By: adminPosted on

Introduction

Le journal des occasions Windows est un enregistrement détaillé des avis de cadre, de sécurité et d’application mis de côté par le cadre de travail Windows que les présidents utilisent pour analyser les problèmes de cadre et anticiper les problèmes futurs.

Les applications et le cadre de travail (OS) utilisent ces journaux d’occasions pour enregistrer les activités importantes d’équipement et de programmation que le gestionnaire peut utiliser pour étudier les problèmes liés au cadre de travail. Le cadre de travail Windows suit les occasions explicites dans ses documents de journal, comme les établissements d’application, la sécurité des cadres, la procédure d’arrangement du cadre au démarrage et les problèmes ou les erreurs.

Où sont stockés les journaux Windows ?

L’emplacement des journaux Windows est C:\WINDOWS\system32\config \ dossier. Lorsque l’application Windows se bloque, le journal des événements Windows stocke des informations sur le nom de l’application, la raison pour laquelle l’application s’est bloquée et l’heure de l’incident.

Qu’est-ce que le fichier EVTX ? Le fichier EVTX

représente les journaux de l’observateur d’événements Microsoft que les utilisateurs peuvent voir dans l’observateur d’événements. Vous pouvez exécuter les journaux de l’observateur d’événements Microsoft à l’aide de la commande dans Windows « > eventvwr. msc »

Les composants d’un journal d’occasions Windows

Chaque occasion d’un passage de journal contient les données d’accompagnement :

Date : La date à laquelle l’occasion s’est produite.

Heure : L’heure à laquelle l’occasion s’est produite.

Client : Nom d’utilisateur du client connecté à la machine lorsque l’occasion s’est produite.

PC : Le nom du PC.

NUMÉRO D’occasion: Un numéro d’identification Windows qui détermine le type d’occasion.

Source: Le programme ou la partie qui a provoqué l’occasion. Type : Le type d’occasion, y compris les données, la mise en garde, l’erreur, l’examen de la réussite en matière de sécurité ou l’examen de la déception en matière de sécurité.

Par exemple, une occasion de données peut apparaître comme :

Data 19/03/2021 8:21:15 AM Noyau de service – Suivi des événements 1 Journalisation

Une occasion d’avertissement peut ressembler à :

Mise en garde 19/03/2021 10:29:47 AM

Par examen , une occasion d’erreur peut apparaître comme:

Erreur 19/03/2021 AM Service Control Manager 7001 Aucun

Une occasion de base peut ressembler à ceci :

Basic 19/03/2021 8:55:02 AM Kernel-Power 41 (63)

Le type de données rangées dans les journaux d’occasions Windows

Le cadre de travail Windows enregistre les occasions dans cinq zones : application, sécurité, arrangement, cadre et occasions envoyées. Signes d’occasion de magasins Windows dans le C:\WINDOWS\system32\config \ enveloppe.

Les occasions d’application s’identifient aux occurrences avec le produit introduit sur le PC de voisinage. Au cas où une application, par exemple Microsoft Word, se bloquerait, le journal des occasions de Windows créera une section de journal sur le problème, le nom de l’application et les raisons pour lesquelles elle a claqué.

Les occasions de sécurité stockent les données en fonction des approches de révision du framework Windows, et les occasions courantes mises de côté intègrent les efforts de connexion et l’accès aux actifs. Par exemple, le journal de sécurité stocke un enregistrement lorsque le PC s’efforce de vérifier les certifications de compte lorsqu’un client tente de se connecter à une machine.

Les occasions d’arrangement incorporent des occasions centrées d’entreprise s’identifiant au contrôle des espaces, comme la zone des bûches après une installation de plaque.

Les occasions de cadre s’identifient avec des épisodes sur des cadres explicites Windows, comme la situation avec les pilotes de gadget.

Les occasions envoyées apparaissent à partir de différentes machines d’une organisation similaire lorsqu’un président doit utiliser un PC qui accumule de nombreux journaux.

Utilisation de l’Observateur d’événements

Microsoft mémorise l’Observateur d’événements pour son cadre de travail Windows Server et Customer afin de voir les journaux d’occasions Windows. Les clients accèdent à l’Observateur d’événements en appuyant sur la capture de début et en entrant l’Observateur d’événements dans le champ de recherche. Les clients seraient alors en mesure de choisir et d’étudier le journal idéal.

Windows commande chaque fois avec un niveau de gravité. La disposition des niveaux est basée sur les données, la mise en garde, la gaffe et la base.

La plupart des journaux comprennent des occasions basées sur des données. Les journaux avec cette section signifient généralement que l’occasion s’est produite sans épisode ni problème. Une illustration d’une occasion de données basée sur un framework est l’événement 42, Kernel-Power, qui montre que le framework entre en mode rest.

Les occasions de niveau de mise en garde dépendent d’occasions spécifiques, par exemple, une absence d’espace supplémentaire. Les messages de mise en garde peuvent se concentrer sur des problèmes potentiels qui n’auront probablement pas besoin d’une activité rapide. Occasion 51, Disk illustre un avertissement basé sur un framework identifié par une erreur de pagination sur le lecteur de la machine.

Un niveau de gaffe démontre qu’un gadget a peut-être négligé de s’empiler ou de fonctionner comme prévu. Occasion 5719, NETLOGON illustre une erreur de cadre lorsqu’un PC ne peut pas organiser une réunion sécurisée avec un régulateur de zone.

Les occasions de niveau de base montrent les problèmes les plus extrêmes. Occasion ID 41, Kernel-Power, illustre un cadre de base lorsqu’une machine redémarre sans fermeture impeccable.

Différents périphériques pour voir les journaux d’occasion Windows.

Microsoft fournit également l’utilitaire de ligne de commande dans l’organisateur System32 qui récupère les journaux d’occasions, exécute les questions, envoie les journaux, les journaux de fichiers et les journaux clairs.

Les utilitaires externes qui fonctionnent avec les journaux d’occasions Windows intègrent le gestionnaire de journaux et d’événements SolarWinds, qui fournit une connexion et une correction continues des occasions, l’observation de la fiabilité des enregistrements, la vérification des gadgets USB et l’emplacement du danger. Le gestionnaire de journaux et d’événements rassemble par conséquent les journaux des travailleurs, des applications et des gadgets d’organisation.

ManageEngine EventLog Analyzer fabrique des rapports personnalisés à partir d’informations de journal et envoie des messages instantanés constants et des alarmes par e-mail en fonction d’occasions explicites.

Utilisation de PowerShell pour interroger des occasions

Microsoft fabrique des signes d’occasion Windows dans une conception XML (extensible markup language) avec une augmentation EVTX. XML donne des données plus granulaires et une organisation fiable pour les informations organisées.

Les administrateurs peuvent créer des requêtes XML complexes avec l’applet de commande Get-WinEvent PowerShell pour ajouter ou rejeter des occasions d’une question. Si vous rencontrez des problèmes liés à des journaux d’événements corrompus, nous vous recommandons d’essayer d’abord un nettoyage logiciel de votre journal d’événements Windows. Ces outils logiciels, tels que Reclogger ou Software Events Cleaner, nettoient automatiquement les journaux d’événements Windows pour éliminer tous les fichiers inutiles, tels que les fichiers inutilisés, les fichiers de configuration et les déchets. Vous pouvez également essayer la fiabilité du système; Vous pouvez le rechercher et le filtrer par plage de dates et par service pour trouver des problèmes spécifiques. Les graphiques de l’observateur d’événements de fenêtre peuvent aider à détecter les changements de comportement subtils dans votre système.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.