Úvod

protokol příležitosti systému Windows je položkový záznam rámcových, bezpečnostních a aplikačních oznámení odložených pracovním rámcem systému Windows, který předsedové využívají k analýze rámcových problémů a předvídání budoucích problémů.

aplikace a pracovní rámec (OS) využívají tyto protokoly příležitostí k zaznamenávání významných zařízení a programovacích činností, které manažer může použít k prozkoumání problémů s pracovním rámcem. Pracovní rámec Windows sleduje explicitní příležitosti ve svých dokumentech protokolu, jako jsou aplikační zařízení, zabezpečení vedoucích pracovníků, postup rámcového uspořádání při zahájení spouštění a problémy nebo chyby.

kde jsou uloženy protokoly systému windows?

Windows logs umístění je C:\WINDOWS\system32\config\ složka. Když aplikace windows havaruje, protokol událostí systému Windows uloží informace o názvu aplikace, Proč aplikace havarovala a době incidentu.

co je soubor EVTX?

soubor EVTX představuje protokoly Prohlížeče událostí společnosti Microsoft, které uživatelé mohou vidět v Prohlížeči událostí. Protokoly Prohlížeče událostí Microsoft můžete spustit pomocí příkazu v systému Windows “ >eventvwr. msc“

komponenty protokolu příležitosti systému Windows

každá příležitost v průchodu protokolu obsahuje doprovodná data:

datum: datum, kdy k této příležitosti došlo.

čas: čas, kdy se událost stala.

klient: uživatelské jméno klienta, které se při této příležitosti přihlásilo do počítače.

PC: název počítače.

ID příležitosti: Číslo ID systému Windows, které určuje typ příležitosti.

zdroj: program nebo část, která způsobila tuto příležitost. Typ: druh příležitosti, včetně dat, Varování, chyby, kontroly zabezpečení nebo kontroly zklamání z zabezpečení.

například datová příležitost se může zobrazit jako:

Data 3/19/2021 8: 21: 15 am Service Kernel-event Tracing 1 protokolování

příležitost napomenutí se může podobat:

upozornění 3/19/2021 10: 29: 47 AM

vyšetřením se může chyba zobrazit jako:

chyba 3/19/2021 am Service Control Manager 7001 Žádný

základní příležitost může vypadat takto:

základní 3/19/2021 8: 55: 02 am Kernel-Power 41 (63)

druh dat odložených v protokolech o příležitostech systému Windows

pracovní rámec systému Windows zaznamenává příležitosti v pěti zónách: aplikace, zabezpečení, uspořádání, rámec a odeslané příležitosti. Windows ukládá známky příležitosti v C:\WINDOWS\system32\config\ obálka.

aplikační příležitosti se identifikují s výskyty s produktem zavedeným na sousedním PC. V případě, že aplikace, například Microsoft Word, havaruje, protokol příležitosti systému Windows vytvoří sekci protokolu o problému, názvu aplikace a proč se zabouchl.

bezpečnostní příležitosti ukládají data závislá na přístupech ke kontrole rámce Windows a běžné příležitosti odložené zahrnují přihlašovací úsilí a přístup k majetku. Například protokol zabezpečení ukládá záznam, když se počítač snaží zkontrolovat certifikace účtu, když se klient pokusí přihlásit k počítači.

příležitosti uspořádání zahrnují příležitosti zaměřené na podniky, které se identifikují s ovládáním prostorů, jako je plocha protokolů po nastavení desky.

rámcové příležitosti se identifikují s epizodami v rámcích explicitních pro Windows, jako je situace s ovladači gadgetů.

odeslané příležitosti se objevují z různých strojů v podobné organizaci, když předseda potřebuje využít počítač, který hromadí četné protokoly.

využití prohlížeče událostí

společnost Microsoft si pamatuje Prohlížeč událostí pro svůj systém Windows Server a pracovní rámec pro zákazníky, aby viděla protokoly příležitostí systému Windows. Klienti přistupují k Prohlížeči událostí klepnutím na tlačítko Start catch a zadáním Prohlížeče událostí do pole hunt. Klienti by si pak mohli vybrat a prozkoumat ideální protokol.

Windows objednává každou příležitost s úrovní závažnosti. Uspořádání úrovně je založeno na datech, varování, omyl, a základní.

většina protokolů zahrnuje příležitosti založené na datech. Protokoly s touto částí obvykle znamenají, že k této příležitosti došlo bez epizody nebo problému. Ilustrací datové příležitosti založené na frameworku je událost 42, Kernel-Power, která ukazuje, že rámec vstupuje do klidového režimu.

příležitosti na úrovni varování závisí na konkrétních příležitostech, například na absenci další místnosti. Varovné zprávy se mohou zaměřit na potenciální problémy, které pravděpodobně nebudou potřebovat rychlou aktivitu. Příležitost 51, Disk ilustruje napomenutí založené na frameworku identifikované s chybou stránkování na jednotce stroje.

úroveň chyby ukazuje, že gadget mohl zanedbat skládání nebo očekávanou práci. Příležitost 5719, NETLOGON ilustruje chybu rámce, když počítač nemůže uspořádat bezpečnou schůzku s regulátorem oblasti.

základní úrovně příležitosti ukazují nejextrémnější problémy. Příležitost ID 41, Kernel-Power, ilustruje základní rámec, když se stroj restartuje bez Neposkvrněného uzavření.

různá zařízení pro zobrazení protokolů příležitosti systému Windows.

společnost Microsoft také poskytuje nástroj order line v Organizátoru System32, který obnovuje protokoly příležitostí, spouští otázky, odesílá protokoly, protokoly souborů a jasné protokoly.

nástroje Outsider, které pracují s protokoly příležitosti systému Windows, obsahují protokol SolarWinds a správce událostí, který poskytuje průběžné připojení a nápravu příležitosti; pozorování důvěryhodnosti záznamu; kontrola gadgetů USB; a umístění nebezpečí. Log a Event Manager následně shromažďuje protokoly od pracovníků, aplikací a organizačních gadgetů.

ManageEngine EventLog Analyzer vyrábí vlastní zprávy z informací protokolu a odesílá konstantní rychlé zprávy a e-mailové alarmy v závislosti na explicitních příležitostech.

využití PowerShell k dotazování příležitostí

společnost Microsoft vyrábí známky příležitosti Windows v návrhu Extensible markup language (XML) s augmentací EVTX. XML poskytuje podrobnější data a spolehlivou organizaci pro organizované informace.

ředitelé mohou vytvářet spletité dotazy XML s rutinou get-WinEvent PowerShell a přidávat nebo odmítat příležitosti z otázky. Pokud se potýkáte s problémy souvisejícími s poškozenými protokoly událostí, doporučujeme nejprve vyzkoušet softwarové vyčištění protokolu událostí systému Windows. Tyto softwarové nástroje, jako je ReconLogger nebo Software Events Cleaner, automaticky čistí protokoly událostí systému Windows, aby odstranily veškeré nevyžádané pošty uvnitř, jako jsou nepoužité soubory, konfigurační soubory a odpadky. Případně můžete vyzkoušet spolehlivost systému; můžete vyhledávat a filtrovat podle časového období a služby a najít konkrétní problémy. Grafy v okně Prohlížeč událostí mohou pomoci detekovat jemné změny chování ve vašem systému.