A Windows operációs rendszer sorában a rendszerben előforduló összes fontosabb esemény rögzítésre kerül, majd rögzítésre kerül a naplóban. A hibák, figyelmeztetések és csak különféle értesítések rögzítésre kerülnek. Ezen feljegyzések alapján egy tapasztalt felhasználó kijavíthatja a rendszer működését és kiküszöbölheti a hibákat. Tanuljuk meg, hogyan lehet megnyitni az eseménynaplót Windows 7 rendszerben.
Az eseménynaplót egy elnevezésű rendszereszköz tárolja "Eseménynéző". Lássuk, hogyan juthatsz el odáig különböző módszerekkel.
1. módszer: "Vezérlőpult"
A cikkben leírt eszköz elindításának egyik leggyakoribb módja, bár távolról sem a legegyszerűbb és legkényelmesebb, a "Vezérlőpultok".
2. módszer: Futtassa az eszközt
Sokkal egyszerűbb az eszközzel elindítani a leírt eszköz aktiválását "Fuss".
Ennek a gyors és kényelmes módszernek az alapvető hátránya, hogy meg kell emlékezni az ablak meghívására szolgáló parancsról az elmédben.
3. módszer: Start menü keresőmezője
A vizsgált eszköz meghívásának nagyon hasonló módszere a menü keresőmezője segítségével történik "Rajt".
4. módszer: "Parancssor"
Eszköz hívása ezen keresztül "Parancs sor" meglehetősen kényelmetlen, de létezik ilyen módszer, ezért külön említést érdemel. Először fel kell hívnunk az ablakot "Parancs sor".
5. módszer: Indítsa el közvetlenül az eventvwr.exe fájlt
A probléma megoldásához használhat egy ilyen „egzotikus” opciót, mint például a fájl közvetlen indítását "Karmester". Ez a módszer azonban hasznos lehet a gyakorlatban, például ha a meghibásodások olyan mértékűek, hogy az eszköz elindításának más lehetőségei egyszerűen nem állnak rendelkezésre. Ez rendkívül ritkán fordul elő, de nagyon is lehetséges.
Először is el kell mennie az eventvwr.exe fájl helyére. A rendszerkönyvtárban található ezen az úton:
C:\Windows\System32
6. módszer: Írja be a fájl elérési útját a címsorba
Segítséggel "Karmester" gyorsabban elindíthatjuk a minket érdeklő ablakot. Ebben az esetben még az eventvwr.exe fájlt sem kell keresnie a könyvtárban "System32". Ehhez a cím mezőben "Karmester" csak meg kell adnia a fájl elérési útját.
7. módszer: Hozzon létre egy parancsikont
Ha nem akar emlékezni a különböző parancsokra vagy szakaszugrásokra "Vezérlőpultok" túl kényelmetlennek találja, ugyanakkor gyakran használja a magazint, akkor ebben az esetben létrehozhat egy ikont a "Asztali" vagy más, Önnek megfelelő helyen. Ezt követően indítsa el az eszközt "Eseménynéző" a lehető legegyszerűbben és anélkül, hogy bármire is emlékezni kellene.
Problémák a magazin kinyitásával
Vannak esetek, amikor problémák merülnek fel a napló fent leírt módszerekkel történő megnyitásakor. Leggyakrabban ez azért történik, mert az eszköz működéséért felelős szolgáltatás deaktiválva van. Amikor megpróbálja futtatni az eszközt "Eseménynéző" Megjelenik egy üzenet, amely jelzi, hogy az Eseménynapló szolgáltatás nem érhető el. Ezután aktiválnia kell.
- Először is el kell menned "Szolgáltatásvezető". Ezt a szakaszból lehet megtenni "Vezérlőpultok" amelyet úgy hívnak "Adminisztráció". A mérlegeléskor részletesen leírták, hogyan lehet bejutni 1. módszer. Ebben a szakaszban keresse meg az elemet "Szolgáltatások". Kattintson rá.
BAN BEN "Szolgáltatásvezető" használhatja az eszközt "Fuss". Hívja fel gépeléssel Win+R. Írja be a beviteli mezőbe:
Kattintson "RENDBEN".
- Függetlenül attól, hogy sikerült-e az átállást "Kezelőpanel" vagy az eszközmezőben lévő parancsbevitelt használta "Fuss", elindul "Szolgáltatásvezető". Keressen egy elemet a listában "Windows eseménynapló". A keresés megkönnyítése érdekében a mező nevére kattintva a listában szereplő összes objektumot ábécé sorrendbe rendezheti "Név". Ha megtalálta a kívánt sort, nézze meg a megfelelő értéket az oszlopban "Állapot". Ha a szolgáltatás engedélyezve van, akkor ott kell lennie egy feliratnak "Művek". Ha üres, ez azt jelenti, hogy a szolgáltatás deaktiválva van. Nézze meg az oszlopban szereplő értéket is "Indítási típus". Normál állapotban ott kell lennie egy feliratnak "Automatikusan". Ha van ott érték "Tiltva", ez azt jelenti, hogy a szolgáltatás nem aktiválódik a rendszer indításakor.
- Ennek javításához lépjen a szolgáltatás tulajdonságaihoz duplán a névre kattintva LMB.
- Megnyílik egy ablak. Kattintson a területre "Indítási típus".
- Válassza ki a legördülő listából "Automatikusan".
- Kattintson a feliratokra "Alkalmaz"És "RENDBEN".
- Visszatérve a "Szolgáltatásvezető", Mark "Windows eseménynapló". A héj bal oldalán kattintson a feliratra "Fuss".
- A szolgáltatás elindult. Most a megfelelő oszlopmezőben "Állapot"érték jelenik meg "Művek", és az oszlopmezőben "Indítási típus" megjelenik a felirat "Automatikusan". Most a magazin a fent leírtak bármelyikével megnyitható.
A Windows 7 rendszerben számos lehetőség van az eseménynapló aktiválására. Természetesen a legkényelmesebb és legnépszerűbb módszer az "Eszköztár", aktiválás az eszköz segítségével "Fuss" vagy a menü keresőmezőiben "Rajt". A leírt funkció egyszerű elérése érdekében létrehozhat egy ikont "Asztali". Néha problémák adódnak az ablak indításával "Eseménynéző". Ezután ellenőriznie kell, hogy a megfelelő szolgáltatás aktiválva van-e.
A rendszergazdáknak és a rendszeres Linux-felhasználóknak gyakran meg kell nézniük a naplófájlokat a problémák hibaelhárítása érdekében. Valójában ez az első dolog, amit minden rendszergazdának meg kell tennie, ha bármilyen hiba történik a rendszerben.
Maga a Linux operációs rendszer és a futó alkalmazások különféle típusú üzeneteket generálnak, amelyek különböző naplófájlokba kerülnek. A Linux speciális szoftvereket, fájlokat és könyvtárakat használ a naplófájlok tárolására. Ha tudja, hogy mely fájlok mely programok naplóit tartalmazzák, időt takaríthat meg, és gyorsabban megoldhatja a problémát.
Ebben a cikkben megvizsgáljuk a Linux naplózási rendszerének fő részeit, a naplófájlokat, valamint azokat a segédprogramokat, amelyekkel megtekintheti a Linux naplókat.
A legtöbb Linux naplófájl a /var/log/ mappában található. A rendszer naplófájljait az ls paranccsal listázhatja:
Rw-r--r-- 1 gyökér gyökér 52198 május 10. 11:03 alternatives.log
drwxr-x--- 2 gyökér gyökér 4096 november 14. 15:07 apache2
drwxr-xr-x 2 root root 4096 ápr. 25. 12:31 apparmor
drwx------ 2 root root 4096 május 5. 10:15 audit
-rw-r--r-- 1 root root 33100 május 10. 10:33 boot.log
Az alábbiakban 20 különböző Linux naplófájlt nézünk meg, amelyek a /var/log/ könyvtárban találhatók. Néhány ilyen napló csak bizonyos disztribúciókon található, például a dpkg.log csak Debian alapú rendszereken található meg.
/var/log/messages- globális Linux rendszernaplókat tartalmaz, beleértve azokat is, amelyeket a rendszer indításakor rögzítenek. Ez a napló többféle típusú üzenetet rögzít: mail, cron, különféle szolgáltatások, kernel, hitelesítés és mások.
/var/log/dmesg- a kerneltől kapott üzeneteket tartalmazza. Sok üzenetet naplóz a rendszerindítási fázis során, és információkat jelenít meg a rendszerindítási folyamat során inicializált hardvereszközökről. Mondhatjuk, hogy ez egy újabb napló a Linux rendszerről. A naplóban lévő üzenetek száma korlátozott, és ha a fájl megtelik, minden új üzenettel felülírják a régieket. A napló üzeneteit a dmseg paranccsal is megtekintheti.
/var/log/auth.log- információkat tartalmaz a rendszer felhasználói jogosultságáról, beleértve a felhasználói bejelentkezéseket és a használt hitelesítési mechanizmusokat.
/var/log/boot.log- A rendszer indításakor naplózott információkat tartalmaz.
/var/log/daemon.log- Tartalmazza a különböző háttérdémonok üzeneteit
/var/log/kern.log- Üzeneteket is tartalmaz a kerneltől, ami hasznos lehet a kernelbe épített egyéni modulok hibáinak elhárításában.
/var/log/lastlog- Információkat jelenít meg az összes felhasználó utolsó munkamenetéről. Ez egy nem szöveges fájl, és a megtekintéséhez a lastlog parancsot kell használnia.
/var/log/maillog /var/log/mail.log- a rendszeren futó e-mail szerver naplói.
/var/log/user.log- Információ az összes naplóból felhasználói szinten.
/var/log/Xorg.x.log- X szerver üzenetnapló.
/var/log/alternatives.log- Információ a frissítés-alternatívák program működéséről. Ezek szimbolikus hivatkozások az alapértelmezett parancsokhoz vagy könyvtárakhoz.
/var/log/btmp- A Linux naplófájlja információkat tartalmaz a sikertelen bejelentkezési kísérletekről. A fájl megtekintéséhez célszerű a last -f /var/log/btmp parancsot használni
/var/log/cups- Minden nyomtatással és nyomtatókkal kapcsolatos üzenet.
/var/log/anaconda.log- a telepítés során rögzített összes üzenet ebbe a fájlba kerül
/var/log/yum.log- Naplózik minden információt a csomagtelepítésekről a Yum használatával.
/var/log/cron- Amikor a Cron démon elindít egy program végrehajtását, jelentést és üzeneteket ír magától a programtól ebbe a fájlba.
/var/log/secure- hitelesítéssel és engedélyezéssel kapcsolatos információkat tartalmaz. Például az SSHd itt mindent naplóz, beleértve a sikertelen bejelentkezési kísérleteket is.
/var/log/wtmp vagy /var/log/utmp - Linux rendszernaplók , tartalmazza a felhasználói bejelentkezések naplóját. A wtmp paranccsal megtudhatja, hogy ki és mikor van bejelentkezve.
/var/log/faillog- Linux rendszernapló, sikertelen bejelentkezési kísérleteket tartalmaz. Használja a faillog parancsot a fájl tartalmának megjelenítéséhez.
/var/log/mysqld.log- Linux naplófájlok a MySQL adatbázis-kiszolgálóról.
/var/log/httpd/ vagy /var/log/apache2- a linux11 Apache webszerver naplófájljai. A hozzáférési naplók az access_log fájlban, a hibanaplók pedig az error_log fájlban találhatók
/var/log/lighttpd/- A lighttpd webszerver Linux naplói
/var/log/conman/- ConMan kliens naplófájlok,
/var/log/mail/- ez a könyvtár további levelezőszerver-naplókat tartalmaz
/var/log/prelink/- A prelink program könyvtárakat és végrehajtható fájlokat kapcsol össze a betöltési folyamat felgyorsítása érdekében. A /var/log/prelink/prelink.log a program által módosított .so fájlokról tartalmaz információkat.
/var/log/audit/- Az auditált démon által generált információkat tartalmaz.
/var/log/setroubleshoot/ - Az SE Linux a setroubleshootd démont (SE Trouble Shoot Daemon) használja a biztonsági problémák bejelentésére. Ez a napló a program üzeneteit tartalmazza.
/var/log/samba/- információkat és naplókat tartalmaz a Samba fájlkiszolgálóról, amely a Windows megosztásokhoz való csatlakozásra szolgál.
/var/log/sa/- A Sysstat csomag által gyűjtött .cap fájlokat tartalmazza.
/var/log/sssd/- A rendszerbiztonsági démon használja, amely a távoli címtár-hozzáférést és hitelesítési mechanizmusokat kezeli.
Naplók megtekintése Linuxban
A naplók Linuxon való megtekintéséhez kényelmes több Linux parancssori segédprogram használata. Ez lehet bármilyen szövegszerkesztő vagy speciális segédprogram. Valószínűleg szuperfelhasználói jogokra lesz szüksége a naplók megtekintéséhez Linux alatt. Íme az ilyen célokra leggyakrabban használt parancsok:
- zgrep
- zmore
Nem részletezem ezeket a parancsokat, mivel a legtöbbjüket már részletesen tárgyaltuk weboldalunkon. De mondok néhány példát. A Linux naplók megtekintése nagyon egyszerű:
Megnézzük a /var/log/messages naplót a görgetés lehetőségével:
kevesebb /var/log/messages
Tekintse meg a Linux naplóit valós időben:
tail -f /var/log/messages
Nyissa meg a dmesg naplófájlt:
cat /var/log/dmesg
A dmesg első sorai:
fej /var/log/dmesg
Csak a hibákat adjuk ki a /var/log/messages fájlból:
grep -i hiba /var/log/messages
Ezenkívül grafikus segédprogramok segítségével megtekintheti a naplókat Linuxon. A System Log Viewer segítségével könnyedén megtekintheti és figyelheti a rendszernaplókat Linux laptopon vagy személyi számítógépen.
A programot bármely olyan rendszerre telepítheti, amelyen X szerver van telepítve. Ezenkívül bármely grafikus tesztszerkesztő használható a naplók megtekintéséhez.
következtetéseket
A /var/log könyvtárban minden szükséges információ megtalálható a Linux működésével kapcsolatban. A mai cikkből eleget tanult ahhoz, hogy tudja, hol keressen és mit keressen. A naplók megtekintése Linux alatt nem okoz problémát. Ha kérdésed van, tedd fel kommentben!
Üdvözlök mindenkit, a téma a Windows naplók megtekintése. Azt hiszem, mindenki tudja, mi az a napló, de ha hirtelen kezdő vagy, akkor a naplók mind a Windows, mind a Linux operációs rendszerében előforduló rendszeresemények, amelyek segítenek nyomon követni, hogy mi, hol és mikor történt és ki csinálta. Minden rendszergazdának képesnek kell lennie a Windows naplók olvasására.
Egy példa a való életből az a helyzet, amikor egy lemez meghibásodott az egyik IBM szerveren, és a technikai támogatás érdekében szervernaplókat gyűjtöttem, hogy diagnosztizálhassák a problémát. Az Event Viewer szolgáltatás felelős a naplók összegyűjtéséért és rögzítéséért a Windows rendszerben. Az Event Viewer egy kényelmes eszköz a rendszernaplók lekéréséhez.
Hogyan lehet megnyitni az Eseménynaplóban
Nagyon egyszerűen beléphet az Eseménynéző beépülő moduljába, amely a Windows bármely verziójához alkalmas. Nyomja meg a varázsgombokat
Win+R, és írja be az eventvwr.msc parancsot
Megnyílik egy Windows Eseménynéző ablak, amelyben ki kell bontania a Windows Naplók elemet. Nézzük végig az egyes magazinokat.
A Naplóalkalmazás a számítógépén lévő programokkal kapcsolatos rekordokat tartalmazza. A napló a program indításakor íródik, ha hibával indult, akkor ez itt is megjelenik.
Az ellenőrzési napló szükséges ahhoz, hogy megértsük, ki mit és mikor csinált. Például bejelentkezett vagy kijelentkezett, hozzáférést próbált elérni. Az összes siker vagy kudarc auditja ide van írva.
A Telepítés elem Windows naplókat rögzít arról, hogy mi lett telepítve, és mikor, például programokat vagy frissítéseket.
A legfontosabb folyóirat a rendszer. Itt minden szükséges és legfontosabb dolog le van írva. Például volt egy kék képernyős bsod, és ezek az itt rögzített üzenetek segítenek meghatározni az okát.
Vannak Windows naplók is, amelyek specifikusabb szolgáltatásokhoz, például DHCP-hez vagy DNS-hez tartoznak. Az Event Viewer mindent vág :).
Tegyük fel, hogy több mint egymillió esemény van a Biztonsági naplóban, valószínűleg azonnal felteszi a kérdést, hogy van-e szűrés, mivel mindegyik megtekintése mazochizmus. Az Event Viewer ezt figyelembe vette, a Windows naplók kényelmesen kiszűrhetők, csak a szükséges mennyiség marad meg. A jobb oldalon a Műveletek területen található az Aktuális napló szűrése gomb.
Meg kell adnia az esemény szintjét:
- Kritikai
- Hiba
- Figyelem
- Intelligencia
- Részletek
Minden a keresési feladattól függ, ha hibát keres, akkor nincs értelme más típusú üzeneteknek. Ezután az eseménymegtekintési keresés hatókörének szűkítése érdekében megadhatja a kívánt eseményforrást és -kódot.
Tehát, mint láthatja, a Windows naplók elemzése nagyon egyszerű, keresünk, találunk, megoldunk. A Windows naplók gyors törlése is hasznos lehet:
A Windows PowerShell-naplók megtekintése
Furcsa lenne, ha a PowerShell nem tudná ezt megtenni a naplófájlok megjelenítéséhez, nyissa meg a PowerShellt, és írja be a következő parancsot
Get-EventLog - Logname "Rendszer"
Ennek eredményeként megjelenik a rendszernaplók listája
Ugyanez megtehető más magazinoknál, például az Alkalmazásoknál
Get-EventLog - Naplónév "Alkalmazás"
a rövidítések kis listája
- Eseménykód - Eseményazonosító
- Számítógép – Gépnév
- Eseménysorszám - Adatok, Index
- Feladatok kategóriája - Kategória
- Kategória kód - CategoryNumber
- Szint – EntryType
- Esemény üzenet – Üzenet
- Forrás – Forrás
- Eseménygenerálás dátuma – ReplacementString, InstanceID, TimeGenerated
- Az esemény rögzítésének dátuma – TimeWritten
- Felhasználó – Felhasználónév
- Weboldal
- Osztály – konténer
A rendszerindítási elemzés végrehajtásakor néha nagyon fontos, hogy megszerezzük a betöltött és nem betöltött illesztőprogramok és könyvtárak teljes listáját. Ezekre a célokra nem szükséges speciális segédprogramokat használni, magának az operációs rendszernek a segítségével megkaphatja a letölthető szoftverösszetevők listáját. A lista egy szokásos ntbtlog.txt szövegfájl, amelyet a Windows gyökérrendszer mappájába mentünk.
Kétféleképpen hozhat létre Windows rendszerindítási naplót. Először a legegyszerűbbet. Nyomja meg a Win + R billentyűket az indítási párbeszédpanel megnyitásához, és futtassa az msconfig parancsot. A megnyíló rendszerkonfigurációs ablakban váltson a „Letöltés” fülre, és jelölje be a „Letöltési napló” jelölőnégyzetet. Most kattintson az "Alkalmaz" és az "OK" gombra.
Megjelenik egy ablak, amely arra kéri, hogy indítsa újra a számítógépet. Egyetértünk, újraindítjuk,
Ezután menjen a C:/Windows helyre, ott keresse meg az ntbtlog szövegfájlt
és nyissa meg a Jegyzettömbbel vagy más szerkesztővel.
A második módszer egy kicsit bonyolultabb. Indítson el egy parancssort rendszergazdaként, és futtassa a bcdedit parancsot. A konzolon megjelenik az összes operációs rendszer listája és azok rendszerindítási bejegyzései. Csak egy Windows 10 van telepítve, így két listaelem lesz - a rendszerindítás-kezelő és a Windows rendszerindítás. Szükségünk van egy második rekordra, mégpedig annak azonosítójára az értékkel (current).
A parancssorban azonnal futtasson egy ilyen parancsot:
bcdedit /set (Azonosító) bootlog Igen
Cserélje ki az azonosítót annak értékére. Példánkban ez aktuális (lásd a képernyőképet). Most indítsa újra. Az előző esethez hasonlóan a letöltési napló a Windows mappában jön létre. Hogyan lehet megérteni a napló tartalmából, hogy az illesztőprogram be van-e töltve vagy sem? Nagyon egyszerű. A BOOTLOG_LOADED bejegyzés azt jelzi, hogy az illesztőprogram betöltődött, a BOOTLOG_NOT_LOADED bejegyzés pedig azt, hogy az illesztőprogramot kihagyták az operációs rendszer indításakor.
A Windows 10 számos változásának egyike a frissítési naplók ETL-fájlokba történő mentése, amelyek csak speciális segédprogramokkal olvashatók. A rendszer korábbi verzióiban a naplók egy normál szöveges fájlba kerültek, de mivel a frissítési szolgáltatás folyamatosan aktív volt a rendszerben, az adatok rendszeresen felülírásra kerültek, ami további nem kívánt terhelést okozott a lemezen.Az ETL naplóformátum használata csökkentette a merevlemez terhelését, de a naplók olvasása kevésbé kényelmes volt a rendszergazdák számára. A Microsoft tisztában van ezzel a problémával, ezért a fejlesztők bevezették a frissítési naplófájlok ember által olvasható formátumba konvertálásának lehetőségét. Ezenkívül a naplók megtekinthetők a beépített Windows eseménynapló segítségével. Nézzük mindkét lehetőséget kicsit részletesebben.
Indítsa el a PowerShell-konzolt, és futtassa a Get-WindowsUpdateLog parancsot.
Az adatok olvasása és konvertálása azonnal megkezdődik,
Az eljárás befejezése után egy WindowsUpdate.log fájl lesz az asztalon, amelyet megnyithat normál Jegyzettömbbel vagy bármilyen más szövegszerkesztővel. Most már maga is biztonságosan tanulmányozhatja a naplót, vagy elküldheti tapasztaltabb felhasználóknak.
A második módszer ugyanolyan egyszerű. Hívja a Start gomb helyi menüjét (Win + X), és válassza ki az „Eseménynéző” lehetőséget.
A megnyíló naplóban kövesse az Alkalmazások és szolgáltatások naplói → Microsoft → Windows → WindowsUpdateClient → Működési láncot. Ebben az esetben a Napló központi oszlopában a frissítési funkció működésével kapcsolatos események rendezett listája jelenik meg.
Az Önt érdeklő rekordok tartalmát közvetlenül a szabványos Windows alkalmazásban tekintheti meg, de EVTX, TXT, CSV és XML fájlokba is elmentheti későbbi tanulmányozás vagy hálózaton keresztül történő elküldés céljából.
