Prohlížeč událostí

Prohlížeč událostí
Komponenta Windows
Typ součásti	Utility
Obsažen v	Windows NT
Stát	Aktuální

Prohlížeč událostí je součást zahrnutá v operačních systémech řady Windows NT vyvinutá společností Microsoft , která správcům umožňuje zobrazit protokol událostí na místním počítači nebo na vzdáleném počítači. V systému Windows Vista společnost Microsoft přepracovala systém událostí. [jeden]

Kvůli pravidelnému hlášení drobných chyb spouštění a zpracování událostí (které ve skutečnosti nepoškozují ani nepoškozují počítač) je software často používán podvodníky pod rouškou „technické podpory“, aby přesvědčili uživatele, kteří s Prohlížečem událostí neznají, že jejich počítač obsahuje kritické chyby a vyžaduje okamžitou technickou podporu. Příkladem je pole "Administrativní události" v sekci "Vlastní zobrazení", které může obsahovat přes tisíc chyb nebo varování zaznamenaných za měsíc.

Popis

Windows NT má protokoly událostí od svého vydání v roce 1993. Aplikace a součásti operačního systému mohou tuto službu centralizovaného protokolování používat k hlášení událostí, ke kterým došlo, například při spuštění součásti nebo provedení akce.

Prohlížeč událostí používá ID událostí k identifikaci jedinečně identifikovatelných událostí, které mohou nastat v počítači se systémem Windows . Když se například nezdaří ověření uživatele, systém může vygenerovat událost ID 672.

Windows NT 4.0 získal podporu pro identifikaci "zdrojů událostí" (aplikací, které událost vygenerovaly) a provádění záloh protokolů.

Windows 2000 přidal možnost aplikacím vytvářet vlastní zdroje protokolů kromě tří systémových protokolů Systém, Aplikace a Zabezpečení. Systém Windows 2000 také nahradil Prohlížeč událostí ze systému Windows NT 4.0 konzolou Microsoft Management Console (MMC).

Windows Server 2003 přidal volání AuthzInstallSecurityEventSource () rozhraní API , které aplikacím umožňuje protokolovat protokoly zabezpečení a zaznamenávat položky auditu zabezpečení. [2]

Verze Windows založené na jádře Windows NT 6.0 (Windows Vista a Windows Server 2008 ) již nemají limit 300 MB na celkovou velikost protokolu. Před jádrem NT 6.0 systém otevíral soubory na disku jako soubory mapované v paměti v paměťovém prostoru jádra, který používal stejné oblasti paměti jako ostatní součásti jádra. Soubory Prohlížeče událostí s příponou .evtx se obvykle objevují v adresáři, jako je napřC: \ Windows \ System32 \ winevt \ Logs \

Windows XP (příkazový řádek)

Windows XP poskytuje sadu tří nástrojů příkazového řádku užitečných pro automatizaci úloh:

eventquery.vbs - oficiální skript pro dotazování, filtrování a zobrazování výsledků na základě protokolů událostí. Odebráno v následujících Windows.
eventcreate - příkaz (pokračuje ve vývoji ve Windows Vista a Windows 7 ) pro umístění vlastních protokolů událostí.
eventtriggers je příkaz pro vytváření úloh řízených událostmi. Odebráno v následujících Windows, nahrazeno úlohou Připojit k této komponentě události .

Windows Vista

Prohlížeč událostí se skládá z přepsané architektury pro sledování a protokolování událostí v systému Windows Vista. [1] Byl přepsán jako strukturovaný formát protokolu XML a specifický typ protokolu, který umožňuje aplikacím přesněji protokolovat události a pomáhá technické podpoře a vývojářům porozumět událostem. XML reprezentaci události lze zobrazit na kartě Podrobnosti ve vlastnostech události. Kromě toho můžete zobrazit všechny potenciální události, jejich struktury, registrované vlastníky událostí a jejich konfiguraci pomocí nástroje wevtutil , a to ještě před začátkem událostí. Existuje velké množství protokolů událostí různých typů, včetně administrativních, provozních, analytických a ladicích protokolů. Výběrem uzlu Protokoly aplikací na panelu Rozsah zobrazíte mnoho nových podkategorií protokolu událostí, včetně mnoha označených diagnostických protokolů. Analytické a ladicí události, které jsou vysokofrekvenční, jsou přímo ukládány prostřednictvím trasovacího souboru, zatímco administrativní a provozní události nejsou neobvyklé, že poskytují dodatečné zpracování bez dopadu na výkon systému, takže jsou doručovány do služby protokolu událostí. Události jsou publikovány asynchronně, aby se snížil dopad na výkon aplikace pro publikování událostí. Atributy události jsou také mnohem podrobnější a zobrazují vlastnosti „ID události“, „Úroveň“, „Úloha“, „Kód operace“ a „Klíčová slova“.

Uživatelé mohou filtrovat protokoly událostí podle jednoho nebo více kritérií nebo omezeného výrazu XPath 1.0 a pro jednu nebo více událostí lze vytvořit vlastní zobrazení. Použití XPath jako dotazovacího jazyka vám umožňuje prohlížet protokoly týkající se pouze konkrétního subsystému nebo problému pouze s určitou komponentou, archivovat události výběru a za běhu odesílat stopy technické podpoře.

Odběratelé události

Primární odběratelé událostí zahrnují služby Event Collector a Task Scheduler 2.0. Služba Event Collector může automaticky předávat protokoly událostí dalším vzdáleným systémům se systémem Windows Vista, Windows Server 2008 nebo Windows Server 2003 R2 podle konfigurovatelného plánu. Protokoly událostí lze také prohlížet vzdáleně z jiných počítačů nebo lze centrálně protokolovat a monitorovat více protokolů událostí bez agenta a spravovat je z jednoho počítače. Události lze také přímo propojit s úlohami, které běží v upraveném Plánovači úloh a spouštějí automatické akce, když nastanou určité události.

Viz také

Poznámky

↑ 1 2 Windows Vista: Nové nástroje pro správu událostí ve Windows Vista (odkaz dolů) . www.microsoft.com. Získáno 18. ledna 2018. Archivováno z originálu 17. prosince 2007. (Ruština)
↑ Funkce AuthzInstallSecurityEventSource (Windows ) . msdn2.microsoft.com. Získáno 18. ledna 2018. Archivováno z originálu 20. prosince 2007.

Odkazy

Oficiální:
- Vývojářská dokumentace pro protokolování událostí (Windows NT 3.1 - Windows XP) , (Windows Vista)
- Popisy událostí zabezpečení systému Windows 2000 (část 1 ze 2) , (část 2 ze 2)
- Zabezpečení systému Windows Server 2003 a – Hrozby a protiopatření – Kapitola 6: Protokol událostí – Microsoft TechNet
- Události a chyby (Windows Server 2008) – Microsoft TechNet
Jiný:
- Windows Event Viewer Komerční nástroj, který lze spustit na Windows, Linux nebo OS X
- evtwalk Nástroj příkazového řádku pro extrahování událostí a generování zpráv (změny hesla, přihlášení, změny hodin, spuštění/zastavení systému, přihlašovací údaje) z protokolů událostí Windows.
- eventid.net - obsahuje několik tisíc položek protokolu událostí Windows a tipy pro řešení problémů pro každý z nich.
Pro vývojáře:
- Jak zapisovat do protokolu událostí pomocí Visual C#

Součásti systému Microsoft Windows

Hlavní

Aero
jasný typ
Správce oken na ploše
DirectX
Panel úkolů
- Start
- oznamovací oblast
Dirigent
- Jmenný prostor
- Speciální složky
- Asociace souborů
Windows Search
- chytré složky
- IFilter
- indexovací služba
GDI
WIM
SMB
.NET Framework
XPS
Aktivní skriptování
- WSH
- VBScript
- JScript
COM
- OLE
- DCOM
- ActiveX
- Strukturované úložiště
- Transakční server
Stínová kopie
WDDM
UAA
konzole Win32
Windows Spotlight
Windows smíšená realita

Manažerské služby

Aplikace

Win32	internet Explorer Microsoft Edge Malovat slovní podložka Skype Notebook Poznámky Časopis nahrávání zvuku Nůžky Program spolupráce Windows přehrávač médií Rozpoznávání řeči Osobní editor postav Prohlížení fotografií tabulka symbolů Faxování a skenování Centrum mobility Centrum zařízení Windows Mobile Lupa
UWP	Microsoft Store Malovat 3D Vzdálená asistence Kalendář Kalkulačka Film a TV Cortana Groove hudba Lidé Možnosti Pošta Fotografie Vypravěč
historický	Kdykoli upgradovat Studio NetMeeting Outlook Express Programový manažer Správce souborů fotoalbum Windows To Go Kontakty DVD studio mediální centrum Boční panel

Hry

jádro OS

Ntoskrnl.exe
Vrstva abstrakce hardwaru (hal.dll)
Systém je nečinný
svchost.exe
Registr
Servis
Správce řízení služeb
DLL
PE
NTLDR
Správce stahování
Přihlašovací program (winlogon.exe)
Konzole pro zotavení
Windows RE
Windows PE
Ochrana jádra před změnami

Služby

Autorun.inf
Služba inteligentního přenosu na pozadí
Standardní žurnálovací souborový systém
Hlášení o chybách
Plánovač mediálních tříd
Stínová kopie
Správce úloh
Bezdrátové nastavení

Souborové
systémy

ReFS
NTFS
- pevný odkaz
- spojovací bod
- Montážní bod
- Bod přepracování
- Symbolický odkaz
- TxF
- EFS
WinFS
TLUSTÝ
exFAT
CDFS
UDF
DFS
IFS

Server

Aktivní adresář
Služby nasazení
Služba replikace souborů
DNS
domény
Přesměrování složky
Hyper-V
IIS
Mediální služby
MSMQ
Ochrana přístupu k síti (NAP)
Tiskové služby pro UNIX
Dálková diferenciální komprese
Služby vzdálené instalace
Služby správy práv
Roamingové uživatelské profily
SharePoint
Správce systémových prostředků
Program pro vzdálenou správu
WSUS
Zásady skupiny
Koordinátor distribuovaných transakcí

Architektura

NT
Správce objektů
Pakety požadavků I/O
Správce transakcí jádra
Správce logických disků
Správce bezpečnostních účtů
Ochrana zdrojů
lsass.exe
csrss.exe
sms.exe
spoolsv.exe
zahájení

Bezpečnost

Kompatibilita