Лекция: Журналы событий
В операционной системе Windows 7 журналы делятся на две категории:
Журналы Windows
Журналы приложений и служб
В журналы Windows попадает информация связанная только с операционной системой. В журналы приложений и служб соответственно о всех службах и отдельно-установленных приложениях.
Все журналы располагаются по адресу
%SystemRoot%\System32\Winevt\Logs\ = C:\Windows\System32\winevt\Logs\
Рассмотрим основные из них
Приложение — записываются события о утилитах которые устанавливаются с операционной системой
Безопасность — записываются события о входе и выходе из Windows и фиксирование доступа к ресурсам. То есть, если пользователь не туда полез это скорее всего запишется в событии
Установка — записываются события о установке и удалении компонентов Windows. У меня этот журнал пуст наверное потому что не изменял никаких компонентов системы
Система — записываются системные события. Например сетевые оповещения или сообщения обновления антивируса Microsoft Antimalware
Перенаправленные события — записываются события перенаправленные с других компьютеров. То есть на одном компьютере администратора сети можно отслеживать события о других компьютерах в сети если сделать перенаправление
ACEEventLog — эта служба появилась сегодня после обновления драйверов от AMD. До этого момента ее не было. Если у вас компьютер на базе процессора AMD или укомплектован видеокартой AMD, то скорее всего у вас она также будет
Internet Explorer — записываются все события связанные со встроенным браузером в Windows
Key Management Service — записываются события службы управления ключами. Разработана для управления активациями корпоративных версий операционных систем. Журнал пуст так как на домашнем компьютера можно обойтись без нее.
Media Center, Windows PowerShell и События оборудования — эти три журнала у меня пусты. Соответственно если в системе возникают какие-либо события относящиеся к этим компонентам они будут записаны. Журнал События оборудования необходимо как-то включить (кто знает просьба поделиться в комментариях).
У журналов так же есть свои Свойства. Что бы их посмотреть жмем правой кнопкой мышки на журнале и в контекстном меню выбираем Свойства
В открывшихся свойствах вы видите Полное имя журнала, Путь к файлу журнала его размер и даты создания, изменения и когда он был открыт
Так же установлена галочка Включить ведение журнала. Она не активна и убрать ее не получится. Посмотрел эту опцию в свойствах других журналов, там она так же включена и неактивна. Для журнала События оборудования она точно в таком же положении и журнал не ведется.
В свойствах можно задать Максимальный размер журнала (КБ) и выбрать действие при достижения максимального размера. Для серверов и других важных рабочих станций скорее всего делают размер журналов по больше и выбирают Архивировать журнал при заполнении, что бы можно было в случае нештатной ситуации отследить когда началась неисправность.