Event Viewer

From ICO wiki

Süsteemi jälgimine Event Viewer'i abil.

Mis on event?

Windowsis on sündmuseks igasugune juhtum — Sinu, teise kasutaja, operatsioonisüsteemi või mingi programmi jaoks. Sündmused salvestatakse Windows Event Log Service abil ja nende sündmuste ajalugu hoitakse alles mitmes erinevas logifailis(log file), mis sisaldavad programmide, turvalisuse, setup, süsteemi ja edasisaadetud sündmuste kirjeldusi.

Event Viewer kuulub Microsoft Management Console'i instrumentide hulka ja ta lubab Sul nende sündmuste ajalugu vaadata, vigu ja probleeme avastada ning arhiveerida nende sündmuste sisu.

Miks on seda vaja?

  • Saad vaadata, et mis põhjustas mingi vea või probleemi;
  • Jälgida kompuutri turvalisust;
  • Kui Sinu mingi seade väljus rivist, kui mingi programm jookseb pidevalt kokku või kui juhtub mingi muu kriitiline probleem, siis võib informatsioon, mis on salvestatud nendesse logifailidesse, Sind aidata.
  • Kui Sa jälgid neid sündmuste logifaile, siis võib see aidata Sul ennetada probleeme, enne kui need juhtuma hakkavad(näit. kõvaketta täitumine);
  • Lõpuks võid Sa kasutada Security log faili selleks et jälgida ebaõnnestunud sisselogimisi või siis mingi kasutaja katseid lugeda faile, millede suhtes tal puuduvad õigused — ühesõnaga kompuutri turvalisuse eesmärkidel.

Event Viewer'i (Sündmuste Vaatleja) käivitamine

Nagu ka Windows'i eelmistes versioonides, kuulub Event Viewer Windows Vista MMC koosseisu, st ta on selle konsooli nn snap-in. Et neid sündmusi näha, selleks tuleb kasutada Event Viewer'it, mille võime avada mitmel viisil:

  • Vajuta Windows Logo+R klahve, tipi eventvwr.msc ja klõpsa OK.
  • Kliki Start - Control Panel, siis System and Security ja klõpsa siis Adminstrative Tools kategooria all asuvale View event logs lingile.

Eventviewer.png


Akna keskmises paanis kuvatakse asetleidnud sündmuste summaarne kokkuvõte ning ülevaade. Nagu sealt näha, ei ole antud süsteemis viimase 24h jooksul olnud kriitilisi/tõsiseid (Critical) sündmusi. Vigu (Error) on olnud 3 tükki, neid vigu juhtub alatihti ja seda ka kõige paremate masinate puhul, nii et sellest ei maksa ennast häirida lasta, aga nende kaudu on hea kindlaks teha, et mis asi mingi vea põhjustas. Kui klõpsata keskmises paanis mingi sündmuse tüübi ees olevale "+" sümbolile, siis laiendatakse antud rida ja esile tuuakse selle sündmusekategooria kõik sündmused. Kui Sa seejärel teed mingil konkreetsel sündmusel topeltklõpsu, siis kuvatakse akna ülaosas kõik antud sündmusekategooria sündmuste toimumise ajad ja kuupäevad. Ja kui sa teed mingil kindlal sündmusel topeltklõpsu, siis avatakse selle sündmuse omadusteaken (Event Properties), kus kuvatakse antud sündmuse detailne kirjeldus ning kus tuuakse ära ka selle sündmuse ID number (Event ID), sündmuse lähteallikas (Source). Need Event ID kood ja Source ongi olulised, sest nende kaudu saad abi, juhul kui Sa detailsest kirjeldusest aru ei saa või sellest on vähe kasu.

Enamikes logifailides klassifitseeritakse sündmusi ühega kolmest klassist, igaühte neist tähistatakse unikaalse ikoonikesega:

  • Error.pngError - Need on sündmused, mis esitavad võimalikke andmete kadumist või siis puudulikku funktsionaalsust. Näiteks võivad selliseid vigu põhjustada võrgukaart ja muud seadmed ning serviced.
  • Warning.png Warning - Need on sündmused, mis esitavad vähem olulisi või vähem mõjuvaid probleeme kui veasündmused. Näiteks võib selliseks sündmuseks olla hiljuti täissaanud kõvaketas või mingi andmeviga arhiivifailis.
  • Information.pngInformation - Need on igasugused muud sündmused, mida Windows salvestab. Näiteks sündmus, mis teatab, et keegi kasutab kompuutri külge lülitatud printerit (võrgus).

Ev.png

Sündmuste tüübid:

Event Viewer'i akna vasem riba pakub siin kolme peaharu: Custom Views, Windows Logs ja Applications and Services Logs.

Windows Logs haru kuvab viit alamharu, mis esitavad peasündmusi, mida süsteem ise jälgib ja seal ongi siis toodud ära need sündmuste tüübid (pluss eraldi on veel Applications And Services sündmuste peaharu):

  • Application - Programmisündmused genereeritakse programmide poolt. programmid, mida Sa ise installeerid, programmid, mis tulevad koos Windows'iga ja operatsioonisüsteemi teenistused (services).
  • Security Turvasündmuste hulka kuuluvad süsteemi sisselogimiste katsed (nii õnnestunud kui mitteõnnestunud) ja kaitstud ressursside kasutamise katsed (failide loomise, muutmise ja kustutamise üritused).

Sa võid kasutada Local Security Policy konsooli (Secpol.msc), et konfigureerida auditi poliitikaid (Local Policies > Audit Policy) ja sellega määrata, et millist tüüpi sündmusi hakatakse salvestama Security log faili. Et määrata seda, et milliseid objekte hakatakse turvalisuse suhtes monitoorima, tee vajalikul programmil paremklõps, vali käsk Properties ja ava siis vaheleht Security, kliki nupule Advanced, ava vaheleht Auditing ning tegutse edasi.

  • Setup - Setup sündmused genereeritakse programmide installeerimise käigus.
  • System Süsteemisündmused genereeritakse Windowsi enese poolt ja ka installeeritud komponentide, näiteks draiverite, poolt. Kui Sa käivitad süsteemi ja mingi draiveri laadimine ebaõnnestub, siis uuri System log faili.
  • Forwarded Events - Forwarded Events logifail sisaldab sündmusi, mis on kogutud teistelt kompuutritelt (juhul kui asud võrgus).

Applications and Services See Applications and Services kaust sisaldab individuaalsete programmide (või programmipakettide, nt MS Office) ja teenistuste sündmusi. Teised logifailid salvestavad sündmusi, mis on süsteemipõhised, aga Applications and Services iga logifail on seotud ainult kindla programmi või komponendiga. Applications and Services kaust asub Microsoft\Windows kaustas, mis sisaldab omakorda kaustasid Windowsi iga komponendi jaoks. Igaüks neist kaustadest sisaldab ühte või mitut logifaili.

Kuidas Event Vieweri logi faile uute asukohta liigutada

See juhend koosneb sammudest, mis õpetavad sind muutma registrit. Arvestama peab sellega, et võivad ilmneda tõsised probleemid kui registrit valesti muuta. Seega ole ettevaatlik ja jälgi, et iga samm saaks täidetud korrektselt. Lisaks on soovitav teha backup oma registrist enne kui seda muutma hakkad. Sellega on võimalik vea ilmnemise korral register taastada.

Selleks, et liigutada Event Vieweri log failid kõvakettal teise kohta, tee nii:

  • vajuta Start, ja vali Run.
  • Avanenud aknasse kirjuta regedit, ja vajuta OK.
  • Otsi ning vajuta järgnevale registri võtmele:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog

  • Vajuta nüüd alamvõtmele, mis esindab mingi sündmuse logi, mille asukohta sa muuta soovid, näiteks Application.
  • Paremas paneelis topelt klõps failil.
  • Nüüd trüki täielik Path uuele asukohale(lisades logi faili nime) Value Data kasti, ja vajuta OK.

Näiteks, kui sa tahad liigutada applikatsioonide logi (Appevent.evt) E kettale, eventlog kausta, kirjuta e:\eventlogs\appevent.evt Korda samme iga log faili puhul mida sa soovid liigutada.

  • Vajuta exit ning tee arvutile restart.

Emailile Sündmuse kohta kirja tellimine

  • Ava Start menüü.
  • Ava programm Event Viewer
  • Kui küsitakse administraatori õigusi siis tulebvajutada Continue.
  • Vasakus paneelis klikkida logi nimel mille puhul sa emaili teel teavitust soovid.
  • Keskmises paneelis vajuta sündmuse tüübil, mille puhul sa teavitust sa emailile soovid
  • Vajuta paremal "Attach Task To This Event..."
  • Nüüd täida ära informatsioon
  • Vajuta Next
  • Vajuta next kui oled aknas "Specific Event is Logged window".
  • Märgi ära Send an E-mail.
  • Vajuta next.
  • Täida ära kõik E-maili andmed. SMTP server on sama Windows Mail E-maili kontol.
  • Vajuta Next.
  • Veendu et kõik on õige, vastasel korral vajuta Back ja paranda andmed.
  • Vajuta Finish kui kõik on valmis
  • Sulge Event Viewer.

Emaili peale tuleva notifikatsiooni kustutamine

  • Mine Task Scheduler (administrative toolsi all) ja parem klikk taskil ning delete.


Kasutatud allikad


Koostaja

Siim Soe Grupp A22