настраиваемые представления windows 7

Введение

В предыдущей части статьи рассказывалось о базовых концепциях программы Windows 7 «Просмотр событий». В этой статье речь пойдет о настраиваемых представлениях, сортировке, группировке, фильтрации, а также о подписках на события.

В предыдущих версиях системных утилит «Просмотр событий» уже имелась возможность фильтрации событий непосредственно в журнале событий, для создания которой требовалось указывать определенное количество правил. Они в свою очередь определяли всего-навсего отображение или скрытие правил в журнале событий. Начиная с операционной системы Windows Vista, фильтрация событий стала одним из преимуществ в функционале данной утилиты, которая позволяет фильтровать события для исключения или включения их в набор результатов. Вы можете создать набор правил, который будут использоваться при отборе событий из указанных источников, и отображении только тех событий, свойства которых удовлетворяют указанным правилам. В свою очередь, сортировка по типу упрощает отделение сообщений о критических ошибках от предупреждений и прочих сообщений, сортировка по источнику – отслеживание событий из определенных источников, а сортировка по коду – выявление повторяющихся событий.

Использование фильтров в большинстве случаев существенно экономит время при поиске неисправностей и отладке системных ошибок. Сохранять проделанную работу и созданные фильтры позволяют настраиваемые представления. Сохраненный фильтр называется настраиваемым представлением, который создан на основе XPath-запросов. XPath – это язык запросов, позволяющий обращаться к определенным частям XML-документов. В просмотре событий XPath-выражения используются для поиска и выборки элементов журналов событий в отфильтрованное представление.

Чтобы создать настраиваемое или отфильтрованное представление в просмотре событий, скопируйте XPath-запрос и сохраните его в файле пользовательского представления просмотра событий. Запустив этот запрос снова, можно воссоздать соответствующее настраиваемое представление или фильтр на любом компьютере с новыми операционными системами.

При помощи программы «Просмотр событий» можно использовать централизованную регистрацию событий с использованием механизма пересылки событий и копирования журналов, которые ведутся на разных компьютерах, в централизованное хранилище, где можно анализировать сразу все журналы. Данный механизм, который практически не изменился со времен создания операционной системы Windows Vista, позволяет вам пересылать сведения о событиях на любой компьютер, который выполняет протоколирование событий. В связи с этим, можно проводить анализ в реальном времени для обнаружения попыток несанкционированного проникновения на компьютеры организации, а также домашней локальной сети.

Если говорить вкратце, то сама настройка централизованной регистрации событий выполняется в несколько этапов. Сначала нужно настроить сбор и пересылку событий, а затем назначается сервер сбора событий и на нем определяются подписки, для каждого компьютера с указанными журналами и типами событий. После создания и активации подписки начинается процесс получения событий, которые можно просматривать и обрабатывать точно таким же образом, как и любые локальные события. Поскольку протокол пересылки событий использует стандартные протоколы HTTP и HTTPS, то вполне возможна пересылка событий через любые брандмауэры при условии, что на них открыты TCP-порты 80 и 443. А за сам процесс передачи и сбора информации отвечают служба удаленного управления Windows (WinRM) и служба сбора событий Windows (Wecsvc).

Все события, которые записываются в журнал событий, содержат ссылку на веб-сайт корпорации Microsoft или тот веб-сайт, который вы указываете при создании своего собственного события. Во время просмотра любого события вы можете перейти по ссылке «Веб-справка журнала» для перехода на веб-страницу с информацией о данном событии. Если требуется связать со ссылкой «Веб-справка журнала» URL-адрес веб-сайта, отличного от сайта Microsoft, то можно либо указать нужный URL-адрес в системном реестре, либо указать URL-адрес в манифесте инструментария для издателя.

Настраиваемые представления

Как говорилось выше, некоторые фильтры, которые сохраняются под определенными именами, называются настраиваемыми представлениями. После того как будут созданы и сохранены настраиваемые представления, их можно использовать в дальнейшем без повторного создания соответствующего фильтра. Просмотр событий автоматически создает фильтр представления журналов и помещает его в узел «Настраиваемые представления». Выбрав тот же созданный по умолчанию фильтр «События управления», у вас есть возможность получить полный список ошибок и предупреждений, собранных из всех журналов. При открытии настраиваемого представления для отображения событий используется фильтр, который применялся при создании указанного представления. Настраиваемые представления можно импортировать и экспортировать, а также разрешить использовать их другим пользователям и на других компьютерах. Далее рассматриваются основные операции, которые можно выполнить с настраиваемыми представлениями.

Файл настраиваемого представления содержит XPath-запрос, который отображается на вкладке «XML». У членов группы «Читатели журнала событий», администраторам и другим пользователям, обладающими соответствующими разрешениями, есть доступ на выполнение запросов и просмотр событий на удаленном компьютере.

Создание настраиваемого представления

Для того чтобы создать настраиваемое представление, выполните следующие действия:

Отображение настраиваемых XML-представлений

Как говорилось выше, настраиваемые представления – это именованные фильтры, созданные на основе XPath-запросов. Соответственно, настраиваемые представления, как и другие фильтры в журнале событий, основаны на использовании XML. После создания настраиваемого представления в программе «Просмотр событий» можно просмотреть XML-код, использующийся для создания запроса. Для отображения настраиваемых XML-представлений выполните следующие действия:

Импорт настраиваемых представлений

При помощи утилиты «Просмотр событий», представления в виде XML-файлов можно импортировать в связи с тем, что настраиваемые представления являются XML-файлами со стандартным разрешением XML. С помощью этой функции представления можно сделать доступными для других пользователей и компьютеров. Для того чтобы импортировать настраиваемые представления, выполните следующие действия:

Экспорт настраиваемых представлений

Для последующего импорта настраиваемых представлений для других пользователей и компьютеров в программе «Просмотр событий» можно экспортировать созданные представления в XML-файлы. Для того чтобы экспортировать настраиваемые представления, выполните следующие действия:

Фильтрация и сортировка

Одной из ключевых особенностей использования программы «Просмотр событий» является способность фильтровать, сортировать, группировать и изменять порядок следования событий. Это можно назвать организацией презентаций событий для исключения или включения их в набор результатов. Сортировка событий значительно упрощает отделение сообщений о критических ошибках от прочих сообщений, отслеживает события из определенных источников, а также выявляет повторяющиеся события. Фильтрация в основном предназначена для анализа конкретных событий, которые можно отбирать по заданным критериям. При помощи группировки можно отображать все события, которые были созданы, например, одним и тем же источником. Об этом функционале рассказывается в этом разделе данного руководства.

Фильтрация событий

Для облегчения просмотра событий в выбранном журнале, программа «Просмотр событий» позволяет использовать гибкий механизм фильтрации. К сожалению, фильтры предназначены только для временного просмотра и при последующем просмотре журнала, для которого применялся фильтр, он будет сброшен. Для того чтобы фильтр можно было применять в последующие разы, можно создавать настраиваемые представления, о которых говорилось выше. Для фильтрации отображаемых событий выполните следующие действия:

Для того чтобы отменить действия фильтра, выберите команду «Очистить фильтр» из меню «Действие» или из контекстного меню журнала.

Сортировка событий

Сортировка – это алгоритм для упорядочения элементов в списке. В случае, когда элемент списка имеет несколько полей, поле, служащее критерием порядка, называется ключом сортировки. В программе «Просмотр событий» в качестве ключа выступают столбцы, которые отображены в главном окне программы. В зависимости от того, какие столбцы свойств событий программы «Просмотр событий» вы выбрали для отображения просматриваемых событий, данные можно отсортировать следующим образом:

К сожалению, после сохранения журнала в файл, порядок сортировки сохранен не будет.

Группировка событий

При группировке элементов управления они объединяются так, чтобы с ними можно было работать как с одним элементом управления. Например, можно изменять размеры всех элементов управления в группе или перемещать их как одно целое. Несмотря на все хорошие качества сортировки событий, результаты сортировки могут содержать огромные, что значительно усложняет работу с событиями. В связи с этим была разработана такая функция, как группировка событий, которая собирает указанные события в группы, что значительно упрощает поиск нужных данных. Для того чтобы сгруппировать события по определенному свойству, сделайте следующее:

К сожалению, «Просмотр событий» позволяет группировать данные только по одному столбцу, то есть поддерживает один уровень группировки.

Порядок следования свойств событий

В первой части текущего руководства я рассказывал о том, какие существуют свойства событий и как их можно выбирать. Здесь я объясню, как можно изменять порядок следования свойств событий для их отображения в программе. Изменить их порядок можно следующим образом:

Источник

Введение

Операционная система Windows 7 постоянно следит за различными достойными внимания событиями, возникающими в вашей системе. В Microsoft Windows событие (event) – это любое происшествие в операционной системе, которое записывается в журнал или требует уведомления пользователей или администраторов. Это может быть служба, которая не хочет запускаться, установка устройства или ошибка в работе приложения. События регистрируются и сохраняются в журналах событий Windows и предоставляют важные хронологические сведения, помогающие вести мониторинг системы, поддерживать ее безопасность, устранять ошибки и выполнять диагностику. Необходимо регулярно анализировать информацию, содержащуюся в этих журналах. Вам следует регулярно следить за журналами событий и настраивать операционную систему на сохранение важных системных событий. В том случае, если вы администратор серверов Windows, то необходимо следить за безопасностью их систем, нормальной работой приложений и сервисов, а также проверять сервер на наличие ошибок, способных ухудшить производительность. Если вы пользователь персонального компьютера, то вам следует убедиться в том, что вам доступны соответствующие журналы, необходимые для поддержки своей системы и устранения ошибок.

Программа «Просмотр событий» представляет собой оснастку консоли управления Microsoft (MMC) и предназначена для просмотра и управления журналами событий. Это незаменимый инструмент для наблюдения за работоспособностью системы и устранения возникших неполадок. Служба Windows, которая управляет протоколированием событий, называется «Журнал событий». В том случае, если она запущена, Windows записывает важные данные в журналы. При помощи программы «Просмотр событий» вы можете выполнять следующие действия:

Запуск приложения «Просмотр событий»

Приложение «Просмотр событий» можно открыть следующими способами:

Журналы событий в Windows 7

В операционной системе Windows 7, так же как и в Windosw Vista, существуют две категории журналов событий: журналы Windows и журналы приложений и служб. Журналы Windows – используются операционной системой для регистрации общесистемных событий, связанных с работой приложений, системных компонентов, безопасностью и запуском. А журналы приложений и служб – используются приложениями и службами для регистрации событий, связанных с их работой. Для управления журналами событий можно использовать оснастку «Просмотр событий» или программу командной строки wevtutil, о которой будет рассказано во второй части статьи. Все типы журналов описаны ниже:

Приложение – хранит важные события, связанные с конкретным приложением. Например, Exchange Server сохраняет события, относящиеся к пересылке почты, в том числе события информационного хранилища, почтовых ящиков и запущенных служб. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Application.Evtx.

Безопасность – хранит события, связанные с безопасностью, такие как вход/выход из системы, использование привилегий и обращение к ресурсам. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\Security.Evtx

Установка – в этот журнал записываются события, возникающие при установке и настройке операционной системы и ее компонентов. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\Setup.Evtx.

Система – хранит события операционной системы или ее компонентов, например неудачи при запусках служб или инициализации драйверов, общесистемные сообщения и прочие сообщения, относящиеся к системе в целом. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\System.Evtx

Пересылаемые события – если настроена пересылка событий, в этот журнал попадают события, пересылаемые с других серверов. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\ForwardedEvents.Evtx

Internet Explorer – в этот журнал записываются события, возникающие при настройке и работе с браузером Internet Explorer. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\InternetExplorer.Evtx

Windows PowerShell – в этом журнале регистрируются события, связанные с использованием оболочки PowerShell. По умолчанию размещается в %SystemRoot%\System32\Winevt\Logs\WindowsPowerShwll.Evtx

События оборудования – если настроена регистрация событий оборудования, в этот журнал записываются события, генерируемые устройствами. По умолчанию помещается в %SystemRoot%\System32\Winevt\Logs\HardwareEvent.Evtx

В Windows 7 инфраструктура, обеспечивающая регистрацию событий, основана также как и в Windows Vista на XML. Данные о каждом событии соответствуют XML-схеме, что позволяет получить доступ к XML-коду любого события. Кроме того, можно создавать основанные на XML запросы для получения данных из журналов. Для использования этих новых возможностей не требуются знания об XML. Оснастка «Просмотр событий» предоставляет простой графический интерфейс для доступа к этим возможностям.

Свойства событий

Существует несколько свойств событий оснастки «Просмотр событий», которые подробно описаны немного ниже:

Источник – это программа, зарегистрировавшая событие в журнале. Это может быть как имя программы (например, «Exchange Server»), так и название компонента системы или большого приложения (например, имя драйвера). Например, «Elnkii» означает драйвер EtherLink II.

Уровень – это уровень важности события. В журналах системы и приложений события могут иметь следующие уровни важности:

Пользователь – определяет учетную запись пользователя, от имени которого возникло данное событие. К пользователям относятся особые сущности, например Local Service, Network Service и Anonymous Logon, а также учетные записи реальных пользователей. Это имя представляет собой идентификатор клиента, если событие фактически было вызвано серверным процессом, или основной идентификатор, если олицетворение не производится. В некоторых случаях запись журнала безопасности содержит оба идентификатора. А также в этом поле может стоять N/A (Н/Д), если в данной ситуации учетная запись неприменима. Олицетворение происходит в случаях, когда сервер позволяет одному процессу присвоить атрибуты безопасности другого процесса.

Категория и задачи – определяет категорию события, иногда используемую для последующего описания допустимого действия. У каждого источника событий свои категории. Например следующие категории: вход/выход, использование привилегий, изменение политики и управление учетной записью.

Ключевые слова – это набор категорий или меток, которые могут использоваться для фильтрации или поиска событий. Например: «Сеть», «Безопасность» или «Ресурс не найден».

Компьютер – идентифицирует имя компьютера, на котором произошло событие. Обычно это имя локального компьютера, но также может быть имя компьютера, переславшего событие, или имя локального компьютера до того, как оно было изменено.

Дата и время – определяет дату и время возникновения данного события в журнале.

ИД процесса – представляет идентификационный номер процесса, создавшего данное событие. Компьютерная программа представляет из себя только пассивную совокупность инструкций, в то время как процесс — это непосредственное выполнение этих инструкций

ИД потока – представляет идентификационный номер потока, создавшего данное событие. Процесс, порождённый в операционной системе, может состоять из нескольких потоков, выполняющихся «параллельно», то есть без предписанного порядка во времени. При выполнении некоторых задач такое разделение может достичь более эффективного использования ресурсов вычислительной машины

ИД процессора – представляет идентификационный номер процессора, обработавшего событие.

Код сеанса – это идентификационный номер сеанса на сервере терминалов, в котором произошло событие.

Время работы в режиме ядра – определяет время, потраченное на выполнение инструкций режима ядра, в единицах времени ЦП. Режим ядра имеет неограниченный доступ к системной памяти и внешним устройствам. Ядро системы NT называют гибридным ядром или макроядром.

Время работы в пользовательском режиме – определяет время, потраченное на выполнение инструкций пользовательского режима, в единицах времени ЦП. Режим пользователя состоит из подсистем, которые передают запросы ввода\вывода соответствующему драйверу режима ядра посредством менеджера Ввода-вывода.

Загруженность процессора – это время, потраченное на выполнение инструкций пользовательского режима, в тиках ЦП.

Код корреляции – определяет действие в процессе, для которого используется событие. Этот код используется для указания простых отношений между событиями. Корреляция — статистическая взаимосвязь двух или нескольких случайных величин (либо величин, которые можно с некоторой допустимой степенью точности считать таковыми). При этом, изменения одной или нескольких из этих величин приводят к систематическому изменению другой или других величин.

ИД относительной корреляции – определяет относительное действие в процессе, для которого используется событие

Работа с журналами событий

Просмотр событий

На следующем скриншоте можно увидеть журнал «Приложения», в котором можно узнать сведения о событиях, недавних представлениях и доступных действиях. Для того чтобы просмотреть события журнала приложений, выполните следующие действия:

Желательно почаще просматривать журналы событий «Приложение» и «Система» и изучать существующие проблемы и предупреждения, которые могут предвещать о проблемах в будущем. При выборе журнала в среднем окне отображаются доступные события, включая дату события, время и источник, уровень события и другие данные.

Панель «Область просмотра» показывает основные данные о событиях на вкладке «Общие», а дополнительные специфические данные – на вкладке «Подробности». Включить и выключить эту панель можно, выбрав меню «Вид», а затем команду «Область просмотра».

Для критических систем рекомендуется хранить журналы за последние несколько месяцев. Все время назначать журналам такой размер, чтобы в них умещалась вся информация, как правило, неудобно, решить эту задачу можно по-другому. Можно экспортировать журналы в файлы, распложенные в заданной папке. Для того чтобы сохранить выбранный журнал выполните следующие действия:

Очистка журнала событий

Иногда приходится очищать заполненные журналы событий для обеспечения эффективного анализа предупреждений и критических ошибок операционной системы. Для того чтобы очистить выбранный журнал выполните следующие действия:

Установка максимального размера журнала

Как было сказано выше, журналы событий хранятся в виде файлов в папке %SystemRoot%\System32\Winevt\Logs\. По умолчанию максимальный размер этих файлов ограничен, но его можно изменить следующим способом:

События сохраняются в файле журнала, размер которого может увеличиваться только до заданного максимального значения. После достижения файлом максимального размера, обработка поступающих событий будет определяться политикой хранения журналов. Доступны следующие политики сохранения журнала:

Переписывать события при необходимости (сначала старые файлы) – в этом случае новые записи продолжают заноситься в журнал после его заполнения. Каждое новое событие заменяет в журнале наиболее старое;

Архивировать журнал при заполнении; не переписывать события – в этом случае файл журнала автоматически архивируется при необходимости. Перезапись устаревших событий не выполняется.

Не переписывать события (очистить журнал вручную) – в этом случае журнал очищается вручную, а не автоматически.

Для того чтобы выбрать нужную политику сохранения журналов выполните следующие действия:

Активация аналитического и отладочного журнала

Аналитический и отладочный журналы по умолчанию неактивны. После активации они быстро заполняются большим количеством событий. По этой причине желательно активировать указанные журналы на ограниченный период времени для того, чтобы собрать необходимые для поиска и устранения неполадок данные, а затем снова их отключить. Активацию журналов можно выполнить следующим образом:

Открытие и закрытие сохраненного журнала

При помощи оснастки «Просмотр событий» можно открывать и просматривать сохраненные ранее журналы. Одновременно можно открыть несколько сохраненных журналов и обращаться к ним в любое время в дереве консоли. Журнал, открытый в «Просмотре событий», может быть закрыт без удаления содержащихся в нем сведений. Для открытия сохраненного журнала выполните следующие действия:

Для того чтобы удалить открытый журнал из дерева событий, выполните следующие действия:

Заключение

В этой части статьи, посвященной оснастке «Просмотр событий», рассказывается о самой оснастке и подробно описаны простейшие операции, связанные с мониторингом и обслуживанием системы при помощи «Просмотра событий». Следующая часть статьи будет рассчитана для опытных пользователей Windows. В ней будут описаны задачи с настраиваемыми представлениями, фильтрация, группировка/сортировка событий и управление подписками.

Источник