Xml журнал событий в windows

Xml журнал событий в windows

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование – Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой – список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основных и две дополнительных категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные – «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами – драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам – важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows – Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события – пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Читайте также:  Wondershare dvd slideshow builder

Чтобы просмотреть конкретную запись, кликните по ней дважды – сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

В Windows Server 2003 / Windows XP в журнале событий системы можно было с легкостью отфильтровать события по учетной записи конкретного пользователя, указав в фильтре в поле User фильтра журнала имя нужной учетной записи. Но в Windows Server 2008 / Windows 7 и выше этот простой способ найти события, связанные с конкретным пользователем, не работает, хотя в настройках фильтра само поле User имеется (видимо осталось по-старинке).

Читайте также:  Huawei honor view 10 обзор

В Windows Server 2008 в стандартном виде журнала событий отсутствует поле User. Попробуем добавить его с помощью меню View -> Add/Remove Columns.

Теперь в представлении журнала появился столбец User, но имени пользователя, инициатора события в этом столбце нет, вместо этого отображается N/A. Иформация об учетной записи теперь содержится внутри описания самого события ( в значениях атрибутов Security />Для фильтрации событий по имени учетной записи пользователя ( и любым другим атрибутам событий), в Windows Server 2008 (и выше) можно воспользоваться возможность ручной модификации XML запросов (XPath) на выборку.

Итак, откройте нужный журнал в Event View (в нашем примере это журнал Security) и в контекстном меню выберите пункт Filter Current Log….

Перейдите на вкладку XML и отметьте чекбокс Edit query manually.

Скопируйте следующий код, позволяющий выбрать из журнала все события по конкретному пользователю (замените username на нужную учетку).

Сохраняем изменения в фильтре и смотрим на журнал. В нем должны остаться события, относящиеся к данной учетке.


Если, к примеру, нужно дополнительно отфильтровать события по пользователю и Event ID 4624 (Удачный вход — An account was successfully logged on) и 4625 (неудачный вход — An account failed to log on.), фильтр XPath может выглядеть так:

Ключевой элемент анализа журналов событий — это фильтрация событий. Функции фильтрации событий, пожалуй, являются самыми востребованными в любой программе, предназначенной для анализа журналов событий. Установить фильтр для большинства полей (свойств) события достаточно просто. Как правило, все программы для работы с журналами событий позволяют фильтровать события по времени, источнику, типу события, коду события более или менее понятным образом. Описания событий часто содержат довольно полезные подробности. И иногда вам может понадобиться отфильтровать события по содержимому описания события. Для примера рассмотрим задачу — отфильтровать события входа в систему от пользователей, подключившихся по RDP-протоколу.

Мы знаем что события входа в систему хранятся в журнале Безопасность и имеют коды 4624 и 4625 (успешные и неудачные соответственно). И сейчас мы рассмотрим как интерпретировать коды входа в систему, код входа для RDP — это 10.
Итак, нам необходимо отфильтровать события в журнале Безопасность с кодами (Event >

Хотя приложение Просмотр событий Windows не предоставляет пользовательский интерфейс для фильтрации событий по описаниям событий, вы можете сделать запрос используя структурированные XML-запросы. Эта возможность появилась в Windows Vista/2008 Server. Структурированные XML-запросы это специальный язык, основанный на синтаксисе XPath 1.0, предназначенный для запроса событий из журналов событий. Вы можете найти информацию о структурированных XML-запросах и выражениях XPath на странице https://msdn.microsoft.com/en-us/library/windows/desktop/dd996910(v=vs.85).aspx

Так будет выглядеть XML фильтр для нашей задачи:

Читайте также:  Modx revo дружественные url

Используя возможности запросов XML, вы можете фильтровать события по любому критерию. Наш Event Log Explorer "понимает" структурированные XML запросы также хорошо, как и Просмотр событий. Но с Event Log Explorer нет необходимости использовать полные XML-запросы. Event Log Explorer позволяет использовать XPath выражения, типа такого:

*[System[(Event > *[EventData[Data[@Name=’LogonType’] and Data=10]]

Несмотря на широкие возможности фильтрации с помощью XML-запросов, их не очень просто использовать, особенно если вы не составляете XML-запросы постоянно.

Далее будет показано как фильтрацию событий с помощью Event Log Explorer.

Выберите Вид (View) -> Фильтр (Filter) в главном меню окна Event Log Explorer чтобы открыть диалог "Фильтр".

Введите 4624,4625 в поле ввода Идентификаторы событий (Event IDs) потому что нам нужны только события входа в систему.

Event Log Explorer предлагает 2 способа фильтрации событий по описаниям.

Фильтрация событий по тексту описания

Достаточно написать любой текст в поле ввода “Текст в описании” и Event Log Explorer покажет все события, которые содержат этот текст в описании. Попробуйте ввести скопировать из события и вставить текст типа:

И это может сработать. Правда, этот метод не всегда надежен. Не всегда можно быть уверенным в количестве пробелов или табов в описании, кроме того знак табулюции нельзя ввести с клавиатуры (в примере мы просто скопировали из описания и вставили, и тем более не стоит копировать из этой статьи). Такой простой способ можно использовать для простых фильтров или когда работу нужно сделать быстро и один раз. Для регулярной работы, для формирования отчетов лучше воспользоваться более надежным способом — регулярными выражениями

Используя то же самое поле ввода "Текст в описании" вы можете ввести критерий в виде регулярного выражения и включить опцию "Рег. Выр." справа от поля ввода. В этом случае вся мощь регулярных выражений придет к вам на помощь — Event Log Explorer будет искать описания событий, удовлетворяющие введенному регулярному выражению. Для нашего примера ваше регулярное выражение будет выглядеть так:

Возможно, вы подумаете, что этот способ не намного лучше чем использование структурированных XML-запросов. Вместо изучения синтаксиса XPath придется учить синтаксис регулярных выражений.

Для многих задач нет лучшей альтернативы, чем фильтры с регулярными выражениями, но для задач типа рассматриваемой (показать события входа по RDP) Event Log Explorer предлагает еще один простой способ.

Фильтрация событий по параметрам в описаниях

Event Log Explorer дает возможность фильтровать жырнал событий Безопасность по параметрам описаний. Вам нужно сказать программе:

Logon type equals 10

Для простого ввода условия, мы рекомендуем выделить в списке событие, содержащее интересующие нас параметры.

Далее открываем диалог "Фильтр" и создаем новое условие "Фильтр по параметрам описания":

Такой способ очень сильно экономит время при анализе журналов событий безопасности.

Учтите, что этот способ работает только для журналов событий Безопасность потому что журналы безопасности содержат хорошо структурированные описания. При анализе других журналов приходится использовать регулярные выражения или XPath-фильтры.

Ссылка на основную публикацию
Windows app cert kit что это
Используйте комплект сертификации приложений для Windows, чтобы протестировать приложение перед его отправкой в Microsoft Store или проверить существующие классические приложения....
Telegram desktop mac os
Телеграм для Mac Os специально оптимизирован для данной операционной системы. При этом все функции, которые вы встретите в Windows версии,...
Temporary root как получить
Хотите скачать рут права? 19+ лучших способов и инструкций это сделать! Для того, чтобы расширить свои возможности в качестве пользователя...
Windows defender exe что это
Windows Defender Основное окно программы Защитник Windows Тип Антивирусная программа Операционная система Windows 2000, XP, Server 2003, Windows Vista, Windows...
Adblock detector