In der Windows-Betriebssystemzeile werden alle wichtigen Ereignisse, die im System auftreten, aufgezeichnet und anschließend im Protokoll aufgezeichnet. Es werden Fehler, Warnungen und verschiedene Benachrichtigungen aufgezeichnet. Anhand dieser Aufzeichnungen kann ein erfahrener Benutzer den Betrieb des Systems korrigieren und Fehler beheben. Erfahren Sie, wie Sie das Ereignisprotokoll in Windows 7 öffnen.
Das Ereignisprotokoll wird in einem Systemtool namens gespeichert „Ereignisanzeige“. Sehen wir uns an, wie Sie mit verschiedenen Methoden dorthin gelangen können.
Methode 1: „Systemsteuerung“
Eine der gebräuchlichsten Möglichkeiten, das in diesem Artikel beschriebene Tool zu starten, wenn auch bei weitem nicht die einfachste und bequemste, ist die Verwendung „Kontrollfelder“.
Methode 2: Tool ausführen
Es ist viel einfacher, die Aktivierung des beschriebenen Tools über das Tool einzuleiten "Laufen".
Der grundlegende Nachteil dieser schnellen und bequemen Methode besteht darin, dass Sie sich den Befehl zum Aufrufen des Fensters im Kopf merken müssen.
Methode 3: Suchfeld im Startmenü
Eine sehr ähnliche Methode zum Aufrufen des von uns untersuchten Tools erfolgt über das Suchfeld des Menüs "Start".
Methode 4: „Befehlszeile“
Aufruf des Tools über "Befehlszeile" ziemlich umständlich, aber eine solche Methode gibt es und ist daher auch besonders erwähnenswert. Zuerst müssen wir das Fenster aufrufen "Befehlszeile".
Methode 5: Starten Sie direkt die Datei eventvwr.exe
Sie können eine so „exotische“ Option zur Lösung des Problems verwenden, wie das direkte Starten einer Datei "Dirigent". Diese Methode kann jedoch in der Praxis nützlich sein, wenn beispielsweise die Ausfälle ein solches Ausmaß erreicht haben, dass andere Optionen zum Starten des Tools einfach nicht verfügbar sind. Dies kommt äußerst selten vor, ist aber durchaus möglich.
Zunächst müssen Sie zum Speicherort der Datei eventvwr.exe gehen. Es befindet sich im Systemverzeichnis unter diesem Pfad:
C:\Windows\System32
Methode 6: Eingabe des Dateipfads in die Adressleiste
Mittels "Dirigent" Wir können das Fenster, das uns interessiert, schneller öffnen. In diesem Fall müssen Sie nicht einmal im Verzeichnis nach eventvwr.exe suchen „System32“. Geben Sie dazu das Adressfeld ein "Dirigent" Sie müssen lediglich den Pfad zu dieser Datei angeben.
Methode 7: Erstellen Sie eine Verknüpfung
Wenn Sie sich verschiedene Befehle oder Abschnittssprünge nicht merken möchten „Kontrollfelder“ Wenn Sie es für zu unpraktisch halten, das Magazin aber gleichzeitig häufig nutzen, können Sie in diesem Fall ein Symbol erstellen „Desktop“ oder an einem anderen für Sie geeigneten Ort. Starten Sie anschließend das Tool „Ereignisanzeige“ wird so einfach wie möglich durchgeführt, ohne dass man sich etwas merken muss.
Probleme beim Öffnen des Magazins
Es gibt Fälle, in denen beim Öffnen eines Journals mit den oben beschriebenen Methoden Probleme auftreten. Dies geschieht in den meisten Fällen, weil der für den Betrieb dieses Tools verantwortliche Dienst deaktiviert ist. Beim Versuch, das Tool auszuführen „Ereignisanzeige“ Es wird eine Meldung angezeigt, die darauf hinweist, dass der Ereignisprotokolldienst nicht verfügbar ist. Dann müssen Sie es aktivieren.
- Zunächst müssen Sie zu gehen "Service Manager". Dies kann über den Abschnitt erfolgen „Kontrollfelder“ Was heisst "Verwaltung". Der Einstieg wurde bei der Überlegung ausführlich beschrieben Methode 1. Suchen Sie in diesem Abschnitt nach dem Artikel "Dienstleistungen". Klick es an.
IN "Service Manager" Sie können das Tool verwenden "Laufen". Rufen Sie ihn an, indem Sie tippen Win+R. Geben Sie im Eingabebereich ein:
Klicken "OK".
- Unabhängig davon, ob Sie den Übergang geschafft haben "Schalttafel" oder die Befehlseingabe im Werkzeugfeld verwendet "Laufen", beginnt "Service Manager". Suchen Sie nach einem Element in der Liste "Windows-Ereignisprotokoll". Um Ihnen die Suche zu erleichtern, können Sie durch einen Klick auf den Feldnamen alle Objekte in der Liste in alphabetischer Reihenfolge anordnen "Name". Sobald Sie die gewünschte Zeile gefunden haben, sehen Sie sich den entsprechenden Wert in der Spalte an "Zustand". Wenn der Dienst aktiviert ist, sollte eine Inschrift vorhanden sein „Funktioniert“. Wenn es leer ist, bedeutet dies, dass der Dienst deaktiviert ist. Schauen Sie sich auch den Wert in der Spalte an "Starttyp". Im Normalzustand sollte dort eine Inschrift vorhanden sein "Automatisch". Wenn es einen Wert gibt "Deaktiviert", bedeutet dies, dass der Dienst beim Systemstart nicht aktiviert ist.
- Um dies zu beheben, rufen Sie die Diensteigenschaften auf, indem Sie auf den Namen doppelklicken LMB.
- Es öffnet sich ein Fenster. Klicken Sie auf den Bereich "Starttyp".
- Wählen Sie aus der Dropdown-Liste aus "Automatisch".
- Klicken Sie auf die Inschriften "Anwenden" Und "OK".
- Zurückkehren zu "Service Manager", markieren "Windows-Ereignisprotokoll". Klicken Sie im linken Bereich der Muschel auf die Inschrift "Laufen".
- Der Dienst wurde gestartet. Jetzt im entsprechenden Spaltenfeld "Zustand" Der Wert wird angezeigt „Funktioniert“, und im Spaltenfeld "Starttyp" Die Inschrift erscheint "Automatisch". Jetzt kann das Magazin auf eine der oben beschriebenen Arten geöffnet werden.
Es gibt eine ganze Reihe von Möglichkeiten, das Ereignisprotokoll in Windows 7 zu aktivieren. Die bequemsten und beliebtesten Methoden sind natürlich die folgenden „Symbolleiste“, Aktivierung mit dem Tool "Laufen" oder Menüsuchfelder "Start". Für einen einfachen Zugriff auf die beschriebene Funktion können Sie ein Symbol erstellen „Desktop“. Manchmal gibt es Probleme beim Starten des Fensters „Ereignisanzeige“. Anschließend müssen Sie prüfen, ob der entsprechende Dienst aktiviert ist.
Systemadministratoren und normale Linux-Benutzer müssen sich häufig Protokolldateien ansehen, um Probleme zu beheben. Tatsächlich ist dies das Erste, was ein Systemadministrator tun sollte, wenn im System ein Fehler auftritt.
Das Linux-Betriebssystem selbst und die laufenden Anwendungen generieren verschiedene Arten von Meldungen, die in verschiedenen Protokolldateien protokolliert werden. Linux verwendet spezielle Software, Dateien und Verzeichnisse zum Speichern von Protokolldateien. Wenn Sie wissen, welche Dateien die Protokolle welcher Programme enthalten, können Sie Zeit sparen und das Problem schneller lösen.
In diesem Artikel betrachten wir die Hauptteile des Linux-Protokollierungssystems, Protokolldateien sowie Dienstprogramme, mit denen Sie Linux-Protokolle anzeigen können.
Die meisten Linux-Protokolldateien befinden sich im Ordner /var/log/. Sie können die Protokolldateien für Ihr System mit dem Befehl ls auflisten:
Rw-r--r-- 1 root root 52198 10. Mai 11:03 alternatives.log
drwxr-x--- 2 root root 4096 14. November 15:07 apache2
drwxr-xr-x 2 root root 4096 25. April 12:31 apparmor
drwx------ 2 root root 4096 5. Mai 10:15 Audit
-rw-r--r-- 1 root root 33100 10. Mai 10:33 boot.log
Im Folgenden betrachten wir 20 verschiedene Linux-Protokolldateien, die sich im Verzeichnis /var/log/ befinden. Einige dieser Protokolle sind nur auf bestimmten Distributionen zu finden, beispielsweise ist dpkg.log nur auf Debian-basierten Systemen zu finden.
/var/log/messages– enthält globale Linux-Systemprotokolle, einschließlich derjenigen, die beim Systemstart aufgezeichnet werden. In diesem Protokoll werden verschiedene Arten von Nachrichten aufgezeichnet: E-Mail, Cron, verschiedene Dienste, Kernel, Authentifizierung und andere.
/var/log/dmesg- enthält vom Kernel empfangene Nachrichten. Protokolliert zahlreiche Meldungen während der Startphase und zeigt Informationen zu Hardwaregeräten an, die während des Startvorgangs initialisiert werden. Man kann sagen, dass dies ein weiteres Protokoll des Linux-Systems ist. Die Anzahl der Nachrichten im Protokoll ist begrenzt und wenn die Datei voll ist, werden mit jeder neuen Nachricht die alten überschrieben. Sie können Nachrichten aus diesem Protokoll auch mit dem Befehl dmseg anzeigen.
/var/log/auth.log– enthält Informationen über die Benutzerautorisierung im System, einschließlich der verwendeten Benutzeranmeldungen und Authentifizierungsmechanismen.
/var/log/boot.log– Enthält Informationen, die beim Systemstart protokolliert werden.
/var/log/daemon.log- Enthält Nachrichten von verschiedenen Hintergrund-Daemons
/var/log/kern.log– Enthält auch Meldungen vom Kernel, die bei der Fehlerbehebung in benutzerdefinierten Modulen, die in den Kernel integriert sind, nützlich sind.
/var/log/lastlog- Zeigt Informationen über die letzte Sitzung aller Benutzer an. Dies ist eine Nicht-Textdatei und Sie müssen den Befehl lastlog verwenden, um sie anzuzeigen.
/var/log/maillog /var/log/mail.log- Protokolle des E-Mail-Servers, der auf dem System läuft.
/var/log/user.log- Informationen aus allen Protokollen auf Benutzerebene.
/var/log/Xorg.x.log- X-Server-Nachrichtenprotokoll.
/var/log/alternatives.log- Informationen zum Betrieb des Update-Alternatives-Programms. Dabei handelt es sich um symbolische Links zu Standardbefehlen oder -bibliotheken.
/var/log/btmp- Die Linux-Protokolldatei enthält Informationen über fehlgeschlagene Anmeldeversuche. Um die Datei anzuzeigen, ist es praktisch, den Befehl last -f /var/log/btmp zu verwenden
/var/log/cups- Alle Nachrichten zum Thema Drucken und Drucker.
/var/log/anaconda.log- Alle während der Installation aufgezeichneten Nachrichten werden in dieser Datei gespeichert
/var/log/yum.log– Protokolliert alle Informationen über Paketinstallationen mit Yum.
/var/log/cron- Immer wenn der Cron-Daemon mit der Ausführung eines Programms beginnt, schreibt er einen Bericht und Meldungen vom Programm selbst in diese Datei.
/var/log/secure- enthält Informationen zur Authentifizierung und Autorisierung. SSHd protokolliert hier beispielsweise alles, auch fehlgeschlagene Anmeldeversuche.
/var/log/wtmp oder /var/log/utmp - Linux-Systemprotokolle , enthalten ein Protokoll der Benutzeranmeldungen. Mit dem Befehl wtmp können Sie herausfinden, wer wann angemeldet ist.
/var/log/faillog- Linux-Systemprotokoll, enthält erfolglose Anmeldeversuche. Verwenden Sie den Befehl faillog, um den Inhalt dieser Datei anzuzeigen.
/var/log/mysqld.log- Linux-Protokolldateien vom MySQL-Datenbankserver.
/var/log/httpd/ oder /var/log/apache2- Protokolldateien des Linux11-Apache-Webservers. Zugriffsprotokolle befinden sich in der Datei „access_log“ und Fehlerprotokolle befinden sich in der Datei „error_log“.
/var/log/lighthttpd/- Linux-Protokolle des Lighttpd-Webservers
/var/log/conman/- ConMan-Client-Protokolldateien,
/var/log/mail/– Dieses Verzeichnis enthält zusätzliche Mailserver-Protokolle
/var/log/prelink/- Das Prelink-Programm verknüpft Bibliotheken und ausführbare Dateien, um den Ladevorgang zu beschleunigen. /var/log/prelink/prelink.log enthält Informationen über .so-Dateien, die vom Programm geändert wurden.
/var/log/audit/– Enthält vom auditd-Daemon generierte Informationen.
/var/log/setroubleshoot/ - SE Linux verwendet den setroubleshootd-Daemon (SE Trouble Shoot Daemon), um Sicherheitsprobleme zu melden. Dieses Protokoll enthält Nachrichten von diesem Programm.
/var/log/samba/- enthält Informationen und Protokolle vom Samba-Dateiserver, der für die Verbindung zu Windows-Freigaben verwendet wird.
/var/log/sa/– Enthält .cap-Dateien, die vom Sysstat-Paket gesammelt wurden.
/var/log/sssd/– Wird vom Systemsicherheitsdämon verwendet, der den Remote-Verzeichniszugriff und die Authentifizierungsmechanismen verwaltet.
Protokolle unter Linux anzeigen
Um Protokolle unter Linux anzuzeigen, ist es praktisch, mehrere Linux-Befehlszeilen-Dienstprogramme zu verwenden. Dies kann ein beliebiger Texteditor oder ein spezielles Dienstprogramm sein. Höchstwahrscheinlich benötigen Sie Superuser-Rechte, um Protokolle unter Linux anzuzeigen. Hier sind die Befehle, die für diese Zwecke am häufigsten verwendet werden:
- zgrep
- zmore
Ich werde nicht auf jeden dieser Befehle näher eingehen, da die meisten davon bereits ausführlich auf unserer Website besprochen wurden. Aber ich werde ein paar Beispiele nennen. Das Anzeigen von Linux-Protokollen ist sehr einfach:
Wir schauen uns das Protokoll /var/log/messages an, mit der Möglichkeit zu scrollen:
weniger /var/log/messages
Linux-Protokolle in Echtzeit anzeigen:
tail -f /var/log/messages
Öffnen Sie die dmesg-Protokolldatei:
cat /var/log/dmesg
Erste Zeilen von dmesg:
head /var/log/dmesg
Wir geben nur Fehler aus /var/log/messages aus:
grep -i Fehler /var/log/messages
Darüber hinaus können Sie Protokolle unter Linux mithilfe grafischer Dienstprogramme anzeigen. Mit System Log Viewer können Systemprotokolle einfach auf einem Linux-Laptop oder PC angezeigt und überwacht werden.
Sie können das Programm auf jedem System installieren, auf dem ein X-Server installiert ist. Außerdem kann jeder grafische Testeditor zum Anzeigen von Protokollen verwendet werden.
Schlussfolgerungen
Im Verzeichnis /var/log finden Sie alle notwendigen Informationen zum Betrieb von Linux. Aus dem heutigen Artikel haben Sie genug gelernt, um zu wissen, wo und worauf Sie achten müssen. Das Anzeigen von Protokollen unter Linux bereitet Ihnen jetzt keine Probleme mehr. Wenn Sie Fragen haben, stellen Sie diese in den Kommentaren!
Hallo zusammen, das Thema ist, wie man Windows-Protokolle anzeigt. Ich denke, jeder weiß, was Protokolle sind, aber wenn Sie plötzlich ein Anfänger sind, dann sind Protokolle Systemereignisse, die im Betriebssystem von Windows und Linux auftreten und dabei helfen, zu verfolgen, was, wo und wann passiert ist und wer es getan hat. Jeder Systemadministrator muss in der Lage sein, Windows-Protokolle zu lesen.
Ein Beispiel aus dem wirklichen Leben ist die Situation, als eine Festplatte auf einem der IBM-Server ausfiel und ich für den technischen Support Serverprotokolle sammelte, damit sie das Problem diagnostizieren konnten. Der Ereignisanzeigedienst ist für das Sammeln und Aufzeichnen von Protokollen in Windows verantwortlich. Event Viewer ist ein praktisches Tool zum Abrufen von Systemprotokollen.
So öffnen Sie in der Ereignisanzeige
Sie können ganz einfach auf das Snap-In „Ereignisanzeige“ zugreifen, das für jede Windows-Version geeignet ist. Drücken Sie die magischen Knöpfe
Win+R und geben Sie eventvwr.msc ein
Es öffnet sich ein Windows-Ereignisanzeigefenster, in dem Sie das Element „Windows-Protokolle“ erweitern müssen. Gehen wir die einzelnen Zeitschriften durch.
Die Protokollanwendung enthält Aufzeichnungen zu Programmen auf Ihrem Computer. Das Protokoll wird beim Programmstart geschrieben. Wenn es mit einem Fehler gestartet wurde, wird dies auch hier angezeigt.
Um zu verstehen, wer was wann getan hat, ist ein Audit-Protokoll erforderlich. Zum Beispiel angemeldet oder abgemeldet, versucht, Zugriff zu erhalten. Alle Erfolgs- oder Misserfolgsaudits werden hier geschrieben.
Das Installationselement zeichnet Windows-Protokolle darüber auf, was wann installiert wurde, beispielsweise Programme oder Updates.
Das wichtigste Magazin ist das System. Hier sind alle nötigsten und wichtigsten Dinge aufgeschrieben. Beispielsweise hatten Sie einen Bluescreen-BSOD, und diese hier aufgezeichneten Meldungen helfen Ihnen, die Ursache zu ermitteln.
Es gibt auch Windows-Protokolle für spezifischere Dienste wie DHCP oder DNS. Die Ereignisanzeige schneidet alles ab :).
Angenommen, Sie haben mehr als eine Million Ereignisse im Sicherheitsprotokoll, werden Sie wahrscheinlich sofort die Frage stellen, ob es eine Filterung gibt, da das Betrachten aller Ereignisse Masochismus ist. Die Ereignisanzeige hat dies berücksichtigt; Windows-Protokolle können bequem herausgefiltert werden, so dass nur das Notwendige übrig bleibt. Rechts im Bereich Aktionen gibt es eine Schaltfläche Aktuelles Protokoll filtern.
Sie werden aufgefordert, die Ereignisebene anzugeben:
- Kritisch
- Fehler
- Warnung
- Intelligenz
- Einzelheiten
Es hängt alles von der Suchaufgabe ab; wenn Sie nach Fehlern suchen, haben andere Arten von Nachrichten keinen Sinn. Um den Umfang Ihrer Suche nach der Ereignisanzeige einzugrenzen, können Sie als Nächstes die gewünschte Ereignisquelle und den gewünschten Code angeben.
Wie Sie sehen, ist das Parsen von Windows-Protokollen sehr einfach: Wir suchen, wir finden, wir lösen. Ein schnelles Löschen der Windows-Protokolle kann ebenfalls hilfreich sein:
Sehen Sie sich Windows PowerShell-Protokolle an
Es wäre seltsam, wenn PowerShell dies nicht tun könnte. Um Protokolldateien anzuzeigen, öffnen Sie PowerShell und geben Sie den folgenden Befehl ein
Get-EventLog -Logname „System“
Als Ergebnis erhalten Sie eine Liste der Systemprotokolle
Dasselbe lässt sich beispielsweise auch für andere Magazine durchführen
Get-EventLog -Logname „Anwendung“
Kleines Abkürzungsverzeichnis
- Ereigniscode – EventID
- Computer – Maschinenname
- Ereignissequenznummer – Daten, Index
- Aufgabenkategorie - Kategorie
- Kategoriecode – CategoryNumber
- Ebene – Eintragstyp
- Ereignismeldung – Nachricht
- Quelle - Quelle
- Datum der Ereignisgenerierung – ReplacementString, InstanceID, TimeGenerated
- Datum der Ereignisaufzeichnung – TimeWritten
- Benutzer – Benutzername
- Webseite
- Abteilung - Container
Bei der Boot-Analyse ist es manchmal sehr wichtig, eine vollständige Liste der geladenen und nicht geladenen Treiber und Bibliotheken zu erhalten. Für diese Zwecke ist es nicht erforderlich, spezielle Dienstprogramme zu verwenden. Sie können eine Liste der herunterladbaren Softwarekomponenten über das Betriebssystem selbst abrufen. Die Liste ist eine normale Textdatei ntbtlog.txt, die im Windows-Stammsystemordner gespeichert wird.
Es gibt zwei Möglichkeiten, ein Windows-Bootprotokoll zu erstellen. Das einfachste zuerst. Drücken Sie Win + R, um das Startdialogfeld zu öffnen, und führen Sie darin den Befehl msconfig aus. Wechseln Sie im sich öffnenden Systemkonfigurationsfenster auf die Registerkarte „Herunterladen“ und aktivieren Sie das Kontrollkästchen „Protokoll herunterladen“. Klicken Sie nun auf „Übernehmen“ und „OK“.
Es erscheint ein Fenster, in dem Sie aufgefordert werden, den Computer neu zu starten. Wir stimmen zu, wir starten neu,
Gehen Sie dann zum Speicherort C:/Windows und suchen Sie dort die Textdatei ntbtlog
und öffnen Sie es mit Notepad oder einem anderen Editor.
Die zweite Methode ist etwas komplizierter. Starten Sie als Administrator eine Eingabeaufforderung und führen Sie den Befehl bcdedit aus. In der Konsole wird eine Liste aller Ihrer Betriebssysteme und ihrer Starteinträge angezeigt. Wir haben nur ein Windows 10 installiert, daher gibt es zwei Listenelemente – Boot-Manager und Windows-Boot. Wir benötigen einen zweiten Datensatz, nämlich seinen Identifikator mit dem Wert (aktuell).
Führen Sie sofort in der Befehlszeile einen Befehl wie diesen aus:
bcdedit /set (Id) bootlog Ja
Ersetzen Sie den Bezeichner durch seinen Wert. In unserem Beispiel ist dies aktuell (siehe Screenshot). Jetzt neu starten. Wie im vorherigen Fall wird das Download-Protokoll im Windows-Ordner erstellt. Wie kann man anhand des Protokollinhalts erkennen, ob der Treiber geladen wurde oder nicht? Sehr einfach. Der Eintrag BOOTLOG_LOADED zeigt an, dass der Treiber geladen wurde, der Eintrag BOOTLOG_NOT_LOADED zeigt an, dass der Treiber beim Start des Betriebssystems übersprungen wurde.
Eine der vielen Änderungen in Windows 10 ist die Speicherung von Update-Protokollen in ETL-Dateien, die nur mit speziellen Dienstprogrammen gelesen werden können. In früheren Versionen des Systems wurden Protokolle in eine normale Textdatei geschrieben, aber da der Update-Dienst ständig im System aktiv war, wurden die Daten regelmäßig überschrieben, was zu einer zusätzlichen unerwünschten Belastung der Festplatte führte.Die Verwendung des ETL-Protokollformats reduzierte die Belastung der Festplatte, machte das Lesen von Protokollen für Administratoren jedoch weniger komfortabel. Da Microsoft dieses Problem kennt, haben die Entwickler die Möglichkeit implementiert, Update-Protokolldateien in ein für Menschen lesbares Format zu konvertieren. Darüber hinaus können Protokolle mithilfe des integrierten Windows-Ereignisprotokolls angezeigt werden. Schauen wir uns beide Optionen etwas genauer an.
Starten Sie die PowerShell-Konsole und führen Sie den Befehl Get-WindowsUpdateLog aus.
Das Lesen und Konvertieren der Daten beginnt sofort.
Nach Abschluss des Vorgangs befindet sich auf Ihrem Desktop eine WindowsUpdate.log-Datei, die Sie mit dem normalen Notepad oder einem anderen Texteditor öffnen können. Jetzt können Sie das Protokoll sicher selbst studieren oder an erfahrenere Benutzer senden.
Die zweite Methode ist genauso einfach. Rufen Sie das Kontextmenü des Start-Buttons (Win + X) auf und wählen Sie dort „Ereignisanzeige“ aus.
Folgen Sie im sich öffnenden Protokoll der Kette Anwendungs- und Dienstprotokolle → Microsoft → Windows → WindowsUpdateClient → Operational. In diesem Fall erhalten Sie in der mittleren Spalte des Protokolls eine sortierte Liste von Ereignissen im Zusammenhang mit dem Betrieb der Update-Funktion.
Sie können den Inhalt der Datensätze, die Sie interessieren, direkt in der Standard-Windows-Anwendung anzeigen, Sie können sie aber auch in EVTX-, TXT-, CSV- und XML-Dateien speichern, um sie später zu studieren oder über das Netzwerk zu senden.
