Co to jest dziennik zdarzeń systemu Windows? – Przewodnik wprowadzający

Dziennik zdarzeń systemu Windows to wbudowana funkcja systemu operacyjnego Microsoft Windows, która rejestruje i przechowuje różne zdarzenia systemowe, bezpieczeństwa i aplikacji występujące na komputerze.

Zdarzenia te mogą obejmować błędy, ostrzeżenia i komunikaty informacyjne. Korzystając z tego dziennika zdarzeń, administratorzy mogą rozwiązywać problemy, monitorować stan systemu i śledzić aktywność użytkowników.

Dziennik zdarzeń systemu Windows jest podzielony na trzy główne kategorie:

System, aplikacja i bezpieczeństwo.

Dziennik aplikacji zawiera zdarzenia związane z aplikacjami i usługami, natomiast dziennik systemu zawiera zdarzenia związane z komponentami systemu i sterownikami. Sesje logowania, nieudane próby logowania i inne incydenty związane z bezpieczeństwem są dokumentowane w dzienniku zabezpieczeń.

Te wpisy dziennika zdarzeń systemu Windows zawierają szczegółowe informacje, takie jak data i godzina wystąpienia zdarzenia, źródło zdarzenia oraz wszelkie istotne kody błędów.

Ważność dziennika zdarzeń systemu Windows

Rola monitorowania dziennika zdarzeń jest kluczowa dla inżynierów systemowych i sieciowych, ponieważ pozwala im być na bieżąco z wszelkimi problemami, nielegalną działalnością, awariami sieci i innymi kluczowymi problemami, które mogą pojawić się wewnątrz komputera.

Zawiera pełne informacje o każdym zdarzeniu, w tym jego pochodzenie, nazwę użytkownika, poziom czułości i inne informacje. Informacje te mogą być bardzo pomocne w identyfikowaniu i usuwaniu awarii strukturalnych, a także w prognozowaniu nadchodzących wyzwań na podstawie wzorców danych.

Administratorzy sieci mogą skutecznie wykrywać i rozwiązywać problemy, zanim staną się poważne, obserwując dzienniki zdarzeń. Może to zaoszczędzić dużo czasu i wysiłku podczas badania i rozwiązywania problemu. Może to pomóc zagwarantować, że systemy będą nadal bezpieczne, niezawodne i wydajne.

Jak uzyskać dostęp do dziennika zdarzeń systemu Windows?

# 1. Korzystanie z GUI

Krok 1 – Otwórz menu Start i wyszukaj „Podgląd zdarzeń”.

Krok 2 – Kliknij aplikację Podgląd zdarzeń, aby ją otworzyć.

Krok 3 – W skrajnym lewym panelu zobaczysz listę dzienników zdarzeń. Wybierz opcję Dzienniki systemu Windows, a następnie kliknij żądany dziennik, aby go wyświetlić.

Krok 4 – W środkowym panelu możesz zobaczyć listę zdarzeń dla wybranego dziennika. Możesz użyć opcji filtrowania po prawej stronie ekranu, aby zawęzić interesujące Cię wydarzenia.

Krok 5 – Aby wyświetlić szczegóły wydarzenia, kliknij je dwukrotnie. Spowoduje to otwarcie okna dialogowego Właściwości zdarzenia, które zawiera szczegółowe informacje o identyfikatorze zdarzenia, źródle, poziomie istotności, dacie i godzinie, nazwie użytkownika, nazwie komputera i opisie.

Krok 6 – Możesz użyć opcji menu i paska narzędzi u góry ekranu, aby wykonać różne czynności, takie jak zapisywanie i czyszczenie dzienników, tworzenie niestandardowych widoków i filtrowanie zdarzeń.

#2. Korzystanie z wiersza polecenia

Dostęp do dziennika zdarzeń systemu Windows można uzyskać za pomocą wiersza polecenia lub programu PowerShell za pomocą polecenia „wevtutil”. Oto kilka przykładów.

  • Aby wyświetlić wszystkie zdarzenia w dzienniku systemu
wevtutil qe System
  • Aby wyświetlić zdarzenia w dzienniku aplikacji
wevtutil qe Application

Dane wyjściowe mogą wyglądać tak.

  • Aby wyświetlić wszystkie zdarzenia w dzienniku zabezpieczeń
wevtutil qe Security
  • Aby wyświetlić zdarzenia z określonego źródła w dzienniku systemu.
wevtutil qe System /f:text /c:1 /rd:true /q:"*[System[Provider[@Name="source_name"]]]" 

Tutaj musisz zastąpić „nazwa_źródła” nazwą źródła zdarzenia, które chcesz wyświetlić.

  • Aby wyeksportować zdarzenia z dziennika do pliku
wevtutil epl System C:LogsSystemLog.evtx

Zamień „System” na nazwę dziennika, który chcesz wyeksportować, a „C:LogsSystemLog.evtx” na ścieżkę i nazwę pliku, w którym chcesz zapisać wyeksportowany dziennik.

#3. Korzystanie z funkcji Uruchom

Dostęp do dziennika zdarzeń systemu Windows można również uzyskać za pomocą okna dialogowego Uruchom w systemie Windows. Oto jak:

Krok 1 – Naciśnij klawisz „Windows + R” na klawiaturze, aby otworzyć okno dialogowe Uruchom.

Krok 2 – Wpisz „eventvwr.msc” w oknie dialogowym Uruchom i naciśnij Enter.

Krok 3 – Narzędzie Event Viewer otworzy się i wyświetli główne okno konsoli.

Krok 4 – W oknie konsoli po lewej stronie możesz rozwinąć folder „Dzienniki systemu Windows”, aby wyświetlić dzienniki systemu, aplikacji, zabezpieczeń, konfiguracji i inne.

Krok 5 – Kliknij dziennik, którego zawartość chcesz wyświetlić w prawym panelu. Możesz filtrować i sortować wydarzenia, a także tworzyć niestandardowe widoki i zapisywać je do wykorzystania w przyszłości.

Kiedy używać tych dzienników zdarzeń?

Ogólnie rzecz biorąc, dziennika zdarzeń systemu Windows można używać zawsze, gdy trzeba monitorować, rozwiązywać problemy lub przeprowadzać inspekcję zdarzeń w systemie Windows. Oto kilka konkretnych sytuacji, w których możesz go użyć.

Monitorowanie kondycji systemu

Dziennik zdarzeń systemu Windows może dostarczać cennych informacji o błędach systemowych, ostrzeżeniach i problemach z wydajnością, co umożliwia proaktywne monitorowanie i utrzymywanie kondycji systemu.

Rozwiązywanie problemów

Gdy napotkasz problem w systemie Windows, dziennik zdarzeń może wskazać przyczynę i pomóc w zdiagnozowaniu problemu. Analizując dzienniki zdarzeń, można łatwo zidentyfikować główną przyczynę problemu i podjąć kroki w celu jego rozwiązania.

Audyt i śledzenie aktywności użytkowników

Dziennik zabezpieczeń w dzienniku zdarzeń może służyć do śledzenia logowań użytkowników, wylogowań, nieudanych prób logowania i innych zdarzeń związanych z bezpieczeństwem, co może pomóc w zidentyfikowaniu potencjalnych zagrożeń bezpieczeństwa i podjęciu odpowiednich działań.

Raportowanie zgodności

Wiele ram regulacyjnych, takich jak HIPAA, PCI-DSS i RODO, wymaga od organizacji prowadzenia dzienników zdarzeń i regularnego dostarczania raportów. Aby spełnić te wymagania dotyczące zgodności, można użyć dziennika zdarzeń systemu Windows.

Jak czytać te dzienniki zdarzeń?

Na początku odczytanie dziennika zdarzeń systemu Windows może być trochę trudne, ale przy wystarczającej wprawie i znajomości łatwiej będzie zrozumieć dostarczane przez niego dane. Oto kilka ogólnych kroków, które należy wykonać podczas czytania dziennika zdarzeń systemu Windows.

# 1. Otwórz dziennik zdarzeń

Pierwszym krokiem jest otwarcie dziennika zdarzeń. Możesz uzyskać do niego dostęp za pomocą dowolnej z wyżej wymienionych metod.

#2. Przejdź do odpowiedniego dziennika

W Podglądzie zdarzeń znajduje się kilka dzienników, w tym dzienniki aplikacji, systemu, zabezpieczeń i instalacji. Każdy dziennik zawiera różne typy zdarzeń. Wybierz dziennik zawierający zdarzenia, które chcesz wyświetlić.

#3. Filtruj zdarzenie

Zdarzenia można filtrować według poziomu istotności, źródła zdarzenia, zakresu dat i innych kryteriów. Pomoże Ci to zawęzić listę wydarzeń, które Cię interesują.

#4. Zobacz szczegóły wydarzenia

Dokładnie sprawdź każde zdarzenie, aby wyświetlić jego szczegóły, w tym identyfikator zdarzenia, źródło, poziom istotności, datę i godzinę, nazwę użytkownika, nazwę komputera i opis. Te informacje mogą pomóc w zidentyfikowaniu przyczyny zdarzenia i podjęciu odpowiednich działań.

#5. Użyj właściwości zdarzenia

Wiele zdarzeń ma dodatkowe właściwości, które dostarczają więcej informacji o zdarzeniu.

Na przykład zdarzenie związane z bezpieczeństwem może mieć takie właściwości, jak typ logowania, proces logowania i pakiet uwierzytelniania. Te właściwości mogą pomóc w zrozumieniu kontekstu zdarzenia i jego znaczenia.

#5. Analizuj wzorce

Zawsze staraj się szukać wzorców w wydarzeniach, aby zidentyfikować powtarzające się problemy lub trendy. Na przykład, jeśli zobaczysz serię błędów dysku, może to oznaczać problem ze sprzętem lub konfiguracją dysku.

Poziomy ważności zdarzeń systemu Windows

Dziennik zdarzeń systemu Windows używa poziomów istotności do kategoryzowania zdarzeń na podstawie ich ważności lub wpływu na system. Istnieje pięć poziomów ważności w dzienniku zdarzeń systemu Windows, wymienionych poniżej od najwyższej do najniższej ważności:

  • Krytyczny: ten poziom istotności jest zarezerwowany dla zdarzeń wskazujących na krytyczną awarię systemu lub aplikacji, która wymaga natychmiastowej uwagi. Przykłady obejmują awarie systemu, poważne awarie sprzętu i krytyczne błędy aplikacji.
  • Błąd: jest używany w przypadku zdarzeń wskazujących na poważny problem, który wymaga uwagi, ale niekoniecznie natychmiastowego działania. Niektóre typowe przykłady to awarie aplikacji, awarie łączności sieciowej i błędy dysku.
  • Ostrzeżenie: Wskazuje potencjalny problem, na który administratorzy systemu powinni zwracać uwagę, w tym ostrzeżenia o małej ilości miejsca na dysku i naruszenia zasad bezpieczeństwa.
  • Pełen: jest używany w przypadku zdarzeń, które dostarczają szczegółowych informacji o działaniu systemu lub aplikacji, zazwyczaj w celu rozwiązywania problemów lub debugowania.
  • Informacja: Pokazuje, że wszystko poszło gładko. Prawie wszystkie dzienniki zawierają zdarzenia informacyjne.

Te poziomy istotności umożliwiają administratorom i analitykom systemowym szybkie identyfikowanie krytycznych problemów wymagających uwagi i odpowiednie ustalanie priorytetów reakcji.

Wniosek ✍️

Mam nadzieję, że ten artykuł był pomocny w poznawaniu dziennika zdarzeń systemu Windows i jego znaczeniu. Możesz być także zainteresowany poznaniem różnych sposobów odzyskiwania usuniętych danych w systemie Windows 11.