Перегляд подій

Перегляд подій (англ. Event Viewer) — компонент, що входить до складу операційних систем сімейства Windows NT, розроблених Microsoft, який дозволяє адміністраторам переглядати лог подій на локальному комп'ютері або на віддаленій машині. У Windows Vista Microsoft переробила систему подій.[1]

Через регулярне надання звітів про незначні помилки запуску і обробки подій (які насправді не завдають шкоди або шкоди комп'ютеру) програмне забезпечення часто використовується шахраями під виглядом «підтримки», щоб переконати користувачів, незнайомих з «Переглядом подій», в тому, що їхній комп'ютер містить критичні помилки і потребує негайного технічної підтримки. Прикладом може служити поле «Адміністративні події» в розділі «Власні події», яке може містити більше тисячі помилок або попереджень, зареєстрованих протягом місяця.

Опис[ред. | ред. код]

У Windows NT журнали подій з'явилися з моменту випуску в 1993 році. Програми та компоненти операційної системи можуть використовувати цю централізовану службу журналів для повідомлення про події, які сталися, наприклад, при запуску компонента або виконання дії.

«Перегляд подій» використовує ідентифікатори подій для визначення унікально ідентифікованих подій, з якими може зіткнутися комп'ютер на базі ОС Windows. Наприклад, коли автентифікація користувача завершується з помилкою, система може генерувати ідентифікатор події 672.

Windows NT 4.0 отримала підтримку визначення «джерел подій» (додатків, які створили подшю) і виконання резервних копій журналів.

У Windows 2000 додана можливість програмам створювати свої власні джерела журналів на додаток до трьох системним логів «Система», «Додаток» і «Безпека». У Windows 2000 також замінено засіб перегляду подій з Windows NT 4.0 консолі керування Microsoft (MMC).

У Windows Server 2003 додані виклики AuthzInstallSecurityEventSource () API, щоб програми могли реєструватися з логами безпеки і записувати входи в аудит безпеки.[2]

Версії Windows на базі ядра Windows NT 6.0 (Windows Vista і Windows Server 2008) більше не мають обмеження в 300 МБ на загальний розмір логів. До ядра NT 6.0 система відкривала файли на диску файли з відображенням пам'яті в просторі пам'яті ядра, які використовували ті ж пули пам'яті, що й інші компоненти ядра. Файли «Перегляд подій» з розширенням .evtx зазвичай відображаються в каталозі, такому як C: \ Windows \ System32 \ winevt \ Logs \

Windows XP (командний рядок)[ред. | ред. код]

Windows XP надає набір з трьох інструментів командного рядка, корисних для автоматизації завдань:

  • eventquery.vbs — офіційний скрипт для запиту, фільтрації та виведення результатів на основі логів подій. Прибраний в наступних Windows.
  • eventcreate — команда (продовжив розвиток в Windows Vista і Windows 7) для розміщення користувача логах подій.
  • eventtriggers — команда для створення завдань, керованих подіями. Прибраний в наступних Windows, замінений компонентом «Прикріпити завдання до цієї події» (англ. Attach task to this event).

Windows Vista[ред. | ред. код]

Засіб перегляду подій складається з переписаної архітектури відстеження подій та реєстрації в Windows Vista. Воно було переписано у вигляді структурованого формату логів XML і певного типу лода, щоб дозволити програмам більш точно реєструвати події і допомагати фахівцям технічної підтримки і розробникам розуміти події. XML-представлення події можна переглянути у вкладці «Відомості» у властивостях події. Крім того, можна переглянути всі потенційні події, їх структури, зареєстрованих власників подій і їх конфігурацію за допомогою утиліти wevtutil, навіть до початку подій. Існує велика кількість логів подій різного типу, включаючи адміністративні, операційні, аналітичні та налагоджувальні логи. Вибір вузла «Логи програм» на панелі «Область» показує безліч нових підкатегорій логів подій, в тому числі багато, позначені як логи діагностики. Аналітичні та налагоджувальні події, які є високочастотними, зберігаються безпосередньо через файл трасування, в той час як адміністративні та операційні події нерідкі, щоб забезпечити додаткову обробку, не впливаючи на продуктивність системи, тому вони доставляються в службу журналу подій. Події публікуються асинхронно, щоб знизити вплив продуктивності на додаток публікації подій. Атрибути подій також набагато більш деталізовані і відображають властивості «ID події», «Рівень», «Завдання», «Код операції» та «Ключові слова».

Користувачі можуть фільтрувати журнали подій по одному або декільком критеріям або обмеженим виразу XPath 1.0, а власні уявлення можуть бути створені для одного або декількох подій. Використання Їх в якості мови запитів дозволяє переглядати журнали, які відносяться тільки до певної підсистеми або до проблеми тільки з певним компонентом, архівувати події вибору і відправляти трасування «на льоту» в службу технічної підтримки.

Підписники подій[ред. | ред. код]

До числа основних передплатників подій відносяться служби «Складальник подій» і «Планувальник завдань» 2.0. Служба «Складальник подій» може автоматично пересилати журнали подій на інші віддалені системи під управлінням Windows Vista, Windows Server 2008 або Windows Server 2003 R2 згідно налаштовувати розклад. Журнали подій також можуть бути віддалено переглянуті з інших комп'ютерів, або кілька журналів подій можуть централізовано реєструватися і контролюватися без агента і управлятися з одного комп'ютера. Події також можуть бути безпосередньо пов'язані із завданнями, які виконуються у зміненому планувальнику завдань і запускають автоматичні дії, коли відбуваються певні події.

Див. також[ред. | ред. код]

Примітки[ред. | ред. код]

  1. Windows Vista: New Tools for Event Management in Windows Vista (рос.). www.microsoft.com. Процитовано 18 січня 2018.
  2. AuthzInstallSecurityEventSource function (Windows). msdn2.microsoft.com. Процитовано 18 січня 2018.

Посилання[ред. | ред. код]

Інструменти керування
Програми
Shell
Сервіси
Файлові системи
Сервер
Архітектура
Безпека
Сумісність
API
Ігри
Відкинуті
Інше
Отримано з https://uk.wikipedia.org/w/index.php?title=Перегляд_подій&oldid=42168488