Лабораторная работа 17. Оснастка Просмотр событий
Цель лабораторной работы: Освоить технологию .
Общие сведения
В операционной системе Windows событием называется любое значительное «происшествие» в работе системы или приложения, о котором следует уведомить пользователей. В случае возникновения критических событий, таких как переполнение жесткого диска или неполадки с электропитанием, на экран монитора будет выведено соответствующее сообщение. Остальные события, которые не требуют немедленных действий от пользователя, регистрируются в системных журналах. Служба регистрации событий в системных журналах активизируется автоматически при каждом запуске системы Windows.
Окно оснастки
В системе Windows для просмотра системных журналов можно использовать оснастку Просмотр событий (группа Администрирование (Administrative Tools) на панели управления). Эту оснастку можно также запустить из окна оснастки Управление компьютером (Computer Management). На рис. 8.1 показан пример окна оснастки Просмотр событий (Event Viewer).
Рис. 8.1. Окно оснастки Просмотр событий (Event Viewer)
Примечание Оснастку Просмотр событий можно также открыть с помощью команды Пуск | Программы | Администрирование | Просмотр событий (Start | Programs | Administrative Tools | Event Viewer).
С помощью оснастки Просмотр событий можно просматривать три типа стандартных (основных) журналов:
Журнал приложений (Application log) — фиксирует события, зарегистрированные приложениями. Например, текстовый редактор может зарегистрировать в данном журнале ошибку при открытии файла.
Журнал системы (System log) — записывает события, которые регистрируются системными компонентами Windows. Например, в системный журнал записываются такие события, как сбой в процессе загрузки драйвера или другого системного компонента при запуске системы.
Журнал безопасности (Security log) — содержит записи, связанные с системой безопасности. С помощью этого журнала можно отслеживать изменения в системе безопасности и идентифицировать бреши в защите. В данном журнале можно регистрировать попытки входа в систему. Для просмотра журнала необходимо иметь права администратора. По умолчанию регистрация событий в журнале безопасности отключена.
Примечание Журнал системы безопасности может просматривать только пользователь с правами системного администратора. По умолчанию регистрация событий в данном журнале отключена. Для запуска регистрации необходимо установить политику аудита.
Типы событий
В журналах регистрируются следующие типы событий:
Ошибка (Error) — событие регистрируется в случае возникновения серьезного события (такого как потеря данных или функциональных возможностей). Событие данного типа будет зарегистрировано, если невозможно загрузить какой-либо из сервисов в ходе запуска системы.
Предупреждение (Warning) — событие не является серьезным, но может привести к возникновению проблем в будущем. Например, если недостаточно дискового пространства, то будет зарегистрировано предупреждение.
Уведомление (Information) — значимое событие, которое свидетельствует об успешном завершении операции приложением, драйвером или сервисом. Такое событие может, например, зарегистрировать успешно загрузившийся сетевой драйвер.
Аудит успехов (Success Audit) — событие, связанное с безопасностью системы. Примером такого события является успешная попытка регистрации пользователя в системе.
Аудит отказов (Failure Audit) — событие связано с безопасностью системы. Например, такое событие будет зарегистрировано, если попытка доступа пользователя к сетевому диску закончилась неудачей.