритизират своя отговор.
Заключение ✍️
Надявам се, че сте намерили тази статия за полезна, за да научите за регистъра на събитията на Windows и неговото значение. Може също да ви е интересно да научите за различните начини за възстановяване на изтрити данни в Windows 11.
