By: adminPosted on

Introducción

El registro de ocasión de Windows es un registro detallado del marco, la seguridad y los avisos de aplicación guardados por el marco de trabajo de Windows que los presidentes utilizan para analizar problemas del marco y anticipar problemas futuros.

Las aplicaciones y el marco de trabajo (SO) utilizan estos registros de ocasiones para registrar equipos y actividades de programación importantes que el administrador puede usar para investigar problemas con el marco de trabajo. El marco de trabajo de Windows rastrea ocasiones explícitas en sus documentos de registro, como establecimientos de aplicaciones, seguridad de los ejecutivos, procedimiento de disposición del marco al comenzar el inicio y problemas o errores.

¿Dónde se almacenan los registros de Windows?

La ubicación de los registros de Windows es C:\WINDOWS\system32\config \ carpeta. Cuando la aplicación de Windows se bloquea, el registro de eventos de Windows almacenará información sobre el nombre de la aplicación, por qué se bloqueó la aplicación y la hora del incidente.

¿Qué es el archivo EVTX?

El archivo EVTX representa los registros del visor de eventos de Microsoft que los usuarios pueden ver en el Visor de eventos. Puede ejecutar registros de Visor de eventos de Microsoft con el comando de Windows » > eventvwr. msc»

Los componentes de un registro de ocasión de Windows

Cada ocasión en un pasaje de registro contiene los datos adjuntos:

Fecha: La fecha en que ocurrió la ocasión.

Hora: La hora en que ocurrió la ocasión.

Cliente: El nombre de usuario del cliente que se conectó a la máquina cuando ocurrió la ocasión.

PC: El nombre del PC.

ID de la ocasión: Un número de ID de Windows que determina el tipo de ocasión.

Fuente: El programa o parte que causó la ocasión. Tipo: El tipo de ocasión, incluidos datos, advertencias, errores, revisión de logros de seguridad o revisión de decepciones de seguridad.

Por ejemplo, una ocasión de datos puede aparecer como:

Datos 3/19/2021 8:21:15 AM Seguimiento de eventos del Núcleo de servicio 1 Registro

Una ocasión de advertencia puede parecerse a:

Advertencia 3/19/2021 10:29:47 AM

Por examen, una ocasión de error puede aparecer como:

Error 3/19/2021 AM Administrador de Control de servicio 7001 Ninguno

Una ocasión básica puede verse así:

Basic 3/19/2021 8: 55: 02 AM Alimentación del núcleo 41 (63)

El tipo de datos guardados en los registros de ocasiones de Windows

El marco de trabajo de Windows registra ocasiones en cinco zonas: aplicación, seguridad, disposición, marco y ocasiones enviadas. Letreros de ocasión en las tiendas Windows C:\WINDOWS\system32\config \ sobre.

Las ocasiones de aplicación se identifican con las ocurrencias con el producto introducido en el PC de barrio. En la remota posibilidad de que una aplicación, por ejemplo, Microsoft Word, se bloquee, el registro de ocasión de Windows creará una sección de registro sobre el problema, el nombre de la aplicación y por qué se bloqueó.

Ocasiones de seguridad los datos de almacenamiento dependen de los enfoques de revisión del marco de Windows, y las ocasiones comunes guardadas incorporan esfuerzos de inicio de sesión y acceso a activos. Por ejemplo, el registro de seguridad almacena un registro cuando el PC se esfuerza por verificar las certificaciones de la cuenta cuando un cliente intenta iniciar sesión en una máquina.

Las ocasiones de disposición incorporan ocasiones centradas en la empresa que se identifican con el control de espacios, como el área de troncos después de una configuración de placa.

Las ocasiones de marco se identifican con episodios en marcos explícitos de Windows, como la situación con controladores de gadgets.

Las ocasiones enviadas aparecen desde diferentes máquinas en una organización similar cuando un presidente necesita utilizar un PC que acumula numerosos registros.

Utilizando el Visor de eventos

Microsoft recuerda el Visor de eventos para su marco de trabajo de Cliente y servidor de Windows para ver los registros de ocasiones de Windows. Los clientes acceden al Visor de eventos tocando el botón Iniciar captura e ingresando el Visor de eventos en el campo de caza. Los clientes podrían entonces elegir e investigar el registro ideal.

Windows ordena cada ocasión con un nivel de gravedad. La disposición de niveles se basa en datos, advertencia, error y básico.

La mayoría de los registros incluyen ocasiones basadas en datos. Los registros con esta sección generalmente significan que la ocasión ocurrió sin un episodio o problema. Una ilustración de una ocasión de datos basada en framework es el Evento 42, Kernel-Power, que muestra que el framework está entrando en modo de reposo.

Las ocasiones de nivel de advertencia dependen de ocasiones específicas, por ejemplo, la ausencia de espacio adicional. Los mensajes de advertencia pueden centrarse en problemas potenciales que probablemente no necesiten actividad inmediata. Ocasión 51, Disk ilustra una advertencia basada en el marco identificada con un error de paginación en la unidad de la máquina.

Un nivel de error demuestra que un gadget puede haber descuidado apilarse o funcionar de forma esperada. Ocasión 5719, NETLOGON ilustra un error de marco cuando un PC no puede organizar una reunión segura con un regulador de área.

Las ocasiones de nivel básico muestran los problemas más extremos. ID de ocasión 41, Kernel-Power, ilustra un marco básico cuando una máquina se reinicia sin un cierre impecable.

Diferentes dispositivos para ver los registros de ocasiones de Windows.

Microsoft también proporciona la utilidad de línea de pedidos en el organizador System32 que recupera registros de ocasiones, ejecuta preguntas, envía registros, archiva registros y borra registros.

Las utilidades externas que funcionan con registros de ocasiones de Windows incorporan el Administrador de registros y eventos de SolarWinds, que proporciona conexión y corrección continuas de ocasiones; observación de la fiabilidad de los registros; comprobación de dispositivos USB y ubicación de peligro. En consecuencia, el administrador de registros y eventos recopila registros de trabajadores, aplicaciones y dispositivos de organización.

ManageEngine EventLog Analyzer fabrica informes personalizados a partir de información de registro y envía mensajes instantáneos constantes y alarmas de correo electrónico en función de ocasiones explícitas.

Utilizando PowerShell para cuestionar ocasiones

Microsoft fabrica signos de ocasiones de Windows en un diseño de lenguaje de marcado extensible (XML) con un aumento EVTX. XML proporciona datos más detallados y una organización fiable para la información organizada.

Los directores pueden crear consultas XML complicadas con el cmdlet Get-WinEvent PowerShell para agregar o rechazar ocasiones de una pregunta. Si se enfrenta a problemas relacionados con registros de eventos dañados, le recomendamos que pruebe primero una limpieza de software de su registro de eventos de Windows. Estas herramientas de software, como ReconLogger o Limpiador de eventos de software, limpian automáticamente los registros de eventos de Windows para eliminar toda la basura que contiene, como archivos no utilizados, archivos de configuración y basura. Alternativamente, puede probar la confiabilidad del sistema; puede buscarlo y filtrarlo por rango de fechas y servicio para encontrar problemas específicos. Los gráficos del Visor de eventos de la ventana pueden ayudar a detectar cambios sutiles de comportamiento en el sistema.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.