Программа Просмотр событий (Event Viewer) представляет специальную системную программу, входящую в состав Windows XP, которая позволяет видеть все сообщения, записанные в лог-файлы различными приложениями и самой ОС. Программа Event Viewer (рис.1.4.) находится:
Пуск\Панель управления\Администрирование\Просмотр событий
В данном окне содержится три пункта: Приложение, Безопасность, Система (Application, Security, System), иначе их называют логами, лог-файлами или, соответственно, журналом приложений, журналом безопасности и журналом системы. Информация, содержащаяся в них, является сообщениями, записанными приложениями системной безопасности ОС и системными компонентами Windows XP. Предполагается, что информация, содержащаяся в этих разделах важна для пользователя, и он должен периодически с ней знакомиться.
Рисунок 1.4. Стартовое окно программы Просмотр событий
Типы протоколируемых системой событий в логах:
- ошибка – данное сообщение сообщает об ошибке, такой как возможная утеря данных или нарушение функционирования программного обеспечения, например, невозможность старта одного из системных сервисов или ошибка при завершении приложения;
|
|
- предупреждение – сообщение не обязательно является чем-то важным, но может говорить об ошибке, которая может возникнуть впоследствии, например, нежелание какой-либо программы или сервиса во время выключения машины корректно завершаться;
- уведомление – сообщение, что описываемое событие успешно завершилось в приложении, драйвере или сервисе, например, успешный старт какого-либо системного сервиса или его остановка;
- аудит успехов – сообщение о том, что контролируемое событие в политике аудита и системой безопасности успешно завершилось, например, был произведен корректный вход одного из пользователей в систему;
- аудит отказов – класс событий, который будет сообщать о том, что контролируемое в политике аудита и системой безопасности событие завершилось с ошибкой, например, сообщение, сгенерированное при ошибке доступа к какому-либо объекту системы, или сообщение при регистрации пользователя, если он ошибся паролем.
Рисунок 1.5. Содержимое раздела Приложение программы Просмотр событий
Рисунок 1.6. Типичное сообщение, содержащееся в одном логе системы
За запись сообщений в лог системы ответственен сервис Event Log, который стартует при загрузке Windows XP. Вход в раздел Security имеют только пользователи, входящие в состав группы локальных администраторов. По умолчанию в этот раздел система не пишет никаких сообщений. Для активации записи сообщений необходимо установить требуемую политику аудита системы (п.1.1.).
|
|
Для просмотра свойств конкретного уведомления следует сделать щелчок правой кнопкой мыши на событии. В появившемся контекстном меню выбрать команду Свойства. Появится окно Свойства: Уведомление. В верхней части окна (рис.1.6.) содержится типичная информация. В средней и нижней его части содержится информация, различная для каждого из сообщений. Информационные поля в описании события Even (формат протоколируемых событий):
- дата – поле определяет дату, когда данное событие произошло;
- время – поле определяет локальное время, когда это событие наступило;
- пользователь – поле определяет пользователя, от имени которого произошло событие (описание пользователя помещено в Event Log); поле может содержать имя клиента, вызвавшего событие, при обработке его запроса в программе-сервере, «N/A» определяет принадлежность данного события к операционной системе.
- компьютер – поле содержит имя компьютера, на котором произошло данное событие;
- код (ID) – поле содержит идентификатор события, который вместе с полем Источник используются для анализа ситуации разработчиками программного обеспечения, вызвавшего данную запись в логе; при обращении в службу поддержки по их требованию нужно сообщить эти значения полей интересующих их событий системы;
- источник – поле содержит имя программного обеспечения, драйвера или компонента системы, вызвавшего запись события; этот идентификатор, а также поле Event ID используются для анализа ситуации разработчиками программного обеспечения, вызвавшего данную запись в логе;
- тип – поле содержит один из пяти типов сообщений, которым оно является;
- категория – поле классифицирует событие в программном обеспечении, которое его вызвало; данная информация наиболее часто используется в логе событий системы безопасности как идентификатор того, какой именно тип контролируемого события в политике аудита был при записи сообщения.
- описание – поле используется для вывода дополнительной информации, которая может лучше понять природу произошедшего в системе события.
В процессе запуска, работы и выключения системы скапливается большое количество событий, на изучение и просмотр которых требуется много времени. Поэтому свое внимание следует сконцентрировать на событиях, имеющих тип: Ошибка, Предупреждение, Аудит отказов. Первые два типа обычно появляются в разделах System и Application и сообщают о том, на что следует обратить внимание в работе системы и приложения, например, проблемы в работе жестких дисков, системных программ или самой операционной системы. Следует внимательно относиться к таким сообщениям, если их пропускать, то может случиться, что в будущем система перестанет корректно функционировать, а данные могут оказаться потерянными, если не производилось их регулярное резервирование.
Сообщения системы безопасности Аудит отказов могут быть связаны с тем, что на систему осуществлялась какая-либо атака извне или кто-то из пользователей забыл свой пароль. Частое появление таких сообщений может означать, что кто-то подбирает пароль к определенным учетным записям системы. В данных случаях следует быть особенно внимательными, так как таких записей в Event Log бывает не много.
При переполнении разделов лог-файла системы следует:
- войти в систему под правами системного администратора;
- загрузить программу Просмотр событий (Event Viewer);
- выбрать раздел;
- раскрыть пункт операционного меню Действия или сделать щелчок правой кнопкой мыши на разделе и в появившемся контекстном меню выбрать пункт Стереть все события (рис.1.7.);
- на экране появится диалоговое окно, в котором будет предложено сохранить события, которые будут удалены, в отдельном файле, (рис.1.8.).
|
|
Рекомендуется иметь историю совершенных событий, что может помочь при решении возникших проблем, т.к. при сохранении событий всегда можно проследить их начало и принять соответствующее решение. Поэтому следует нажать кнопку Да (рис.1.8.) и выбрать место и имя для сохраняемого файла, содержащего удаляемые сообщения из части Events Log.
Рисунок 1.7. Меню для очистки выбранного раздела лог-файла системы
Рисунок 1.8. Предложение системы о сохранении стираемых событий
Если впоследствии придется просмотреть сохраненные события, то следует в программе Просмотр событий раскрыть пункт операционного меню Действия и выбрать команду Открыть файл журнала (рис.1.7.), события, находящиеся в файле, отобразятся на экране. Для выполнения операций очистки разделов Events Log, а также сохранения и загрузки файлов, содержащих сообщения из этих разделов, требуются права системного администратора.