Просмотр событий

 

Программа Просмотр событий (Event Viewer) представляет специальную системную программу, входящую в состав Windows XP, которая позволяет видеть все сообщения, записанные в лог-файлы различными приложениями и самой ОС. Программа Event Viewer (рис.1.4.) находится:

Пуск\Панель управления\Администрирование\Просмотр событий

В данном окне содержится три пункта: Приложение, Безопасность, Система (Application, Security, System), иначе их называют логами, лог-файлами или, соответственно, журналом прило­жений, журналом безопасности и журналом системы. Информация, содержащаяся в них, явля­ется сообщениями, записанными приложениями систем­ной безопасности ОС и системными компонентами Windows XP. Предполагается, что информация, содержащаяся в этих разделах важна для пользователя, и он должен периодически с ней знакомиться.

 

Рисунок 1.4. Стартовое окно программы Просмотр событий

 

Типы протоколируемых системой событий в логах:

- ошибка – данное сообщение сообщает об ошибке, такой как возможная утеря данных или нарушение функционирования программного обеспе­чения, например, невозможность старта одно­го из системных сервисов или ошибка при завершении приложения;

- предупреждение – сообщение не обязательно является чем-то важным, но может говорить об ошибке, которая может возникнуть впо­следствии, например, нежелание какой-либо программы или сервиса во время выключения машины корректно завершаться;

- уведомление – сообщение, что описываемое событие успешно завершилось в приложении, драйвере или сервисе, например, успешный старт какого-либо системного сервиса или его остановка;

- аудит успехов – сообщение о том, что контролируемое собы­тие в политике аудита и системой безопасности успешно завершилось, например, был произведен корректный вход одного из пользователей в систему;

- аудит отказов – класс событий, который будет со­общать о том, что контролируемое в политике аудита и систе­мой безопасности событие завершилось с ошибкой, например, со­общение, сгенерированное при ошибке доступа к какому-либо объекту системы, или сообщение при регистрации пользователя, если он ошибся паролем.

 

 

Рисунок 1.5. Содержимое раздела Приложение программы Просмотр событий

 

Рисунок 1.6. Типичное сообщение, содержащееся в одном логе системы

 

За запись сообщений в лог системы ответственен сервис Event Log, который стартует при загрузке Windows XP. Вход в раздел Security имеют только пользователи, входящие в со­став группы локальных администраторов. По умолчанию в этот раздел система не пишет никаких сообщений. Для активации записи сообщений необ­ходимо установить требуемую политику аудита системы (п.1.1.).

Для просмотра свойств конкретного уведомления следует сделать щелчок правой кнопкой мыши на событии. В появившемся контекстном меню выбрать команду Свойства. Появится окно Свойства: Уведомление. В верхней части окна (рис.1.6.) содержится типичная информация. В средней и нижней его части содержится информация, раз­личная для каждого из сообщений. Информационные поля в описании события Even (формат протоколируемых событий):

- дата – поле определяет дату, когда данное событие произошло;

- время – поле определяет локальное время, когда это событие на­ступило;

- пользователь – поле определяет пользователя, от имени которого произошло событие (описание пользователя помещено в Event Log); поле может содержать имя клиента, вызвавшего событие, при обра­ботке его запроса в программе-сервере, «N/A» определяет принадлежность данного события к операционной системе.

- компьютер – поле содержит имя компьютера, на котором произошло данное событие;

- код (ID) – поле содержит идентификатор события, который вместе с полем Источник используются для анализа ситуации раз­работчиками программного обеспечения, вызвавшего данную запись в логе; при обращении в службу поддержки по их требова­нию нужно сообщить эти значения полей интересующих их событий системы;

- источник – поле содержит имя программного обеспечения, драйвера или компонента системы, вызвавшего запись события; этот идентифика­тор, а также поле Event ID используются для анализа ситуации разработ­чиками программного обеспечения, вызвавшего данную запись в логе;

- тип – поле содержит один из пяти типов сообщений, которым оно является;

- категория – поле классифицирует событие в программном обеспече­нии, которое его вызвало; данная информация наиболее часто использу­ется в логе событий системы безопасности как идентификатор того, какой именно тип контролируемого события в политике аудита был при записи сообщения.

- описание – поле используется для вывода дополнительной информации, ко­торая может лучше понять природу произошедшего в системе события.

В процессе запуска, работы и выключения системы скапли­вается большое количество событий, на изучение и просмотр которых требуется много времени. Поэтому свое внимание следует сконцентрировать на событиях, имеющих тип: Ошибка, Предупреждение, Аудит отказов. Первые два типа обычно появ­ляются в разделах System и Application и сообщают о том, на что следует обратить внимание в работе системы и приложения, на­пример, проблемы в работе жестких дисков, системных программ или самой операционной системы. Следует внимательно относиться к таким сообщениям, если их пропускать, то может случиться, что в будущем система перестанет корректно функционировать, а данные могут оказаться потерян­ными, если не производилось их регулярное резервирование.

Сообщения системы безопасности Аудит отказов могут быть связаны с тем, что на систему осуществлялась какая-либо атака извне или кто-то из пользователей забыл свой пароль. Частое появление таких сообщений может означать, что кто-то подбирает пароль к определенным учетным записям системы. В данных случаях следует быть особенно внимательными, так как таких записей в Event Log бывает не много.

При переполнении разделов лог-файла системы следует:

- войти в систему под правами системного администратора;

- загрузить программу Просмотр событий (Event Viewer);

- выбрать раздел;

- раскрыть пункт операционного меню Действия или сделать щелчок правой кнопкой мыши на разделе и в появившемся контекстном меню выбрать пункт Стереть все события (рис.1.7.);

- на экране появится диалоговое окно, в котором будет предложено сохранить события, которые будут удалены, в отдельном файле, (рис.1.8.).

Рекомендуется иметь историю совершенных событий, что может помочь при решении возникших проблем, т.к. при сохранении событий всегда можно проследить их начало и принять соответствующее решение. Поэтому следует нажать кнопку Да (рис.1.8.) и выбрать место и имя для со­храняемого файла, содержащего удаляемые сообщения из части Events Log.

 

Рисунок 1.7. Меню для очистки выбранного раздела лог-файла системы

 

 

Рисунок 1.8. Предложение системы о сохранении стираемых событий

 

Если впоследствии придется просмотреть сохраненные события, то следует в программе Просмотр событий раскрыть пункт операционного меню Действия и выбрать команду Открыть файл журнала (рис.1.7.), события, находящиеся в фай­ле, отобразятся на экране. Для выполнения операций очистки разделов Events Log, а также со­хранения и загрузки файлов, содержащих сообщения из этих разделов, требуются права системного администратора.