Просмотрщик событий

Component of Microsoft's Windows NT operating system

Event Viewer — компонент операционной системы Microsoft Windows NT , позволяющий администраторам и пользователям просматривать журналы событий , обычно расширения файлов и , на локальной или удаленной машине. Приложения и компоненты операционной системы могут использовать эту централизованную службу журналов для сообщения о произошедших событиях, таких как сбой при запуске компонента или завершении действия. В Windows Vista Microsoft переработала систему событий. ^[1].evt.evtx

Из-за того, что Event Viewer регулярно сообщает о незначительных ошибках запуска и обработки (которые на самом деле не наносят вреда или не повреждают компьютер), это программное обеспечение часто используется мошенниками из технической поддержки , чтобы заставить жертву думать, что ее компьютер содержит критические ошибки, требующие немедленной технической поддержки. ^[2] Примером может служить поле «Административные события» в разделе «Пользовательские представления», в котором за месяц может быть зарегистрировано более тысячи ошибок или предупреждений.

Обзор

В Windows NT журналы событий появились с момента ее выпуска в 1993 году.

Event Viewer использует идентификаторы событий для определения уникально идентифицируемых событий, с которыми может столкнуться компьютер Windows. Например, когда аутентификация пользователя не проходит, система может сгенерировать идентификатор события 672.

В Windows NT 4.0 добавлена ​​поддержка определения «источников событий» (т. е. приложения, создавшего событие) и выполнения резервного копирования журналов.

Windows 2000 добавила возможность для приложений создавать собственные источники журналов в дополнение к трем системным файлам журналов "System", "Application" и "Security". Windows 2000 также заменила Event Viewer NT4 на оснастку Microsoft Management Console (MMC) .

В Windows Server 2003 были добавлены AuthzInstallSecurityEventSource()вызовы API, чтобы приложения могли регистрироваться в журналах событий безопасности и записывать записи аудита безопасности. ^[3]

Версии Windows на основе ядра Windows NT 6.0 ( Windows Vista и Windows Server 2008 ) больше не имеют ограничения в 300 мегабайт на общий размер. До NT 6.0 система открывала файлы на диске как файлы, отображенные в память в пространстве памяти ядра, которое использовало те же пулы памяти, что и другие компоненты ядра.

Файлы журнала Event Viewer с расширением имени файла evtx обычно появляются в таком каталоге, какC:\Windows\System32\winevt\Logs\

Интерфейс командной строки

В Windows XP появился набор из трех инструментов интерфейса командной строки , полезных для автоматизации задач:

• eventquery.vbs– Официальный скрипт для запроса, фильтрации и вывода результатов на основе журналов событий. ^[4] Прекращено после XP.
• eventcreate– команда (продолженная в Vista и 7) для помещения пользовательских событий в журналы. ^[5]
• eventtriggers– команда для создания событийно-управляемых задач. ^[6] Прекращена после XP, заменена функцией «Прикрепить задачу к этому событию», то есть из списка событий, Right-Clickна одном событии и выбрать из всплывающего меню.

Windows Vista

Event Viewer представляет собой переписанную архитектуру отслеживания и регистрации событий в Windows Vista. ^[1] Он был переписан на основе структурированного формата журнала XML и назначенного типа журнала, чтобы позволить приложениям точнее регистрировать события и облегчить интерпретацию событий для специалистов службы поддержки и разработчиков.

XML-представление события можно просмотреть на вкладке Details в свойствах события. Также можно просмотреть все потенциальные события, их структуры, зарегистрированных издателей событий и их конфигурацию с помощью утилиты wevtutil , даже до того, как события будут запущены.

Существует большое количество различных типов журналов событий, включая административные, операционные, аналитические и отладочные типы журналов. Выбор узла Application Logs на панели Scope открывает многочисленные новые подкатегоризированные журналы событий, включая многие, помеченные как диагностические журналы.

Аналитические и отладочные события, которые происходят с высокой частотой, напрямую сохраняются в файле трассировки, в то время как административные и операционные события происходят достаточно редко, чтобы обеспечить дополнительную обработку без влияния на производительность системы, поэтому они доставляются в службу журнала событий.

События публикуются асинхронно, чтобы снизить влияние на производительность приложения публикации событий . Атрибуты событий также гораздо более подробны и показывают свойства EventID, Level, Task, Opcode и keywords.

Пользователи могут фильтровать журналы событий по одному или нескольким критериям или по ограниченному выражению XPath 1.0 , а пользовательские представления могут быть созданы для одного или нескольких событий. Использование XPath в качестве языка запросов позволяет просматривать журналы, относящиеся только к определенной подсистеме или проблеме только с определенным компонентом, архивировать выбранные события и отправлять трассировки на лету специалистам службы поддержки.

Фильтрация с использованием XPath 1.0

1. Открыть журнал событий Windows
2. Развернуть журналы Windows
3. Выберите интересующий вас файл журнала (в примере ниже используется журнал событий безопасности )
4. Щелкните правой кнопкой мыши по журналу событий и выберите Фильтровать текущий журнал...
5. Измените выбранную вкладку с Фильтр на XML
6. Установите флажок « Редактировать запрос вручную».
7. Вставьте запрос в текстовое поле. Примеры запросов можно найти ниже.

Вот примеры простых пользовательских фильтров для нового журнала событий Windows:

1. Выберите все события в журнале событий безопасности, где имя учетной записи (TargetUserName) — «JUser».

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>

2. Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData представляет собой строку «JUser».

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>

3. Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData — «JUser» или «JDoe».

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>

4. Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData — «JUser», а идентификатор события — «4471».

   <QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID="4471"]] and *[EventData[Data="JUser"]]</Select></Query></QueryList>

5. Реальный пример для пакета Goldmine, который имеет два @Names

   <QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>

Предостережения:

• Существуют ограничения в реализации XPath от Microsoft ^[7]
• Запросы с использованием строковых функций XPath приведут к ошибке ^[8]

Подписчики событий

Основные подписчики событий включают службу Event Collector и Task Scheduler 2.0. Служба Event Collector может автоматически пересылать журналы событий на другие удаленные системы, работающие под управлением Windows Vista , Windows Server 2008 или Windows Server 2003 R2 по настраиваемому расписанию. Журналы событий также можно просматривать удаленно с других компьютеров или централизованно регистрировать и контролировать несколько журналов событий без агента и управлять ими с одного компьютера. События также можно напрямую связывать с задачами, которые запускаются в переработанном Task Scheduler и запускают автоматизированные действия при возникновении определенных событий.

Смотрите также

• Общая система файлов журналов (CLFS)
• Список компонентов Microsoft Windows
• Консоль управления Microsoft
• Мошенничество с технической поддержкой

Ссылки

1. "Новые инструменты для управления событиями в Windows Vista". TechNet . Microsoft . Ноябрь 2006 г.
2. Андерсон, Нейт (4 октября 2012 г.). ««Я звоню вам из Windows»: мошенник из техподдержки звонит в Ars Technica». Ars Technica .
3. "AuthzInstallSecurityEventSource Function". MSDN . Microsoft . Получено 5 октября 2007 г. .
4. LLC), Тара Мейер (Aquent. "Eventquery.vbs". docs.microsoft.com .
5. LLC), Тара Мейер (Aquent. "Eventcreate". docs.microsoft.com .
6. LLC), Тара Мейер (Aquent. "Eventtriggers". docs.microsoft.com .
7. "Реализация и ограничения XPath 1.0 в журнале событий Windows от Microsoft". MSDN . Microsoft . Получено 7 августа 2009 г. .
8. "Скрипт Powershell для фильтрации событий с использованием запроса Xpath" . Получено 20 сентября 2011 г.

Внешние ссылки

• Официальные источники:
  • Просмотр событий - Inside Show на Microsoft Learn
  • События и ошибки (Windows Server 2008) на Microsoft Learn