Event Viewer: Difference between revisions
No edit summary |
|||
Line 38: | Line 38: | ||
* [[Image:information.png]]Information - Need on igasugused muud sündmused, mida Windows salvestab. Näiteks sündmus, mis teatab, et keegi kasutab kompuutri külge lülitatud printerit (võrgus). | * [[Image:information.png]]Information - Need on igasugused muud sündmused, mida Windows salvestab. Näiteks sündmus, mis teatab, et keegi kasutab kompuutri külge lülitatud printerit (võrgus). | ||
[[Image:ev.png]] | |||
===Sündmuste tüübid:=== | |||
Event Viewer'i akna vasem riba pakub siin kolme peaharu: Custom Views, Windows Logs ja Applications and Services Logs. | |||
'''Windows Logs''' haru kuvab viit alamharu, mis esitavad peasündmusi, mida süsteem ise jälgib ja seal ongi siis toodud ära need sündmuste tüübid (pluss eraldi on veel Applications And Services sündmuste peaharu): | |||
*Application - Programmisündmused genereeritakse programmide poolt. programmid, mida Sa ise installeerid, programmid, mis tulevad koos Windows'iga ja operatsioonisüsteemi teenistused (services). | |||
*Security Turvasündmuste hulka kuuluvad süsteemi sisselogimiste katsed (nii õnnestunud kui mitteõnnestunud) ja kaitstud ressursside kasutamise katsed (failide loomise, muutmise ja kustutamise üritused). | |||
''Sa võid kasutada Local Security Policy konsooli (Secpol.msc), et konfigureerida auditi poliitikaid (Local Policies > Audit Policy) ja sellega määrata, et millist tüüpi sündmusi hakatakse salvestama Security log faili. Et määrata seda, et milliseid objekte hakatakse turvalisuse suhtes monitoorima, tee vajalikul programmil paremklõps, vali käsk Properties ja ava siis vaheleht Security, kliki nupule Advanced, ava vaheleht Auditing ning tegutse edasi.'' | |||
*Setup - Setup sündmused genereeritakse programmide installeerimise käigus. | |||
*System Süsteemisündmused genereeritakse Windowsi enese poolt ja ka installeeritud komponentide, näiteks draiverite, poolt. Kui Sa käivitad süsteemi ja mingi draiveri laadimine ebaõnnestub, siis uuri System log faili. | |||
*Forwarded Events - Forwarded Events logifail sisaldab sündmusi, mis on kogutud teistelt kompuutritelt (juhul kui asud võrgus). | |||
'''Applications and Services''' See Applications and Services kaust sisaldab individuaalsete programmide (või programmipakettide, nt MS Office) ja teenistuste sündmusi. Teised logifailid salvestavad sündmusi, mis on süsteemipõhised, aga Applications and Services iga logifail on seotud ainult kindla programmi või komponendiga. Applications and Services kaust asub Microsoft\Windows kaustas, mis sisaldab omakorda kaustasid Windowsi iga komponendi jaoks. Igaüks neist kaustadest sisaldab ühte või mitut logifaili. | |||
Revision as of 16:58, 21 March 2010
Süsteemi jälgimine Event Viewer'i abil.
Mis on event?
Windowsis on sündmuseks igasugune juhtum — Sinu, teise kasutaja, operatsioonisüsteemi või mingi programmi jaoks. Sündmused salvestatakse Windows Event Log Service abil ja nende sündmuste ajalugu hoitakse alles mitmes erinevas logifailis(log file), mis sisaldavad programmide, turvalisuse, setup, süsteemi ja edasisaadetud sündmuste kirjeldusi.
Event Viewer kuulub Microsoft Management Console'i instrumentide hulka ja ta lubab Sul nende sündmuste ajalugu vaadata, vigu ja probleeme avastada ning arhiveerida nende sündmuste sisu.
Miks on seda vaja?
- Saad vaadata, et mis põhjustas mingi vea või probleemi;
- Jälgida kompuutri turvalisust;
- Kui Sinu mingi seade väljus rivist, kui mingi programm jookseb pidevalt kokku või kui juhtub mingi muu kriitiline probleem, siis võib informatsioon, mis on salvestatud nendesse logifailidesse, Sind aidata.
- Kui Sa jälgid neid sündmuste logifaile, siis võib see aidata Sul ennetada probleeme, enne kui need juhtuma hakkavad(näit. kõvaketta täitumine);
- Lõpuks võid Sa kasutada Security log faili selleks et jälgida ebaõnnestunud sisselogimisi või siis mingi kasutaja katseid lugeda faile, millede suhtes tal puuduvad õigused — ühesõnaga kompuutri turvalisuse eesmärkidel.
Event Viewer'i (Sündmuste Vaatleja) käivitamine
Nagu ka Windows'i eelmistes versioonides, kuulub Event Viewer Windows Vista MMC koosseisu, st ta on selle konsooli nn snap-in. Et neid sündmusi näha, selleks tuleb kasutada Event Viewer'it, mille võime avada mitmel viisil:
- Vajuta Windows Logo+R klahve, tipi eventvwr.msc ja klõpsa OK.
- Kliki Start - Control Panel, siis System and Security ja klõpsa siis Adminstrative Tools kategooria all asuvale View event logs lingile.
Akna keskmises paanis kuvatakse asetleidnud sündmuste summaarne kokkuvõte ning ülevaade. Nagu sealt näha, ei ole antud süsteemis viimase 24h jooksul olnud kriitilisi/tõsiseid (Critical) sündmusi. Vigu (Error) on olnud 3 tükki, neid vigu juhtub alatihti ja seda ka kõige paremate masinate puhul, nii et sellest ei maksa ennast häirida lasta, aga nende kaudu on hea kindlaks teha, et mis asi mingi vea põhjustas.
Kui klõpsata keskmises paanis mingi sündmuse tüübi ees olevale "+" sümbolile, siis laiendatakse antud rida ja esile tuuakse selle sündmusekategooria kõik sündmused. Kui Sa seejärel teed mingil konkreetsel sündmusel topeltklõpsu, siis kuvatakse akna ülaosas kõik antud sündmusekategooria sündmuste toimumise ajad ja kuupäevad.
Ja kui sa teed mingil kindlal sündmusel topeltklõpsu, siis avatakse selle sündmuse omadusteaken (Event Properties), kus kuvatakse antud sündmuse detailne kirjeldus ning kus tuuakse ära ka selle sündmuse ID number (Event ID), sündmuse lähteallikas (Source). Need Event ID kood ja Source ongi olulised, sest nende kaudu saad abi, juhul kui Sa detailsest kirjeldusest aru ei saa või sellest on vähe kasu.
Enamikes logifailides klassifitseeritakse sündmusi ühega kolmest klassist, igaühte neist tähistatakse unikaalse ikoonikesega:
- Error - Need on sündmused, mis esitavad võimalikke andmete kadumist või siis puudulikku funktsionaalsust. Näiteks võivad selliseid vigu põhjustada võrgukaart ja muud seadmed ning serviced.
- Warning - Need on sündmused, mis esitavad vähem olulisi või vähem mõjuvaid probleeme kui veasündmused. Näiteks võib selliseks sündmuseks olla hiljuti täissaanud kõvaketas või mingi andmeviga arhiivifailis.
- Information - Need on igasugused muud sündmused, mida Windows salvestab. Näiteks sündmus, mis teatab, et keegi kasutab kompuutri külge lülitatud printerit (võrgus).
Sündmuste tüübid:
Event Viewer'i akna vasem riba pakub siin kolme peaharu: Custom Views, Windows Logs ja Applications and Services Logs.
Windows Logs haru kuvab viit alamharu, mis esitavad peasündmusi, mida süsteem ise jälgib ja seal ongi siis toodud ära need sündmuste tüübid (pluss eraldi on veel Applications And Services sündmuste peaharu):
- Application - Programmisündmused genereeritakse programmide poolt. programmid, mida Sa ise installeerid, programmid, mis tulevad koos Windows'iga ja operatsioonisüsteemi teenistused (services).
- Security Turvasündmuste hulka kuuluvad süsteemi sisselogimiste katsed (nii õnnestunud kui mitteõnnestunud) ja kaitstud ressursside kasutamise katsed (failide loomise, muutmise ja kustutamise üritused).
Sa võid kasutada Local Security Policy konsooli (Secpol.msc), et konfigureerida auditi poliitikaid (Local Policies > Audit Policy) ja sellega määrata, et millist tüüpi sündmusi hakatakse salvestama Security log faili. Et määrata seda, et milliseid objekte hakatakse turvalisuse suhtes monitoorima, tee vajalikul programmil paremklõps, vali käsk Properties ja ava siis vaheleht Security, kliki nupule Advanced, ava vaheleht Auditing ning tegutse edasi.
- Setup - Setup sündmused genereeritakse programmide installeerimise käigus.
- System Süsteemisündmused genereeritakse Windowsi enese poolt ja ka installeeritud komponentide, näiteks draiverite, poolt. Kui Sa käivitad süsteemi ja mingi draiveri laadimine ebaõnnestub, siis uuri System log faili.
- Forwarded Events - Forwarded Events logifail sisaldab sündmusi, mis on kogutud teistelt kompuutritelt (juhul kui asud võrgus).
Applications and Services See Applications and Services kaust sisaldab individuaalsete programmide (või programmipakettide, nt MS Office) ja teenistuste sündmusi. Teised logifailid salvestavad sündmusi, mis on süsteemipõhised, aga Applications and Services iga logifail on seotud ainult kindla programmi või komponendiga. Applications and Services kaust asub Microsoft\Windows kaustas, mis sisaldab omakorda kaustasid Windowsi iga komponendi jaoks. Igaüks neist kaustadest sisaldab ühte või mitut logifaili.
Siim Soe kribab siia juhendi vms.