Для
просмотра журналов в ОС Windows предусмотрено стандартное приложение входящее в
комплект приложений для администрирования - eventvwr.msc. Для запуска
необходимо в меню пуск выбрать:
Пуск
\ Все программы \ Стандартные \ Администрирование \ Просмотр событий
Данное
приложение позволяет просмотреть различные журналы событий Windows. Файлы самих
журналов расположены в директории:
C:\WINDOWS\system32\config\
Они
имеют расширение *.evt. С помощью стандартного приложения можно экспортировать
файлы журналов в файл *.txt. Файлы журналов используют для просмотра событий, а
также для нахождения событий которые были последними и могли привести к сбою
системы.
eventvwr.msc
Местонахождение
Windows\system32
Просмотр
событий (Event Viewer)
В
окне просмотра событий ведутся журналы программных, системных событий, а также
событий безопасности на компьютере. Окно просмотра событий используется для
просмотра журналов событий и управления ими, получения сведений о неполадках
аппаратного и программного обеспечения, а также для наблюдения за событиями
безопасности Windows.
WINDOWS\system32\config:
Файл AppEvent.Evt
является журналом событий приложений, используемого реестром Windows
Файл
SecEvent.Evt является журналом событий безопасности, используемого
реестром Windows.
Файл
SysEvent.Evt является журналом событий системы, используемого реестром
Windows.
В
журнале приложений содержатся данные, относящиеся к работе приложений и
программ. Например, программа управления базой данных может зарегистрировать
событие о файловой ошибке в журнале приложений. События, регистрируемые в
журнале приложений, определяются разработчиками соответствующих приложений.
Журнал
безопасности содержит такие события, как успешные и неуспешные попытки входа в
систему, а также события, относящиеся к использованию ресурсов, такие как
создание, открытие и удаление файлов и других объектов. Администраторы могут
выбрать события, которые следует заносить в журнал безопасности. Например, если
включен аудит входа в систему, сведения обо всех попытках входа в систему
заносятся в журнал безопасности.
В
журнале установки содержатся данные, относящиеся к установке приложений.
Журнал
системы содержит события, записываемые системными компонентами Windows.
Например, в журнале системы регистрируются сбои при загрузке драйвера или
других системных компонентов в процессе загрузки системы. Типы событий, которые
регистрируются компонентами системы, определены на уровне операционной системы.
Журнал
пересылаемых событий используется для хранения событий, собранных с удаленных
компьютеров. Для сбора событий с удаленных компьютеров необходимо создать
подписку на события. Сведения о создании подписок на события см. в разделе Подписка на события.
Друзья! Приглашаем вас к обсуждению. Если у вас есть своё мнение, напишите нам в комментарии.