Windows notikumu žurnāls ir Microsoft Windows operētājsistēmas iebūvēts līdzeklis, kas reģistrē un saglabā dažādus sistēmas, drošības un lietojumprogrammu notikumus, kas notiek datorā.
Šie notikumi var ietvert kļūdas, brīdinājumus un informatīvus ziņojumus. Izmantojot šo notikumu žurnālu, administratori var novērst problēmas, pārraudzīt sistēmas stāvokli un izsekot lietotāju darbībām.
Windows notikumu žurnāls ir sakārtots trīs galvenajās kategorijās:
Sistēma, lietojumprogramma un drošība.
Lietojumprogrammu žurnālā ir notikumi, kas saistīti ar lietojumprogrammām un pakalpojumiem, savukārt sistēmas žurnālā ir notikumi, kas saistīti ar sistēmas komponentiem un draiveriem. Pieteikšanās sesijas, neveiksmīgi pieteikšanās mēģinājumi un citi ar drošību saistīti incidenti tiek dokumentēti drošības žurnālā.
Šajos Windows notikumu žurnāla ierakstos ir ietverta detalizēta informācija, piemēram, notikuma datums un laiks, notikuma avots un visi attiecīgie kļūdu kodi.
Windows notikumu žurnāla nozīme
Notikumu žurnāla uzraudzības loma ir ļoti svarīga sistēmu un tīklu inženieriem, jo tā ļauj viņiem būt informētiem par problēmām, nelikumīgām darbībām, tīkla bojājumiem un citām galvenajām problēmām, kas varētu rasties datora iekšienē.
Tajā ir sniegta pilnīga informācija par katru notikumu, tostarp tā izcelsme, lietotājvārds, jutīguma līmenis un cita informācija. Šī informācija var būt ļoti noderīga, lai identificētu un atrisinātu strukturālās nepilnības, kā arī prognozētu gaidāmās problēmas, pamatojoties uz datu modeļiem.
Tīkla administratori var efektīvi atklāt un risināt problēmas, pirms tās kļūst nopietnas, sekojot notikumu žurnāliem. Tas, iespējams, ietaupīs daudz laika un pūļu, izmeklējot un novēršot problēmu. Tas var palīdzēt garantēt, ka sistēmas joprojām ir drošas, uzticamas un darbojas vislabākajā veidā.
Kā piekļūt Windows notikumu žurnālam?
#1. Izmantojot GUI
1. darbība – atveriet izvēlni Sākt un meklējiet “Notikumu skatītājs”.
2. darbība – noklikšķiniet uz lietojumprogrammas Event Viewer, lai to atvērtu.
3. darbība – galējā kreisajā panelī redzēsit notikumu žurnālu sarakstu. Izvēlieties opciju Windows žurnāli un pēc tam noklikšķiniet uz vajadzīgā žurnāla, lai to skatītu.
4. darbība — vidējā panelī varat redzēt atlasītā žurnāla notikumu sarakstu. Varat izmantot filtru opcijas ekrāna labajā pusē, lai sašaurinātu jūs interesējošos notikumus.
5. darbība. Lai skatītu informāciju par notikumu, veiciet dubultklikšķi uz tā. Tiks atvērts dialoglodziņš Notikuma rekvizīti, kurā ir detalizēta informācija par notikuma ID, avotu, smaguma pakāpi, datumu un laiku, lietotājvārdu, datora nosaukumu un aprakstu.
6. darbība. Varat izmantot izvēlnes opcijas un rīkjoslu ekrāna augšdaļā, lai veiktu dažādas darbības, piemēram, saglabātu un notīrītu žurnālus, izveidotu pielāgotus skatus un filtrētu notikumus.
#2. Izmantojot komandu uzvedni
Varat piekļūt Windows notikumu žurnālam, izmantojot komandu uzvedni vai PowerShell, izmantojot komandu “wevtutil”. Šeit ir daži piemēri.
- Lai parādītu visus notikumus sistēmas žurnālā
wevtutil qe System
- Lai parādītu notikumus lietojumprogrammu žurnālā
wevtutil qe Application
Izvade var izskatīties šādi.
- Lai parādītu visus notikumus drošības žurnālā
wevtutil qe Security
- Lai sistēmas žurnālā parādītu notikumus no konkrēta avota.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name="source_name"]]]"
Šeit ir jāaizstāj “avota_nosaukums” ar tā notikuma avota nosaukumu, kuru vēlaties skatīt.
- Lai eksportētu notikumus no žurnāla uz failu
wevtutil epl System C:LogsSystemLog.evtx
Aizstājiet “System” ar tā žurnāla nosaukumu, kuru vēlaties eksportēt, un “C:LogsSystemLog.evtx” ar ceļu un faila nosaukumu, kurā vēlaties saglabāt eksportēto žurnālu.
#3. Izmantojot Run
Varat arī piekļūt Windows notikumu žurnālam, izmantojot Windows dialoglodziņu Palaist. Lūk, kā to izdarīt:
1. darbība. Nospiediet tastatūras taustiņu „Windows taustiņš + R”, lai atvērtu dialoglodziņu Palaist.
2. darbība – dialoglodziņā Palaist ierakstiet “eventvwr.msc” un nospiediet taustiņu Enter.
3. darbība — tiks atvērta utilīta Event Viewer un parādīts galvenais konsoles logs.
4. darbība — kreisās puses konsoles logā varat izvērst mapi “Windows žurnāli”, lai skatītu sistēmas, lietojumprogrammas, drošības, iestatīšanas un citus žurnālus.
5. darbība. Labajā panelī noklikšķiniet uz žurnāla, kura saturu vēlaties skatīt. Varat filtrēt un kārtot notikumus, kā arī izveidot pielāgotus skatus un saglabāt tos turpmākai lietošanai.
Kad izmantot šos notikumu žurnālus?
Parasti Windows notikumu žurnālu varat izmantot ikreiz, kad nepieciešams pārraudzīt, novērst vai pārbaudīt notikumus Windows sistēmā. Šeit ir dažas konkrētas situācijas, kurās varat to izmantot.
Sistēmas veselības uzraudzība
Windows notikumu žurnāls var sniegt vērtīgu informāciju par sistēmas kļūdām, brīdinājumiem un veiktspējas problēmām, kas ļauj proaktīvi pārraudzīt un uzturēt sistēmas stāvokli.
Problēmu novēršana
Ja rodas problēma Windows sistēmā, notikumu žurnāls var sniegt norādi par cēloni un palīdzēt noteikt problēmu. Analizējot notikumu žurnālus, varat viegli noteikt problēmas galveno cēloni un veikt pasākumus, lai to atrisinātu.
Lietotāju aktivitāšu audits un izsekošana
Drošības žurnālu notikumu žurnālā var izmantot, lai izsekotu lietotāju pieteikšanos, atteikšanos, neveiksmīgus pieteikšanās mēģinājumus un citus ar drošību saistītus notikumus, kas var palīdzēt identificēt iespējamos drošības apdraudējumus un veikt atbilstošas darbības.
Atbilstības ziņošana
Daudzos normatīvajos aktos, piemēram, HIPAA, PCI-DSS un GDPR, organizācijām ir jāuztur notikumu žurnāli un regulāri jāsniedz ziņojumi. Lai izpildītu šīs atbilstības prasības, var izmantot Windows notikumu žurnālu.
Kā lasīt šos notikumu žurnālus?
Sākumā Windows notikumu žurnāla lasīšana var būt nedaudz sarežģīta, taču ar pietiekamu praksi un zināšanas kļūst vienkāršāk saprast tajā sniegtos datus. Tālāk ir norādītas dažas vispārīgas darbības, kas jāievēro, lasot Windows notikumu žurnālu.
#1. Atveriet notikumu žurnālu
Pirmais solis ir atvērt notikumu žurnālu. Tam var piekļūt, izmantojot jebkuru no iepriekš minētajām metodēm.
#2. Pārejiet uz atbilstošo žurnālu
Notikumu skatītājā ir vairāki žurnāli, tostarp lietojumprogrammu, sistēmas, drošības un iestatīšanas žurnāli. Katrs žurnāls satur dažāda veida notikumus. Atlasiet žurnālu, kurā ir notikumi, kurus vēlaties skatīt.
#3. Filtrēt notikumu
Varat filtrēt notikumus pēc smaguma pakāpes, notikuma avota, datumu diapazona un citiem kritērijiem. Tas var palīdzēt sašaurināt jūs interesējošos notikumus.
#4. Skatīt pasākuma informāciju
Rūpīgi pārbaudiet katru notikumu, lai skatītu tā informāciju, tostarp notikuma ID, avotu, smaguma pakāpi, datumu un laiku, lietotājvārdu, datora nosaukumu un aprakstu. Šī informācija var palīdzēt noteikt notikuma cēloni un veikt atbilstošus pasākumus.
#5. Izmantojiet notikumu rekvizītus
Daudziem pasākumiem ir papildu rekvizīti, kas sniedz vairāk informācijas par notikumu.
Piemēram, drošības notikumam var būt tādi rekvizīti kā pieteikšanās veids, pieteikšanās process un autentifikācijas pakotne. Šīs īpašības var palīdzēt izprast notikuma kontekstu un tā nozīmi.
#5. Analizējiet modeļus
Vienmēr mēģiniet meklēt notikumu modeļus, lai identificētu atkārtotas problēmas vai tendences. Piemēram, ja redzat vairākas diska kļūdas, tas var norādīt uz problēmu ar diska aparatūru vai konfigurāciju.
Windows notikumu smaguma līmeņi
Windows notikumu žurnālā tiek izmantoti smaguma līmeņi, lai klasificētu notikumus, pamatojoties uz to nozīmīgumu vai ietekmi uz sistēmu. Windows notikumu žurnālā ir pieci nopietnības līmeņi, kas norādīti tālāk no augstākās līdz zemākajam.
- Kritisks: šis nopietnības līmenis ir rezervēts notikumiem, kas norāda uz kritisku sistēmas vai lietojumprogrammas kļūmi, kurai nepieciešama tūlītēja uzmanība. Piemēri ir sistēmas avārijas, lielas aparatūras kļūmes un kritiskas lietojumprogrammu kļūdas.
- Kļūda: to izmanto notikumiem, kas norāda uz nopietnu problēmu, kas prasa uzmanību, bet ne vienmēr ir jārīkojas nekavējoties. Daži izplatīti piemēri ir lietojumprogrammu avārijas, tīkla savienojuma kļūmes un diska kļūdas.
- Brīdinājums: tas norāda uz iespējamu problēmu, kas sistēmas administratoriem būtu jāseko līdzi, tostarp brīdinājumiem par maz vietas diskā un drošības politikas pārkāpumiem.
- Detalizēts: to izmanto notikumiem, kas sniedz detalizētu informāciju par sistēmas vai lietojumprogrammas darbību, parasti traucējummeklēšanas vai atkļūdošanas nolūkos.
- Informācija: Tas liecina, ka viss noritēja gludi. Gandrīz visos žurnālos ir iekļauti informācijas notikumi.
Šie smaguma līmeņi ļauj administratoriem un sistēmu analītiķiem ātri noteikt kritiskās problēmas, kurām jāpievērš uzmanība, un atbilstoši noteikt to atbildes prioritāti.
Secinājums ✍️
Es ceru, ka šis raksts jums bija noderīgs, lai uzzinātu par Windows notikumu žurnālu un tā nozīmi. Iespējams, jūs interesē arī informācija par dažādiem veidiem, kā atgūt izdzēstos datus sistēmā Windows 11.