Типы событий

В журналах регистрируются перечисленные ниже типы событий.

 Ошибка (Error) — событие регистрируется в случае возникновения серьезного события (такого как потеря данных или функциональных возмож-

ностей). Событие данного типа будет зарегистрировано, если невозможно загрузить какой-либо из сервисов в ходе запуска системы.

 Предупреждение (Warning) — событие не является серьезным, но может привести к возникновению проблем в будущем. Например, если недостаточно дискового пространства, то в журнал будет занесено предупреждение.

Сведения (Information) — значимое событие, которое свидетельствует об успешном завершении операции приложением, драйвером или сервисом. Такое событие может, например, зарегистрировать успешно загрузившийся сетевой драйвер.

Аудит успеха (Audit Success) — событие, соответствующее успешно завершенному действию, относящемуся к безопасности системы. Примером такого события является успешная попытка входа пользователя в систему.

Аудит отказа (Audit Failure) — событие, соответствующее неудачно за

вершенному действию, относящемуся к безопасности системы. Например, такое событие будет зарегистрировано, если попытка доступа пользователем к сетевому диску закончилась неудачей.

Просмотр журналов и параметров событий

Оснастка Просмотр событий (Event Viewer) в системах Windows 7 позволяет просматривать журналы и сразу видеть все сведения о событии в окне, располагающемся ниже списка событий (см. рис. 14.16). Справа, на панели Действия (Actions), перечислены операции, которые можно выполнять с выбранным журналом и указанным событием (например, сохра-

нять журнал, фильтровать события, создавать виды просмотра, привязывать

задачу к указанному событию и т. д.).

Можно, наоборот, сделать список событий максимально видимым для удобства поиска событий, а дополнительную информацию о них просматривать в отдельном окне, по мере необходимости. Для этого в подменю Вид (View) на панели Действия (Actions) нужно сбросить флажок и отключить область просмотра. Окно свойств событий в этом случае будет открываться после двойного щелчка на записи в журнале или при выборе соответствующей задачи на панели Действия (Actions). На вкладке Общие (General) видны все параметры события, а на панели Подробности (Details) приведена детальная информация о событии. Стрелки перемещения вверх и вниз позволяют просматривать записи в журнале, не закрывая окна свойств событий.

В подменю Вид (View) на панели Действия (Actions) имеется множество команд для управления способом просмотра списка событий. Набор отображаемых столбцов можно расширять и модифицировать, все события можно сортировать и группировать по различным параметрам. Например, можно сгруппировать события по уровню (степени серьезности) — тогда в начале списка будут отображаться ошибки, затем предупреждения, а ниже — сведения.

Фильтрация событий

В системных журналах регистрируется громадное количество событий, и не все они могут быть одинаково важны для администратора. Для выбора нужных событий следует пользоваться фильтрами журналов, которые называются настраиваемыми представлениями (custom view).

Для создания представления требуется выбрать нужный журнал событий и в контекстном меню выбрать команду Создать настраиваемое представление (Create Custom View) или Фильтр текущего журнала (Filter Current Log). (Эти команды похожи по сути, отличие лишь в том, что первая команда позволяет сохранить представление журнала (нескольких журналов) в виде нового журнала, а вторая просто ограничивает число событий, просматриваемых в конкретном журнале событий.) В окне свойств представления следует указать характеристики событий, которые представляют интерес и будут отображаться в новом представлении или фильтре.

Типичной ситуацией, когда использование настраиваемого представления для журнала Безопасность (Security) просто необходимо, является задача аудита доступа к файлам и папкам жесткого диска. При включении аудита генерируется очень много системных событий, не представляющих непосредственного интереса для данной задачи. Поэтому можно (нужно) выбрать только те отражают операции события, которые изменения файла или папки.

На рисунке ниже показан пример фильтра, позволяющего упростить эту задачу.

Как можно видеть, из журнала Безопасность (Security) выбраны только события, связанные с аудитом (источник — Microsoft Windows security auditing). (Дату просмотра можно изменить, и просматривать только события, произошедшие за последний час, 12 часов и т. д.)

Из всех событий аудита выбраны только события с кодом 4663, связанные с доступом к объекту файловой системы (Категория задачи — Файловая система). В результате применения фильтра количество просматриваемых событий резко уменьшается. Еще больше сузить область поиска конкретных событий можно с помощью команды Найти (Find), выполняющейся из контекстного меню журнала или представления, а также присутствующей на панели Действия (Actions). Например, можно ввести строку "Запись данных" (или имя интересующего файла) и просматривать только операции изменения и создания файлов или папок (или события, связанные с конкретным файлом). При выполнении поиска в окне оснастки видны все свойства найденного события, поэтому нужную информацию находить очень легко.

Все созданные настраиваемые представления сохраняются в папке Настраиваемые представления (Custom Views) Их название и другие свойства, включая параметры фильтра, можно менять в любой момент. Просмотр представлений и выполнение других операций ничем не отличают-

ся от способов работы с обычными системными журналами (Приложение, Безопасность и т. д.).