Виндовс евиденција догађаја је уграђена функција оперативног система Мицрософт Виндовс која бележи и чува различите системске, безбедносне и апликације догађаје који се дешавају на рачунару.
Ови догађаји могу укључивати грешке, упозорења и информативне поруке. Користећи овај дневник догађаја, администратори могу да решавају проблеме, прате здравље система и прате активност корисника.
Виндовс евиденција догађаја је организована у три главне категорије:
Систем, апликација и безбедност.
Дневник апликације садржи догађаје који се односе на апликације и услуге, док системски дневник укључује догађаје повезане са системским компонентама и драјверима. Сесије пријављивања, неуспешни покушаји пријаве и други инциденти у вези са безбедношћу су документовани у безбедносном дневнику.
Ови уноси у дневник догађаја Виндовс укључују детаљне информације као што су датум и време када се догађај десио, извор догађаја и све релевантне кодове грешака.
Преглед садржаја
Важност евиденције Виндовс догађаја
Улога праћења евиденције догађаја је кључна за системске и мрежне инжењере јер им омогућава да буду информисани о свим проблемима, илегалним активностима, кваровима на мрежи и другим кључним проблемима који се могу појавити унутар рачунара.
Пружа потпуне детаље о сваком догађају, укључујући његово порекло, корисничко име, ниво осетљивости и друге информације. Ове информације могу бити од велике помоћи у идентификацији и решавању структуралних грешака, као и у предвиђању предстојећих изазова на основу образаца података.
Мрежни администратори могу ефикасно да открију и решавају проблеме пре него што постану озбиљни тако што ће пратити евиденцију догађаја. Ово би можда могло уштедети много времена и труда приликом истраживања и решавања проблема. Ово може помоћи да се гарантује да ће системи и даље бити сигурни, поуздани и да раде на најбољи могући начин.
Како приступити Виндовс дневнику догађаја?
#1. Коришћење ГУИ
Корак 1 – Отворите мени Старт и потражите „Прегледник догађаја“.
Корак 2 – Кликните на апликацију Евент Виевер да бисте је отворили.
Корак 3 – На крајњем левом панелу видећете листу евиденција догађаја. Изаберите опцију Виндовс евиденције, а затим кликните на жељени дневник за преглед.
Корак 4 – У средњем панелу можете видети листу догађаја за изабрани дневник. Можете да користите опције филтера на десној страни екрана да бисте сузили догађаје који вас занимају.
Корак 5 – Да бисте видели детаље догађаја, двапут кликните на њега. Ово ће отворити дијалог Својства догађаја који садржи детаљне информације о ИД-у догађаја, извору, нивоу озбиљности, датуму и времену, корисничком имену, имену рачунара и опису.
Корак 6 – Можете да користите опције менија и траку са алаткама на врху екрана да бисте извршили различите радње као што су чување и брисање дневника, креирање прилагођених приказа и филтрирање догађаја.
#2. Коришћење командне линије
Можете да приступите Виндовс евиденцији догађаја користећи командну линију или ПоверСхелл помоћу команде „вевтутил“. Ево неколико примера.
- За приказ свих догађаја у системском дневнику
wevtutil qe System
- За приказ догађаја у дневнику апликације
wevtutil qe Application
Излаз може изгледати овако.
- Да бисте приказали све догађаје у безбедносном дневнику
wevtutil qe Security
- За приказ догађаја из одређеног извора у системском дневнику.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name="source_name"]]]"
Овде треба да замените „име_извора“ именом извора догађаја који желите да видите.
- За извоз догађаја из евиденције у датотеку
wevtutil epl System C:LogsSystemLog.evtx
Замените „Систем“ именом дневника који желите да извезете, а „Ц:ЛогсСистемЛог.евтк“ путањом и именом датотеке где желите да сачувате извезени дневник.
#3. Коришћењем Рун
Такође можете да приступите Виндовс евиденцији догађаја помоћу дијалога Покрени у оперативном систему Виндовс. Ево како:
Корак 1 – Притисните тастер „Виндовс + Р“ на тастатури да бисте отворили дијалог Покрени.
Корак 2 – Откуцајте „евентввр.мсц“ у дијалогу Покрени и притисните Ентер.
Корак 3 – Услужни програм Евент Виевер ће се отворити и приказати главни прозор конзоле.
Корак 4 – У прозору конзоле са леве стране можете да проширите фасциклу „Виндовс евиденције“ да бисте видели евиденцију система, апликација, безбедности, подешавања и других.
Корак 5 – Кликните на дневник који желите да видите његов садржај у десном панелу. Можете филтрирати и сортирати догађаје, као и креирати прилагођене приказе и сачувати их за будућу употребу.
Када користити ове евиденције догађаја?
Уопштено, Виндовс евиденцију догађаја можете да користите кад год треба да надгледате, решавате проблеме или ревидирате догађаје на Виндовс систему. Ево неколико специфичних ситуација у којима бисте га могли користити.
Праћење здравља система
Виндовс евиденција догађаја може да пружи драгоцене информације о системским грешкама, упозорењима и проблемима са перформансама што вам омогућава да проактивно надгледате и одржавате здравље вашег система.
Решавање проблема
Када наиђете на проблем на Виндовс систему, Евиденција догађаја може дати индикацију узрока и помоћи вам да дијагностикујете проблем. Анализом евиденције догађаја можете лако идентификовати основни узрок проблема и предузети кораке да га решите.
Ревизија и праћење активности корисника
Безбедносна евиденција у евиденцији догађаја може да се користи за праћење пријављивања корисника, одјављивања, неуспешних покушаја пријављивања и других догађаја у вези са безбедношћу, који вам могу помоћи да идентификујете потенцијалне безбедносне претње и предузмете одговарајуће мере.
Извештавање о усклађености
Многи регулаторни оквири као што су ХИПАА, ПЦИ-ДСС и ГДПР захтевају од организација да воде евиденцију догађаја и да дају редовне извештаје. Виндовс евиденција догађаја може да се користи за испуњавање ових захтева усаглашености.
Како читати ове евиденције догађаја?
У почетку може бити мало тешко читати Виндовс евиденцију догађаја, али уз довољно праксе и познавања постаје лакше разумети податке које пружа. Ево неколико општих корака које треба следити када читате Виндовс евиденцију догађаја.
#1. Отворите дневник догађаја
Први корак је отварање дневника догађаја. Можете му приступити користећи било који од горе наведених метода.
#2. Идите до одговарајућег дневника
Постоји неколико евиденција у Евент Виеверу, укључујући дневнике апликација, система, безбедности и подешавања. Сваки дневник садржи различите врсте догађаја. Изаберите дневник који садржи догађаје које желите да видите.
#3. Филтрирај догађај
Можете да филтрирате догађаје према нивоу озбиљности, извору догађаја, периоду и другим критеријумима. Ово вам може помоћи да сузите догађаје који вас занимају.
#4. Погледајте детаље догађаја
Пажљиво прегледајте сваки догађај да бисте видели његове детаље, укључујући ИД догађаја, извор, ниво озбиљности, датум и време, корисничко име, име рачунара и опис. Ове информације вам могу помоћи да идентификујете узрок догађаја и предузмете одговарајуће мере.
#5. Користите својства догађаја
Многи догађаји имају додатна својства која пружају више информација о догађају.
На пример, безбедносни догађај може имати својства као што су тип пријаве, процес пријављивања и пакет за потврду идентитета. Ова својства вам могу помоћи да разумете контекст догађаја и његов значај.
#5. Анализирајте обрасце
Увек покушајте да тражите обрасце у догађајима да бисте идентификовали проблеме или трендове који се понављају. На пример, ако видите низ грешака на диску, то може указивати на проблем са хардвером или конфигурацијом диска.
Нивои озбиљности Виндовс догађаја
Виндовс евиденција догађаја користи нивое озбиљности за категоризацију догађаја на основу њиховог значаја или утицаја на систем. Постоји пет нивоа озбиљности у Виндовс евиденцији догађаја, наведених у наставку од највише до најниже озбиљности:
- Критичан: Овај ниво озбиљности је резервисан за догађаје који указују на критичан систем или отказ апликације који захтева хитну пажњу. Примери укључују пад система, велике кварове на хардверу и критичне грешке у апликацији.
- Грешка: Користи се за догађаје који указују на озбиљан проблем који захтева пажњу, али не нужно и хитну акцију. Неки уобичајени примери су рушења апликација, грешке у мрежном повезивању и грешке на диску.
- Упозорење: Указује на потенцијални проблем на који администратори система треба да пазе, укључујући упозорења о малом простору на диску и кршењу безбедносних политика.
- Опширно: Користи се за догађаје који пружају детаљне информације о активностима система или апликације, обично у сврху решавања проблема или отклањања грешака.
- Информација: То показује да је све протекло глатко. Скоро сви дневници укључују информативне догађаје.
Ови нивои озбиљности омогућавају администраторима и системским аналитичарима да брзо идентификују критичне проблеме који захтевају пажњу и у складу са тим дају приоритет свом одговору.
Закључак ✍
Надам се да вам је овај чланак помогао у учењу о Виндовс дневнику догађаја и његовој важности. Можда ћете бити заинтересовани да сазнате о различитим начинима за опоравак избрисаних података у оперативном систему Виндовс 11.