Przeglądanie dzienników w Podglądzie zdarzeń

Windows cały czas monitoruje wszystkie zdarzenia i zapisuje je w dziennikach zdarzeń. Może to być uruchomienie lub zatrzymanie usługi, instalacja urządzenia lub błąd aplikacji. Jeżeli coś nie działa prawidłowo lub wyświetlają się komunikaty błędów, możemy przejrzeć dzienniki wykorzystując systemowe narzędzie Podgląd zdarzeń.
Aby uruchomić systemowy Podgląd zdarzeń:
– w wyszukiwarkę menu start Windows 7 lub w funkcję Uruchom (klawisze Win + R, na XP menu Start >>> Uruchom) wpisujemy eventvwr.msc
– Panel starowania >>> System i zabezpieczenia (w Windows XP Wydajność i konserwacja) >>> Narzędzia administracyjne >>> Podgląd zdarzeń

W Windows 7 z lewej strony mamy 3 gałęzie, gdzie szczególnie przydana jest gałąź Dzienniki systemu Windows. W gałęzi regularnie przeglądamy dzienniki Aplikacja zapisująca zdarzenia związane z wszystkimi programami oraz dzienniki System przechowujące zdarzenia generowane przez system i jego składniki jak usługi oraz sterowniki. Dzienniki Zabezpieczenia nie są tak istotne, przeglądamy je gdy podejrzewany problemy z zabezpieczeniami np. kto loguje się w systemie.
Po zaznaczeniu dziennika w środkowym panelu wyświetlą się zdarzenia wraz z informacjami o dacie zdarzenia, jego źródło i poziom – Informacje, Ostrzeżenia lub Błędy.

W Windows XP podgląd zdarzeń nie jest tak rozbudowany i wygląda jak na screenie poniżej:

Wyróżnia się kilka typów zdarzeń:
– Informacje: zdarzenia informujące o czynnościach wykonywanych przez system.
Przykłady:

System operacyjny został uruchomiony o czasie systemowym ‎2012‎-‎01‎-‎25T06:29:43.500000000Z.

Usługa Windows Update weszła w stan uruchomienia.

Czas systemowy zmienił się z ‎2012‎-‎01‎-‎25T09:56:09.000000000Z na ‎2012‎-‎01‎-‎25T09:56:09.007000400Z.

– Ostrzeżenia: zdarzenia, które nie muszą mieć dużej ważności, ale mogą ostrzegać przed problemami, które mogą wkrótce wystąpić

Przykłady:

Na potrzeby każdej aplikacji ładowane są niestandardowe biblioteki DLL. Administrator systemu powinien przejrzeć listę bibliotek, aby się upewnić, że są związane z zaufanymi aplikacjami.

Upłynął limit czasu rozpoznawania nazwy dns.msftncsi.com po tym, jak żaden ze skonfigurowanych serwerów DNS nie odpowiedział.

Załadowanie sterownika DriverWUDFRd dla urządzenia WpdBusEnumRootUMB2&37c186b&0&STORAGE#VOLUME#_??_USBSTOR#DISK&VEN_KINGSTON&PROD_DT_100_G2&REV_1.00#001CC0EC349BAAA0B6022205&0# nie powiodło się.

– Błędy: szczególnie istotny poziom, ponieważ informuje, że w systemie występują poważne problemy.

Przykłady:

Struktura systemu plików na dysku jest uszkodzona i nie nadaje się do użytku. Uruchom narzędzie chkdsk na woluminie J:.

Poprzednie zamknięcie systemu przy 16:00:34 na ‎2011-‎08-‎05 było nieoczekiwane.

Usługa Usługa nasłuchująca grup domowych zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu:
Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.

– Krytyczne: bardzo poważne błędy

System został uruchomiony ponownie bez uprzedniego czystego zamknięcia. Przyczyną tego błędu może być fakt, że system przestał odpowiadać, uległ awarii lub nastąpiła nieoczekiwana utrata zasilania.

Jak wyeksportować dzienniki do analizy?
Windows XP: dzienniki są przechowywane w katalogu C:WINDOWSsystem32config w postaci plików *.EVT. Do analizy jednak musimy utworzyć pliki za pomocą Podglądu zdarzeń, wybierając dany dziennik i klikając na nim prawym przyciskiem myszy z menu kontekstowego wybrać „Zapisz plik dziennika jako…” nowe pliki .evt (można także z menu Akcja).

Windows 7: dzienniki są przechowywane w katalogu C:WINDOWSsystem32winevtLogs w postaci plików *.EVTX. Najważniejsze to Application.evtx i System.evtx. Pliki te można przesłać do analizy, ale można także utworzyć nowe jak w Windows XP wybierając z menu kontekstowego Zapisz wszystkie zdarzenia jako (można także z menu Akcja).

Jak dokonać analizy wyeksportowanych dzienników?
Wyeksportowane pliki dzienników można wysłać osobie pomagającej, która podmontuje je w swoim dzienniku i dokona analizy.

Windows XP: z menu Akcja >>> Otwórz plik dziennika. Wskazujemy plik .evt i wybieramy typ dziennika.

Windows 7: pliki dzienników (obsługiwane są nowsze i starsze formaty) są domyślnie skojarzone z narzędziem Podgląd zdarzeń i wystarczy dwukrotnie na nich kliknąć, a zostaną otwarte. Oczywiście można także wybrać menu Akcja >>> Otwórz zapisany plik dziennika.

Klikając na danym dzienniku prawym przyciskiem myszy z menu kontekstowego możemy wybrać Wyczyść wszystkie zdarzenia (Wyczyść dziennik). Przed wyczyszczeniem można dziennik zarchiwizować poprzez zapisanie go. Wybierając Właściwości określamy rozmiar dziennika i akcję po osiągnięciu maksymalnego rozmiaru.

MyEventViewer

Licencja: freeware
Platforma: Windows 2000/XP/Vista/7 i edycje Server

alternatywa dla standardowego podglądu zdarzeń systemu Windows. Pozwala na oglądanie wielu dzienników zdarzeń na jednej liście, a także opis zdarzenia i dane są wyświetlane w oknie głównym. Można wybrać wiele elementów, a następnie zapisać je do pliku HTML / Tekst / pliku XML lub skopiować je do schowka (Ctrl + C), a następnie wkleić je do programu Excel.
Aplikacja potrafi także odczytać zewnętrzne pliki, ale wymagana jest obsługa z Wiersza poleceń. Składnia polecenia:

MyEventViewer.exe /LoadFiles "ścieżka do pliku dziennika" "typ dziennika"

Przykład:

F:myeventviewerMyEventViewer.exe /LoadFiles "F:myeventviewer
system.evtx" "System"
MyEventViewer.exe /LoadFiles "c:tempsec.evt" "Security" "c:tempapp.evt" "Application"

Download: najnowsza wersja, spolszczenie

Zrzut ekranu: