wprowadzenie
Dziennik okazji systemu Windows jest szczegółowym zapisem RAM, zabezpieczeń i powiadomień o aplikacjach odłożonych przez ramę roboczą systemu Windows, którą przewodniczący wykorzystują do analizy problemów z ramami i przewidywania przyszłych problemów.
aplikacje i ramy robocze (OS) wykorzystują te dzienniki okazji do rejestrowania istotnych urządzeń i działań programistycznych, których menedżer może użyć do zbadania problemów z ramą roboczą. Windows working framework śledzi wyraźne okazje w dokumentach dziennika, takich jak zakłady aplikacji, Bezpieczeństwo kadry kierowniczej, procedura układ ramowy na początku uruchamiania i problemy lub błędy.
gdzie przechowywane są dzienniki systemu windows?
lokalizacja dzienników Windows To C:\WINDOWS\system32\config \ folder. Po awarii aplikacji windows dziennik zdarzeń systemu Windows będzie przechowywał informacje o nazwie aplikacji, przyczynach awarii aplikacji i czasie incydentu.
co to jest plik EVTX?
plik EVTX reprezentuje dzienniki Microsoft Event viewer, które użytkownicy mogą zobaczyć w przeglądarce zdarzeń. Możesz uruchomić dzienniki Microsoft Event Viewer za pomocą polecenia w systemie Windows ” >eventvwr. msc”
składniki dziennika okazji systemu Windows
każda okazja w fragmencie dziennika zawiera towarzyszące dane:
data: data, w której doszło do okazji.
Czas: Czas, w którym zdarzyła się okazja.
Client: nazwa użytkownika klienta podpisana na maszynie, gdy zdarzyła się okazja.
PC: nazwa komputera.
: Numer ID systemu Windows, który określa typ okazji.
źródło: program lub część, która spowodowała tę okazję. Typ: Rodzaj okazji, w tym dane, ostrzeżenie, błąd, przegląd osiągnięć bezpieczeństwa lub przegląd rozczarowań bezpieczeństwa.
na przykład okazja danych może pojawić się jako:
dane 3/19/2021 8:21:15 AM Service Kernel-Event Tracing 1 Logowanie
okazja upomnienia może przypominać:
Ostrzeżenie 3/19/2021 10: 29: 47 AM
przez badanie, błąd może pojawić się jako:
błąd 3/19/2021 AM Service Control Manager 7001 brak
podstawowa okazja może wyglądać tak:
Podstawowa 3/19/2021 8: 55: 02 AM Kernel-Power 41 (63)
rodzaj danych umieszczanych w dziennikach okazji systemu Windows
rama robocza systemu Windows rejestruje okazje w pięciu strefach: aplikacja, bezpieczeństwo, układ, ramy i wysłane okazje. Windows przechowuje znaki okolicznościowe w C:\WINDOWS\system32\config \ koperta.
przypadki aplikacji identyfikują się z wystąpieniami z produktem wprowadzonym na sąsiedzkim komputerze. Na off szansa, że aplikacja, na przykład, Microsoft Word, zawiesza się, dziennik okazji systemu Windows będzie sekcja dziennika o problemie, nazwa aplikacji, i dlaczego trzasnął.
okazje bezpieczeństwa przechowywanie danych zależy od podejść do przeglądu systemu Windows, a typowe okazje odkładane zawierają starania logowania i dostęp do zasobów. Na przykład dziennik zabezpieczeń przechowuje rekord, gdy komputer próbuje sprawdzić certyfikaty konta, gdy klient próbuje zalogować się na komputerze.
okazje aranżacyjne zawierają skoncentrowane na przedsięwzięciu okazje identyfikujące się z kontrolą przestrzeni, takie jak Obszar kłód po ustawieniu płyty.
okazje frameworka identyfikują się z epizodami na frameworkach Windows-explicit, jak sytuacja ze sterownikami gadżetów.
wysłane okazje pojawiają się z różnych maszyn w podobnej organizacji, gdy przewodniczący musi korzystać z komputera, który gromadzi liczne logi.
korzystając z przeglądarki zdarzeń
firma Microsoft pamięta przeglądarkę zdarzeń dla swojej platformy roboczej Windows Server i customer, aby zobaczyć dzienniki okazji systemu Windows. Klienci uzyskują dostęp do przeglądarki zdarzeń, dotykając połowu początkowego i wprowadzając przeglądarkę zdarzeń w polu polowania. Klienci będą mogli wybrać i zbadać idealny dziennik.
Windows zamawia każdą okazję z poziomem ważności. Układ poziomów opiera się na danych, ostrzeżeniach, błędach i podstawach.
Większość dzienników składa się z okazji opartych na danych. Dzienniki z tej sekcji zazwyczaj oznaczają, że wydarzenie miało miejsce bez epizodu lub problemu. Ilustracją przypadku danych opartych na frameworku jest Zdarzenie 42, Kernel-Power, które pokazuje, że framework wchodzi w tryb spoczynku.
przypadki Ostrzeżenia poziomu zależą od konkretnych przypadków, takich jak brak dodatkowego miejsca. Komunikaty ostrzegawcze mogą skupiać się na potencjalnych problemach, które prawdopodobnie nie będą wymagały szybkiego działania. Okazja 51, Dysk ilustruje ramowe upomnienie identyfikowane z błędem stronicowania na dysku maszyny.
poziom błędu pokazuje, że gadżet mógł zaniedbać stos lub działać zgodnie z oczekiwaniami. Okazja 5719, NETLOGON ilustruje błąd frameworka, gdy komputer nie może zorganizować bezpiecznego spotkania z regulatorem obszaru.
okazje na poziomie podstawowym pokazują najbardziej ekstremalne problemy. Okazja ID 41, Kernel-Power, ilustruje podstawowe ramy, gdy maszyna uruchamia się ponownie Bez nieskazitelnego zamknięcia.
różne urządzenia, aby zobaczyć dzienniki okazji systemu Windows.
Microsoft również udostępnia narzędzie wiersza zamówienia w organizerze System32, które odzyskuje dzienniki okazji, uruchamia pytania, wysyła Dzienniki, Dzienniki plików i wyczyść dzienniki.
narzędzia zewnętrzne współpracujące z dziennikami okazji systemu Windows zawierają Dziennik SolarWinds i menedżer zdarzeń, który zapewnia bieżące połączenie i naprawę okazji; obserwację wiarygodności rekordów; sprawdzanie gadżetów USB; i lokalizację zagrożenia. Log i Event Manager konsekwentnie gromadzi logi z pracowników, aplikacji i gadżetów organizacji.
Analizator zdarzeń ManageEngine tworzy niestandardowe raporty z informacji dziennika i wysyła stałe wiadomości błyskawiczne i alarmy e-mail w zależności od wyraźnych okazji.
wykorzystując PowerShell do kwestionowania okazji
Microsoft tworzy znaki okolicznościowe systemu Windows w projekcie extensible markup language (XML) z augmentacją EVTX. XML zapewnia bardziej szczegółowe dane i niezawodną organizację zorganizowanych informacji.
dyrektorzy mogą konstruować zawiłe zapytania XML za pomocą polecenia cmdlet Get-WinEvent PowerShell, aby dodać lub odrzucić okazje z pytania. Jeśli masz problemy związane z uszkodzonymi dziennikami zdarzeń, zalecamy najpierw wypróbowanie czyszczenia oprogramowania dziennika zdarzeń systemu Windows. Te narzędzia programowe, takie jak ReconLogger lub Software Events Cleaner, automatycznie czyszczą dzienniki zdarzeń systemu Windows, aby wyeliminować wszystkie śmieci w środku, takie jak nieużywane pliki, pliki konfiguracyjne i śmieci. Alternatywnie możesz wypróbować niezawodność systemu; możesz wyszukiwać i filtrować go według zakresu dat i usług, aby znaleźć konkretne problemy. Wykresy w oknie Podgląd zdarzeń mogą pomóc wykryć subtelne zmiany zachowania w systemie.