Просмотр событий

eventquery.vbs, eventcreate, eventtriggers
Разработчик(и)	Майкрософт
Первоначальный выпуск	25 октября 2001 г .; 22 года назад
Операционная система	Microsoft Windows
Тип	Команда
Лицензия	Собственное коммерческое программное обеспечение
Веб-сайт	документы .microsoft .с /en-нас /Windows-сервер /администрация /Windows-команды /eventcreate

Журнал просмотра событий
	Просмотр событий в Windows 10
Разработчик(и)	Майкрософт
Операционная система	Microsoft Windows
Название службы	Журнал событий Windows ( журнал событий )
Тип	Утилита

Средство просмотра событий — это компонент Windows Microsoft NT операционной системы , который позволяет администраторам и пользователям просматривать журналы событий , обычно с расширениями файлов. .evt и .evtx, на локальном или удаленном компьютере. Приложения и компоненты операционной системы могут использовать эту службу централизованного журнала для сообщения о произошедших событиях, таких как сбой при запуске компонента или невозможности выполнения действия. В Windows Vista Microsoft переработала систему событий. ^[1]

Из-за того, что средство просмотра событий регулярно сообщает о незначительных ошибках запуска и обработки (которые на самом деле не причиняют вреда и не повреждают компьютер), это программное обеспечение часто используется мошенниками из службы технической поддержки, чтобы обмануть жертву, заставив ее думать, что на ее компьютере содержатся критически важные файлы. ошибки, требующие немедленной технической поддержки. ^[2] Примером может служить поле «Административные события» в разделе «Пользовательские представления», в котором за месяц может быть зарегистрировано более тысячи ошибок или предупреждений.

Обзор

Windows NT поддерживает журналы событий с момента ее выпуска в 1993 году.

Средство просмотра событий использует идентификаторы событий для определения уникально идентифицируемых событий, с которыми может столкнуться компьютер Windows. пользователя Например, если аутентификация не удалась, система может сгенерировать событие с кодом 672.

В Windows NT 4.0 добавлена поддержка определения «источников событий» (т. е. приложения, создавшего событие) и выполнения резервного копирования журналов.

В Windows 2000 добавлена возможность приложениям создавать свои собственные источники журналов в дополнение к трем системным файлам журналов «Система», «Приложение» и «Безопасность». Windows 2000 также заменила средство просмотра событий NT4 оснасткой управления Microsoft (MMC) консоли .

В Windows Server 2003 добавлено AuthzInstallSecurityEventSource() Вызовы API, чтобы приложения могли регистрироваться в журналах событий безопасности и записывать записи аудита безопасности. ^[3]

Версии Windows, основанные на ядре Windows NT 6.0 ( Windows Vista и Windows Server 2008 ), больше не имеют ограничения на общий размер в 300 мегабайт. До NT 6.0 система открывала файлы на диске как файлы, отображенные в памяти в пространстве памяти ядра, которые использовали те же пулы памяти, что и другие компоненты ядра.

Файлы журналов просмотра событий с расширением имени файла evtx обычно появляются в таком каталоге, как C:\Windows\System32\winevt\Logs\

Интерфейс командной строки

В Windows XP представлен набор из трех инструментов интерфейса командной строки , полезных для автоматизации задач:

eventquery.vbs – Официальный скрипт для запроса, фильтрации и вывода результатов на основе журналов событий. ^[4] Прекращено после XP.
eventcreate – команда (продолжение в Vista и 7) для записи пользовательских событий в журналы. ^[5]
eventtriggers – команда для создания событийно-ориентированных задач. ^[6] Прекращено после XP, заменено функцией «Прикрепить задачу к этому событию», то есть из списка событий. Right-Click для одного события и выберите его из всплывающего меню.

Windows Виста

Средство просмотра событий представляет собой переписанную архитектуру отслеживания и регистрации событий в Windows Vista. ^[1] Он был переписан на основе структурированного формата журнала XML и назначенного типа журнала, чтобы позволить приложениям более точно регистрировать события и облегчить специалистам службы поддержки и разработчикам интерпретацию событий.

XML-представление события можно просмотреть на вкладке «Сведения» в свойствах события. Также можно просмотреть все потенциальные события, их структуры, зарегистрированных издателей событий и их конфигурацию с помощью утилиты wevtutil еще до того, как события будут запущены.

Существует большое количество различных типов журналов событий, включая административные, операционные, аналитические и отладочные журналы. При выборе узла « Журналы приложений» на панели «Область» отображаются многочисленные новые журналы событий с подкатегориями, многие из которых помечены как журналы диагностики.

Аналитические и отладочные события, которые происходят с высокой частотой, сохраняются непосредственно в файле трассировки, тогда как административные и эксплуатационные события достаточно редки, чтобы обеспечить дополнительную обработку, не влияя на производительность системы, поэтому они доставляются в службу журнала событий.

События публикуются асинхронно, чтобы снизить влияние на производительность приложения публикации событий . Атрибуты событий также гораздо более подробны и отображают свойства EventID, Level, Task, Opcode и Ключевые слова.

Пользователи могут фильтровать журналы событий по одному или нескольким критериям или по ограниченному выражению XPath 1.0 , а также создавать собственные представления для одного или нескольких событий. Использование XPath в качестве языка запросов позволяет просматривать журналы, относящиеся только к определенной подсистеме или проблеме только с определенным компонентом, архивировать выбранные события и оперативно отправлять трассировки специалистам службы поддержки.

Фильтрация с использованием XPath 1.0

Открыть журнал событий Windows
Развернуть журналы Windows
Выберите интересующий файл журнала (в примере ниже безопасности ). используется журнал событий
Щелкните правой кнопкой мыши журнал событий и выберите «Фильтровать текущий журнал…».
Измените выбранную вкладку с «Фильтр» на «XML».
Установите флажок « Редактировать запрос вручную»
Вставьте запрос в текстовое поле. Примеры запросов можно найти ниже.

Вот примеры простых пользовательских фильтров для нового журнала событий окна:

Выберите все события в журнале событий безопасности, где имя учетной записи (TargetUserName) — «JUser».
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data[@Name="TargetUserName"]="JUser"]]</Select></Query></QueryList>
Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData представляет собой строку «JUser».
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser"]]</Select></Query></QueryList>
Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData имеет значение «JUser» или «JDoe».
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[EventData[Data="JUser" or Data="JDoe"]]</Select></Query></QueryList>
Выберите все события в журнале событий безопасности, где любой узел данных раздела EventData имеет значение «JUser», а идентификатор события — «4471».
<QueryList><Query Id="0" Path="Security"><Select Path="Security">*[System[EventID="4471"]] and *[EventData[Data="JUser"]]</Select></Query></QueryList>
Реальный пример пакета Goldmine с двумя @Names.
<QueryList><Query Id="0" Path="Application"><Select Path="Application">*[System[Provider[@Name='GoldMine' or @Name='GMService']]]</Select></Query></QueryList>

Предостережения:

Существуют ограничения на реализацию XPath от Microsoft. ^[7]
Запросы с использованием строковых функций XPath приведут к ошибке ^[8]

Подписчики событий

Основные подписчики событий включают службу Event Collector и Task Scheduler 2.0. Служба сбора событий может автоматически пересылать журналы событий на другие удаленные системы под управлением Windows Vista , Windows Server 2008 или Windows Server 2003 R2 по настраиваемому расписанию. Журналы событий также можно просматривать удаленно с других компьютеров, или можно централизованно регистрировать и отслеживать несколько журналов событий без агента и управлять ими с одного компьютера. События также могут быть напрямую связаны с задачами, которые запускаются в обновленном планировщике задач и запускают автоматические действия при возникновении определенных событий.

См. также

Ссылки

^ Jump up to: ^а ^б «Новые инструменты для управления событиями в Windows Vista» . ТехНет . Майкрософт . Ноябрь 2006 г.
^ Андерсон, Нейт (4 октября 2012 г.). « Я звоню вам из Windows»: мошенник из техподдержки звонит в Ars Technica» . Арс Техника .
^ «Функция AuthzInstallSecurityEventSource» . MSDN . Майкрософт . Проверено 5 октября 2007 г.
^ LLC), Тара Мейер (Aquent. «Eventquery.vbs» . docs.microsoft.com .
^ LLC), Тара Мейер (Aquent. «Eventcreate» . docs.microsoft.com .
^ LLC), Тара Мейер (Aquent. «Eventtriggers» . docs.microsoft.com .
^ «Реализация Microsoft и ограничения XPath 1.0 в журнале событий Windows» . MSDN . Майкрософт . Проверено 7 августа 2009 г.
^ «Скрипт Powershell для фильтрации событий с помощью запроса Xpath» . Проверено 20 сентября 2011 г.

Внешние ссылки

Официальные источники:
- Просмотр событий — Inside Show на Microsoft Learn
- События и ошибки (Windows Server 2008) в Microsoft Learn

[Eventlog-1] Jump up to: ^а ^б «Новые инструменты для управления событиями в Windows Vista» . ТехНет . Майкрософт . Ноябрь 2006 г.

[2] Андерсон, Нейт (4 октября 2012 г.). « Я звоню вам из Windows»: мошенник из техподдержки звонит в Ars Technica» . Арс Техника .

[3] «Функция AuthzInstallSecurityEventSource» . MSDN . Майкрософт . Проверено 5 октября 2007 г.

[4] LLC), Тара Мейер (Aquent. «Eventquery.vbs» . docs.microsoft.com .

[5] LLC), Тара Мейер (Aquent. «Eventcreate» . docs.microsoft.com .

[6] LLC), Тара Мейер (Aquent. «Eventtriggers» . docs.microsoft.com .

[7] «Реализация Microsoft и ограничения XPath 1.0 в журнале событий Windows» . MSDN . Майкрософт . Проверено 7 августа 2009 г.

[8] «Скрипт Powershell для фильтрации событий с помощью запроса Xpath» . Проверено 20 сентября 2011 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

v т и Windows Программы командной строки и встроенные оболочки оболочки
COMMAND.COM Командная строка Windows PowerShell Консоль восстановления
Навигация по файловой системе	cdкомпакт-диск ты попд толчок дерево
Управление файлами	атрибут каклы шифровать компактный копировать из (стирать) Делтри icacls мкдир (Мэриленд) мклинк двигаться открытые файлы восстанавливаться рен (переименовать) заменять rmdir (р-д) Робокопия захват xcopy
Архивирование	расширять экстракт32 извлекать Makecab чел. берет
Управление дисками	чкдск конвертировать дефрагментация дисккомп копировать на диск часть диска дискрейд тень диска Дрвспейс fdisk формат на ФГУТ этикетка управление-бде refsutil заменить скандиск система том vssadmin
Процессы	в Выход убийство powercfg речи СК задачи неисправность начинать тасккилл список задач
Реестр	доцент fтип рег королевы правильно, фр32
Пользовательская среда	chcp cmdkey дата трансплантат режим путь набор сетвер setx время заголовок видеть где эй
Содержимое файла	комп редактировать Эдлин ФК находить findstr распечатать тип
Сценарии	выбор клип cscript доски эхо для Форфили перейти к если более пауза быстрый рем тайм-аут
сеть	арп битсадмин завиток GetMac имя хоста ipconfig нбтстат сеть нетш нетстат nslookup ПутьПинг пинг rpcping маршрут объект setspn SFTP сш ssh-добавить ssh-агент ssh-кейген ssh-keyscan трассировка WinRM победители
Обслуживание и уход	аудиторская политика диспдиаг запрос драйвера создание события триггеры событий жилье mofcomp msiexec ntbackup pnpunattend пнпутил РЕАгентC перелогиниться СФК sxstrace системная информация трассировка типоперф w32tm WBAdmin векутил вебутил Винмгмт WinSat wmic
Управление загрузкой	bcdedit bootcfg загрузка исправление загрузки исправление MBR
Разработка программного обеспечения	отлаживать exe2bin QBasic
Разнообразный	перерыв клс декабрь dpath gpresult gpupdate помощь MSCDEX пеннт tpmtool тпмвскмгр ВСЛ
Список команд DOS Переменные среды Инструменты поддержки Windows