Bevezetés
A Windows eseménynapló a keretrendszer, a biztonság és az alkalmazási értesítések tételes nyilvántartása, amelyet a Windows keretrendszere eltett, amelyet az elnökök használnak a keretrendszer problémáinak elemzésére és a jövőbeli problémák előrejelzésére.
az alkalmazások és a working framework (OS) ezeket az eseménynaplókat használják olyan jelentős berendezések és programozási tevékenységek rögzítésére, amelyeket a menedzser felhasználhat a working framework problémáinak kivizsgálására. A Windows working framework nyomon követi explicit alkalmak annak log dokumentumok, mint az alkalmazás létesítmények, biztonsági a vezetők, keret elrendezése eljárás elején indításkor, és kérdések vagy baklövések.
hol vannak a windows naplók?
Windows naplók helye C:\WINDOWS\system32\config \ mappa. Amikor a windows alkalmazás összeomlik, a Windows eseménynapló információkat tárol az alkalmazás nevéről, az alkalmazás összeomlásának okáról és az esemény idejéről.
mi az EVTX fájl?
az EVTX fájl a Microsoft Event viewer naplóit jelöli, amelyeket a felhasználók az Event Viewer alkalmazásban láthatnak. A Microsoft Event Viewer naplókat a Windows “>eventvwr parancsával futtathatja. msc”
a Windows alkalomnapló összetevői
a naplófájl minden alkalma tartalmazza a kísérő adatokat:
Dátum: az alkalom bekövetkezésének dátuma.
idő: az alkalom megtörtént.
ügyfél: az ügyfél felhasználóneve, amelyet az esemény bekövetkezésekor a gépre aláírtak.
PC: a számítógép Neve.
Alkalom azonosító: A Windows ID-szám, amely meghatározza az alkalom típusát.
forrás: az alkalmat okozó program vagy rész. Típus: az esemény típusa, beleértve az adatokat, figyelmeztetéseket, hibákat, biztonsági teljesítményértékelést vagy biztonsági csalódások áttekintését.
például egy adat alkalom a következőképpen jelenhet meg:
Data 3/19/2021 8: 21: 15 am Service Kernel-Event Tracing 1 naplózás
egy figyelmeztetés alkalom hasonlíthat:
figyelmeztetés 3/19/2021 10:29:47 AM
vizsgálattal, egy hiba alkalom megjelenhet:
hiba 3/19/2021 AM Service Control Manager 7001 nincs
egy alapvető alkalom így nézhet ki:
Basic 3/19/2021 8:55: 02 AM Kernel-Power 41 (63)
a Windows eseménynaplókban tárolt adatok
a Windows working framework öt zónában rögzíti az eseményeket: alkalmazás, biztonság, elrendezés, keretrendszer és elküldött alkalmak. A Windows tárolja az alkalmi jeleket a C:\WINDOWS\system32\config \ boríték.
alkalmazási alkalmak azonosítják az eseményeket a szomszédos számítógépen bevezetett termékkel. Abban az esetben, ha egy alkalmazás, például a Microsoft Word összeomlik, a Windows eseménynapló naplórészletet készít a problémáról, az alkalmazás nevéről és arról, hogy miért csapódott be.
biztonsági alkalmak az adatok tárolása A Windows keretrendszer felülvizsgálati megközelítéseitől függ, és a gyakori alkalmak a bejelentkezési törekvéseket és az eszköz-hozzáférést tartalmazzák. Például a biztonsági napló egy rekordot tárol, amikor a számítógép megpróbálja ellenőrizni a fióktanúsítványokat, amikor az ügyfél megpróbál bejelentkezni egy gépre.
az elrendezési alkalmak magukban foglalják a vállalkozásközpontú alkalmakat, amelyek azonosítják a terek vezérlését, például a rönkök területét a lemez beállítása után.
Framework alkalmak azonosítani epizódok Windows-explicit keretek, mint a helyzet a gadget drivers.
az elküldött alkalmak egy hasonló szervezet különböző gépeiről jelennek meg, amikor az elnöknek olyan számítógépet kell használnia, amely számos naplót halmoz fel.
az Eseménynapló használata
a Microsoft megjegyzi az Eseménynaplót A Windows Server és a customer working framework számára a Windows eseménynaplóinak megtekintéséhez. Az ügyfelek az Eseménynaplót úgy érik el, hogy megérinti a fogás indítása elemet, majd beírja az Eseménynaplót a vadászat mezőbe. Az ügyfelek ezután kiválaszthatják és megvizsgálhatják az ideális naplót.
A Windows minden alkalommal súlyossági szinttel rendel. A szintelrendezés adatokon, figyelmeztetésen, baklövésen és alapokon alapul.
a legtöbb napló adatalapú eseményekből áll. Az ebben a szakaszban szereplő naplók általában azt jelentik, hogy az esemény epizód vagy probléma nélkül történt. A keretrendszer alapú adat alkalom illusztrációja a 42. Esemény, Kernel-Power, amely azt mutatja, hogy a keretrendszer rest módba lép.
a figyelmeztetési szintű alkalmak bizonyos alkalmaktól függenek, például az extra szoba hiánya. A figyelmeztető üzenetek olyan lehetséges kérdésekre összpontosíthatnak, amelyek valószínűleg nem igényelnek azonnali tevékenységet. Alkalom 51, A lemez egy keretalapú figyelmeztetést mutat be, amelyet a gép meghajtóján lapozási hibával azonosítottak.
a baklövés szintje azt mutatja, hogy egy eszköz elhanyagolhatta a verem vagy a munka várakozását. Alkalom 5719, NETLOGON illusztrálja a keret hiba, amikor a számítógép nem tud rendezni egy biztonságos találkozót egy terület szabályozó.
alapszintű alkalmak mutatják a legszélsőségesebb kérdéseket. Alkalom ID 41, Kernel-Power, szemlélteti az alapvető keretet, amikor a gép újraindulása nélkül makulátlan bezárása.
különböző eszközök a Windows alkalmi naplók megtekintéséhez.
a Microsoft hasonlóképpen megadja a System32 organizer parancssori segédprogramját, amely helyreállítja az eseménynaplókat, kérdéseket futtat, naplókat, fájlokat és naplókat küld.
kívülálló segédprogramok, hogy működjön együtt a Windows alkalom naplók bele SolarWinds Log and Event Manager, amely folyamatos alkalommal kapcsolat és kármentesítés; rekord megbízhatósági megfigyelése; USB gadget ellenőrzése; és veszély helyét. A napló és az eseménykezelő következésképpen összegyűjti a munkavállalók, az alkalmazások és a szervezeti modulok naplóit.
a ManageEngine EventLog Analyzer egyedi jelentéseket készít a naplóinformációkból, és állandó azonnali üzeneteket és e-mail riasztásokat küld kifejezett alkalmaktól függően.
a PowerShell használata az alkalmak kérdéséhez
a Microsoft Windows alkalmi jeleket készít extensible markup language (XML) kivitelben, EVTX bővítéssel. Az XML részletesebb adatokat és megbízható szervezetet biztosít a szervezett információkhoz.
az igazgatók a Get-WinEvent PowerShell parancsmag segítségével összeadhatják vagy elutasíthatják az alkalmakat egy kérdésből. Ha sérült eseménynaplókkal kapcsolatos problémákkal szembesül, javasoljuk, hogy először próbálja meg a Windows eseménynaplójának szoftveres tisztítását. Ezek a szoftvereszközök, mint például a ReconLogger vagy a Software Events Cleaner, automatikusan megtisztítják a Windows eseménynaplókat, hogy megszüntessék az összes szemetet, például a fel nem használt fájlokat, a konfigurációs fájlokat és a szemetet. Alternatív megoldásként kipróbálhatja a rendszer megbízhatóságát; kereshet és szűrhet dátumtartomány és szolgáltatás szerint, hogy konkrét problémákat találjon. Az ablak eseménynaplójában található grafikonok segíthetnek a rendszer finom viselkedésbeli változásainak észlelésében.