Windows OS rindā visi galvenie notikumi, kas notiek sistēmā, tiek reģistrēti un pēc tam ierakstīti žurnālā. Tiek ierakstītas kļūdas, brīdinājumi un vienkārši dažādi paziņojumi. Pamatojoties uz šiem ierakstiem, pieredzējis lietotājs var labot sistēmas darbību un novērst kļūdas. Uzziniet, kā atvērt notikumu žurnālu operētājsistēmā Windows 7.
Notikumu žurnāls tiek saglabāts sistēmas rīkā ar nosaukumu "Notikumu skatītājs". Apskatīsim, kā jūs varat tur nokļūt, izmantojot dažādas metodes.
1. metode: "Vadības panelis"
Viens no visizplatītākajiem šajā rakstā aprakstītā rīka palaišanas veidiem, lai gan nebūt nav vienkāršākais un ērtākais, tiek veikts, izmantojot "Vadības paneļi".
2. metode: palaist rīku
Izmantojot rīku, ir daudz vieglāk uzsākt aprakstītā rīka aktivizēšanu "Skriet".
Šīs ātrās un ērtās metodes galvenais trūkums ir nepieciešamība atcerēties komandu izsaukt logu savā prātā.
3. metode: izvēlnes Sākt meklēšanas lodziņš
Ļoti līdzīga metode mūsu pētāmā rīka izsaukšanai tiek veikta, izmantojot izvēlnes meklēšanas lauku "Sākt".
4. metode: "komandrinda"
Rīka izsaukšana, izmantojot "Komandrinda" diezgan neērti, taču šāda metode pastāv, un tāpēc tā ir arī īpaši pieminēšanas vērta. Vispirms mums jāzvana logam "Komandrinda".
5. metode: tieši startējiet failu eventvwr.exe
Problēmas risināšanai varat izmantot šādu “eksotisku” opciju kā tiešu faila palaišanu no "Diriģents". Tomēr šī metode var būt noderīga praksē, piemēram, ja kļūmes ir sasniegušas tādu apmēru, ka citas iespējas rīka palaišanai vienkārši nav pieejamas. Tas notiek ārkārtīgi reti, bet tas ir pilnīgi iespējams.
Pirmkārt, jums jādodas uz faila eventvwr.exe atrašanās vietu. Tas atrodas sistēmas direktorijā šajā ceļā:
C:\Windows\System32
6. metode: adreses joslā ievadiet faila ceļu
Ar palīdzību "Diriģents" mēs varam ātrāk palaist mūs interesējošo logu. Šajā gadījumā jums pat nav jāmeklē eventvwr.exe direktorijā "Sistēma32". Lai to izdarītu, adreses laukā "Diriģents" jums vienkārši jānorāda ceļš uz šo failu.
7. metode: izveidojiet saīsni
Ja nevēlaties atcerēties dažādas komandas vai sadaļas lēcienus "Vadības paneļi" Ja uzskatāt to par pārāk neērtu, bet tajā pašā laikā bieži lietojat žurnālu, tad šajā gadījumā varat izveidot ikonu "Darbvirsma" vai citā jums ērtā vietā. Pēc tam palaidiet rīku "Notikumu skatītājs" tiks veikta pēc iespējas vienkāršāk un bez nepieciešamības neko atcerēties.
Problēmas ar žurnāla atvēršanu
Ir gadījumi, kad rodas problēmas, atverot žurnālu, izmantojot iepriekš aprakstītās metodes. Visbiežāk tas notiek tāpēc, ka pakalpojums, kas ir atbildīgs par šī rīka darbību, ir deaktivizēts. Mēģinot palaist rīku "Notikumu skatītājs" Parādās ziņojums, kas norāda, ka notikumu žurnāla pakalpojums nav pieejams. Pēc tam jums tas jāaktivizē.
- Pirmkārt, jums jāiet uz "Pakalpojumu vadītājs". To var izdarīt no sadaļas "Vadības paneļi" ko sauc "Administrācija". Apsverot, tika detalizēti aprakstīts, kā tajā iekļūt 1. metode. Atrodoties šajā sadaļā, meklējiet vienumu "Pakalpojumi". Noklikšķiniet uz tā.
IN "Pakalpojumu vadītājs" jūs varat izmantot rīku "Skriet". Zvaniet viņam, rakstot Win+R. Ievades apgabalā ievadiet:
Klikšķis "LABI".
- Neatkarīgi no tā, vai esat veicis pāreju "Vadības panelis" vai izmantoja komandas ievadi rīka laukā "Skriet", sākas "Pakalpojumu vadītājs". Sarakstā meklējiet elementu "Windows notikumu žurnāls". Lai atvieglotu meklēšanu, visus sarakstā esošos objektus var sakārtot alfabētiskā secībā, noklikšķinot uz lauka nosaukuma "Vārds". Kad vajadzīgā rinda ir atrasta, skatiet atbilstošo vērtību kolonnā "Valsts". Ja pakalpojums ir iespējots, tad jābūt uzrakstam "Darbojas". Ja tas ir tukšs, tas nozīmē, ka pakalpojums ir deaktivizēts. Apskatiet arī vērtību kolonnā "Startēšanas veids". Normālā stāvoklī tur jābūt uzrakstam "Automātiski". Ja tur ir vērtība "Invalīds", tas nozīmē, ka pakalpojums netiek aktivizēts, sistēmai startējot.
- Lai to labotu, atveriet pakalpojuma rekvizītus, veicot dubultklikšķi uz nosaukuma LMB.
- Atveras logs. Noklikšķiniet uz apgabala "Startēšanas veids".
- Nolaižamajā sarakstā atlasiet "Automātiski".
- Noklikšķiniet uz uzrakstiem "Pieteikties" Un "LABI".
- Atgriežoties pie "Pakalpojumu vadītājs", atzīmējiet "Windows notikumu žurnāls". Korpusa kreisajā apgabalā noklikšķiniet uz uzraksta "Skriet".
- Pakalpojums ir sācies. Tagad attiecīgajā kolonnas laukā "Valsts" tiks parādīta vērtība "Darbojas", un kolonnas laukā "Startēšanas veids" parādīsies uzraksts "Automātiski". Tagad žurnālu var atvērt jebkurā no iepriekš aprakstītajiem veidiem.
Ir diezgan daudz iespēju, kā aktivizēt notikumu žurnālu operētājsistēmā Windows 7. Protams, ērtākās un populārākās metodes ir "Rīkjosla", aktivizēšana, izmantojot rīku "Skriet" vai izvēlnes meklēšanas lauki "Sākt". Lai ērti piekļūtu aprakstītajai funkcijai, varat izveidot ikonu "Darbvirsma". Dažreiz rodas problēmas ar loga iedarbināšanu "Notikumu skatītājs". Pēc tam jums jāpārbauda, vai ir aktivizēts attiecīgais pakalpojums.
Sistēmas administratoriem un parastajiem Linux lietotājiem bieži ir jāaplūko žurnālfaili, lai novērstu problēmas. Patiesībā šī ir pirmā lieta, kas jādara jebkuram sistēmas administratoram, ja sistēmā rodas kāda kļūda.
Pati Linux operētājsistēma un darbojošās lietojumprogrammas ģenerē dažāda veida ziņojumus, kas tiek reģistrēti dažādos žurnālfailos. Linux žurnāla failu glabāšanai izmanto īpašu programmatūru, failus un direktorijus. Zinot, kuri faili satur kuru programmu žurnālus, palīdzēs ietaupīt laiku un ātrāk atrisināt problēmu.
Šajā rakstā apskatīsim galvenās Linux reģistrēšanas sistēmas daļas, žurnālfailus, kā arī utilītas, ar kurām var apskatīt Linux žurnālus.
Lielākā daļa Linux žurnālfailu atrodas mapē /var/log/. Varat uzskaitīt savas sistēmas žurnālfailus, izmantojot komandu ls:
Rw-r--r-- 1 saknes sakne 52198 10. maijs 11:03 alternatives.log
drwxr-x--- 2 saknes sakne 4096 14. novembris 15:07 apache2
drwxr-xr-x 2 saknes sakne 4096 25. aprīlis 12:31 apparmor
drwx------ 2 saknes sakne 4096 5.maijs 10:15 audits
-rw-r--r-- 1 saknes sakne 33100 10. maijs 10:33 boot.log
Tālāk mēs apskatīsim 20 dažādus Linux žurnālfailus, kas atrodas direktorijā /var/log/. Daži no šiem žurnāliem ir atrodami tikai noteiktos izplatījumos, piemēram, dpkg.log ir atrodami tikai uz Debian balstītām sistēmām.
/var/log/messages- satur globālos Linux sistēmas žurnālus, tostarp tos, kas tiek reģistrēti sistēmas startēšanas laikā. Šajā žurnālā tiek ierakstīti vairāku veidu ziņojumi: pasts, cron, dažādi pakalpojumi, kodols, autentifikācija un citi.
/var/log/dmesg- satur ziņojumus, kas saņemti no kodola. Sāknēšanas fāzē tiek reģistrēti daudzi ziņojumi, tiek parādīta informācija par aparatūras ierīcēm, kas tiek inicializētas sāknēšanas procesa laikā. Var teikt, ka šis ir vēl viens Linux sistēmas žurnāls. Ziņojumu skaits žurnālā ir ierobežots, un, kad fails ir pilns, ar katru jaunu ziņojumu vecās tiks pārrakstītas. Varat arī skatīt ziņojumus no šī žurnāla, izmantojot komandu dmseg.
/var/log/auth.log- satur informāciju par lietotāju autorizāciju sistēmā, tostarp lietotāju pieteikšanos un izmantotajiem autentifikācijas mehānismiem.
/var/log/boot.log- Satur informāciju, kas tiek reģistrēta sistēmas sāknēšanas laikā.
/var/log/daemon.log- Ietver ziņas no dažādiem fona dēmoniem
/var/log/kern.log- Satur arī ziņojumus no kodola, kas ir noderīgi, lai novērstu kļūdas kodolā iebūvētajos pielāgotajos moduļos.
/var/log/lastlog- Parāda informāciju par visu lietotāju pēdējo sesiju. Šis nav teksta fails, un, lai to skatītu, ir jāizmanto komanda lastlog.
/var/log/maillog /var/log/mail.log- sistēmā strādājošā e-pasta servera žurnāli.
/var/log/user.log- Informācija no visiem žurnāliem lietotāja līmenī.
/var/log/Xorg.x.log- X servera ziņojumu žurnāls.
/var/log/alternatives.log- Informācija par atjauninājumu-alternatīvu programmas darbību. Tās ir simboliskas saites uz noklusējuma komandām vai bibliotēkām.
/var/log/btmp- Linux žurnālfails satur informāciju par neveiksmīgiem pieteikšanās mēģinājumiem. Lai skatītu failu, ir ērti izmantot komandu last -f /var/log/btmp
/var/log/cups- Visi ziņojumi, kas saistīti ar drukāšanu un printeriem.
/var/log/anaconda.log- šajā failā tiek saglabāti visi instalēšanas laikā ierakstītie ziņojumi
/var/log/yum.log- Reģistrē visu informāciju par pakotņu instalēšanu, izmantojot Yum.
/var/log/cron- Ikreiz, kad Cron dēmons sāk izpildīt programmu, tas šajā failā ieraksta atskaiti un ziņojumus no pašas programmas.
/var/log/secure- satur informāciju, kas saistīta ar autentifikāciju un autorizāciju. Piemēram, SSHd šeit reģistrē visu, tostarp neveiksmīgos pieteikšanās mēģinājumus.
/var/log/wtmp vai /var/log/utmp - Linux sistēmas žurnāli , satur lietotāju pieteikšanās žurnālu. Izmantojot komandu wtmp, varat uzzināt, kurš un kad ir pieteicies.
/var/log/faillog- Linux sistēmas žurnāls, satur neveiksmīgus pieteikšanās mēģinājumus. Izmantojiet faillog komandu, lai parādītu šī faila saturu.
/var/log/mysqld.log- Linux žurnālfaili no MySQL datu bāzes servera.
/var/log/httpd/ vai /var/log/apache2- linux11 Apache tīmekļa servera žurnālfaili. Piekļuves žurnāli atrodas failā access_log, un kļūdu žurnāli ir error_log
/var/log/lighttpd/- Lighttpd tīmekļa servera Linux žurnāli
/var/log/conman/- ConMan klienta žurnālfaili,
/var/log/mail/- šajā direktorijā ir papildu pasta servera žurnāli
/var/log/prelink/- Prelink saista bibliotēkas un izpildāmos failus, lai paātrinātu ielādes procesu. /var/log/prelink/prelink.log satur informāciju par .so failiem, kurus programma modificēja.
/var/log/audit/- Satur informāciju, ko ģenerējis pārbaudītais dēmons.
/var/log/setroubleshoot/ - SE Linux izmanto setroubleshootd dēmonu (SE Trouble Shoot Daemon), lai ziņotu par drošības problēmām. Šajā žurnālā ir ziņas no šīs programmas.
/var/log/samba/- satur informāciju un žurnālus no Samba failu servera, kas tiek izmantots, lai izveidotu savienojumu ar Windows koplietotajiem failiem.
/var/log/sa/- Satur Sysstat pakotnes savāktos .cap failus.
/var/log/sssd/- Izmanto sistēmas drošības dēmons, kas pārvalda attālo direktoriju piekļuvi un autentifikācijas mehānismus.
Žurnālu skatīšana operētājsistēmā Linux
Lai skatītu žurnālus operētājsistēmā Linux, ir ērti izmantot vairākas Linux komandrindas utilītas. Tas var būt jebkurš teksta redaktors vai īpaša utilīta. Visticamāk, jums būs nepieciešamas superlietotāja tiesības, lai skatītu žurnālus Linux. Šeit ir komandas, kas visbiežāk tiek izmantotas šiem nolūkiem:
- zgrep
- zmore
Es nestāstīšu par katru no šīm komandām, jo lielākā daļa no tām jau ir detalizēti apspriestas mūsu vietnē. Bet es minēšu dažus piemērus. Linux žurnālu skatīšana ir ļoti vienkārša:
Mēs skatāmies uz žurnālu /var/log/messages ar iespēju ritināt:
mazāk /var/log/messages
Skatīt Linux žurnālus reāllaikā:
tail -f /var/log/messages
Atveriet dmesg žurnāla failu:
cat /var/log/dmesg
Pirmās dmesg rindas:
head /var/log/dmesg
Mēs izvadām kļūdas tikai no /var/log/messages:
grep -i kļūda /var/log/messages
Turklāt jūs varat skatīt žurnālus operētājsistēmā Linux, izmantojot grafiskās utilītas. Sistēmas žurnālu skatītāju var izmantot, lai viegli skatītu un pārraudzītu sistēmas žurnālus Linux klēpjdatorā vai personālajā datorā.
Programmu var instalēt jebkurā sistēmā, kurā ir instalēts X serveris. Arī jebkuru grafisko testa redaktoru var izmantot, lai skatītu žurnālus.
secinājumus
Direktorijā /var/log var atrast visu nepieciešamo informāciju par Linux darbību. No šodienas raksta jūs esat iemācījušies pietiekami daudz, lai zinātu, kur meklēt un ko meklēt. Tagad žurnālu skatīšana operētājsistēmā Linux jums neradīs problēmas. Ja jums ir kādi jautājumi, jautājiet komentāros!
Sveiki visiem, tēma ir par to, kā apskatīt Windows žurnālus. Es domāju, ka visi zina, kas ir žurnāli, bet, ja pēkšņi esat iesācējs, tad žurnāli ir sistēmas notikumi, kas notiek gan Windows, gan Linux operētājsistēmā, kas palīdz izsekot, kas, kur un kad notika un kas to izdarīja. Jebkuram sistēmas administratoram ir jāspēj nolasīt Windows žurnālus.
Piemērs no reālās dzīves ir situācija, kad disks neizdevās vienā no IBM serveriem, un tehniskajam atbalstam es savācu servera žurnālus, lai viņi varētu diagnosticēt problēmu. Pakalpojums Event Viewer ir atbildīgs par žurnālu apkopošanu un ierakstīšanu sistēmā Windows. Event Viewer ir ērts rīks sistēmas žurnālu iegūšanai.
Kā atvērt notikumu skatītājā
Notikumu skatītāja papildprogrammu var atvērt ļoti vienkārši, kas ir piemērota jebkurai Windows versijai. Nospiediet burvju pogas
Win+R un ievadiet eventvwr.msc
Tiks atvērts Windows notikumu skatītāja logs, kurā jāizvērš Windows žurnālu vienums. Pārskatīsim katru no žurnāliem.
Žurnāla lietojumprogramma satur ierakstus, kas saistīti ar programmām jūsu datorā. Žurnāls tiek rakstīts programmas palaišanas laikā, ja tas tika palaists ar kļūdu, tas tiks atspoguļots arī šeit.
Audita žurnāls ir nepieciešams, lai saprastu, kurš ko un kad izdarīja. Piemēram, pieteicies vai atteicies, mēģinājis piekļūt. Šeit ir rakstīti visi panākumu vai neveiksmju auditi.
Instalēšanas vienums ieraksta Windows žurnālus par to, kas tika instalēts un kad, piemēram, programmas vai atjauninājumi.
Vissvarīgākais žurnāls ir sistēma. Šeit ir pierakstītas visas nepieciešamākās un svarīgākās lietas. Piemēram, jums bija zilā ekrāna bsod, un šie šeit ierakstītie ziņojumi palīdzēs noteikt tā cēloni.
Ir arī Windows žurnāli konkrētākiem pakalpojumiem, piemēram, DHCP vai DNS. Event Viewer sagriež visu :).
Pieņemsim, ka drošības žurnālā ir vairāk nekā miljons notikumu, jūs, iespējams, uzreiz uzdosit jautājumu, vai ir filtrēšana, jo to visu skatīšana ir mazohisms. Tas ir paredzēts notikumu skatītājā, logu žurnālus var ērti izfiltrēt, atstājot tikai nepieciešamo. Labajā pusē darbību apgabalā ir poga Filtrēt pašreizējo žurnālu.
Jums tiks lūgts norādīt notikuma līmeni:
- Kritisks
- Kļūda
- Brīdinājums
- Intelekts
- Sīkāka informācija
Tas viss ir atkarīgs no meklēšanas uzdevuma; ja meklējat kļūdas, tad cita veida ziņojumiem nav jēgas. Tālāk, lai sašaurinātu notikumu skatīšanas meklēšanas jomu, varat norādīt vēlamo notikuma avotu un kodu.
Tātad, kā redzat, Windows žurnālu parsēšana ir ļoti vienkārša, mēs meklējam, atrodam, risinām. Var būt noderīga arī ātra Windows žurnālu dzēšana:
Skatiet Windows PowerShell žurnālus
Būtu dīvaini, ja PowerShell to nevarētu izdarīt; lai parādītu žurnālfailus, atveriet PowerShell un ievadiet šādu komandu
Get-EventLog - pieteikumvārds "Sistēma"
Rezultātā jūs saņemsit sistēmas žurnālu sarakstu
To pašu var izdarīt ar citiem žurnāliem, piemēram, Programmas
Get-EventLog — pieteikumvārds "Lietojumprogramma"
neliels saīsinājumu saraksts
- Pasākuma kods - EventID
- Dators — MachineName
- Notikuma kārtas numurs - Dati, Indekss
- Uzdevumu kategorija - Kategorija
- Kategorijas kods - CategoryNumber
- Līmenis — ieraksta veids
- Notikuma ziņojums - Ziņa
- Avots - Avots
- Notikuma ģenerēšanas datums — ReplacementString, InstanceID, TimeGenerated
- Pasākuma ierakstīšanas datums - TimeWritten
- Lietotājs — lietotājvārds
- Tīmekļa vietne
- Nodaļa – konteiners
Veicot sāknēšanas analīzi, dažreiz ir ļoti svarīgi iegūt pilnu ielādēto un neielādēto draiveru un bibliotēku sarakstu. Šiem nolūkiem nav nepieciešams izmantot īpašas utilītas, lejupielādējamo programmatūras komponentu sarakstu var iegūt, izmantojot pašu operētājsistēmu. Saraksts ir parasts teksta fails ntbtlog.txt, kas saglabāts Windows saknes sistēmas mapē.
Ir divi veidi, kā izveidot Windows sāknēšanas žurnālu. Vispirms vienkāršākais. Nospiediet Win + R, lai atvērtu palaišanas dialoglodziņu un palaistu tajā komandu msconfig. Atvērtajā sistēmas konfigurācijas logā pārejiet uz cilni “Lejupielādēt” un atzīmējiet izvēles rūtiņu “Lejupielādes žurnāls”. Tagad noklikšķiniet uz "Lietot" un "Labi".
Parādīsies logs ar aicinājumu restartēt datoru. Mēs piekrītam, mēs restartējam,
Pēc tam dodieties uz vietu C:/Windows, atrodiet tur teksta failu ntbtlog
un atveriet to ar Notepad vai citu redaktoru.
Otrā metode ir nedaudz sarežģītāka. Palaidiet komandu uzvedni kā administrators un palaidiet komandu bcdedit. Konsolē tiks parādīts visu jūsu operētājsistēmu saraksts un to sāknēšanas ieraksti. Mums ir instalēta tikai viena Windows 10, tāpēc būs divi saraksta vienumi - sāknēšanas pārvaldnieks un Windows sāknēšana. Mums ir nepieciešams otrs ieraksts, proti, tā identifikators ar vērtību (pašreizējais).
Uzreiz komandrindā palaidiet šādu komandu:
bcdedit /set (ID) sāknēšanas žurnāls Jā
Aizstāt identifikatoru ar tā vērtību. Mūsu piemērā tas ir aktuāls (skatiet ekrānuzņēmumu). Tagad restartējiet. Tāpat kā iepriekšējā gadījumā, lejupielādes žurnāls tiks izveidots mapē Windows. Kā no žurnāla satura saprast, vai draiveris ir ielādēts vai nav? Ļoti vienkārši. Ieraksts BOOTLOG_LOADED norāda, ka draiveris ir ielādēts, bet ieraksts BOOTLOG_NOT_LOADED norāda, ka draiveris tika izlaists operētājsistēmas startēšanas laikā.
Viena no daudzajām izmaiņām operētājsistēmā Windows 10 ir atjauninājumu žurnālu saglabāšana ETL failos, kurus var nolasīt tikai, izmantojot īpašas utilītas. Iepriekšējās sistēmas versijās žurnāli tika ierakstīti parastā teksta failā, taču, tā kā sistēmā pastāvīgi darbojās atjaunināšanas pakalpojums, dati tika regulāri pārrakstīti, kas radīja papildu nevēlamu slodzi diskā.Izmantojot ETL žurnāla formātu, tika samazināta cietā diska slodze, bet žurnālu lasīšana kļuva mazāk ērta administratoriem. Microsoft apzinās šo problēmu, tāpēc izstrādātāji ir ieviesuši iespēju pārveidot atjauninājumu žurnālfailus cilvēkiem lasāmā formātā. Turklāt žurnālus var skatīt, izmantojot iebūvēto Windows notikumu žurnālu. Apskatīsim abas iespējas nedaudz sīkāk.
Palaidiet PowerShell konsoli un palaidiet komandu Get-WindowsUpdateLog.
Tūlīt tiks sākta datu lasīšana un konvertēšana,
Pēc procedūras pabeigšanas jūsu darbvirsmā būs WindowsUpdate.log fails, kuru varēsit atvērt ar parasto Notepad vai jebkuru citu teksta redaktoru. Tagad jūs varat droši izpētīt žurnālu pats vai nosūtīt to pieredzējušākiem lietotājiem.
Otrā metode ir tikpat vienkārša. Izsauciet pogas Sākt konteksta izvēlni (Win + X) un atlasiet no tās “Notikumu skatītājs”.
Atvērtajā žurnālā sekojiet ķēdei Lietojumprogrammu un pakalpojumu žurnāli → Microsoft → Windows → WindowsUpdateClient → Darbības. Šajā gadījumā žurnāla centrālajā kolonnā jūs saņemsiet sakārtotu notikumu sarakstu, kas saistīti ar atjaunināšanas funkcijas darbību.
Jūs varat apskatīt interesējošo ierakstu saturu tieši standarta Windows lietojumprogrammā, bet varat arī saglabāt tos EVTX, TXT, CSV un XML failos vēlākai izpētei vai nosūtīšanai tīklā.
