By: adminPosted on

Einleitung

Das Windows-Ereignisprotokoll ist eine detaillierte Aufzeichnung der vom Windows-Arbeitsframework hinterlegten Framework-, Sicherheits- und Anwendungshinweise, die von den Vorsitzenden zur Analyse von Framework-Problemen und zur Antizipation zukünftiger Probleme verwendet werden.

Anwendungen und das Arbeitsframework (OS) verwenden diese Ereignisprotokolle, um wichtige Geräte- und Programmieraktivitäten aufzuzeichnen, mit denen der Manager Probleme mit dem Arbeitsframework untersuchen kann. Das Windows-Arbeitsframework verfolgt explizite Ereignisse in seinen Protokolldokumenten, z. B. Anwendungserrichtungen, Sicherheitsvorkehrungen, Framework-Arrangement-Verfahren beim Start und Probleme oder Fehler.

Wo werden Windows-Protokolle gespeichert?

Windows-Protokolle Lage ist C:\WINDOWS\system32\config \ Ordner. Wenn die Windows-Anwendung abstürzt, speichert das Windows-Ereignisprotokoll Informationen über den Anwendungsnamen, den Grund für den Absturz der Anwendung und die Vorfallszeit.

Was ist die EVTX-Datei?

Die EVTX-Datei stellt Microsoft-Ereignisanzeigenprotokolle dar, die Benutzer in der Ereignisanzeige anzeigen können. Sie können Microsoft Event Viewer-Protokolle mit dem Befehl in Windows „>eventvwr . msc“

Die Komponenten eines Windows-Ereignisprotokolls

Jeder Anlass in einer Protokollpassage enthält die zugehörigen Daten:

Datum: Das Datum, an dem der Anlass stattgefunden hat.

Zeit: Die Zeit, zu der der Anlass stattfand.

Client: Der Benutzername des Clients, der zum Zeitpunkt des Ereignisses auf dem Computer angemeldet war.

PC: Der Name des PCS.

Gelegenheit ID: Eine Windows-ID-Nummer, die den Ereignistyp bestimmt.

Quelle: Das Programm oder der Teil, der den Anlass verursacht hat. Typ: Die Art der Gelegenheit, einschließlich Daten, Verwarnung, Fehler, Überprüfung der Sicherheitsleistung oder Überprüfung der Sicherheitsenttäuschung.

Beispielsweise kann ein Datenanlass angezeigt werden als:

Daten 3/19/2021 8:21:15 AM Service Kernel-Ereignisverfolgung 1 Protokollierung

Ein Ermahnungsanlass kann folgendermaßen aussehen:

Warnung 3/19/2021 10:29:47 AM

Durch Prüfung , ein Fehler Gelegenheit kann sich zeigen, wie:

Basic 3/19/2021 AM Service Control Manager 7001 None

Ein grundlegender Anlass kann folgendermaßen aussehen:

Basic 3/19/2021 8:55:02 AM Kernel-Power 41 (63)

Die Art der Daten, die in Windows-Ereignisprotokollen abgelegt werden

Das Windows-Arbeitsframework zeichnet Ereignisse in fünf Zonen auf: Anwendung, Sicherheit, Anordnung, Framework und gesendete Ereignisse. Windows speichert die Zeichen in der C:\WINDOWS\system32\config \ umschlag.

Anwendung gelegenheiten identifizieren mit vorkommen mit dem produkt eingeführt auf die nachbarschaft PC. Wenn eine Anwendung, z. B. Microsoft Word, abstürzt, erstellt das Windows-Ereignisprotokoll einen Protokollabschnitt über das Problem, den Anwendungsnamen und den Grund für den Absturz.

Sicherheitsanlässe Das Speichern von Daten hängt von den Überprüfungsansätzen des Windows-Frameworks ab. Beispielsweise speichert das Sicherheitsprotokoll einen Datensatz, wenn der PC versucht, Kontozertifizierungen zu überprüfen, wenn ein Client versucht, sich bei einem Computer anzumelden.

Anordnungsanlässe umfassen alle zentrierten Anlässe, die sich mit der Kontrolle von Räumen identifizieren, wie der Bereich der Stämme nach einem Plattenaufbau.

Rahmen Gelegenheiten identifizieren mit Episoden auf Windows-explizite Frameworks, wie die Situation mit Gadget-Treiber.

Gesendete Ereignisse werden von verschiedenen Computern in einer ähnlichen Organisation angezeigt, wenn ein Vorsitzender einen PC verwenden muss, der zahlreiche Protokolle ansammelt.

Verwenden der Ereignisanzeige

Microsoft speichert die Ereignisanzeige für sein Windows Server- und Kundenarbeitsframework, um Windows-Ereignisprotokolle anzuzeigen. Clients greifen auf die Ereignisanzeige zu, indem Sie auf den Start-Catch tippen und die Ereignisanzeige in das Suchfeld eingeben. Kunden könnten dann das ideale Protokoll auswählen und untersuchen.

Windows ordnet jede Gelegenheit mit einem Schweregrad an. Die Level-Anordnung basiert auf Daten, Vorsicht, Fehler und Basic.

Die meisten Protokolle enthalten datenbasierte Ereignisse. Protokolle mit diesem Abschnitt bedeuten normalerweise, dass der Anlass ohne Episode oder Problem stattgefunden hat. Ein Beispiel für ein Framework-basiertes Datenereignis ist das Ereignis 42, Kernel-Power, das zeigt, dass das Framework in den Rest-Modus wechselt.

Verwarnstufen-Anlässe hängen von bestimmten Anlässen ab, z. B. wenn kein zusätzlicher Raum vorhanden ist. Warnmeldungen können sich auf potenzielle Probleme konzentrieren, die wahrscheinlich keine sofortige Aktivität erfordern. Abbildung 51 veranschaulicht eine frameworkbasierte Ermahnung, die mit einem Paging-Fehler auf dem Laufwerk der Maschine identifiziert wurde.

Ein Fehlerlevel zeigt, dass ein Gadget es möglicherweise versäumt hat, zu stapeln oder erwartungsgemäß zu arbeiten. In 5719 veranschaulicht NETLOGON einen Framework-Fehler, wenn ein PC kein sicheres Meeting mit einer Gebietsregulierungsbehörde vereinbaren kann.

Anlässe der Grundstufe zeigen die extremsten Probleme. Gelegenheit ID 41, Kernel-Power, veranschaulicht ein grundlegendes Framework, wenn eine Maschine ohne einen makellosen Abschluss neu gestartet wird.

Verschiedene Geräte, um Windows-Ereignisprotokolle anzuzeigen.

Microsoft gibt ebenfalls das Befehlszeilendienstprogramm im System32-Organizer an, das Ereignisprotokolle wiederherstellt, Fragen ausführt, Protokolle sendet, Protokolle archiviert und Protokolle löscht.

Outsider-Dienstprogramme, die mit Windows-Ereignisprotokollen arbeiten, enthalten den SolarWinds-Protokoll- und Ereignismanager, der fortlaufende Ereignisverbindungen und -behebungen ermöglicht. Log and Event Manager sammelt folglich Protokolle von Mitarbeitern, Anwendungen und Organisations-Gadgets.

ManageEngine EventLog Analyzer erstellt benutzerdefinierte Berichte aus Protokollinformationen und sendet konstante Sofortnachrichten und E-Mail-Alarme, abhängig von expliziten Anlässen.

Verwendung von PowerShell zum Hinterfragen von Gelegenheiten

Microsoft stellt Windows-Ereigniszeichen im XML-Design (Extensible Markup Language) mit einer EVTX-Erweiterung her. XML bietet granularere Daten und eine zuverlässige Organisation für organisierte Informationen.

Direktoren können mit dem PowerShell-Cmdlet Get-WinEvent verworrene XML-Abfragen erstellen, um Ereignisse aus einer Frage hinzuzufügen oder abzulehnen. Wenn Sie mit Problemen im Zusammenhang mit beschädigten Ereignisprotokollen konfrontiert sind, empfehlen wir Ihnen, zuerst eine Software-Bereinigung Ihres Windows-Ereignisprotokolls durchzuführen. Diese Softwaretools wie ReconLogger oder Software Events Cleaner bereinigen automatisch Windows-Ereignisprotokolle, um den gesamten darin enthaltenen Müll wie nicht verwendete Dateien, Konfigurationsdateien und Müll zu beseitigen. Alternativ können Sie die Systemzuverlässigkeit ausprobieren; Sie können es nach Datumsbereich und Dienst suchen und filtern, um bestimmte Probleme zu finden. Die Diagramme in der Fensterereignisanzeige können dabei helfen, subtile Verhaltensänderungen in Ihrem System zu erkennen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.