În linia sistemului de operare Windows, toate evenimentele majore care apar în sistem sunt înregistrate și apoi înregistrate în jurnal. Sunt înregistrate erori, avertismente și doar diverse notificări. Pe baza acestor înregistrări, un utilizator experimentat poate corecta funcționarea sistemului și poate elimina erorile. Să învățăm cum să deschidem jurnalul de evenimente în Windows 7.
Jurnalul de evenimente este stocat într-un instrument de sistem numit "Vizualizator de eveniment". Să vedem cum poți ajunge acolo folosind diferite metode.
Metoda 1: „Panou de control”
Una dintre cele mai comune moduri de a lansa instrumentul descris în acest articol, deși departe de a fi cel mai simplu și mai convenabil, se face folosind „Panouri de control”.
Metoda 2: Rulați instrumentul
Este mult mai ușor să inițiezi activarea instrumentului descris folosind instrumentul "Alerga".
Dezavantajul de bază al acestei metode rapide și convenabile este necesitatea de a vă aminti comanda de a apela fereastra în minte.
Metoda 3: Caseta de căutare meniul Start
O metodă foarte similară de apelare a instrumentului pe care îl studiem este efectuată folosind câmpul de căutare din meniu "Start".
Metoda 4: „Linia de comandă”
Apelarea instrumentului prin "Linie de comanda" destul de incomod, dar o astfel de metodă există și, prin urmare, merită menționată în mod special. Mai întâi trebuie să sunăm la fereastră "Linie de comanda".
Metoda 5: Porniți direct fișierul eventvwr.exe
Puteți utiliza o astfel de opțiune „exotică” pentru rezolvarea problemei, cum ar fi pornirea directă a unui fișier din "Conductor". Cu toate acestea, această metodă poate fi utilă în practică, de exemplu, dacă eșecurile au atins o asemenea amploare încât alte opțiuni pentru lansarea instrumentului pur și simplu nu sunt disponibile. Acest lucru se întâmplă extrem de rar, dar este foarte posibil.
În primul rând, trebuie să mergeți la locația fișierului eventvwr.exe. Se află în directorul de sistem la această cale:
C:\Windows\System32
Metoda 6: Introducerea căii fișierului în bara de adrese
Cu ajutor "Conductor" putem lansa mai repede fereastra care ne interesează. În acest caz, nici măcar nu trebuie să căutați eventvwr.exe în director „Sistem32”. Pentru a face acest lucru, în câmpul de adresă "Conductor" trebuie doar să specificați calea către acest fișier.
Metoda 7: Creați o comandă rapidă
Dacă nu doriți să vă amintiți diferite comenzi sau salturi de secțiune „Panouri de control” Dacă îl considerați prea incomod, dar în același timp folosiți des revista, atunci în acest caz puteți crea o pictogramă pe „Desktop” sau într-un alt loc convenabil pentru tine. După aceasta, lansați instrumentul "Vizualizator de eveniment" se va desfășura cât mai simplu și fără a fi nevoie să ne amintim nimic.
Probleme la deschiderea revistei
Există cazuri când apar probleme la deschiderea unui jurnal folosind metodele descrise mai sus. Cel mai adesea acest lucru se întâmplă deoarece serviciul responsabil de funcționarea acestui instrument este dezactivat. Când încercați să rulați instrumentul "Vizualizator de eveniment" Apare un mesaj care indică faptul că serviciul Jurnal de evenimente nu este disponibil. Apoi trebuie să-l activați.
- În primul rând, trebuie să mergi la "Manager de servicii". Acest lucru se poate face din secțiune „Panouri de control” Care e numit "Administrare". Cum să intrați în el a fost descris în detaliu atunci când luați în considerare Metoda 1. Odată ajuns în această secțiune, căutați articolul "Servicii". Apasa pe el.
ÎN "Manager de servicii" puteți merge folosind instrumentul "Alerga". Sună-l tastând Win+R. Introduceți în zona de introducere:
Clic "BINE".
- Indiferent dacă ai făcut tranziția "Panou de control" sau a folosit intrarea comenzii în câmpul de instrumente "Alerga", începe "Manager de servicii". Căutați un element în listă „Jurnal de evenimente Windows”. Pentru a vă ușura căutarea, puteți aranja toate obiectele din listă în ordine alfabetică făcând clic pe numele câmpului "Nume". Odată ce rândul dorit este găsit, priviți valoarea corespunzătoare din coloană "Stat". Dacă serviciul este activat, atunci ar trebui să existe o inscripție "Lucrări". Dacă este gol, înseamnă că serviciul este dezactivat. Uită-te și la valoarea din coloană „Tipul de pornire”. În stare normală ar trebui să existe o inscripție acolo "Automat". Dacă există o valoare "Dezactivat", aceasta înseamnă că serviciul nu este activat la pornirea sistemului.
- Pentru a remedia acest lucru, accesați proprietățile serviciului făcând dublu clic pe nume LMB.
- Se deschide o fereastră. Faceți clic pe zonă „Tipul de pornire”.
- Selectați din lista derulantă "Automat".
- Faceți clic pe inscripții "Aplica"Și "BINE".
- Revenind la "Manager de servicii", marcă „Jurnal de evenimente Windows”. În zona din stânga a carcasei, faceți clic pe inscripție "Alerga".
- Serviciul a început. Acum, în câmpul de coloană corespunzător "Stat" va fi afișată valoarea "Lucrări", și în câmpul coloanei „Tipul de pornire” va apărea inscripţia "Automat". Acum revista poate fi deschisă în oricare dintre modurile pe care le-am descris mai sus.
Există destul de multe opțiuni pentru a activa jurnalul de evenimente în Windows 7. Desigur, cele mai convenabile și populare metode sunt să parcurgeți „Bara de instrumente”, activare folosind instrumentul "Alerga" sau câmpurile de căutare din meniu "Start". Pentru acces ușor la funcția descrisă, puteți crea o pictogramă „Desktop”. Uneori apar probleme la pornirea ferestrei "Vizualizator de eveniment". Apoi trebuie să verificați dacă serviciul corespunzător este activat.
Administratorii de sistem și utilizatorii obișnuiți de Linux trebuie adesea să se uite la fișierele jurnal pentru a depana problemele. De fapt, acesta este primul lucru pe care ar trebui să-l facă orice administrator de sistem atunci când apare orice eroare în sistem.
Sistemul de operare Linux însuși și aplicațiile care rulează generează diferite tipuri de mesaje care sunt înregistrate în diferite fișiere jurnal. Linux folosește software special, fișiere și directoare pentru a stoca fișiere jurnal. Cunoașterea ce fișiere conțin jurnalele pentru care programe vă va ajuta să economisiți timp și să rezolvați problema mai rapid.
În acest articol ne vom uita la principalele părți ale sistemului de logare Linux, fișierele jurnal, precum și utilitățile cu care puteți vizualiza jurnalele Linux.
Majoritatea fișierelor jurnal Linux sunt situate în folderul /var/log/. Puteți lista fișierele jurnal pentru sistemul dvs. folosind comanda ls:
Rw-r--r-- 1 rădăcină rădăcină 52198 10 mai 11:03 alternatives.log
drwxr-x--- 2 root root 4096 14 noiembrie 15:07 apache2
drwxr-xr-x 2 root root 4096 Apr 25 12:31 apparmor
drwx------ 2 root root 4096 5 mai 10:15 audit
-rw-r--r-- 1 root root 33100 10 mai 10:33 boot.log
Mai jos ne vom uita la 20 de fișiere jurnal Linux diferite situate în directorul /var/log/. Unele dintre aceste jurnale se găsesc doar pe anumite distribuții, de exemplu dpkg.log se găsește numai pe sistemele bazate pe Debian.
/var/log/messages- conține jurnalele globale ale sistemului Linux, inclusiv cele care sunt înregistrate la pornirea sistemului. În acest jurnal sunt înregistrate mai multe tipuri de mesaje: mail, cron, diverse servicii, kernel, autentificare și altele.
/var/log/dmesg- conține mesaje primite de la kernel. Înregistrează multe mesaje în timpul fazei de pornire, ele afișează informații despre dispozitivele hardware care sunt inițializate în timpul procesului de pornire. Puteți spune că acesta este un alt jurnal al sistemului Linux. Numărul de mesaje din jurnal este limitat, iar când fișierul este plin, cu fiecare mesaj nou, cele vechi vor fi suprascrise. De asemenea, puteți vizualiza mesajele din acest jurnal folosind comanda dmseg.
/var/log/auth.log- conține informații despre autorizarea utilizatorului în sistem, inclusiv autentificarea utilizatorului și mecanismele de autentificare care au fost utilizate.
/var/log/boot.log- Conține informații care sunt înregistrate la pornirea sistemului.
/var/log/daemon.log- Include mesaje de la diverși daemoni de fundal
/var/log/kern.log- Conține și mesaje din nucleu, utile în depanarea erorilor din modulele personalizate încorporate în nucleu.
/var/log/lastlog- Afișează informații despre ultima sesiune a tuturor utilizatorilor. Acesta este un fișier non-text și trebuie să utilizați comanda lastlog pentru a-l vizualiza.
/var/log/maillog /var/log/mail.log- jurnalele serverului de e-mail care rulează pe sistem.
/var/log/user.log- Informații din toate jurnalele la nivel de utilizator.
/var/log/Xorg.x.log- Jurnalul mesajelor X server.
/var/log/alternatives.log- Informații despre funcționarea programului de actualizare-alternative. Acestea sunt legături simbolice către comenzi sau biblioteci implicite.
/var/log/btmp- Fișierul jurnal Linux conține informații despre încercările eșuate de conectare. Pentru a vizualiza fișierul, este convenabil să folosiți comanda last -f /var/log/btmp
/var/log/cups- Toate mesajele legate de imprimare și imprimante.
/var/log/anaconda.log- toate mesajele înregistrate în timpul instalării sunt salvate în acest fișier
/var/log/yum.log- Înregistrează toate informațiile despre instalarea pachetelor folosind Yum.
/var/log/cron- Ori de câte ori demonul Cron începe să execute un program, acesta scrie un raport și mesaje de la programul însuși în acest fișier.
/var/log/secure- conține informații legate de autentificare și autorizare. De exemplu, SSHd înregistrează totul aici, inclusiv încercările eșuate de conectare.
/var/log/wtmp sau /var/log/utmp - Jurnalele sistemului Linux , conțin un jurnal al autentificărilor utilizatorilor. Folosind comanda wtmp puteți afla cine este conectat și când.
/var/log/faillog- Jurnal de sistem Linux, conține încercări de conectare nereușite. Utilizați comanda faillog pentru a afișa conținutul acestui fișier.
/var/log/mysqld.log- Fișiere jurnal Linux de pe serverul de baze de date MySQL.
/var/log/httpd/ sau /var/log/apache2- fișiere jurnal ale serverului web linux11 Apache. Jurnalele de acces sunt în fișierul access_log, iar jurnalele de erori sunt în error_log
/var/log/lighttpd/- Jurnalele Linux ale serverului web lighttpd
/var/log/conman/- Fișiere jurnal ale clientului ConMan,
/var/log/mail/- acest director conține jurnale suplimentare ale serverului de e-mail
/var/log/prelink/- Programul Prelink conectează biblioteci și executabile pentru a accelera procesul de încărcare. /var/log/prelink/prelink.log conține informații despre fișierele .so care au fost modificate de program.
/var/log/audit/- Conține informații generate de demonul auditd.
/var/log/setroubleshoot/ - SE Linux folosește demonul setroubleshootd (SE Trouble Shoot Daemon) pentru a raporta problemele de securitate. Acest jurnal conține mesaje de la acest program.
/var/log/samba/- conține informații și jurnale de la serverul de fișiere Samba, care este folosit pentru a se conecta la partajări Windows.
/var/log/sa/- Conține fișiere .cap colectate de pachetul Sysstat.
/var/log/sssd/- Folosit de demonul de securitate al sistemului, care gestionează accesul la directorul de la distanță și mecanismele de autentificare.
Vizualizarea jurnalelor în Linux
Pentru a vizualiza jurnalele pe Linux, este convenabil să utilizați mai multe utilitare de linie de comandă Linux. Acesta poate fi orice editor de text sau un utilitar special. Cel mai probabil, veți avea nevoie de drepturi de superutilizator pentru a vedea jurnalele în Linux. Iată comenzile care sunt cele mai des folosite în aceste scopuri:
- zgrep
- zmore
Nu voi intra în detaliu despre fiecare dintre aceste comenzi, deoarece majoritatea dintre ele au fost deja discutate în detaliu pe site-ul nostru. Dar voi da câteva exemple. Vizualizarea jurnalelor Linux este foarte simplă:
Ne uităm la jurnalul /var/log/messages, cu posibilitatea de a derula:
mai puțin /var/log/messages
Vizualizați jurnalele Linux în timp real:
coada -f /var/log/messages
Deschideți fișierul jurnal dmesg:
cat /var/log/dmesg
Primele rânduri din dmesg:
head /var/log/dmesg
Producem erori numai din /var/log/messages:
grep -i eroare /var/log/messages
În plus, puteți vizualiza jurnalele pe Linux folosind utilitare grafice. System Log Viewer poate fi utilizat pentru a vizualiza și monitoriza cu ușurință jurnalele de sistem pe un laptop Linux sau un computer personal.
Puteți instala programul pe orice sistem cu un server X instalat. De asemenea, orice editor grafic de testare poate fi folosit pentru a vizualiza jurnalele.
concluzii
În directorul /var/log puteți găsi toate informațiile necesare despre funcționarea Linux. Din articolul de astăzi ați învățat destule cât să știți unde să căutați și ce să căutați. Acum vizualizarea jurnalelor în Linux nu vă va cauza probleme. Dacă aveți întrebări, întrebați în comentarii!
Salutare tuturor, subiectul este cum să vizualizați jurnalele Windows. Cred că toată lumea știe ce sunt jurnalele, dar dacă dintr-o dată ești începător, atunci jurnalele sunt evenimente de sistem care apar atât în sistemul de operare Windows, cât și în Linux, care ajută la urmărirea ce, unde și când s-a întâmplat și cine a făcut-o. Orice administrator de sistem trebuie să poată citi jurnalele Windows.
Un exemplu din viața reală este situația în care un disc s-a defectat pe unul dintre serverele IBM și pentru suport tehnic am colectat jurnalele de server pentru a putea diagnostica problema. Serviciul Event Viewer este responsabil pentru colectarea și înregistrarea jurnalelor în Windows. Event Viewer este un instrument convenabil pentru obținerea jurnalelor de sistem.
Cum se deschide în Vizualizatorul de evenimente
Puteți accesa modulul de completare Event Viewer foarte simplu, potrivit pentru orice versiune de Windows. Apăsați butoanele magice
Win+R și introduceți eventvwr.msc
Se va deschide o fereastră Windows Event Viewer în care trebuie să extindeți elementul Windows Logs. Să trecem prin fiecare dintre reviste.
Aplicația Log conține înregistrări legate de programele de pe computer. Jurnalul este scris când programul a fost lansat, dacă a fost lansat cu o eroare, atunci acest lucru se va reflecta și aici.
Este necesar un jurnal de audit pentru a înțelege cine a făcut ce și când. De exemplu, autentificat sau deconectat, a încercat să obțină acces. Toate auditurile de succes sau eșec sunt scrise aici.
Elementul Instalare înregistrează jurnalele Windows despre ce a fost instalat și când, de exemplu, programe sau actualizări.
Cea mai importantă revistă este sistemul. Toate cele mai necesare și importante lucruri sunt scrise aici. De exemplu, ați avut un ecran albastru, iar aceste mesaje care sunt înregistrate aici vă vor ajuta să determinați cauza.
Există, de asemenea, jurnalele Windows pentru servicii mai specifice, cum ar fi DHCP sau DNS. Event Viewer reduce totul :).
Să presupunem că aveți mai mult de un milion de evenimente în jurnalul de securitate, probabil că veți pune imediat întrebarea dacă există filtrare, deoarece vizualizarea tuturor este masochism. Event Viewer a luat în considerare acest lucru; jurnalele Windows pot fi filtrate în mod convenabil, lăsând doar ceea ce este necesar. În partea dreaptă, în zona Acțiuni, există un buton Filtrați jurnalul curent.
Vi se va cere să specificați nivelul evenimentului:
- Critic
- Eroare
- Avertizare
- Inteligența
- Detalii
Totul depinde de sarcina de căutare dacă căutați erori, atunci nu are rost în alte tipuri de mesaje. Apoi, pentru a restrânge domeniul de aplicare al căutării pentru vizualizarea evenimentelor, puteți specifica sursa și codul evenimentului dorit.
Deci, după cum puteți vedea, analiza jurnalelor Windows este foarte simplă, căutăm, găsim, rezolvăm. O ștergere rapidă a jurnalelor Windows poate fi, de asemenea, utilă:
Vizualizați jurnalele Windows PowerShell
Ar fi ciudat dacă PowerShell nu ar putea face acest lucru pentru a afișa fișierele de jurnal, deschideți PowerShell și introduceți următoarea comandă
Get-EventLog -Logname „Sistem”
Ca rezultat, veți primi o listă de jurnalele de sistem
Același lucru se poate face și pentru alte reviste, de exemplu Aplicații
Get-EventLog -Logname „Aplicație”
mică listă de abrevieri
- Cod eveniment - EventID
- Computer - MachineName
- Numărul secvenței evenimentului - Date, Index
- Categoria sarcinilor - Categorie
- Cod categorie - CategoryNumber
- Nivel - EntryType
- Mesaj eveniment - Mesaj
- Sursă - Sursă
- Data generării evenimentului - ReplacementString, InstanceID, TimeGenerated
- Data înregistrării evenimentului - TimeWritten
- Utilizator - Nume de utilizator
- Site-ul web
- Divizia - Container
Când efectuați analiza de pornire, uneori este foarte important să obțineți o listă completă de drivere și biblioteci încărcate și neîncărcate. Nu este necesar să folosiți utilități speciale în aceste scopuri, puteți obține o listă de componente software descărcabile folosind sistemul de operare în sine. Lista este un fișier text obișnuit ntbtlog.txt, salvat în folderul sistemului rădăcină Windows.
Există două moduri de a crea un jurnal de pornire Windows. Cel mai simplu mai întâi. Apăsați pe Win + R pentru a deschide caseta de dialog de lansare și a rula comanda msconfig în ea. În fereastra de configurare a sistemului care se deschide, comutați la fila „Descărcare” și bifați caseta de selectare „Descărcare jurnal”. Acum faceți clic pe „Aplicați” și „OK”.
Va apărea o fereastră care vă va cere să reporniți computerul. Suntem de acord, repornim,
Apoi mergeți la locația C:/Windows, găsiți acolo fișierul text ntbtlog
și deschideți-l cu Notepad sau alt editor.
A doua metodă este puțin mai complicată. Lansați un prompt de comandă ca administrator și rulați comanda bcdedit. În consolă va apărea o listă cu toate sistemele dvs. de operare și intrările lor de pornire. Avem instalat un singur Windows 10, deci vor fi două elemente din listă - managerul de pornire și pornirea Windows. Avem nevoie de o a doua înregistrare, și anume identificatorul acesteia cu valoarea (actuală).
Imediat pe linia de comandă, rulați o comandă ca aceasta:
bcdedit /set (Id) bootlog Da
Înlocuiți identificatorul cu valoarea acestuia. În exemplul nostru, acesta este actual (vezi captura de ecran). Acum reporniți. Ca și în cazul precedent, jurnalul de descărcare va fi creat în folderul Windows. Cum să înțelegeți din conținutul jurnalului dacă driverul a fost încărcat sau nu? Foarte simplu. Intrarea BOOTLOG_LOADED indică faptul că driverul a fost încărcat, intrarea BOOTLOG_NOT_LOADED va indica că driverul a fost omis în timpul pornirii sistemului de operare.
Una dintre numeroasele modificări din Windows 10 este salvarea jurnalelor de actualizare în fișierele ETL, care pot fi citite doar folosind utilități speciale. În versiunile anterioare ale sistemului, jurnalele erau scrise într-un fișier text obișnuit, dar, deoarece serviciul de actualizare era activ în mod constant în sistem, datele au fost suprascrise în mod regulat, ceea ce a creat încărcare suplimentară nedorită pe disc.Utilizarea formatului de jurnal ETL a redus încărcarea pe hard disk, dar a făcut citirea jurnalelor mai puțin convenabilă pentru administratori. Microsoft este conștient de această problemă, așa că dezvoltatorii au implementat capacitatea de a converti fișierele jurnal de actualizare într-un format care poate fi citit de om. În plus, jurnalele pot fi vizualizate utilizând jurnalul de evenimente Windows încorporat. Să ne uităm puțin mai detaliat la ambele opțiuni.
Lansați consola PowerShell și executați comanda Get-WindowsUpdateLog.
Citirea și conversia datelor vor începe imediat,
După finalizarea procedurii, veți avea un fișier WindowsUpdate.log pe desktop, pe care îl puteți deschide cu Notepad obișnuit sau orice alt editor de text. Acum puteți studia singur jurnalul în siguranță sau îl puteți trimite utilizatorilor mai experimentați.
A doua metodă este la fel de simplă. Apelați meniul contextual al butonului Start (Win + X) și selectați „Event Viewer” din acesta.
În jurnalul care se deschide, urmați lanțul Jurnale de aplicații și servicii → Microsoft → Windows → WindowsUpdateClient → Operațional. În acest caz, în coloana centrală a Jurnalului veți primi o listă sortată de evenimente legate de funcționarea funcției de actualizare.
Puteți vizualiza conținutul înregistrărilor care vă interesează direct în aplicația standard Windows, dar le puteți salva și în fișiere EVTX, TXT, CSV și XML pentru a le studia ulterior sau a le trimite prin rețea.
