Windows evidencija događaja je sastavni deo operativnog sistema Microsoft Windows, koji beleži i skladišti razne sistemske, bezbednosne i aplikacijske događaje koji se odvijaju na računaru.
Ovi događaji mogu uključivati greške, upozorenja i informativne poruke. Korišćenjem ovog dnevnika događaja, administratori mogu rešavati poteškoće, pratiti funkcionalnost sistema i nadzirati korisničku aktivnost.
Windows evidencija događaja je podeljena u tri osnovne kategorije:
Sistem, aplikacija i bezbednost.
Dnevnik aplikacija obuhvata događaje koji se tiču aplikacija i servisa, dok sistemski dnevnik sadrži događaje povezane sa sistemskim komponentama i drajverima. Sesije prijavljivanja, neuspeli pokušaji prijave i drugi bezbednosni incidenti se beleže u bezbednosnom dnevniku.
Ovi unosi u Windows dnevnik događaja sadrže detaljne informacije, kao što su datum i vreme kada se događaj dogodio, izvor događaja i sve relevantne šifre grešaka.
Značaj Windows evidencije događaja
Praćenje evidencije događaja je od suštinskog značaja za sistemske i mrežne inženjere, jer im omogućava da budu informisani o svim problemima, nelegalnim aktivnostima, kvarovima mreže i drugim kritičnim pitanjima koja se mogu pojaviti unutar računara.
Pruža opsežne detalje o svakom događaju, uključujući njegovo poreklo, korisničko ime, nivo ozbiljnosti i druge informacije. Ove informacije mogu biti od velike pomoći u identifikaciji i rešavanju strukturnih grešaka, kao i u predviđanju budućih izazova na osnovu uzoraka podataka.
Mrežni administratori mogu efikasno detektovati i rešavati probleme pre nego što eskaliraju, prateći evidenciju događaja. Ovo može uštedeti značajno vreme i napor tokom istrage i rešavanja problema. Na taj način se osigurava da sistemi ostanu sigurni, pouzdani i da rade optimalno.
Kako pristupiti Windows dnevniku događaja?
#1. Korišćenje grafičkog interfejsa (GUI)
Korak 1 – Otvorite Start meni i ukucajte „Preglednik događaja“.
Korak 2 – Kliknite na aplikaciju Event Viewer da biste je pokrenuli.
Korak 3 – U levom panelu ćete videti listu evidencija događaja. Izaberite opciju Windows evidencije, a zatim kliknite na željeni dnevnik za pregled.
Korak 4 – U središnjem panelu možete videti listu događaja za izabrani dnevnik. Možete koristiti opcije filtera na desnoj strani ekrana da biste suzili događaje koji vas zanimaju.
Korak 5 – Da biste videli detalje događaja, dvaput kliknite na njega. Otvoriće se prozor Svojstva događaja koji sadrži detaljne informacije o ID-u događaja, izvoru, nivou ozbiljnosti, datumu i vremenu, korisničkom imenu, imenu računara i opisu.
Korak 6 – Možete koristiti opcije menija i traku sa alatkama na vrhu ekrana da biste izvršili razne akcije, kao što su čuvanje i brisanje dnevnika, kreiranje prilagođenih prikaza i filtriranje događaja.
#2. Korišćenje komandne linije
Možete pristupiti Windows evidenciji događaja putem komandne linije ili PowerShell-a pomoću komande „wevtutil“. Evo nekoliko primera.
- Za prikaz svih događaja u sistemskom dnevniku
wevtutil qe System
- Za prikaz događaja u dnevniku aplikacija
wevtutil qe Application
Izlaz može izgledati ovako:
- Da biste prikazali sve događaje u bezbednosnom dnevniku
wevtutil qe Security
- Za prikaz događaja iz određenog izvora u sistemskom dnevniku.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name="source_name"]]]"
Ovde treba da zamenite „ime_izvora“ imenom izvora događaja koji želite da vidite.
- Za izvoz događaja iz evidencije u datoteku
wevtutil epl System C:LogsSystemLog.evtx
Zamenite „Sistem“ imenom dnevnika koji želite da izvezete, a „C:LogsSystemLog.evtx“ putanjom i imenom datoteke gde želite da sačuvate izvezeni dnevnik.
#3. Korišćenjem Run komande
Takođe možete pristupiti Windows evidenciji događaja pomoću dijaloga Pokreni u operativnom sistemu Windows. Evo kako:
Korak 1 – Pritisnite taster „Windows + R“ na tastaturi da biste otvorili dijalog Pokreni.
Korak 2 – Ukucajte „eventvwr.msc“ u dijalog Pokreni i pritisnite Enter.
Korak 3 – Program Event Viewer će se otvoriti i prikazati glavni prozor konzole.
Korak 4 – U prozoru konzole, sa leve strane, možete proširiti fasciklu „Windows evidencije“ da biste videli evidencije sistema, aplikacija, bezbednosti, podešavanja i druge.
Korak 5 – Kliknite na dnevnik koji želite da vidite i njegov sadržaj će se prikazati u desnom panelu. Možete filtrirati i sortirati događaje, kao i kreirati prilagođene prikaze i sačuvati ih za buduću upotrebu.
Kada koristiti ove evidencije događaja?
Generalno, Windows evidenciju događaja možete koristiti kad god treba da nadzirete, rešavate probleme ili proveravate događaje na Windows sistemu. Evo nekoliko konkretnih situacija u kojima biste je mogli koristiti.
Praćenje zdravlja sistema
Windows evidencija događaja može pružiti dragocene informacije o sistemskim greškama, upozorenjima i problemima sa performansama, što vam omogućava da proaktivno nadgledate i održavate zdravlje vašeg sistema.
Rešavanje problema
Kada naiđete na problem na Windows sistemu, Evidencija događaja može ukazati na uzrok i pomoći vam da dijagnostikujete problem. Analizom evidencije događaja možete lako identifikovati osnovni uzrok problema i preduzeti korake da ga rešite.
Revizija i praćenje aktivnosti korisnika
Bezbednosna evidencija u evidenciji događaja se može koristiti za praćenje prijava korisnika, odjava, neuspelih pokušaja prijava i drugih događaja u vezi sa bezbednošću, što vam može pomoći da identifikujete potencijalne bezbednosne pretnje i preduzmete odgovarajuće mere.
Izveštavanje o usklađenosti
Mnogi regulatorni okviri, kao što su HIPAA, PCI-DSS i GDPR, zahtevaju od organizacija da vode evidenciju događaja i da redovno izveštavaju. Windows evidencija događaja može se koristiti za ispunjavanje ovih zahteva usklađenosti.
Kako čitati ove evidencije događaja?
U početku može biti pomalo teško čitati Windows evidenciju događaja, ali uz dovoljno prakse i znanja postaje lakše razumeti podatke koje pruža. Evo nekoliko opštih koraka koje treba slediti prilikom čitanja Windows evidencije događaja.
#1. Otvorite dnevnik događaja
Prvi korak je otvaranje dnevnika događaja. Možete mu pristupiti koristeći bilo koji od gore navedenih metoda.
#2. Idite do odgovarajućeg dnevnika
Postoji nekoliko evidencija u Event Viewer-u, uključujući dnevnike aplikacija, sistema, bezbednosti i podešavanja. Svaki dnevnik sadrži različite vrste događaja. Izaberite dnevnik koji sadrži događaje koje želite da vidite.
#3. Filtrirajte događaj
Možete filtrirati događaje prema nivou ozbiljnosti, izvoru događaja, vremenskom periodu i drugim kriterijumima. Ovo vam može pomoći da suzite događaje koji vas zanimaju.
#4. Pogledajte detalje događaja
Pažljivo pregledajte svaki događaj da biste videli njegove detalje, uključujući ID događaja, izvor, nivo ozbiljnosti, datum i vreme, korisničko ime, ime računara i opis. Ove informacije vam mogu pomoći da identifikujete uzrok događaja i preduzmete odgovarajuće mere.
#5. Koristite svojstva događaja
Mnogi događaji imaju dodatna svojstva koja pružaju više informacija o događaju.
Na primer, bezbednosni događaj može imati svojstva kao što su tip prijave, proces prijave i paket za potvrdu identiteta. Ova svojstva vam mogu pomoći da razumete kontekst događaja i njegov značaj.
#6. Analizirajte obrasce
Uvek pokušajte da tražite obrasce u događajima da biste identifikovali probleme ili trendove koji se ponavljaju. Na primer, ako vidite niz grešaka na disku, to može ukazivati na problem sa hardverom ili konfiguracijom diska.
Nivoi ozbiljnosti Windows događaja
Windows evidencija događaja koristi nivoe ozbiljnosti za kategorizaciju događaja na osnovu njihovog značaja ili uticaja na sistem. Postoji pet nivoa ozbiljnosti u Windows evidenciji događaja, navedenih u nastavku od najvišeg do najnižeg nivoa ozbiljnosti:
- Kritičan: Ovaj nivo ozbiljnosti je rezervisan za događaje koji ukazuju na kritičan sistemski ili aplikacijski otkaz koji zahteva hitnu pažnju. Primeri uključuju pad sistema, velike kvarove na hardveru i kritične greške u aplikaciji.
- Greška: Koristi se za događaje koji ukazuju na ozbiljan problem koji zahteva pažnju, ali ne nužno i hitnu akciju. Neki uobičajeni primeri su rušenja aplikacija, greške u mrežnom povezivanju i greške na disku.
- Upozorenje: Ukazuje na potencijalni problem na koji administratori sistema treba da obrate pažnju, uključujući upozorenja o malom prostoru na disku i kršenju bezbednosnih politika.
- Opširno: Koristi se za događaje koji pružaju detaljne informacije o aktivnostima sistema ili aplikacije, obično u svrhu rešavanja problema ili otklanjanja grešaka.
- Informacija: To pokazuje da je sve proteklo glatko. Gotovo svi dnevnici uključuju informativne događaje.
Ovi nivoi ozbiljnosti omogućavaju administratorima i sistemskim analitičarima da brzo identifikuju kritične probleme koji zahtevaju pažnju i da shodno tome prioritetizuju svoj odgovor.
Zaključak ✍
Nadam se da vam je ovaj članak pomogao u učenju o Windows dnevniku događaja i njegovom značaju. Možda ćete biti zainteresovani da saznate o raznim načinima za oporavak izbrisanih podataka u operativnom sistemu Windows 11.